19 Milhões de Senhas Comprometidas Revelam Por Que o Verdadeiro Problema de Segurança na Cripto Não é o Código—São as Pessoas

A narrativa em torno da segurança em criptomoedas está a mudar de formas que a indústria não antecipou. Enquanto 2025 estabeleceu um recorde sombrio como o pior ano para ataques em criptomoedas, a revelação preocupante não reside em exploits sofisticados de contratos inteligentes ou vulnerabilidades elegantes de código. Em vez disso, 19 bilhões de passwords comprometidas e falhas operacionais ao estilo Web2—credenciais roubadas, funcionários manipulados, canais de suporte falsos—representam a grande maioria das perdas. Esta mudança de perspetiva importa profundamente porque sugere algo contraintuitivo: à medida que a segurança na cadeia se torna mais robusta, os atacantes adaptam-se ao focar na vulnerabilidade mais fácil de qualquer sistema: os seres humanos.

Mitchell Amador, CEO da plataforma de segurança na cadeia Immunefi, cristalizou esta mudança numa conversa exclusiva: “Apesar de 2025 ter sido o pior ano para ataques registados, esses ataques derivam de falhas operacionais Web2, não de código na cadeia.” A distinção vai ao cerne do panorama de ameaças em evolução na crypto. Enquanto as perdas aumentaram ao longo de 2025, a segurança na cadeia paradoxalmente melhorou—uma divergência que provavelmente irá definir a próxima era de proteção de ativos digitais.

O fator humano torna-se o elo mais fraco da crypto

A evidência é clara. Aproximadamente 17 mil milhões de dólares em criptomoedas foram desviados através de esquemas e fraudes em 2025, com táticas de impersonificação e esquemas habilitados por IA a emergirem como vetores devastadoramente eficazes. O Relatório de Crime em Crypto de 2026 da Chainalysis documenta uma mudança sísmica no comportamento dos atacantes: esquemas de impersonificação explodiram 1.400% ano após ano, enquanto esquemas potenciados por IA provaram ser 450% mais lucrativos do que métodos tradicionais de fraude.

Isto não é abstrato—os danos são concretos. Só no mês passado, o investigador de blockchain ZachXBT expôs um roubo de engenharia social de 282 milhões de dólares, onde atacantes manipularam uma vítima para entregar 2,05 milhões de LTC e 1.459 BTC. O saque foi imediatamente lavado através de trocas instantâneas focadas em privacidade em Monero, ilustrando como falhas de segurança operacional se propagam por todo o ecossistema.

O que torna estes ataques particularmente insidiosos é a sua barreira técnica baixa. Um email de phishing convincente, um agente de suporte falso ou credenciais comprometidas contornam qualquer firewall e qualquer auditoria de contratos sofisticada que o dinheiro possa comprar. Os 19 mil milhões de passwords comprometidas a circular em vários cantos obscuros da internet representam uma superfície de ataque em constante expansão—uma que as defesas automatizadas lutam para conter.

Impersonificação e esquemas com IA ultrapassam ataques tradicionais à infraestrutura

O cálculo criminoso mudou. Onde os atacantes antes focavam em encontrar bugs obscuros em contratos de tokens ou implementações de camada-2, agora priorizam a psicologia social e a manipulação em larga escala. Os dados da Chainalysis revelam esta mudança tectónica: esquemas e fraudes agora ultrapassam violações diretas de infraestrutura como o principal vetor para extrair valor do ecossistema crypto.

Amador explica por que a explorabilidade do código está a diminuir: “Com o código tornando-se menos explorável, a principal superfície de ataque em 2026 serão as pessoas.” Protocolos DeFi melhoraram dramaticamente a sua postura de segurança através de auditorias, programas de recompensas por bugs e arquiteturas defensivas. No entanto, este progresso cria uma estrutura de incentivos perversa—os atacantes simplesmente movem-se para alvos mais frágeis: utilizadores individuais, funcionários corporativos e processos operacionais.

A escala é notável. Só os esquemas de impersonificação representam não apenas uma categoria dentro de fraudes, mas agora um vetor de ameaça dominante. Combinados com esquemas de engenharia social potenciados por IA, que podem sintetizar identidades convincentes e manipulação personalizada a velocidade de máquina, o direcionamento a indivíduos tornou-se mais eficiente e lucrativo do que nunca.

Porque a segurança de contratos inteligentes não consegue parar a engenharia social

Uma estatística alarmante reforça o paradoxo: mais de 90% dos projetos de crypto ainda possuem vulnerabilidades críticas exploráveis no seu código. Mas mesmo esta realidade sombria oculta uma verdade mais profunda. A vulnerabilidade não é o contrato sem patches—é a password da carteira escrita num post-it, a chave USB deixada num táxi, o funcionário que clica num link malicioso.

As descobertas da Chainalysis e da Immunefi convergem numa realidade desconfortável. Ferramentas defensivas que poderiam reduzir dramaticamente o risco permanecem subutilizadas. Menos de 1% da indústria implementa firewalls. Menos de 10% têm sistemas de deteção baseados em IA. Estas lacunas não são falhas técnicas; são organizacionais. A infraestrutura existe para evitar a maioria dos desastres operacionais que definiram 2025, mas a adoção permanece abismal.

A perspetiva de Amador enquadra este desafio em termos humanos: “O fator humano é agora o elo mais fraco que os especialistas em segurança na cadeia e os players Web3 devem priorizar.” Isto não é exagero. Uma password comprometida, ao contrário de um bug num contrato inteligente, não requer pesquisa sofisticada de vulnerabilidades para ser explorada. É uma distribuição em escala, manipulação tornada trivial pela IA, e a maleabilidade eterna da psicologia humana.

A corrida armamentista de IA: Defensores vs. Atacantes a velocidade de máquina

Se 2025 pertenceu aos criminosos que aprenderam a explorar pessoas em escala, 2026 pertencerá à tecnologia que permite e combate essa exploração a velocidade de máquina. “A IA vai mudar o ritmo da segurança em ambos os lados,” explica Amador. Os defensores irão implementar sistemas de monitorização e resposta movidos por IA que operam a velocidade de máquina, detectando anomalias e bloqueando ataques em milissegundos. Simultaneamente, os atacantes usarão ferramentas idênticas para pesquisa de vulnerabilidades, engenharia de exploits e campanhas massivas de engenharia social.

Esta corrida armamentista introduz uma categoria de risco que poucos na indústria estão adequadamente preparados para enfrentar. À medida que a segurança do código se torna mais robusta, a fronteira da vulnerabilidade desloca-se de contratos estáticos para interfaces dinâmicas entre humanos e máquinas. A interface entre utilizador, carteira, troca e protocolo torna-se o novo campo de batalha—onde a IA possibilita tanto uma defesa sem precedentes quanto um engano sem precedentes.

Agentes na cadeia introduzem novas vulnerabilidades

Talvez o risco mais visionário que Amador identificou vá além dos paradigmas tradicionais de cibersegurança. À medida que agentes autônomos na cadeia e sistemas de IA ganham a capacidade de tomar decisões e transferir ativos sem intermediação humana, surge uma nova superfície de ataque. “Agentes de IA na cadeia podem ser mais rápidos e mais poderosos do que operadores humanos, e são particularmente vulneráveis à manipulação se os seus caminhos de acesso ou camadas de controlo forem comprometidos,” alertou.

Isto representa uma mudança qualitativa no risco. Falhas de segurança anteriores exigiam que um atacante comprometesse uma carteira ou conta de troca—ativos discretos e identificáveis. Os agentes de IA, por outro lado, operam com autoridade delegada através de protocolos e pools de liquidez. Comprometa uma única camada de controlo de um agente e o atacante ganha acesso algorítmico aos fluxos de capital a velocidade de máquina. “Ainda estamos no início de aprender como proteger adequadamente os agentes,” reconhece Amador, “e esse será um dos maiores desafios de segurança do próximo ciclo.”

O caminho à frente: Segurança além do código

O consenso emergente entre os especialistas em segurança é marcante. A segurança na cadeia está a melhorar de forma demonstrável, mas as perdas totais continuam a aumentar. Esta contradição aparente dissolve-se quando a perspetiva muda do código para as operações. O adversário não é um programador inteligente a encontrar um bug de reentrância—é um criminoso sofisticado a usar 19 mil milhões de passwords comprometidas, identidades sintetizadas e manipulação psicológica para extrair valor de indivíduos.

A resposta da indústria de crypto determinará se 2026 reverte os danos de 2025. Requer investimento em sistemas defensivos de IA, gestão de passwords de nível empresarial, controles de múltipla assinatura e educação. Requer fechar a lacuna de adoção que deixa 99% dos projetos sem proteção básica de infraestrutura de segurança. Mais fundamentalmente, exige reconhecer que a criptografia mais forte do mundo não vale nada se o elo mais fraco continuar a ser o julgamento humano, o compromisso e o engano.

A batalha pela segurança já não se trava na cadeia. É travada nas interfaces de utilizador, nos controles de acesso corporativos, nos painéis de monitorização e nos espaços entre a intenção humana e a execução automatizada. E nesse campo, o lado que combinar sofisticação tecnológica com disciplina operacional prevalecerá, em última análise.