Segurança Cripto em 2025: Trust Wallet Hackeada, Ledger Exposta Novamente – Quais Soluções para Proteger Seus Ativos?

Dois grandes incidentes de cibersegurança abalaram a confiança dos usuários no final de 2024: US$ 7 milhões roubados via uma extensão Chrome comprometida na Trust Wallet, e mais um vazamento de dados pessoais na Ledger. À medida que os ataques se multiplicam, a indústria explora abordagens radicalmente diferentes para proteger o ecossistema.

Trust Wallet: US$ 7 Milhões Roubados por Extensão Maliciosa

Em 24 de dezembro de 2025, uma atualização da extensão Chrome da Trust Wallet (versão 2.68) permitiu que atacantes sifonassem quase US$ 7 milhões em múltiplas blockchains. O incidente, revelado inicialmente pelo investigador on-chain ZachXBT, afetou centenas de usuários que haviam importado suas frases de recuperação na extensão comprometida.

De acordo com análises da PeckShield e SlowMist, o código malicioso transmitia silenciosamente dados das carteiras para um domínio de phishing (metrics-trustwallet.com), registrado poucos dias antes do ataque. Os fundos roubados – aproximadamente US$ 3 milhões em Bitcoin e mais de US$ 3 milhões em Ethereum – foram encaminhados através de exchanges centralizadas (ChangeNOW, FixedFloat, KuCoin) para lavagem.

Eowyn Chen, CEO da Trust Wallet, confirmou que a extensão maliciosa foi publicada via uma chave API comprometida da Chrome Web Store, contornando os processos internos de validação. Changpeng Zhao, co-fundador da Binance (que é dona da Trust Wallet), anunciou reembolso total para as vítimas enquanto sugeria possível envolvimento de um “agente estatal” ou insider.

Ledger: Mais um Vazamento de Dados via Parceiro Terceirizado

No início de janeiro de 2026, a Ledger informou seus clientes sobre uma nova exposição de dados pessoais após um vazamento na Global-e, seu processador de pagamentos e parceiro de comércio eletrônico. Informações comprometidas incluem nomes, endereços de email e endereços postais de certos compradores no ledger.com.

A Ledger esclareceu que seus sistemas internos, hardware e software não foram afetados. A Global-e não tem acesso às frases de recuperação (24 palavras), chaves privadas ou saldos dos usuários. Contudo, esse vazamento reacende preocupações: em 2020, um vazamento similar expôs dados de mais de 270.000 clientes, alimentando campanhas persistentes de phishing e “ataques com ferramenta” (extorsão física direcionada).

Segundo um estudo interno da Ledger, ataques de engenharia social aumentaram 40% em 2025 em comparação a 2024, com atacantes agora explorando dados pessoais roubados para burlar medidas tradicionais de segurança.

O Problema Central: Uma Arquitetura Centralizada Vulnerável

Esses dois incidentes, embora distintos na natureza, compartilham um fio comum: dependência de pontos únicos de falha. Na Trust Wallet, uma única chave API comprometida foi suficiente para injetar código malicioso. Na Ledger, a confiança colocada em um fornecedor externo expôs dados dos clientes.

Segundo o relatório Chainalysis 2025, mais de US$ 3,4 bilhões foram roubados do ecossistema cripto neste ano, com forte aumento nos ataques direcionados a usuários individuais ao invés de protocolos. A CertiK confirma essa tendência: hackers estão se afastando de vulnerabilidades em contratos inteligentes para explorar fraquezas humanas e pontos periféricos de entrada.

Diante dessa realidade, a indústria de cibersegurança blockchain explora novas abordagens para superar as limitações do modelo tradicional.

Visão Geral das Soluções de Cibersegurança para Blockchain

Vários grandes players oferecem abordagens complementares para proteger o ecossistema Web3:

CertiK: Auditoria como Padrão da Indústria

O líder global em auditoria de contratos inteligentes, CertiK levantou US$ 296 milhões e protege mais de US$ 300 bilhões em ativos para 3.200 clientes. Sua plataforma Skynet oferece monitoramento em tempo real, enquanto ferramentas de verificação formal identificam vulnerabilidades antes da implantação. Limitação: a auditoria é um retrato pontual que não cobre ameaças pós-implantação ou ataques à infraestrutura.

Hacken e Quantstamp: Auditoria e Certificação

Hacken e Quantstamp oferecem serviços de auditoria reconhecidos, com Prova de Reservas para exchanges. Bybit EU, por exemplo, usa auditorias Hacken para transparência. Limitação: assim como a CertiK, essas auditorias não protegem contra ameaças em evolução ou compromissos em tempo real da infraestrutura.

Naoris Protocol: Rumo à Cibersegurança Descentralizada e Pós-Quântica

Uma abordagem radicalmente diferente emerge com Naoris Protocol, que transforma cada dispositivo conectado em um nó de validação de segurança. Fundado em 2018 por David Carvalho, o protocolo implementa uma “Matriz de Confiança” descentralizada onde dispositivos auditam uns aos outros em tempo real, eliminando pontos únicos de falha.

Diferente das soluções pontuais de auditoria, a Naoris opera por meio de um mecanismo inovador de consenso chamado dPoSec (Prova Descentralizada de Segurança), onde cada nó valida continuamente a integridade dos demais. A plataforma também integra SWARM AI, uma inteligência artificial distribuída que coordena respostas a ameaças e distribui atualizações defensivas instantaneamente.

O que particularmente distingue Naoris é sua infraestrutura pós-quântica. Enquanto os algoritmos criptográficos atuais (RSA, ECC) são vulneráveis a futuros computadores quânticos, a Naoris usa padrões alinhados à NIST, NATO NCIA e ETSI (notadamente Dilithium-5) para garantir resiliência a longo prazo. Em setembro de 2025, o protocolo foi citado em uma submissão à SEC dos EUA como modelo de referência para infraestrutura blockchain resistente a quântica.

O testnet, lançado em janeiro de 2025, apresenta métricas impressionantes: mais de 100 milhões de transações pós-quânticas processadas, 3,3 milhões de carteiras, 1 milhão de nós validadores e 600 milhões de ameaças neutralizadas. O projeto captou US$ 31 milhões de investidores como Tim Draper e conta com conselheiros que incluem ex-funcionários da IBM, OTAN e Casa Branca.

O que Isso Significa para os Usuários

No caso Trust Wallet, uma arquitetura Trust Mesh poderia ter detectado o comportamento anormal da extensão comprometida (transmissão de dados para domínio externo) antes da drenagem de fundos. Cada dispositivo na rede poderia ter coletivamente alertado sobre a anomalia.

Para a Ledger, a dependência de um único fornecedor (Global-e) ilustra as limitações do modelo centralizado. A validação descentralizada da integridade de sistemas terceirizados teria reduzido a superfície de ataque e limitado a exposição de dados.

A filosofia distribuída de “confiança zero” não só protege um ponto único: ela torna o ecossistema inteiro resiliente. Essa abordagem poderia ser aplicada não só a carteiras, mas também a plataformas DeFi, DAOs e sistemas críticos de governança.

Comparação de Abordagens de Cibersegurança

Solução	Tipo	Cobertura	Pós-Quântica
CertiK	Auditoria pontual	Contratos inteligentes	Não
Hacken	Auditoria + PoR	Contratos inteligentes, reservas	Não
Naoris Protocol	Matriz descentralizada	Web2 + Web3 + infra	Sim (NIST/OTAN)

A filosofia distribuída de “confiança zero” não só protege um ponto único: ela torna o ecossistema inteiro resiliente. Essa abordagem poderia ser aplicada não só a carteiras, mas também a plataformas DeFi, DAOs e sistemas críticos de governança.