Relatório Anual de Segurança Web3 2025: Ataques à Cadeia de Suprimentos tornam-se a maior ameaça

Autor: Beosin

Prefácio

Este relatório de pesquisa foi iniciado pela Aliança de Segurança Blockchain, co-criado pelos membros da aliança Beosin e Footprint Analytics, com o objetivo de explorar de forma abrangente a situação de segurança global da blockchain em 2025. Através da análise e avaliação do estado atual da segurança blockchain mundial, o relatório revelará os desafios e ameaças de segurança enfrentados atualmente, além de oferecer soluções e melhores práticas. A segurança e regulamentação da blockchain são questões-chave para o desenvolvimento da era Web3. Através de uma pesquisa aprofundada e discussão neste relatório, podemos compreender melhor e responder a esses desafios, promovendo a segurança e o desenvolvimento sustentável da tecnologia blockchain.

1. Visão geral da situação de segurança Web3 e blockchain em 2025

De acordo com monitoramento da plataforma Alert, pertencente à Beosin, uma empresa de tecnologia de segurança e conformidade blockchain, em 2025, as perdas totais na área Web3 devido a ataques de hackers, phishing e Rug Pulls por parte de projetos atingiram US$ 3,375 bilhões. Houve um total de 313 grandes incidentes de segurança na blockchain, incluindo 191 ataques de hackers, com perdas aproximadas de US$ 3,187 bilhões; Rug Pulls de projetos totalizaram perdas de cerca de US$ 11,5 milhões; e 113 casos de phishing, com perdas de aproximadamente US$ 177 milhões.

O primeiro trimestre de 2025 foi o mais severo em perdas, sendo que a maior parte delas veio de ataques hackers à Bybit. Embora as perdas por ataques tenham diminuído ao longo dos trimestres, houve um aumento significativo em relação a 2024, com um crescimento de 77,85%; as perdas por phishing e Rug Pulls de projetos diminuíram significativamente em relação a 2024, sendo que o phishing caiu cerca de 69,15% e Rug Pulls cerca de 92,21%.

Os tipos de projetos atacados em 2025 incluem DeFi, CEX, blockchains públicas, pontes cross-chain, NFTs, plataformas de Memecoin, carteiras, navegadores, pacotes de código de terceiros, infraestrutura, robôs MEV, entre outros. DeFi continua sendo o tipo de projeto mais atacado, com 91 ataques que causaram perdas de aproximadamente US$ 620 milhões. CEX foi o tipo de projeto com maior perda total, com 9 ataques resultando em perdas de cerca de US$ 1,765 bilhões, representando 52,30% do total de perdas.

Em 2025, a Ethereum ainda é a blockchain com maior perda financeira, com 170 incidentes de segurança que causaram aproximadamente US$ 2,254 bilhões em perdas, representando 66,79% do total anual.

Quanto às técnicas de ataque, o incidente na Bybit foi causado por um ataque na cadeia de suprimentos, resultando em perdas de cerca de US$ 1,44 bilhões, representando 42,67% do total de perdas, sendo a técnica de ataque mais comum. Além disso, a exploração de vulnerabilidades em contratos inteligentes foi a técnica mais frequente, com 62 incidentes de um total de 191 ataques, representando 32,46%.

2. As dez maiores incidentes de segurança em 2025

Em 2025, ocorreram 3 incidentes de segurança com perdas superiores a US$ 100 milhões: Bybit (US$ 1,44 bilhões), Cetus Protocol (US$ 224 milhões) e Balancer (US$ 116 milhões). Seguem-se Stream Finance (US$ 93 milhões), uma baleia de Bitcoin (US$ 91 milhões), Nobitex (US$ 90 milhões), Phemex (US$ 70 milhões), UPCX (US$ 70 milhões), usuários da Ethereum (US$ 50 milhões) e Infini (US$ 49,5 milhões).

Diferentemente de anos anteriores, neste ano, duas das dez maiores incidentes envolveram perdas significativas de usuários individuais, devido a ataques de engenharia social / phishing. Embora esses ataques não sejam os que causam as maiores perdas financeiras, sua frequência tem aumentado anualmente, tornando-se uma grande ameaça aos usuários individuais.

3. Tipos de projetos atacados

As exchanges centralizadas se tornaram os projetos com maior perda financeira

Em 2025, o maior volume de perdas ocorreu em exchanges centralizadas, com 9 ataques que totalizaram cerca de US$ 1,765 bilhões, representando 52,30% do total de perdas. A exchange com maior perda foi a Bybit, com aproximadamente US$ 1,44 bilhões. Outras com perdas relevantes incluem Nobitex (cerca de US$ 900 milhões), Phemex (cerca de US$ 700 milhões), BtcTurk (US$ 48 milhões), CoinDCX (US$ 44,2 milhões), SwissBorg (US$ 41,3 milhões) e Upbit (US$ 36 milhões).

DeFi continua sendo o tipo de projeto mais atacado, com 91 incidentes que causaram perdas de aproximadamente US$ 620 milhões, ficando em segundo lugar em perdas totais. Entre eles, o Cetus Protocol foi roubado em cerca de US$ 224 milhões, representando 36,07% do valor roubado de DeFi, enquanto Balancer perdeu cerca de US$ 116 milhões. Outros projetos DeFi com perdas relevantes incluem Infini (aproximadamente US$ 4,95 milhões), GMX (cerca de US$ 40 milhões), Abracadabra Finance (US$ 13 milhões), Cork Protocol (aproximadamente US$ 12 milhões), Resupply (cerca de US$ 9,6 milhões), zkLend (aproximadamente US$ 950 mil), Ionic (cerca de US$ 880 mil) e Alex Protocol (aproximadamente US$ 837 mil).

4. Perdas por cadeia

Ethereum é a cadeia com maior perda financeira e mais incidentes de segurança

Como nos anos anteriores, a Ethereum continua sendo a blockchain com maior perda financeira e maior número de incidentes de segurança. Com 170 incidentes, causou perdas de aproximadamente US$ 2,254 bilhões, representando 66,79% do total anual.

A segunda cadeia com maior número de incidentes é a BNB Chain, com 64 incidentes que resultaram em perdas de cerca de US$ 8,983 milhões. A BNB Chain apresenta um alto número de ataques na cadeia, com perdas relativamente menores, mas com aumento significativo em 2025 em relação a 2024, tanto em número de incidentes quanto em perdas, com um aumento de 110,87%.

A Base ocupa a terceira posição em número de incidentes, com 20 eventos de segurança, seguida pela Solana, com 19 incidentes.

5. Análise das técnicas de ataque

A exploração de vulnerabilidades em contratos inteligentes é a técnica de ataque mais frequente

De um total de 191 incidentes, 62 foram causados por exploração de vulnerabilidades em contratos, representando 32,46%, com perdas totais de US$ 556 milhões, sendo a maior categoria de ataque além do incidente na Bybit por ataque na cadeia de suprimentos.

Dividindo por tipo de vulnerabilidade, as mais prejudiciais foram as falhas na lógica de negócios, com perdas de US$ 464 milhões. As três principais vulnerabilidades em contratos foram: falhas na lógica de negócios (53 ocorrências), falhas de controle de acesso (7 ocorrências) e defeitos de algoritmo (5 ocorrências).

Este ano, ocorreram 20 incidentes de vazamento de chaves privadas, com perdas totais de aproximadamente US$ 180 milhões, uma redução significativa em relação ao ano passado. Exchanges, projetos e usuários aumentaram a conscientização sobre a proteção das chaves privadas.

6. Análise de incidentes de segurança típicos

6.1 Análise do incidente de US$ 224 milhões do Cetus Protocol

Resumo do incidente

Em 22 de maio de 2025, o DEX Cetus Protocol na ecologia Sui foi atacado, devido a um erro na implementação de uma operação de deslocamento à esquerda em uma biblioteca de código aberto. Tomando como exemplo uma transação de ataque (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview), os passos simplificados do ataque foram:

1. Ativação de empréstimo relâmpago: o atacante tomou emprestado 10 milhões de haSUI via empréstimo relâmpago.

2. Criação de uma posição de liquidez: abriu uma nova posição de liquidez com faixa de preço entre [300000, 300200].

3. Aumento de liquidez: usando apenas 1 unidade de haSUI, aumentou a liquidez, obtendo um valor de liquidez de até 10,365,647,984,364,446,732,462,244,378,333,008.

4. Remoção de liquidez: removeu imediatamente várias transações de liquidez para esgotar o pool.

5. Quitação do empréstimo relâmpago: pagou o empréstimo e reteve cerca de 5,7 milhões de SUI como lucro.

Análise da vulnerabilidade

A causa raiz do ataque foi um erro na implementação da função get_delta_a, especificamente na função checked_shlw, que falhou na verificação de estouro. Com isso, o atacante precisou de apenas uma pequena quantidade de tokens para trocar por uma grande quantidade de ativos no pool, realizando o ataque.

Como ilustrado na figura, checked_shlw é usado para determinar se o deslocamento de um valor u256 à esquerda por 64 bits causará estouro. Entradas menores que 0xffffffffffffffff << 192 escapam na verificação de estouro, mas valores de entrada podem ultrapassar o valor máximo de u256 após deslocamento de 64 bits (estouro), enquanto checked_shlw ainda retornará false, indicando que não houve estouro. Assim, as próximas operações podem subestimar drasticamente a quantidade de tokens necessária.

Além disso, em Move, operações inteiras são projetadas para evitar estouro e subfluxo, interrompendo o programa se a soma ou multiplicação exceder o limite do tipo inteiro, ou se houver divisão por zero. Contudo, o deslocamento à esquerda (<<) não interrompe em caso de estouro, o que significa que, mesmo que o número de bits deslocados ultrapasse a capacidade de armazenamento do tipo inteiro, o programa não para, podendo gerar valores incorretos ou comportamentos imprevisíveis.

6.2 Análise do incidente de US$ 116 milhões do Balancer

Em 3 de novembro de 2025, o protocolo Balancer v2 foi atacado, resultando em perdas de aproximadamente US$ 116 milhões em vários projetos em múltiplas cadeias, incluindo seu fork. Como exemplo, a transação de ataque na Ethereum foi: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. O atacante iniciou a transação de ataque usando a função de troca em lote, trocando uma grande quantidade de tokens de pool por BPT, reduzindo significativamente a reserva de tokens de liquidez do pool.

2. Depois, começou a trocar tokens de liquidez (osETH/WETH).

3. Em seguida, trocou os tokens de liquidez de volta por BPT, repetindo várias vezes entre diferentes pools.

4. Por fim, realizou saques para obter lucro.

Análise da vulnerabilidade

Pools StableSwap do Curve, utilizados pelo ComposableStablePools, mantêm a estabilidade de preços entre ativos semelhantes usando uma fórmula de invariantes. No entanto, operações de escalonamento na fórmula podem introduzir erros de precisão. O uso da função mulDown, que realiza divisão inteira arredondada para baixo, pode propagar esses erros, levando a uma redução anormal do valor calculado e criando oportunidades de lucro para atacantes.

A função mulDown, ao realizar divisão inteira com arredondamento para baixo, pode introduzir erros de precisão que se propagam na fórmula de invariantes, causando uma redução anormal do valor de cálculo e facilitando o ganho pelo atacante.

7. Análise de casos típicos de lavagem de dinheiro

7.1 Caso de lavagem de dinheiro envolvendo Ryan James Wedding e seu grupo de tráfico de drogas sancionado pelos EUA

Segundo informações divulgadas pelo Departamento do Tesouro dos EUA, Ryan James Wedding e sua equipe contrabandeavam várias toneladas de cocaína através da Colômbia e México, enviando para os EUA e Canadá. Sua organização criminosa utilizava criptomoedas para lavar grandes quantidades de dinheiro ilícito.

Utilizando a ferramenta de rastreamento e investigação on-chain Beosin Trace, foi analisado o endereço de criptomoeda associado ao grupo de tráfico de Wedding, com os seguintes resultados:

Os endereços TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP, TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6 e TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1 movimentaram juntos um total de 266.761.784,24 USDT. Parte desses ativos foi congelada pela Tether, mas a maior parte foi lavada por meio de transações frequentes e transferências em múltiplos níveis, sendo depositada em plataformas como Binance, OKX, Kraken, BTSE, entre outras.

O grupo Sokolovski possui múltiplos endereços em diferentes redes blockchain (BTC, ETH, Solana, TRON, BNB Beacon Chain), e o fluxo de fundos pode ser consultado no relatório completo.

7.2 Caso de roubo de US$ 40 milhões do GMX

Em 10 de julho de 2025, o GMX foi atacado por uma vulnerabilidade de reentrada, com hackers obtendo lucro de cerca de US$ 42 milhões. A análise do Beosin Trace revelou que o endereço do atacante 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355, após obter o lucro, trocou várias stablecoins e altcoins por ETH e USDC via protocolos DEX, transferindo os ativos roubados para a rede Ethereum através de múltiplos protocolos cross-chain.

Os ativos roubados, avaliados em cerca de US$ 32 milhões em ETH, estão armazenados em quatro endereços na rede Ethereum:

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

Além disso, cerca de US$ 10 milhões em ativos estão armazenados no endereço 0xdf3340a436c27655ba62f8281565c9925c3a5221 na rede Arbitrum.

O caminho de lavagem de fundos neste incidente é bastante típico: hackers usam protocolos DeFi, pontes cross-chain e outros métodos para confundir e esconder a origem dos fundos, dificultando o rastreamento e bloqueio por parte de reguladores e autoridades.

8. Resumo da situação de segurança Web3 em 2025

Em 2025, as perdas por phishing e Rug Pulls de projetos diminuíram em relação a 2024, mas ataques de hackers continuam frequentes, totalizando perdas superiores a US$ 3,1 bilhões, sendo que o maior volume de perdas ainda ocorre em exchanges. Incidentes de vazamento de chaves privadas também diminuíram, devido a melhorias na conscientização sobre proteção de chaves e segurança operacional, incluindo monitoramento em tempo real, auditorias de segurança mais rigorosas e lições aprendidas com vulnerabilidades anteriores. No entanto, a complexidade crescente de vulnerabilidades em contratos inteligentes e o roubo de chaves privadas levam hackers a utilizarem outros métodos, como ataques na cadeia de suprimentos e vulnerabilidades de front-end, para enganar usuários e transferir ativos controlados por hackers.

Além disso, com a integração dos mercados de criptomoedas e tradicionais, os alvos de ataque se expandem além de DeFi, pontes cross-chain e exchanges, incluindo plataformas de pagamento, sites de apostas, provedores de serviços de criptografia, infraestrutura, ferramentas de desenvolvimento e robôs MEV. Os ataques também se tornam mais sofisticados, focando em falhas de lógica de protocolos complexos.

Para usuários individuais, ataques de engenharia social / phishing e ameaças físicas como extorsão violenta representam riscos significativos à segurança de seus ativos. Muitos ataques de phishing envolvem valores menores e não são amplamente divulgados, levando à subestimação de perdas. Ainda assim, ataques físicos, como sequestros, têm ocorrido várias vezes neste ano. Os usuários devem proteger suas informações pessoais e minimizar a exposição de ativos criptográficos.

De modo geral, a segurança Web3 em 2025 ainda enfrenta desafios severos. Projetos e usuários não podem baixar a guarda. No futuro, a segurança da cadeia de suprimentos pode se tornar prioridade máxima. Como proteger continuamente os provedores de infraestrutura e monitorar ameaças na cadeia de suprimentos será um grande desafio para toda a indústria. Ataques de engenharia social / phishing impulsionados por IA podem continuar a crescer, exigindo a construção de uma defesa em múltiplos níveis, que envolva conscientização individual, barreiras tecnológicas e colaboração comunitária, de forma a criar um sistema de defesa dinâmico e em tempo real.