Quando bilhões desaparecem em minutos
Em fevereiro de 2014, clientes da exchange Mt. Gox acordaram e simplesmente não conseguiram acessar seus fundos. Sem aviso. Sem explicação imediata. Apenas uma mensagem de erro onde deveria estar o saldo. No total, 850.000 bitcoins haviam sumido — o equivalente a mais de 40 bilhões de dólares pelos preços de 2024.
Esse episódio não foi isolado. Desde o surgimento das primeiras exchanges, hackers identificaram um alvo perfeito: plataformas que concentram enormes volumes de ativos digitais com proteções muitas vezes inadequadas.
O que poucos explicam é que esses roubos não foram obra de gênios incompreendidos. Na maioria dos casos, exploraram falhas conhecidas, negligência operacional ou simplesmente a ganância humana. Vamos ao que aconteceu.
1. Mt. Gox (2014) — O colapso que abalou o Bitcoin
A Mt. Gox chegou a processar 70% de todas as transações globais de Bitcoin em seu auge. Era a maior exchange do mundo, sediada em Tóquio, fundada por Jed McCaleb em 2010 e posteriormente vendida para Mark Karpelès.
O problema? A plataforma foi construída sobre uma base tecnológica frágil e gerenciada com controles financeiros quase inexistentes.
Entre 2011 e 2014, hackers exploraram uma vulnerabilidade chamada transaction malleability — uma falha no protocolo que permitia alterar o identificador de uma transação antes de ela ser confirmada na blockchain. Isso permitia que os invasores solicitassem reembolsos de saques que, tecnicamente, já tinham sido processados.
Mas aqui está o ponto: investigações posteriores apontaram que parte dos fundos pode ter sido desviada por dentro da própria empresa. Mark Karpelès foi preso no Japão em 2015 e condenado em 2019 por manipulação de dados — embora tenha sido absolvido de desfalque.
2. Ronin Network (2022) — O hack de $625 milhões
Em 23 de março de 2022, o grupo norte-coreano Lazarus Group realizou o maior hack de criptomoedas já registrado até aquela data. O alvo foi a Ronin Network, a sidechain do jogo Axie Infinity, desenvolvido pela Sky Mavis.
O método foi assustadoramente simples para um roubo dessa escala. A Ronin usava 9 validadores para aprovar transações — e exigia 5 assinaturas para autorizar movimentações. Os hackers comprometeram 4 validadores da Sky Mavis mais 1 validador da Axie DAO, que havia recebido acesso temporário meses antes e nunca teve esse acesso revogado.
Com 5 chaves em mãos, retiraram 173.600 ETH e 25,5 milhões de USDC — aproximadamente US$ 625 milhões na época.
“O ataque à Ronin demonstra que a engenharia social e o acesso privilegiado não revogado continuam sendo os vetores mais perigosos em qualquer sistema.”
Curiosamente, o roubo só foi descoberto 6 dias depois, quando um usuário tentou sacar fundos e percebeu que não havia liquidez. A Sky Mavis reembolsou os usuários e, meses depois, o governo americano rastreou parte dos fundos ao Lazarus Group.
3. Poly Network (2021) — O ladrão que devolveu tudo
Em 10 de agosto de 2021, um hacker não identificado explorou uma falha nos smart contracts do protocolo Poly Network — uma plataforma de interoperabilidade entre blockchains — e transferiu US$ 611 milhões em tokens de uma só vez.
Foi o maior hack DeFi da história até então. Mas a história tomou um rumo surreal.
Pense assim: o hacker, em vez de sumir, começou a se comunicar publicamente pela própria blockchain, deixando mensagens dentro das transações. Afirmou que havia feito o ataque “por diversão” e para expor a vulnerabilidade. Nos dias seguintes, devolveu a totalidade dos fundos — incluindo os US$ 33 milhões que a equipe do DeFi havia temporariamente congelado.
O episódio expôs uma realidade incômoda: protocolos DeFi podem ser auditados e ainda assim conter falhas críticas em lógica de permissões entre contratos.
4. Coincheck (2018) — $530 milhões em NEM roubados
Em 26 de janeiro de 2018, a exchange japonesa Coincheck sofreu um ataque que resultou no roubo de 523 milhões de tokens NEM, avaliados em US$ 530 milhões na época.
A causa foi elementar: todos os tokens estavam armazenados em uma única carteira quente (hot wallet), conectada permanentemente à internet. Sem multisig. Sem cold storage. Sem separação de ativos.
A Coincheck sabia dos riscos — e escolheu não agir. Em depoimentos posteriores, executivos admitiram que a equipe técnica era pequena demais para implementar as salvaguardas necessárias.
A Agência de Serviços Financeiros do Japão (FSA) emitiu ordens de melhoria para várias exchanges após o incidente e endureceu drasticamente as exigências de custódia no país.
5. FTX (2022) — Crime ou hack? Os $400 milhões na noite da falência
Na madrugada de 11 para 12 de novembro de 2022, horas após a FTX declarar falência, US$ 400 milhões em criptoativos começaram a sair misteriosamente das carteiras da exchange.
Mas espera — isso foi um hack externo ou uma fuga interna? A questão nunca foi completamente resolvida.
O administrador de falências John Ray III afirmou não ter informações suficientes para distinguir roubos de movimentos internos não autorizados. Investigadores identificaram posteriormente que parte dos fundos havia sido convertida em Ethereum e outros ativos para dificultar o rastreamento.
Em 2023, o governo americano acusou Ryan Salame, ex-co-CEO da FTX Digital Markets, de crimes relacionados à fraude. E o próprio Sam Bankman-Fried foi condenado a 25 anos de prisão por fraude e lavagem de dinheiro — embora as acusações envolvessem muito mais do que o episódio de novembro.
O que esses ataques têm em comum — e o que você aprende com eles
Analisando os 5 casos, alguns padrões se repetem com uma consistência quase didática:
- Centralização excessiva: guardar todos os ativos em um único ponto de acesso é o erro mais caro do setor.
- Permissões não revogadas: como no caso Ronin, acessos temporários esquecidos viraram portas abertas.
- Equipes técnicas subdimensionadas: crescimento rápido sem infraestrutura de segurança proporcional.
- Ausência de auditorias independentes: smart contracts e sistemas de custódia sem revisão externa.
- Confiança excessiva em atores internos: da Mt. Gox à FTX, o inimigo muitas vezes estava dentro de casa.
A história desses hacks não é apenas um catálogo de tragédias financeiras. É um guia prático do que não fazer — e, infelizmente, uma lição que o mercado precisa reaprender a cada ciclo.
A segurança em cripto começa com uma pergunta simples: você sabe onde suas chaves estão?
