Aviso: fechamento de números do primeiro semestre de 2026 com dados do relatório da TRM Labs publicado em 3 de julho de 2026, contrastados com The Block, UPI e BeInCrypto. Trata-se de uma análise editorial da CleanSky sobre incidentes públicos e estimativas de terceiros — a atribuição à Coreia do Norte é uma tese de firmas forenses, não um fato confirmado por um tribunal —, não um guia de segurança ou aconselhamento financeiro. A CleanSky não recebe comissões nem pagamentos por referral de nenhuma das firmas ou protocolos citados.
O primeiro semestre de 2026 encerrou com um recorde incômodo: 207 hackeamentos de criptomoedas, o número mais alto já registrado pela TRM Labs em um semestre, e ainda assim apenas 972 milhões de dólares roubados — menos da metade dos 2.300 milhões do mesmo período de 2025. Mais ataques, menos dinheiro: a frequência e a severidade se descolaram, e a explicação cabe em dois números. A Coreia do Norte (através do grupo estatal Lazarus) concentrou cerca de 643 milhões de dólares, 66 % do total, em apenas dois golpes em abril. O hackeamento mediano do semestre, por outro lado, custou 219.000 dólares. Em 5 de julho de 2026, com o relatório consolidado já em mãos, este artigo faz o fechamento de contas do semestre: o que dizem os números definitivos, por que a contagem de incidentes dispara enquanto o espólio afunda, e o que esse descolamento revela sobre uma segurança DeFi que amadurece em duas velocidades. Não reargumentamos aqui que o ataque se moveu do contrato para o perímetro — isso já defendemos com dados parciais em junho —; apresentamos o valor de fechamento e a paradoxal relação frequência-severidade como o que realmente distingue este semestre.
Quanto foi roubado em cripto no primeiro semestre de 2026?
O panorama geral é assinado pela TRM Labs, uma firma de análise on-chain (que rastreia o dinheiro diretamente na blockchain) cujos relatórios semestrais servem de referência para o setor. Seu fechamento de 3 de julho coloca dois números sobre a mesa que, lidos juntos, parecem se contradizer: 207 incidentes individuais — o semestre com mais hackeamentos já contabilizado — e 972 milhões de dólares roubados no total, abaixo da barreira psicológica de um bilhão e menos da metade do perdido um ano antes.
O contraste com 2025 é a chave para entender o semestre. No primeiro semestre de 2025, houve 83 incidentes e foram roubados 2.300 milhões de dólares. No mesmo período de 2026, o número de incidentes multiplicou-se por dois e meio, mas o dinheiro roubado caiu para menos da metade. Um ecossistema com muito mais ataques está perdendo muito menos dinheiro. Esse é o paradoxo que ordena todo o resto.
| Métrica (primeiro semestre) | 2025 | 2026 | Variação |
|---|---|---|---|
| Incidentes registrados | 83 | 207 | +149 % |
| Perdas totais | 2.300 milhões de dólares | 972 mi de dólares | −58 % |
| Atribuído à Coreia do Norte | ~1.700 milhões de dólares | ~643 mi de dólares | −62 % |
| Cota da Coreia do Norte | ~74 % | 66 % | −8 pp |
Convém ler a última coluna com cuidado: o fato de a Coreia do Norte ter roubado menos dinheiro em termos absolutos não significa que o ecossistema tenha expulsado o ator mais perigoso. Significa que um único semestre depende tanto de um punhado de operações grandes que basta que esse ator tenha um semestre "fraco" — dois golpes em vez de cinco — para que a cifra agregada de todo o setor desabe. A segurança de DeFi, medida em dólares roubados, continua refém do que faz um punhado de operadores estatais.
Por que houve mais ataques, mas menos dinheiro roubado?
A resposta curta é que estão se somando duas populações de ataques que quase não se tocam. Por um lado, uma massa crescente de exploits de contratos inteligentes (falhas no código que governa os fundos) de baixo valor: muitos, baratos de executar e com espólios modestos. Por outro, um punhado de comprometimentos de infraestrutura — roubo de chaves privadas, envenenamento da operação que cerca o código — que são raros, mas devastadores. A primeira população infla a contagem de incidentes; a segunda infla a contagem de dólares. Quase nunca são o mesmo ataque.
O dado que melhor captura isso não é um total, mas a distância entre a média e a mediana. A perda média por incidente no primeiro semestre de 2026 foi de 4,7 milhões de dólares. A perda mediana — aquela do hackeamento que deixa exatamente metade dos casos acima e metade abaixo — foi de apenas 219.000 dólares. Quando a média multiplica a mediana por vinte e um, a distribuição não tem forma de sino: tem forma de um arranha-céu cercado por cabanas. Alguns poucos golpes gigantescos puxam a média para cima, enquanto a imensa maioria dos incidentes é, em termos financeiros, quase ruído de fundo.
Essa é a textura real do semestre. Uma manchete que dissesse "roubou-se uma média de 4,7 milhões por hackeamento" descreveria um ecossistema que não existe: o hackeamento típico de 2026 não rouba milhões, rouba algumas centenas de milhares. E uma manchete que dissesse "o hackeamento típico custa 219.000 dólares" ocultaria que duas operações levaram mais do que as outras duzentas e cinco juntas. Apenas os dois números lidos simultaneamente contam a verdade: frequência e severidade já vivem em planetas distintos.
Qual papel a Coreia do Norte desempenhou nas perdas de 2026?
O arranha-céu dessa distribuição tem nome. Dos 972 milhões roubados no semestre, cerca de 643 milhões — 66 % do total — são atribuídos pela TRM Labs a atores vinculados à Coreia do Norte, e praticamente todo esse dinheiro saiu por duas portas abertas em um mesmo mês. Em 1 de abril de 2026, o Drift Protocol perdeu cerca de 285 milhões de dólares após uma operação de engenharia social de meses, na qual os atacantes se passaram por uma firma de trading quantitativo para ganhar acesso. Semanas depois, em 18 de abril, o KelpDAO perdeu cerca de 292 milhões através do exploit de seu bridge (a ponte que move ativos entre redes). Juntos: cerca de 577 milhões em dezoito dias.
Não reconstruímos aqui a mecânica desses dois golpes — fizemos isso incidente por incidente em como o Lazarus roubou 577 milhões de DeFi em 18 dias sem explorar um único bug. O que importa para o fechamento de contas é a aritmética da concentração: dois incidentes de duzentos e sete explicam quase seis de cada dez dólares roubados em todo o semestre.
| Segmento do semestre | Incidentes | Perdas | % do total |
|---|---|---|---|
| Drift + KelpDAO (abril, atribuídos à Coreia do Norte) | 2 | ~577 milhões de dólares | ~59 % |
| Restante do semestre | 205 | ~395 milhões de dólares | ~41 % |
| Total primeiro semestre 2026 | 207 | 972 milhões de dólares | 100 % |
A cifra que dá a dimensão histórica é acumulada: segundo a TRM Labs, o roubo de criptomoedas atribuído à Coreia do Norte desde 2017 já supera os 6.000 milhões de dólares. Não é oportunismo nem delinquência comum; os painéis de especialistas das Nações Unidas descrevem há anos o saque de cripto como uma linha de financiamento estatal que alimenta o programa de armamento do regime. Por isso, o ator não "se aposenta" quando tem um semestre discreto: ele volta. E uma parte do desafio posterior é o que fazer com o dinheiro uma vez roubado, um problema de lavagem que abordamos no caso da THORChain e os fundos do Lazarus.
Por que o hackeamento mediano custa 219.000 dólares e a média 4,7 milhões?
A lacuna entre esses dois números não é uma curiosidade estatística: é o retrato de duas economias de ataque que convivem sob o mesmo rótulo de "hackeamento cripto". Vale a pena separá-las por vetor, pois o relatório da TRM permite fazê-lo com números.
| Vetor de ataque | Cota de incidentes | Cota de perdas |
|---|---|---|
| Comprometimento de infraestrutura e chaves privadas | ~15 % | ~76 % |
| Exploits de contrato inteligente | ~60 % (125 de 207) | cota pequena |
| Outros vetores | ~25 % | restante |
A leitura é quase especular. Cerca de 15 % dos incidentes — os comprometimentos de infraestrutura, onde o atacante rouba a chave privada ou sequestra a operação que cerca o código — levaram cerca de 76 % de todo o dinheiro. No outro extremo, 125 dos 207 incidentes foram exploits de contrato inteligente, a maioria da contagem, e entre todos mal moveram o ponteiro em dólares. Os exploits de código são agora o ruído de fundo de alta frequência; os comprometimentos de infraestrutura são os poucos tiros que acertam o cofre.
É aqui que este fechamento de semestre se conecta a uma tese que já defendemos e que não vamos repetir em detalhes: que o objetivo do grande roubo se deslocou do contrato auditado para o perímetro que o rodeia. Argumentamos isso com os dados parciais de abril em por que os hacks de 2026 atacam a infraestrutura, não o contrato. O relatório consolidado do semestre não contradiz aquela leitura: ele a confirma com o número definitivo. Os 76 % das perdas por comprometimento de infraestrutura em apenas 15 % dos casos é, precisamente, o deslocamento do locus do ataque medido em um horizonte de seis meses.
A segurança de DeFi está melhorando ou piorando?
A resposta honesta é: as duas coisas ao mesmo tempo, em camadas diferentes. Se olharmos para o contrato inteligente, a segurança melhorou de forma tangível. O fato de haver 125 exploits de contrato e de, somados, roubarem uma fração menor do espólio total significa que auditorias, verificação formal e bug bounties (recompensas por reportar falhas) tornaram tão caro esvaziar um protocolo sério pela via do código que, para os grandes atacantes, essa rota não compensa mais. O contrato endureceu, e os números provam isso.
Mas se olharmos para o perímetro — a infraestrutura, as chaves, os operadores humanos, a configuração das pontes —, a segurança não seguiu o mesmo ritmo. Foi daí que saíram 76 % do dinheiro, e é aí que a defesa não dispõe do equivalente a uma auditoria de contrato. É uma maturidade desigual: a indústria blindou a parte que sabia blindar e deixou relativamente descoberta a que muda diariamente e que quase ninguém escrutina com o mesmo rigor. A queda do espólio total é real e é uma boa notícia; atribuí-la ao fato de que "DeFi é mais seguro" sem ressalvas seria confundir um semestre fraco do Lazarus com uma defesa que resolveu o problema de fundo.
Este relatório, além disso, tem um precedente de formato. O fechamento do primeiro trimestre já apontava na mesma direção com menos dados; a comparação está no relatório de segurança DeFi do primeiro trimestre de 2026. Lidos em sequência, trimestre e semestre contam a mesma história com clareza crescente: sobe o número de incidentes, baixa o dinheiro por incidente, e o grande espólio se concentra em pouquíssimas mãos.
A atribuição à Coreia do Norte é confiável?
É a pergunta que um leitor cético deve fazer, e a resposta exige nuances. A atribuição dos 643 milhões à Coreia do Norte é uma estimativa de firmas de análise forense — TRM Labs à frente, com concordância de outras casas —, construída a partir de padrões on-chain, reutilização de endereços, técnicas de lavagem e sobreposições com operações anteriores já atribuídas. É um método sólido e amplamente aceito na indústria, mas é uma inferência estatística sobre o comportamento do dinheiro, não uma confissão nem uma sentença judicial.
E há uma disputa aberta. A Coreia do Norte já rejeitou em maio de 2026 — em resposta a um relatório parcial anterior da TRM Labs — qualquer envolvimento, qualificando as acusações como "calúnia absurda" e ferramenta política dos Estados Unidos, sem entrar no mérito do método forense; até 5 de julho, não consta reação pública do país ao relatório semestral de 3 de julho. Nada disso invalida os números — a coincidência entre firmas independentes é relevante —, mas obriga a enunciá-los com precisão: 643 milhões atribuídos a atores vinculados à Coreia do Norte, não 643 milhões cuja autoria esteja provada além de qualquer dúvida. O fechamento de contas do semestre inclui também esta cautela: o número de destaque repousa sobre uma atribuição que seu suposto autor nega.
O que fica como lição do semestre?
O primeiro semestre de 2026 deixa uma manchete que é mal interpretada à primeira vista, mas compreendida com dois números na mão. "Recorde de hackeamentos" é verdade — 207, nunca houve tantos — e "mínimo de perdas em anos" também — 972 milhões, abaixo de um bilhão e da metade de 2025. Ambas as frases descrevem o mesmo semestre porque medem coisas diferentes: uma conta ataques, a outra conta dinheiro, e em 2026 essas duas grandezas se divorciaram.
Para quem constrói protocolos, a lição é que o número de auditorias do contrato diz cada vez menos sobre o risco real: o dinheiro grosso sai pelo perímetro. Para quem usa DeFi, a lição é de exposição: o hackeamento que provavelmente afetará você não é a manchete de 285 milhões, mas um dos duzentos e cinco de mediana modesta, e a melhor defesa individual continua sendo saber qual infraestrutura respalda cada ativo que você toca e detectar cedo quando um incidente começa a contaminá-lo. E para o setor como um todo, a lição é de humildade estatística: enquanto um único ator estatal puder decidir com duas operações se o semestre fecha em 972 milhões ou em 2.300, falar em "DeFi mais seguro" exige olhar para a mediana tanto quanto para o total.
Artigos relacionados: Como o Lazarus roubou 577 milhões de DeFi em 18 dias. Por que os hacks de 2026 atacam a infraestrutura, não o contrato. Relatório de segurança DeFi do primeiro trimestre de 2026. Monitore suas posições e a exposição do seu portfólio na CleanSky — o hackeamento que te afeta raramente é a manchete, mas um dos muitos de mediana modesta que passam sem alarde.