Em abril de 2026, o setor DeFi enfrentou a crise de confiança mais severa dos últimos anos. Segundo instituições como a CertiK, as perdas de segurança causadas por ataques de hackers, exploração de vulnerabilidades e outros incidentes naquele mês totalizaram aproximadamente 634 a 651 milhões de dólares, um crescimento explosivo de mais de dez vezes em relação aos 59,5 milhões de dólares de março, estabelecendo o maior recorde de perdas mensais desde março de 2022. Ainda mais alarmante, naquele mês ocorreram 31 ataques independentes, quase um por dia, tanto em termos de valor perdido quanto na frequência de ataques, quebrando recordes históricos do setor DeFi.

Duas grandes operações no centro dessa tempestade — KelpDAO e Drift Protocol — responderam por mais de 90% dos ativos roubados naquele mês. O KelpDAO foi explorado devido a uma vulnerabilidade no verificador único da ponte cross-chain, permitindo que o atacante bypassasse o mecanismo de segurança e criasse do nada tokens rsETH no valor de 292 milhões de dólares, usando esses tokens como garantia para emprestar Ethereum real em plataformas de empréstimo como Aave. Essa ação não só colocou a Aave à beira de uma inadimplência de quase 200 milhões de dólares, como também provocou a retirada de mais de 8 bilhões de dólares em fundos da plataforma em 24 horas, com o TVL caindo cerca de 32%. Logo após, o incidente do Drift Protocol também foi chocante: após seis meses de infiltração de informações, o atacante conseguiu roubar a chave do administrador e transferir aproximadamente 285 milhões de dólares em ativos. Ambos os casos estão ligados ao grupo Lazarus, com forte ligação à Coreia do Norte, cuja atividade na cadeia apresenta características altamente consistentes nesta série de ataques.

Essa rodada de crise de segurança não foi por acaso, mas uma explosão concentrada do modo de desenvolvimento do DeFi, que prioriza a eficiência a longo prazo. Ela expôs fundamentalmente três níveis de risco sistêmico: primeiro, a falha fatal no mecanismo de verificação das pontes cross-chain, onde uma arquitetura de verificador único coloca milhões de dólares sob a segurança de uma única chave privada, uma vulnerabilidade que o incidente na ponte Ronin em 2022 já havia alertado, mas que foi ignorada pela indústria. Segundo, ataques de engenharia social e infiltrações de longo prazo estão se tornando ameaças principais, com métodos que evoluíram de simples vulnerabilidades de código para infiltrações que exploram permissões de pessoal e falhas de processos. Terceiro, a composabilidade do DeFi, ao ampliar os ganhos, também aumenta os riscos — uma brecha em um protocolo pode rapidamente se propagar por toda a cadeia de garantias, causando impactos em múltiplos protocolos simultaneamente.

As reações em cadeia no mercado também foram intensas. O setor DeFi perdeu cerca de 13 bilhões de dólares em TVL em curto prazo, com uma queda de 38% nos depósitos na Aave e uma redução de 15% a 21% no token AAVE. Os fundos migraram claramente de protocolos de alto risco para plataformas de empréstimo mais maduras ou soluções de custódia centralizadas. O impacto mais profundo está na confiança das instituições: o JPMorgan destacou que as falhas de segurança contínuas e o crescimento estagnado do TVL estão severamente limitando o apelo do DeFi para investidores institucionais. Ao mesmo tempo, o Standard Chartered, embora mantenha uma visão otimista de longo prazo para o mercado de RWA, reconhece que é necessário um upgrade estrutural no gerenciamento de riscos cross-chain. #DeFi4月安全事件损失超6亿美元