Recentemente, ao revisitar o momento sombrio do DeFi em abril, ainda sinto um pouco de arrepios. Em apenas 18 dias, o ecossistema perdeu mais de 600 milhões de dólares, e a história por trás desses números é mais digna de atenção do que os próprios números.

Tudo começou com Drift Protocol. No dia 1º de abril, muitas pessoas pensaram que era uma brincadeira de 1º de abril, mas em 12 minutos, 285 milhões de dólares desapareceram. Só depois soubemos que o grupo Lazarus, da Coreia do Norte, passou meio ano infiltrando-se, usando engenharia social, contatos offline e implantando malware, até obter permissões de gerenciamento e esvaziar vários cofres de uma só vez. O que isso mostra? Mesmo com segurança na blockchain, não adianta nada se os processos de gestão offline forem comprometidos; carteiras multiassinatura tornam-se apenas enfeites.

Em seguida, a ponte cross-chain Hyperbridge foi atacada, e os hackers usaram uma vulnerabilidade na prova Merkle para criar 1 bilhão de tokens virtuais DOT do nada. Mas isso ainda não foi o pior. Em 18 de abril, o rsETH do Kelp DAO foi gravemente comprometido; os atacantes, por meio de infiltração via RPC e DDoS, falsificaram 116.5 mil rsETH (cerca de 292 milhões de dólares), que posteriormente foram usados como garantia no Aave e no Compound, emprestando 236 milhões de dólares em WETH.

A verdadeira catástrofe foi a reação em cadeia. Como maior mercado de empréstimos, o Aave permitiu que os usuários usassem rsETH para alavancagem — depositando LRT, emprestando ETH e trocando por mais LRT. Quando o mercado virou, tudo desabou instantaneamente. Em 48 horas, mais de 6 bilhões de dólares em fundos fugiram do Aave, e o TVL do mercado DeFi evaporou 13 bilhões de dólares.

Percebi um fenômeno interessante: quando a taxa de rendimento anual do USDC no Aave caiu para 2,61%, abaixo dos 3,14% do tradicional corretor Interactive Brokers, o incentivo para os usuários assumirem riscos com contratos inteligentes desapareceu. Qualquer dúvida de segurança era suficiente para fazer o capital alavancado se desintegrar instantaneamente. Isso reflete que o ambiente de rendimento do DeFi está mudando, e o mecanismo de precificação de risco precisa ser repensado.

Curiosamente, também vimos compromissos durante a crise. O Comitê de Segurança do Arbitrum congelou 30.7 mil ETH do atacante, e a Tether, em colaboração com as autoridades, congelou US$ 344 milhões em USDT. Essas ações, embora elogiadas, também levantam questões sobre a realidade do ideal de descentralização — quando a sobrevivência está ameaçada, o controle multiassinatura é ativado.

A reconstrução pós-crise já está em andamento. O Aave arrecadou cerca de 243 milhões de dólares para compensar as perdas, e os desenvolvedores estão migrando para carteiras MPC, pontes cross-chain ZK e sistemas de validação mais defensivos.

A lição dessa crise de abril é clara: ao buscar rendimento, é preciso considerar o risco de portfólio, e segurança, descentralização e usabilidade devem evoluir em conjunto. Caso contrário, nenhuma inovação tecnológica será suficiente para sustentar o sistema.