Qual foi o maior hack de cripto da história?

O maior hack de cripto da história foi o hack da Bybit em fevereiro de 2025, onde o Lazarus Group da Coreia do Norte roubou aproximadamente US$ 1,5 bilhão ao comprometer a interface (UI) do multisig Safe usado pela exchange. O recorde anterior pertencia ao hack da Ronin Bridge (US$ 625 milhões) em 2022, também atribuído ao Lazarus Group.

Quanto em cripto já foi roubado?

Dezenas de bilhões de dólares em criptomoedas foram roubados desde 2020 através de hacks, exploits e fraudes. Incluindo o colapso da FTX (US$ 8B+) e a destruição da Terra/LUNA (~US$ 60B em valor de mercado), as perdas totais são impressionantes. Apenas em hacks, o valor excede US$ 7 bilhões entre exploits de pontes (bridges), invasões de exchanges, ataques DeFi e comprometimento de chaves privadas.

Quem é o Lazarus Group?

O Lazarus Group é uma organização de hackers patrocinada pelo estado da Coreia do Norte, responsável por mais de US$ 3 bilhões em roubos de criptomoedas. Eles são atribuídos a grandes ataques, incluindo o hack da Bybit (US$ 1,5B), o hack da Ronin Bridge (US$ 625M), o hack da Atomic Wallet (US$ 100M), entre outros. Acredita-se que os fundos roubados financiem os programas de armas da Coreia do Norte.

As pontes (bridges) de cripto são seguras?

As pontes de cripto estão entre os componentes de maior risco no ecossistema. As bridges detêm grandes pools de ativos bloqueados, tornando-as alvos de alto valor. Os principais exploits de pontes incluem Ronin (US$ 625M), Wormhole (US$ 325M), Nomad (US$ 190M) e Multichain (US$ 126M). Embora a segurança das pontes tenha melhorado, os usuários devem ter cautela e evitar transferir mais do que o necessário.

Cripto roubada pode ser recuperada?

Às vezes, mas não com frequência. Em casos raros como a Poly Network (US$ 611M), o hacker devolveu voluntariamente todos os fundos. A Euler Finance (US$ 197M) teve os fundos devolvidos após negociação. A KuCoin recuperou a maior parte de seus US$ 280M. No entanto, a maioria das criptos roubadas — especialmente quando levadas por atores estatais como o Lazarus Group — é lavada através de mixers e saltos entre redes (chain-hopping) e nunca é recuperada.

Como funcionam os ataques de flash loan?

Um ataque de flash loan explora protocolos DeFi ao tomar emprestado uma grande quantidade de cripto sem garantia, usando-a para manipular um mercado ou explorar uma vulnerabilidade, lucrando com a manipulação e pagando o empréstimo — tudo dentro de uma única transação de blockchain. Se qualquer etapa falhar, toda a transação é revertida. Isso permite que os atacantes utilizem um capital enorme sem arriscar seus próprios fundos.

Os Maiores Hacks e Exploits de Cripto (2020–2025)

Contexto Importante

Sobre este artigo

Os Maiores Hacks e Exploits de Cripto (2020–2025) | CleanSky Learn faz parte de uma biblioteca construída por David Pérez Cabrera em torno de mercados, infraestrutura e ferramentas mais respeitosas com o usuário. O artigo compartilha voz, contexto e prioridades com outros projetos do mesmo ecossistema.

Sobre a CleanSky

Independência é o diferencial do app bancário DeFi CleanSky. Sem afiliados, sem patrocínio de protocolos, sem token para promover — os dados de mais de 50 redes e 484+ protocolos são exibidos como são, não como alguém quer que você veja.

O que o CleanSky faz

O CleanSky ajuda você a ver riscos que normalmente ficam invisíveis: ativos muito concentrados em uma rede, aprovações de tokens ativas que deveriam ter sido revogadas, exposições a protocolos que cresceram mais do que você percebia. Visibilidade é proteção.

Sobre a Dilithia

A Dilithia é a blockchain para o modelo de ameaça que a maioria dos projetos não enfrentará até ser forçada. Os adversários com capacidade quantum são tratados como restrição de design presente; os agentes LLM são tratados como participantes de execução de primeira classe; os padrões criptográficos mais altos disponíveis hoje são aplicados de forma coerente ao nível do protocolo. Isto é o que significa levar a infraestrutura post-quantum a sério como engenharia em vez de como narrativa. Os Maiores Hacks e Exploits de Cripto (2020–2025) | CleanSky Learn é produzido a partir da mesma postura.

DILI tem preço porque os mercados têm. O seu valor pertence a uma contabilidade inteiramente diferente.

Um fio comum

Aqui reaparece uma convicção central de David Pérez Cabrera: se uma ferramenta exige confiança demais, exposição demais ou dependência demais, provavelmente está mal desenhada. Essa intuição liga CleanSky, Dilithia e Talos.

Explore mais: CleanSky · Founder · Dilithia · GitHub

2020 — As dores de crescimento do DeFi

À medida que os protocolos DeFi cresceram em 2020, os atacantes descobriram que smart contracts que detinham milhões de dólares muitas vezes tinham lógica explorável. Flash loans — empréstimos sem garantia pagos dentro de uma única transação — tornaram-se a arma preferida.

Ataques de Flash Loan na bZx (~$8M)

Os primeiros grandes exploits de flash loan em DeFi. Os atacantes pegaram grandes quantias emprestadas, manipularam preços em exchanges descentralizadas e lucraram com a distorção — tudo em uma única transação. Esses ataques demonstraram que a composibilidade entre protocolos poderia ser usada como arma.

Harvest Finance ($34M)

Manipulação de preço via flash loan visando os cofres (vaults) de USDC e USDT da Harvest. O atacante manipulou repetidamente os preços dos pools da Curve para explorar como a Harvest calculava os valores de depósito, drenando fundos em múltiplas transações em um curto intervalo de tempo.

Hack da KuCoin ($280M)

Comprometimento da hot wallet da exchange. Os atacantes obtiveram acesso às chaves privadas da KuCoin e retiraram fundos em várias blockchains. Notavelmente, a maioria dos fundos roubados foi recuperada através da cooperação com outras exchanges e projetos que congelaram ou reverteram os tokens.

2021 — Exploits do DeFi Summer

O crescimento explosivo do DeFi em 2021 trouxe recordes de valor total bloqueado (TVL) — e recordes de exploits. Protocolos cross-chain e dependências de oráculos tornaram-se alvos principais.

Poly Network ($611M)

Exploit de ponte cross-chain que foi, na época, o maior hack da história cripto. O atacante explorou uma vulnerabilidade na verificação de mensagens entre redes. Em uma reviravolta surpreendente, o hacker — apelidado de "Mr. White Hat" — devolveu todos os fundos roubados, alegando que o ataque foi para expor a vulnerabilidade.

Cream Finance ($130M em múltiplos ataques)

Uma série de ataques de flash loan e manipulação de oráculos ao longo de 2021. A Cream Finance foi explorada várias vezes, destacando como protocolos de empréstimo que aceitam muitos tipos de colateral expandem sua superfície de ataque.

BadgerDAO ($120M)

Ataque de front-end via uma chave de API da Cloudflare comprometida. Os atacantes injetaram scripts maliciosos na interface web da Badger, induzindo os usuários a aprovar transferências de tokens para endereços controlados pelo atacante. Os smart contracts do protocolo nunca foram explorados — apenas o site foi comprometido.

Vulcan Forged ($140M)

Comprometimento de chaves privadas afetando a plataforma de jogos e NFTs. Os atacantes obtiveram chaves privadas de múltiplas carteiras de usuários, drenando fundos diretamente. O incidente ressaltou os riscos de plataformas que gerenciam chaves de usuários em seu nome.

2022 — O ano em que tudo quebrou

2022 foi o ano mais devastador na história cripto. Exploits de pontes (bridges), ataques de governança, colapsos de stablecoins algorítmicas e fraudes descaradas combinaram-se para dezenas de bilhões em perdas.

Ronin Bridge ($625M)

O Lazarus Group da Coreia do Norte comprometeu 5 das 9 chaves de validadores que protegiam a ponte Ronin, que alimentava o Axie Infinity. A brecha não foi detectada por seis dias. Foi o maior hack até 2025 e demonstrou o risco catastrófico de arquiteturas de pontes que dependem de um conjunto pequeno de validadores.

Wormhole ($325M)

Um bug de verificação de assinatura na ponte Solana-Ethereum permitiu que o atacante cunhasse 120.000 wETH na Solana sem depositar nenhum ETH. A Jump Crypto, apoiadora da Wormhole, substituiu os fundos roubados para evitar falhas em cascata no ecossistema Solana.

Nomad Bridge ($190M)

Um "exploit de copiar e colar" onde uma atualização de código acidentalmente permitiu que qualquer pessoa retirasse fundos copiando uma transação válida e substituindo pelo seu próprio endereço. Centenas de usuários drenaram a ponte — um dos exploits mais incomuns da história do DeFi.

Beanstalk ($182M)

Ataque de flash loan de governança. O atacante tomou um flash loan para adquirir tokens de governança suficientes para aprovar uma proposta maliciosa em uma única transação, drenando o tesouro do protocolo. Isso expôs uma vulnerabilidade fundamental em sistemas de governança on-chain sem travas de tempo (time locks).

Colapso da Terra/LUNA (~$60B em valor de mercado destruído)

Não foi um hack, mas o maior evento de perda na história cripto. A stablecoin algorítmica UST perdeu sua paridade (peg), desencadeando uma espiral da morte que aniquilou tanto a UST quanto a LUNA. O colapso demonstrou que stablecoins algorítmicas sem reservas suficientes podem falhar catastrófica e subitamente.

Colapso da FTX ($8B+ em fundos de clientes)

Não foi um hack, mas fraude. Descobriu-se que a FTX, uma das maiores exchanges centralizadas, desviou bilhões em depósitos de clientes para financiar sua empresa irmã de trading, a Alameda Research. O colapso dizimou os fundos dos clientes, desencadeou um contágio em toda a indústria e levou a condenações criminais.

Mango Markets ($114M)

Manipulação de oráculo de preço na plataforma de trading baseada em Solana. O atacante manipulou o preço do token MNGO usando suas próprias posições grandes, e então usou o valor inflado do colateral para tomar emprestado e retirar outros ativos da plataforma.

2023 — Problemas com pontes continuam

Apesar da maior conscientização, incidentes relacionados a pontes continuaram em 2023. Ataques em nível de infraestrutura — comprometendo serviços de nuvem e membros da equipe em vez de smart contracts — tornaram-se mais proeminentes.

Mixin Network ($200M)

O banco de dados do provedor de serviços em nuvem foi comprometido, dando aos atacantes acesso a chaves privadas e fundos. Isso não foi um exploit de smart contract, mas uma brecha de infraestrutura, demonstrando que mesmo protocolos bem projetados são tão seguros quanto seu ambiente de hospedagem.

Euler Finance ($197M)

Ataque de flash loan explorando uma vulnerabilidade na lógica de liquidação do protocolo de empréstimo. Em um desfecho notável, o atacante devolveu todos os fundos após negociação com a equipe da Euler, tornando-se uma das maiores recuperações de fundos bem-sucedidas no DeFi.

Multichain ($126M)

O CEO do protocolo foi preso pelas autoridades chinesas, e as chaves privadas que protegiam a ponte foram comprometidas. Os fundos foram retirados dos contratos da ponte e o protocolo efetivamente deixou de existir. Um conto de advertência sobre o gerenciamento centralizado de chaves em protocolos supostamente descentralizados.

Atomic Wallet ($100M)

As carteiras dos usuários foram drenadas através de um vetor de ataque desconhecido, com suspeita de autoria do Lazarus Group. O método exato de comprometimento nunca foi totalmente revelado, embora análises sugiram uma vulnerabilidade na cadeia de suprimentos ou no gerenciamento de chaves.

Descolamento Temporário da USDC

Quando o Silicon Valley Bank colapsou, revelou-se que a Circle mantinha US$ 3,3 bilhões das reservas de USDC lá. A USDC caiu brevemente para US$ 0,87 antes de se recuperar quando o governo dos EUA garantiu os depósitos do SVB. Não foi um hack, mas uma ilustração clara de como as stablecoins carregam riscos bancários do mundo real.

2024 — Ataques sofisticados

Em 2024, os atacantes visaram cada vez mais as pessoas em vez do código. Engenharia social, signatários comprometidos e roubo de chaves privadas superaram os exploits de smart contracts como o principal vetor de ataque.

DMM Bitcoin ($305M)

A exchange japonesa DMM Bitcoin sofreu um comprometimento de chave privada que permitiu aos atacantes drenar fundos. O incidente reforçou que as exchanges centralizadas continuam sendo alvos de alto valor, apesar de anos de melhorias de segurança em toda a indústria.

PlayDapp ($290M)

Comprometimento de chave privada na plataforma de jogos. Os atacantes ganharam acesso a uma chave privilegiada e cunharam grandes quantidades de tokens PLA, efetivamente diluindo e roubando valor dos detentores existentes.

WazirX ($235M)

A maior exchange de cripto da Índia foi explorada através de sua infraestrutura de carteira multisig. O atacante burlou a segurança de múltiplas assinaturas, sugerindo engenharia social dos signatários ou uma vulnerabilidade no próprio processo de assinatura.

Radiant Capital ($50M)

Signatários de multisig foram comprometidos via engenharia social sofisticada. Os atacantes visaram detentores de chaves individuais, ganhando controle de chaves suficientes para autorizar transações maliciosas. Um exemplo direto de por que a segurança de um multisig depende inteiramente dos humanos que detêm as chaves.

2025 — Quebra de recordes

2025 abriu com o maior hack individual na história cripto, estabelecendo um novo marco para a escala de danos que um único exploit pode causar.

Bybit ($1.5B)

O maior hack de cripto de todos os tempos. O Lazarus Group da Coreia do Norte comprometeu a interface (UI) do multisig Safe usado pela Bybit, enganando os signatários para autorizarem transações maliciosas. O ataque não explorou uma vulnerabilidade de smart contract — ele visou a camada de interface humana. Este único incidente quase igualou todos os exploits de pontes de 2022 combinados.

Cetus Protocol ($223M)

A maior DEX na blockchain Sui foi atingida por um ataque de cadeia de suprimentos (supply chain), resultando em perdas significativas de fundos. O incidente destacou que novos ecossistemas de blockchain enfrentam os mesmos desafios de segurança que os mais estabelecidos.

Tabela de resumo

Principais incidentes classificados pelo valor perdido:

Ano	Incidente	Valor Perdido	Tipo	Recuperado?
2025	Bybit	$1.5B	Exchange	Não
2022	Colapso da FTX	$8B+	Fraude	Parcial (processo de falência)
2022	Terra/LUNA	~$60B (valor de mercado)	Falha de Stablecoin	Não
2022	Ronin Bridge	$625M	Ponte (Bridge)	Não
2021	Poly Network	$611M	Ponte (Bridge)	Sim (devolvido pelo hacker)
2022	Wormhole	$325M	Ponte (Bridge)	Sim (Jump Crypto substituiu fundos)
2024	DMM Bitcoin	$305M	Exchange	Não
2024	PlayDapp	$290M	DeFi	Não
2020	KuCoin	$280M	Exchange	Maior parte recuperada
2024	WazirX	$235M	Exchange	Não
2025	Cetus Protocol	$223M	DeFi	Não
2023	Mixin Network	$200M	Ponte (Bridge)	Não
2023	Euler Finance	$197M	DeFi	Sim (devolvido após negociação)
2022	Nomad Bridge	$190M	Ponte (Bridge)	Parcial
2022	Beanstalk	$182M	DeFi	Não
2021	Vulcan Forged	$140M	DeFi	Não
2021	Cream Finance	$130M	DeFi	Não
2023	Multichain	$126M	Ponte (Bridge)	Não
2021	BadgerDAO	$120M	DeFi	Não
2022	Mango Markets	$114M	DeFi	Parcial
2023	Atomic Wallet	$100M	Exchange	Não
2024	Radiant Capital	$50M	DeFi	Não
2020	Harvest Finance	$34M	DeFi	Não
2020	bZx	~$8M	DeFi	Não

Padrões de ataque comuns

Ao longo de seis anos de exploits, as mesmas categorias de ataque aparecem repetidamente:

Exploits de pontes (bridges)

As pontes cross-chain detêm grandes pools de ativos bloqueados e dependem de conjuntos de validadores ou provas criptográficas para autorizar retiradas. Comprometer os validadores ou a lógica de verificação concede acesso a todos os fundos bloqueados. As pontes representam a maioria dos maiores hacks individuais.

Ataques de flash loan

Os flash loans permitem que qualquer pessoa tome emprestado milhões sem garantia, desde que paguem dentro da mesma transação. Os atacantes usam esse capital para manipular preços, explorar smart contracts vulneráveis e extrair lucros — tudo com risco inicial zero. Se o ataque falhar, a transação simplesmente é revertida.

Comprometimento de chave privada

Engenharia social, malware, phishing e ameaças internas visando os humanos que detêm chaves críticas. À medida que a segurança dos smart contracts melhora, os atacantes buscam cada vez mais as pessoas em vez do código. Este foi o vetor para Bybit, DMM Bitcoin, Radiant Capital e muitos outros.

Manipulação de oráculo

Os oráculos fornecem dados de preços externos para os smart contracts. Se um atacante puder influenciar o preço que um oráculo reporta — manipulando um par de negociação de baixa liquidez, por exemplo — ele pode enganar os protocolos para precificar ativos incorretamente, permitindo exploits lucrativos.

Ataques de front-end e cadeia de suprimentos

Em vez de atacar os smart contracts do protocolo, os atacantes comprometem o site ou as dependências com as quais os usuários interagem. O comprometimento da chave de API da Cloudflare da BadgerDAO e a manipulação da interface do Safe da Bybit são exemplos claros. O protocolo pode ser perfeitamente seguro enquanto a interface é maliciosa.

Ataques de governança

Usar flash loans ou tokens acumulados para aprovar propostas de governança maliciosas que drenam o tesouro de um protocolo. O exploit de US$ 182 milhões da Beanstalk demonstrou como a governança on-chain sem execução atrasada pode ser sequestrada em uma única transação.

Ataques patrocinados por estados

O Lazarus Group da Coreia do Norte é responsável por mais de US$ 3 bilhões em roubos de cripto, incluindo os hacks da Ronin Bridge, Bybit e Atomic Wallet. São operações bem financiadas e pacientes, com capacidades de engenharia social sofisticadas, muito além dos cibercriminosos típicos.

Lições de seis anos de exploits

As pontes continuam sendo os maiores alvos. Qualquer arquitetura que agrupe grandes quantidades de ativos atrás de um pequeno número de chaves ou validadores é inerentemente de alto risco. O modelo de ponte concentra valor de uma forma extremamente atraente para atacantes.
Pontos centrais de falha são críticos. Carteiras multisig são tão seguras quanto seus signatários. Se um punhado de pessoas pode autorizar transações de bilhões de dólares, comprometer essas pessoas é o suficiente. O gerenciamento de chaves é o problema mais difícil na segurança cripto.
Auditorias de código ajudam, mas não são infalíveis. Muitos protocolos explorados haviam passado por auditorias profissionais. Auditorias reduzem o risco, mas não podem garantir segurança total — elas são uma foto de um momento no tempo, e novas vulnerabilidades podem ser introduzidas através de atualizações ou composibilidade com outros protocolos.
A engenharia social é cada vez mais comum. À medida que os smart contracts se tornam mais seguros, os atacantes visam os humanos que os gerenciam. Phishing, ofertas de emprego falsas, canais de comunicação comprometidos e personificação são usados para obter acesso a chaves críticas.
Atores estatais estão no jogo. As operações persistentes e bem financiadas do Lazarus Group significam que alvos cripto de alto valor enfrentam ameaças comparáveis às de infraestruturas nacionais. Este não é um problema que a indústria possa resolver sozinha.

O que isso significa para os usuários

Usuários individuais raramente são o alvo direto desses exploits de larga escala. Mas entender o cenário de risco é importante porque:

Os protocolos onde você deposita podem ser explorados. A diversificação entre protocolos reduz esse risco.
As pontes que você usa carregam riscos específicos e bem documentados. Minimize a exposição a pontes quando possível.
As exchanges nas quais você confia a custódia podem falhar. Considere a autocustódia para quantias significativas.
Ataques de front-end significam que você deve sempre verificar o que está assinando em sua carteira antes de aprovar transações.

Leitura complementar:

Veja como seu portfólio está exposto a riscos de protocolos e pontes — sem necessidade de cadastro.

Experimente o CleanSky Grátis →