Em abril de 2026, o setor DeFi enfrentou a crise de confiança mais severa dos últimos anos. Segundo instituições como CertiK, as perdas de segurança causadas por ataques de hackers, exploração de vulnerabilidades, etc., totalizaram aproximadamente 634 a 651 milhões de dólares no mês, um crescimento explosivo de mais de dez vezes em relação aos 59,5 milhões de dólares de março, estabelecendo o maior recorde de perdas mensais desde março de 2022. Ainda mais alarmante, ocorreram 31 ataques independentes no mês, quase um por dia, tanto em valor quanto em frequência de ataques, quebrando recordes históricos do DeFi.

Duas grandes operações no centro dessa tempestade — KelpDAO e Drift Protocol — somaram mais de 90% dos ativos roubados naquele mês. KelpDAO foi explorada devido a uma vulnerabilidade em um único validador na ponte cross-chain, permitindo que o invasor bypassasse o mecanismo de segurança, criando do nada tokens rsETH no valor de 292 milhões de dólares, e usando esses tokens como garantia para emprestar Ethereum real em plataformas de empréstimo como Aave. Essa operação não só colocou Aave em risco de inadimplência de quase 200 milhões de dólares, como também provocou a retirada de mais de 8 bilhões de dólares em fundos da plataforma em 24 horas, com o TVL caindo cerca de 32%. Logo após, o incidente do Drift Protocol também foi chocante: o invasor, após seis meses de infiltração de informações, conseguiu roubar a chave do administrador e transferir aproximadamente 285 milhões de dólares em ativos. Ambos os casos foram atribuídos ao grupo Lazarus, com base na Coreia do Norte, cuja atividade na cadeia apresentou características altamente consistentes nessas séries de ataques.
Essa rodada de crise de segurança não foi por acaso, mas uma explosão concentrada do modo de desenvolvimento do DeFi, que prioriza a eficiência há muito tempo. Ela expôs fundamentalmente três níveis de risco sistêmico: primeiro, a falha fatal na mecânica de validação das pontes cross-chain, onde uma arquitetura de validador único coloca milhões de dólares sob a segurança de uma única chave privada; o incidente na ponte Ronin em 2022 já havia alertado para riscos semelhantes, mas foi ignorado pela indústria. Segundo, ataques de engenharia social e infiltrações de longo prazo estão se tornando novas ameaças principais, com métodos que evoluíram de vulnerabilidades de código para infiltrações que exploram permissões de pessoal e falhas de processos. Terceiro, a composibilidade do DeFi, ao ampliar os ganhos, também aumenta os riscos — uma brecha em um protocolo pode rapidamente se propagar por toda a cadeia de garantias, causando impacto em múltiplos protocolos.
As reações em cadeia no mercado também foram intensas. O setor DeFi perdeu cerca de 13 bilhões de dólares em TVL em curto prazo, com depósitos na Aave caindo 38%, e o token AAVE caindo entre 15% e 21%. Os fundos estão claramente migrando de protocolos de alto risco para plataformas de empréstimo mais maduras ou soluções de custódia centralizadas. Um impacto mais profundo é a perda de confiança das instituições: o JPMorgan destacou que as falhas de segurança contínuas e o crescimento estagnado do TVL estão severamente limitando a atratividade do DeFi para investidores institucionais. Ao mesmo tempo, o Standard Chartered, embora mantenha uma visão otimista de longo prazo para o mercado de RWA, também reconhece que é necessário um upgrade estrutural nos riscos de cross-chain. #DeFi4月安全事件损失超6亿美元