Cripto perdeu $482M no primeiro trimestre de 2026 para hacks e exploits.

Acabei de revisar o relatório de Segurança e Conformidade do primeiro trimestre do @hackenclub, para que você não precise.
Aqui estão os insights mais importantes ↓
——————————
1️⃣ Protocolos auditados versus não auditados em relação aos valores explorados
Seis protocolos auditados foram explorados no primeiro trimestre.
Perda média:
• $6,3 milhões para projetos auditados
• $4,3 milhões para não auditados
Projetos auditados possuem mais valor, o que os torna alvos maiores.
Os atacantes também tendem a mirar o que fica fora do escopo da auditoria.
2️⃣ O maior incidente até agora em 2026
Em janeiro, alguém se passando por suporte de TI convenceu uma pessoa a entregar suas credenciais de recuperação da carteira de hardware.
O atacante saiu com $282M em BTC e LTC, trocando imediatamente por $XMR para dificultar o rastreamento.
Definitivamente a pessoa mais azarada de 2026.
3️⃣ Os hackers estão se movendo rápido... ou será que não?
Em 76% dos casos, os hackers movimentam fundos antes que a equipe tome conhecimento do golpe.
O tempo médio para relatar um hack é de aproximadamente 1,5 dias.
Faz você questionar se algumas equipes realmente não estavam cientes ou se atrasar o anúncio foi conveniente para elas.
4️⃣ Tendência de exploits em contratos inteligentes
As perdas totais no primeiro trimestre de 2026 foram menores que no primeiro trimestre de 2025, mas isso aconteceu apenas porque não houve um hack catastrófico em uma exchange neste trimestre.
As perdas por exploits em contratos inteligentes aumentaram 213% em relação ao ano anterior, atingindo $86,2 milhões em 28 incidentes.
Não é exatamente uma melhora se analisarmos por esse ângulo.
5️⃣ Hackers norte-coreanos continuam drenando o espaço cripto
Eles foram responsáveis por $2,04 bilhões em roubos em 2025, representando 52% de todas as perdas anuais.
Nada disso aconteceu por exploits em contratos inteligentes.
Cada incidente envolveu engenharia social.
A chamada falsa ligação com VC que derrubou o @StepFinance_ é o mesmo roteiro que eles vêm usando, e continua funcionando por causa da camada humana.
6️⃣ Protocolos RWA tornaram-se o setor mais vulnerável às descobertas de auditoria
No primeiro trimestre, protocolos RWA e TradFi tiveram uma média de 22,4 problemas de auditoria por revisão, mais do que qualquer outro setor.
A maior parte do risco não está na lógica do token em si.
Está nos controles de conformidade que são bem planejados no papel, mas não funcionam como deveriam na prática.
7️⃣ Corrigir código introduz novas vulnerabilidades
1 em cada 3 tentativas de corrigir uma vulnerabilidade acidentalmente introduziu uma nova no primeiro trimestre deste ano.
Projetos precisam tratar a revisão de código após cada correção como procedimento padrão, se não quiserem que isso se torne uma tendência.
8️⃣ A extração do @VenusProtocol
O atacante passou nove meses acumulando silenciosamente 84% do fornecimento do token antes de acionar o exploit.
Tudo ficou visível na blockchain durante todo o período.
Ninguém percebeu.
9️⃣ Código escrito por IA é propenso a exploits
Em fevereiro, o @MoonwellDeFi perdeu $1,78 milhões por causa do que pode ter sido o primeiro exploit de código gerado por IA.
Usar IA para programar abre os projetos a vulnerabilidades imprevistas.
Esse é o maior risco de segurança de 2026.
🔟 O protocolo mais auditado no primeiro trimestre ainda foi drenado, por $25M
nem 18 auditorias impediram que o @ResolvLabs fosse drenado.
O atacante comprometeu a infraestrutura AWS deles para roubar a chave que autorizava a cunhagem de USR.
Duas transações depois, 80 milhões de tokens USR não lastreados foram cunhados a partir de garantias de $200K , extraindo $25M antes que a equipe pausasse as operações.
——————————
Com tudo o que está acontecendo, fica claro que a segurança no cripto é levada muito a sério de forma superficial.
As equipes devem repensar sua abordagem a esse problema antes de focar em qualquer outra coisa.
Caso contrário, poderemos ver muito mais vítimas sendo destaque em relatórios.