Protocolos Descentralizados São Alvos Vulneráveis para Hackers Norte-Coreanos

Grupos de hackers norte-coreanos têm como alvo o cripto há anos. A exploração da ponte Ronin de $625 milhões em 2022 foi um primeiro alerta — mas a ameaça evoluiu desde então.

Somente em 2025, atacantes vinculados à Coreia do Norte estiveram ligados a uma série de campanhas projetadas para desviar valores e comprometer jogadores-chave no Web3: Eles visaram US$ 1,5 bilhão em ativos na Bybit por meio de campanhas de captura de credenciais, com milhões já lavados. Eles lançaram ataques de malware contra usuários do MetaMask e Trust Wallet, tentaram infiltrar-se em exchanges por meio de candidatos a emprego falsos, e criaram empresas de fachada nos EUA para alvejar desenvolvedores de cripto.

E embora as manchetes frequentemente enfatizem grandes roubos, a realidade é mais simples — e mais contundente. A camada mais fraca do Web3 não são os contratos inteligentes, mas os humanos.

Atacantes de estados-nação não precisam mais encontrar vulnerabilidades zero-day em Solidity. Eles miram as vulnerabilidades operacionais de equipes descentralizadas: gestão de chaves deficiente, processos de integração inexistentes, contribuintes não verificados enviando código de laptops pessoais e governança do tesouro conduzida por enquetes no Discord. Apesar de todo o discurso do setor sobre resiliência e resistência à censura, muitos protocolos ainda são alvos fáceis para adversários sérios.

Na Oak Security, onde realizamos mais de 600 auditorias em grandes ecossistemas, vemos consistentemente essa lacuna: equipes investem muito em auditorias de contratos inteligentes, mas ignoram a segurança operacional básica (OPSEC). O resultado é previsível. Processos inadequados de segurança levam ao comprometimento de contas de contribuintes, captura de governança e perdas evitáveis.

A Ilusão do Contrato Inteligente: Código Seguro, Equipes Inseguras

Apesar de todo o dinheiro e talento investidos na segurança de contratos inteligentes, a maioria dos projetos DeFi ainda falha nos fundamentos da segurança operacional. O pressuposto parece ser que, se o código passou por uma auditoria, o protocolo está seguro. Essa crença não é apenas ingênua — é perigosa.

A realidade é que os exploits de contratos inteligentes já não são mais o método preferido de ataque. É mais fácil — e muitas vezes mais eficaz — atacar as pessoas que operam o sistema. Muitas equipes DeFi não possuem líderes dedicados à segurança, optando por gerir enormes tesouros sem ninguém formalmente responsável pela OPSEC. Isso por si só deveria ser motivo de preocupação.

Crucialmente, as falhas de OPSEC não se limitam a ataques de grupos patrocinados por estados. Em maio de 2025, a Coinbase revelou que um agente de suporte no exterior — subornado por cibercriminosos — acessou ilegalmente dados de clientes, desencadeando uma remediação entre US$ 180 milhões e US$ 400 milhões, além de um impasse quanto ao resgate. Ataques semelhantes foram tentados na Binance e Kraken. Esses incidentes não foram causados por erros de programação — nasceram de suborno interno e falhas humanas na linha de frente.

As vulnerabilidades são sistêmicas. Em toda a indústria, contribuintes são frequentemente integrados via Discord ou Telegram, sem verificações de identidade, sem provisionamento estruturado e sem dispositivos verificadamente seguros. Mudanças de código são frequentemente enviadas de laptops não verificados, com pouca ou nenhuma segurança de endpoint ou gerenciamento de chaves em vigor. Discussões sensíveis de governança acontecem em ferramentas não seguras como Google Docs e Notion, sem trilhas de auditoria, criptografia ou controles de acesso apropriados. E, quando algo inevitavelmente dá errado, a maioria das equipes não tem plano de resposta, comandante de incidente designado nem protocolo de comunicação estruturado — apenas caos.

Isso não é descentralização. É negligência operacional. Existem DAOs gerindo US$ 500 milhões que falhariam em uma auditoria básica de OPSEC. Existem tesouros protegidos por fóruns de governança, enquetes no Discord e multisigs de fim de semana — convites abertos para atores maliciosos. Até que a segurança seja tratada como uma responsabilidade integral — desde o gerenciamento de chaves até a integração de contribuintes — o Web3 continuará vazando valor por suas camadas mais frágeis.

O Que DeFi Pode Aprender com a Cultura de Segurança TradFi

Instituições TradFi são alvos frequentes de ataques de hackers norte-coreanos e outros — e, como resultado, bancos e empresas de pagamento perdem milhões a cada ano. Mas é raro ver uma instituição financeira tradicional entrar em colapso, ou mesmo suspender operações, diante de um ciberataque. Essas organizações operam sob a premissa de que ataques são inevitáveis. Elas projetam defesas em camadas que reduzem a probabilidade de ataques e minimizam os danos quando explorações ocorrem, impulsionadas por uma cultura de vigilância constante que ainda falta amplamente ao DeFi.

Em um banco, funcionários não acessam sistemas de negociação de laptops pessoais. Dispositivos são endurecidos e continuamente monitorados. Controles de acesso e segregação de funções garantem que nenhum funcionário possa mover fundos ou publicar código em produção unilateralmente. Processos de integração e desligamento são estruturados; credenciais são emitidas e revogadas com cuidado. E quando algo dá errado, a resposta a incidentes é coordenada, ensaiada e documentada — não improvisada no Discord.

O Web3 precisa adotar uma maturidade similar, mas adaptada às realidades de equipes descentralizadas.

Isso começa com a aplicação de playbooks de OPSEC desde o primeiro dia, realizando simulações de red team que testem phishing, compromissos de infraestrutura e captura de governança — não apenas auditorias de contratos inteligentes — e usando carteiras multiassinatura apoiadas por carteiras de hardware individuais ou gestão de tesouro. As equipes devem avaliar contribuintes e realizar verificações de antecedentes em qualquer pessoa com acesso aos sistemas de produção ou controles de tesouraria — mesmo em equipes que se considerem totalmente “descentralizadas.”

Alguns projetos estão começando a liderar esse caminho, investindo em programas de segurança estruturados e ferramentas de nível empresarial para gerenciamento de chaves. Outros aproveitam ferramentas avançadas de Operações de Segurança (SecOps) e consultores dedicados de segurança. Mas essas práticas ainda são exceção, não a regra.

Descentralização Não é Desculpa para Negligência

É hora de confrontar a verdadeira razão pela qual muitas equipes Web3 ficam para trás em segurança operacional: é difícil implementar em organizações descentralizadas e globalmente distribuídas. Orçamentos são apertados, contribuintes são transitórios, e a resistência cultural a princípios de cibersegurança — frequentemente percebidos erroneamente como “centralização” — ainda é forte.

Mas descentralização não é desculpa para negligência. Adversários de estados-nação compreendem esse ecossistema. Eles já estão dentro dos portões. E a economia global depende cada vez mais da infraestrutura on-chain. Plataformas Web3 precisam urgentemente empregar e aderir a práticas disciplinadas de cibersegurança, ou correm o risco de se tornarem uma fonte permanente de financiamento para hackers e golpistas que buscam miná-las.

Só o código não nos defenderá. A cultura sim.