Perdas de 117,8 milhões de dólares no setor de criptomoedas em dezembro, ataques de phishing e envenenamento de endereços representam as principais ameaças

De acordo com as últimas notícias, as perdas no setor de criptomoedas em dezembro devido a ataques por vulnerabilidades atingiram aproximadamente 117,8 milhões de dólares. Destas, 93,4 milhões de dólares foram causados por ataques de phishing, representando quase 80%, enquanto o problema de envenenamento de endereços foi ainda mais alarmante, com perdas de 51,8 milhões de dólares. Estes dados reforçam mais uma vez que as questões de segurança ainda não estão resolvidas em todo o setor.

Composição e características das perdas por ataque

De acordo com os dados de monitoramento do CertiK Alert, os eventos de segurança em dezembro apresentaram uma clara estrutura:

O mais preocupante é o problema de envenenamento de endereços. A lógica desse tipo de ataque é simples, mas eficaz: hackers criam endereços de phishing semelhantes aos legítimos na blockchain, levando os usuários a transferir ativos para locais incorretos sem perceber. Essa categoria de ataque representa 55% das perdas por phishing, indicando que já se tornou uma das principais táticas dos hackers.

A ameaça real dos vulnerabilidades, segundo Unleash Protocol

As informações relacionadas fornecem um caso concreto. O Unleash Protocol sofreu um ataque de vulnerabilidade de assinatura múltipla em 30 de dezembro, resultando na retirada não autorizada de diversos ativos, incluindo WIP, USDC, WETH, stIP e vIP. Entre eles, 1337,1 ETH (aproximadamente 3,9 milhões de dólares) foram transferidos para Tornado Cash para mistura de fundos.

O que esse caso demonstra:

• Barreira de exploração de vulnerabilidades não é alta: o mecanismo de assinatura múltipla, que deveria garantir segurança, tornou-se uma porta de entrada para ataques
• Velocidade de lavagem de fundos é rápida: após o roubo, os ativos são rapidamente enviados para mixers de privacidade, dificultando o rastreamento
• Perdas de um único evento podem ser significativas: 3,9 milhões de dólares é apenas um dos muitos ataques ocorridos em dezembro

A equipe do Unleash já suspendeu a operação do protocolo e está colaborando com especialistas em segurança para revisão, mas as perdas já ocorreram.

Segurança por auditoria não é solução definitiva

Curiosamente, as informações indicam que alguns projetos passaram por auditorias duplas da CertiK e OpenZeppelin, sendo considerados “fundamentos de segurança”. No entanto, os dados de dezembro mostram que mesmo projetos auditados podem ser vítimas. Isso evidencia que:

• As auditorias focam principalmente em vulnerabilidades no código
• Mas a segurança operacional (como gestão de múltiplas assinaturas, configurações de permissões) muitas vezes é uma fraqueza
• Os métodos de ataque dos hackers estão em constante evolução, e as auditorias não cobrem todos os riscos

Áreas de atenção futura

Com base nas informações atuais, espera-se que nos próximos tempos mais atenção seja dada a:

• Ferramentas de validação de endereços: carteiras e exchanges irão aprimorar a identificação de endereços, reduzindo a taxa de sucesso de ataques de envenenamento
• Normas de segurança para múltiplas assinaturas: o setor pode estabelecer regras mais rigorosas para gestão de múltiplas assinaturas
• Educação dos usuários: phishing e envenenamento de endereços essencialmente exploram a negligência dos usuários; aumentar a conscientização é fundamental

Resumo

As perdas de 1,178 bilhões de dólares em dezembro refletem o estado atual da segurança no setor de criptomoedas: embora a proteção técnica esteja avançando, fatores humanos e novos métodos de ataque continuam criando vulnerabilidades. O phishing representa quase 80% das perdas, com envenenamento de endereços se tornando uma técnica preferida dos hackers. O caso do Unleash Protocol nos lembra que até projetos que levam a segurança a sério podem fracassar.

Para os usuários, esses números não representam um desespero, mas um sinal claro: antes de realizar qualquer operação nesse setor, verifique cuidadosamente o endereço, seja cauteloso com links desconhecidos. Essas ações básicas podem proteger seus ativos mais do que qualquer relatório de auditoria.