DefiLlama registra 518 hacks de cripto e mais de US$ 17 bilhões em perdas em 10 anos, com invasores mudando de contratos inteligentes para chaves, pontes e carteiras, enquanto rsETH perde aproximadamente US$ 290 milhões.
A conta de segurança das criptomoedas na última década ultrapassou discretamente US$ 17 bilhões, de acordo com dados da DefiLlama citados pela Cointelegraph, com pelo menos 518 hacks e exploits documentados atingindo exchanges, protocolos DeFi, pontes e carteiras desde 2014. Esse número abrange desde colapsos de exchanges no início até os sofisticados ataques cross‑chain de hoje, e isso ocorre mesmo com a desaceleração do ritmo geral de grandes exploits on‑chain em relação aos anos de pico de mania, como 2021–2022.
Sob a superfície, no entanto, a composição dessas perdas está mudando. Onde os hacks de DeFi iniciais frequentemente dependiam de bugs em contratos inteligentes e lógica de flash loan descontrolada, incidentes recentes mostram invasores visando cada vez mais o tecido mole em torno das criptomoedas — chaves privadas, infraestrutura de assinatura e dispositivos de usuário — com roubo de credenciais, engenharia social e ataques no estilo SIM‑swap. Empresas de segurança disseram à Cointelegraph que esperam que 2026 traga phishing mais avançado e golpes assistidos por IA, capazes de enganar até usuários tecnicamente experientes a assinar transações maliciosas ou revelar frases semente.
A infraestrutura de pontes tem sido um ponto fraco particular. O painel de hacks da DefiLlama mostra que as pontes são responsáveis por quase US$ 3 bilhões dos aproximadamente US$ 11,8 bilhões que categoriza como “valor total hackeado”, com grandes incidentes únicos como os exploits da Ronin, Wormhole e Multichain definindo o tom para o risco cross‑chain. A mais recente adição a essa lista é a ponte cross‑chain rsETH da Kelp DAO, que foi atingida em 18 de abril depois que um invasor forjou uma mensagem cross‑chain em um link baseado em LayerZero e cunhou ou liberou 116.500 rsETH para um endereço controlado pelo invasor.
Esses tokens — representando Ether “restaked” — valiam cerca de US$ 290–US$ 293 milhões na época, ou aproximadamente 18% da oferta total de rsETH, e foram chamados de o maior exploit de DeFi de 2026 até agora por veículos de comunicação, incluindo a Bloomberg. O incidente forçou a Kelp DAO a pausar a ponte, coordenar respostas de emergência com exchanges e protocolos, e gerou um jogo de acusações sobre a configuração padrão de validador único da LayerZero, que, segundo críticos, deixou o sistema efetivamente a uma chave de distância de uma cunhagem catastrófica.
Mesmo longe dos exploits que chamam a atenção das manchetes, os comprometimentos diários de credenciais continuam a acumular danos. Dados da DefiLlama citados pela Cointelegraph mostram que somente no primeiro trimestre de 2026, hackers roubaram cerca de US$ 168,6 milhões de 34 protocolos DeFi, com o maior ataque único — um roubo de US$ 40 milhões da Step Finance — rastreado até um comprometimento de chave privada, em vez de um bug de código puro. Essa tendência sugere que a segurança dos contratos inteligentes de DeFi está lentamente se fortalecendo, enquanto os invasores respondem movendo-se para as ferramentas e processos humanos que se situam entre carteiras e protocolos.
Para usuários e equipes, a lição é brutal, mas clara: auditorias e verificação formal são necessárias, mas não suficientes. Chaves de hardware, esquemas multi-sig, dispositivos de assinatura segregados, políticas rigorosas de gerenciamento de chaves e higiene implacável contra phishing são agora tão cruciais para a salvaguarda de cripto quanto otimizações de gás e recompensas por bugs já foram — porque basta uma credencial comprometida para transformar mais uma linha no banco de dados de hacks da DefiLlama em uma perda de nove dígitos.
