A maioria das explorações cripto no próximo ano não será causada por um bug de dia zero no seu protocolo favorito, dizem especialistas em segurança cripto. Será causada por si.
Isso porque 2025 mostrou que a maioria dos hacks não começa com código malicioso; começa com uma conversa, disse Nick Percoco, diretor de segurança da exchange de criptomoedas Kraken, à Cointelegraph.
De janeiro até ao início de dezembro de 2025, dados da Chainalysis mostram que a indústria cripto testemunhou mais de 3,4 mil milhões de dólares em roubo, com o comprometimento da Bybit em fevereiro a representar quase metade desse total.
Mais de 3,4 mil milhões de dólares foram roubados por agentes maliciosos este ano. Fonte: ChainalysisDurante o ataque, agentes maliciosos ganharam acesso através de engenharia social, injetaram um payload malicioso de JavaScript que lhes permitiu modificar detalhes de transações e desviar fundos.
O que é engenharia social?
Engenharia social é um método de ciberataque que manipula pessoas para revelar informações confidenciais ou realizar ações que comprometem a segurança.
Percoco disse que o campo de batalha para a segurança cripto estará na mente, não no ciberespaço.
Dica 1: Use automação sempre que possível
Compromissos da cadeia de fornecimento também provaram ser um desafio chave este ano, de acordo com Percoco, pois uma violação aparentemente menor pode provar ser devastadora mais tarde, porque "é uma torre digital de Jenga, e a integridade de cada bloco individual importa."
No próximo ano, Percoco recomenda reduzir pontos de confiança humana através de ações como automatizar defesas sempre que possível e verificar cada interação digital através de autenticação numa "mudança de defesa reativa para prevenção proativa."
"Especialmente em cripto, o elo mais fraco permanece a confiança humana, amplificada pela ganância e FOMO. Essa é a falha que os atacantes exploram sempre. Mas nenhuma tecnologia substitui bons hábitos," acrescentou.
Dica 2: Isole a infraestrutura
Lisa, a responsável de operações de segurança da SlowMist, disse que agentes maliciosos visaram cada vez mais ecossistemas de programadores este ano, o que, combinado com fugas de credenciais na nuvem, criou oportunidades para injetar código malicioso, roubar segredos e envenenar atualizações de software.
"Os programadores podem mitigar estes riscos fixando versões de dependências, verificando a integridade de pacotes, isolando ambientes de compilação e revisando atualizações antes da implementação," disse ela.
Entrando em 2026, Lisa prevê que as ameaças mais significativas provavelmente derivarão de operações cada vez mais sofisticadas de roubo de credenciais e engenharia social.
Fonte: SlowMist"Os agentes de ameaça já estão a aproveitar deepfakes gerados por IA, phishing personalizado e até testes falsos de contratação de programadores para obter chaves de carteiras, credenciais na nuvem e tokens de assinatura. Estes ataques estão a tornar-se mais automatizados e convincentes, e esperamos que esta tendência continue," disse ela.
Para se manterem seguros, o conselho de Lisa para as organizações é implementar controlo de acesso forte, rotação de chaves, autenticação baseada em hardware, segmentação de infraestrutura e deteção e monitorização de anomalias.
Os indivíduos devem confiar em carteiras de hardware, evitar interagir com ficheiros não verificados, verificar identidades através de canais independentes e tratar links ou transferências não solicitados com precaução.
Dica 3: Prova de identidade pessoal para combater deepfakes de IA
Steven Walbroehl, cofundador e diretor de tecnologia da empresa de cibersegurança blockchain Halborn, prevê que a engenharia social melhorada por IA desempenhará um papel significativo nos manuais dos hackers cripto.
Em março, pelo menos três fundadores cripto relataram frustrar uma tentativa de alegados hackers norte-coreanos de roubar dados sensíveis através de chamadas falsas de Zoom que usaram deepfakes.
Walbroehl avisa que os hackers estão a usar IA para criar ataques altamente personalizados e conscientes do contexto que contornam o treino tradicional de consciencialização de segurança.
Para combater isto, ele sugere implementar prova criptográfica de identidade pessoal para todas as comunicações críticas, autenticação baseada em hardware com vinculação biométrica, sistemas de deteção de anomalias que estabelecem padrões normais de transação e estabelecer protocolos de verificação usando segredos ou frases pré-partilhados.
Dica 4: Mantenha as suas criptomoedas para si
Ataques físicos, ou ataques físicos a detentores de criptomoedas, foram também um tema proeminente de 2025, com pelo menos 65 casos registados, de acordo com a lista do GitHub do OG do Bitcoin e cypherpunk Jameson Lopp. O último pico do mercado altista em 2021 foi anteriormente o pior ano registado, com um total de 36 ataques registados
Um utilizador do X sob o nome de Beau, um ex-oficial da CIA, disse numa publicação no X a 2 de dezembro que os ataques físicos ainda são relativamente raros, mas ele ainda recomenda que os utilizadores de criptomoedas tomem precauções não falando sobre riqueza ou divulgando participações em criptomoedas ou estilos de vida extravagantes online como um começo.
Fonte: BeauEle também sugere tornar-se um "alvo difícil" usando ferramentas de limpeza de dados para ocultar informações pessoais privadas, como moradas de casa, e investir em defesas domésticas como câmaras de segurança e alarmes.
Dica 5: Não economize nas dicas de segurança testadas e comprovadas
David Schwed, um especialista em segurança que trabalhou na Robinhood como diretor de segurança da informação, disse que a sua principal dica é aderir a empresas respeitáveis que demonstram práticas de segurança vigilantes, incluindo auditorias de segurança rigorosas e regulares de terceiros de toda a sua stack, desde contratos inteligentes até à infraestrutura.
No entanto, independentemente da tecnologia, Schwed disse que os utilizadores devem evitar usar a mesma senha para múltiplas contas, optar por usar um token de hardware como método de autenticação multifator e proteger a frase-semente encriptando-a com segurança ou armazenando-a offline num local físico seguro.
Ele também aconselha usar uma carteira de hardware dedicada para participações significativas e minimizar participações em exchanges.
Relacionado: Spear phishing é a principal tática dos hackers norte-coreanos: Como se manter seguro
"A segurança depende da camada de interação. Os utilizadores devem permanecer hipervigilantes ao conectar uma carteira de hardware a uma nova aplicação web e devem validar minuciosamente os dados da transação exibidos no ecrã do dispositivo de hardware antes de assinar. Isto previne a 'assinatura cega' de contratos maliciosos," acrescentou Schwed.
Lisa disse que as suas melhores dicas são usar apenas software oficial, evitar interação com URLs não verificados e separar fundos entre configurações hot, warm e cold.
Para contrariar a sofisticação crescente de golpes como engenharia social e phishing, Percoco da Kraken recomenda "ceticismo radical" em todos os momentos, verificando a autenticidade e assumindo que cada mensagem é um teste de consciência.
"E uma verdade universal permanece: nenhuma empresa, serviço ou oportunidade legítima alguma vez pedirá a sua frase-semente ou credenciais de login. No momento em que o fizerem, está a falar com um burlão," acrescentou Percoco.
Enquanto isso, Walbroehl recomenda gerar chaves usando geradores de números aleatórios criptograficamente seguros, segregação estrita entre ambientes de desenvolvimento e produção, auditorias de segurança regulares e planeamento de resposta a incidentes com exercícios regulares.
Magazine: Quando as leis de privacidade e AML entram em conflito: A escolha impossível dos projetos cripto
Fonte: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
