Incidentes de segurança DeFi 2026: Risco interprotocolo causado por vulnerabilidade do Kelp DAO e análise da exposição de crédito do Aave

Em 18 de abril de 2026, às 17h35 UTC, uma transação de cross-chain aparentemente comum desencadeou o evento de segurança mais transmissível da história do DeFi. A ponte rsETH do Kelp DAO foi atacada devido a uma vulnerabilidade de configuração, permitindo ao atacante cunhar arbitrariamente 116.5 mil rsETH, avaliado em aproximadamente 293 milhões de dólares, representando cerca de 18% do total em circulação desse token. Este incidente não apenas quebrou o recorde de perdas em um único ataque de DeFi em 2026, mas também, por meio da composibilidade entre protocolos DeFi, provocou uma crise sistêmica: o TVL do Aave evaporou US$ 8,45 bilhões em dois dias, e o TVL total do DeFi em toda a cadeia encolheu US$ 13,21 bilhões.

No entanto, o incidente do Kelp DAO não foi um caso isolado. Nos primeiros quatro meses de 2026, vários eventos de segurança ocorreram no setor DeFi, acumulando perdas de bilhões de dólares. Desde sequestros de governança até exploits em pontes, manipulação de oráculos e reentradas de contratos inteligentes, os vetores de ataque estão se tornando cada vez mais complexos, e o acoplamento profundo entre protocolos amplifica o impacto de falhas pontuais.

O incidente da vulnerabilidade na ponte do Kelp DAO

Em 18 de abril de 2026, às 17h35 UTC, o atacante explorou uma vulnerabilidade de configuração na ponte LayerZero do Kelp DAO, falsificando uma mensagem cross-chain para liberar na rede principal do Ethereum 116.5 mil rsETH sem respaldo de garantia real. Após 46 minutos do ataque, o Kelp DAO ativou uma parada de emergência com múltiplas assinaturas para suspender as funções do contrato de rsETH na rede principal e em várias redes L2. Durante esse período, o atacante tentou duas vezes reverter a cunhagem de mais 40 mil rsETH, ambas as tentativas sendo revertidas devido ao congelamento do contrato.

Após o sucesso do ataque, o atacante não optou por vender imediatamente no mercado secundário, mas depositou a maior parte em Aave V3 e V4 como garantia, emprestando ETH real e WETH. Segundo dados on-chain, o atacante obteve aproximadamente 106.5 mil ETH por meio de garantias e vendas, avaliado em cerca de US$ 250 milhões.

Essa operação colocou a Aave em risco de inadimplência entre US$ 177 milhões e US$ 236 milhões. A equipe oficial da Aave imediatamente congelou o mercado de rsETH na rede Ethereum e em redes Layer 2 como Arbitrum, Optimism e Base, além de ajustar o Loan-to-Value (LTV) de rsETH para 0. Protocolos como Compound e Euler também suspenderam ou limitaram operações com esses ativos.

Da vulnerabilidade ao efeito em cadeia

A velocidade de resposta do Kelp DAO gerou diferentes interpretações na comunidade. Alguns membros consideram que 46 minutos é uma resposta rápida para um evento de vulnerabilidade em uma ponte cross-chain; outros apontam que, do ataque às 17h35 até a primeira declaração às 20h10, quase três horas se passaram, aumentando o período de incerteza e alimentando o pânico do mercado. Além disso, a decisão do Kelp DAO de usar uma configuração 1/1 DVN para governança gerou debates sobre a suficiência das auditorias de segurança.

Análise de dados e estrutura: uma avaliação quantitativa do efeito em cadeia

Visão geral da segurança do DeFi em 2026

Frequência de ataques e escala de perdas

Nos 18 dias anteriores a abril de 2026, protocolos de criptomoedas sofreram perdas acumuladas superiores a US$ 606 milhões, tornando-se o mês mais destrutivo desde fevereiro de 2025. Em 1º de abril, o Drift Protocol perdeu cerca de US$ 285 milhões devido a um sequestro de governança, enquanto o incidente do Kelp DAO resultou em perdas de aproximadamente US$ 293 milhões, representando a maior parte das perdas do mês. Esses ataques consecutivos de alta magnitude indicam que a segurança do DeFi está passando por um novo teste de resistência.

Tendências na evolução dos métodos de ataque

Pesquisadores de segurança observaram que, em 2026, os ataques apresentam duas características principais: primeiro, o aumento na exploração de vulnerabilidades em pontes cross-chain e na configuração de ativos derivados, indo além de falhas no código de contratos inteligentes e penetrando na configuração e governança dos protocolos; segundo, os atacantes estão cada vez mais habilidosos em usar a composibilidade do DeFi para amplificar os efeitos dos ataques, transformando vulnerabilidades pontuais em impactos sistêmicos. No incidente do Kelp DAO, o atacante não vendeu os ativos cunhados, mas usou-os como garantia para retirar ativos reais, exemplificando essa tendência.

Análise do impacto na Aave

Variações no TVL e preço dos tokens

Com base em dados de mercado da Gate e monitoramento on-chain, até 20 de abril de 2026, o impacto na Aave foi o seguinte:

• Variação do TVL: de aproximadamente US$ 26,396 bilhões antes do ataque em 18 de abril para US$ 17,947 bilhões, uma redução de US$ 8,45 bilhões em dois dias.
• Saída líquida de fundos: cerca de US$ 6,2 bilhões, uma queda de aproximadamente 23%.
• Valor de inadimplência: a Aave enfrenta entre US$ 177 milhões e US$ 236 milhões em inadimplência, concentrada principalmente na relação de empréstimo rsETH/WETH na rede Ethereum.
• Utilização de fundos: a taxa de utilização do mercado de empréstimo WETH atingiu 100%; pools de USDT e USDC também estão totalmente utilizados, com mais de US$ 5,1 bilhões em stablecoins bloqueados em novos fluxos de liquidez ou em reembolso de tomadores.
• Retirada de grandes investidores: Abraxas Capital retirou cerca de US$ 392 milhões, MEXC cerca de US$ 431 milhões, e um grande investidor ligado à Nonco retirou aproximadamente US$ 405,7 milhões.

Avaliação da segurança dos contratos principais da Aave

Importante notar que o incidente não envolveu uma brecha nos contratos principais da Aave. O atacante usou a vulnerabilidade na ponte do Kelp DAO para cunhar “colaterais vazios” e, por meio da composibilidade do DeFi, emprestou ativos reais na Aave. Stani, fundador da Aave, afirmou em uma AMA que o incidente foi uma “contaminação upstream”, não uma falha do protocolo. Essa avaliação é amplamente aceita por pesquisadores de segurança do setor.

Duas possíveis estratégias para cobrir a inadimplência

Quanto a como a Aave pode cobrir a inadimplência, há duas hipóteses: primeiro, usando reservas do protocolo e uma receita mensal de cerca de US$ 12 milhões para absorver gradualmente o prejuízo; segundo, se a lacuna superar as reservas, pode ser necessário usar tokens AAVE em garantia no módulo de segurança, transferindo o custo do vulnerável do Kelp DAO para os stakers mais fiéis da Aave. Até 20 de abril, a equipe da Aave não anunciou uma decisão final sobre a estratégia de compensação.

Preço do rsETH e análise de desancoragem

Mudanças no status de circulação do rsETH

O ataque resultou na cunhagem arbitrária de 116.5 mil rsETH (cerca de 18% do total em circulação), sem respaldo de ETH real. O rsETH, que circula em mais de 20 blockchains, enfrenta incertezas de respaldo, aguardando reconciliação entre reservas e oferta.

Questionamentos ao mecanismo de precificação do rsETH

Analistas apontam que, como um ativo representativo de LRT (Liquid Restaking Token), o valor do rsETH depende fortemente da integridade das reservas de ETH subjacentes. Se houver fissuras entre reservas e oferta, a âncora de preço do ativo será fundamentalmente abalada. A configuração 1/1 DVN do Kelp DAO concentra a responsabilidade de validação cross-chain em um único nó, o que, embora eficiente, sacrifica redundância de segurança, expondo vulnerabilidades sistêmicas em ativos do tipo LRT em cenários cross-chain.

Validação da estratégia cautelosa do SparkLend

A estratégia preventiva do Spark Protocol

Monetsupply.eth, responsável pela estratégia do Spark Protocol, revelou que, em janeiro de 2026, a plataforma removeu voluntariamente ativos de baixo uso, incluindo rsETH, e continuou a restringir garantias e funções. Essa decisão gerou insatisfação entre usuários de ETH com alavancagem, mas, no incidente do Kelp DAO, mostrou-se uma decisão de gestão de risco extremamente prudente.

Comparativo de liquidez

Apesar do impacto do rsETH na liquidez de ETH na Aave, o SparkLend manteve uma liquidez de retirada de ETH suficiente. Além disso, adotou limites mais altos de taxa de empréstimo de ETH, sacrificando parte do negócio para a Aave, mas construindo uma estrutura de ativos e passivos mais saudável nesta crise.

Importância da seleção de ativos de risco

A decisão do Spark de remover o rsETH antecipadamente revela uma questão crucial: em protocolos DeFi de empréstimo, a qualidade do colateral é mais importante do que ampliar a gama de ativos para aumentar o TVL. Em eventos extremos, uma política de aceitação ampla de colaterais pode se tornar uma vulnerabilidade, enquanto uma estratégia de seleção cautelosa é a primeira linha de defesa da segurança do protocolo.

Possível reestruturação do cenário competitivo

Após o incidente, a lógica de competição entre protocolos de empréstimo DeFi pode mudar. Estratégias de crescimento focadas em “maximização de TVL” serão reavaliadas, e a qualidade do ativo e a capacidade de isolamento de risco podem se tornar critérios centrais para avaliação de segurança. A estratégia do Spark, ao ganhar reconhecimento no mercado, pode incentivar outros protocolos a ajustarem suas políticas de garantia.

Diálogo entre comunidade, equipes de desenvolvimento e pesquisadores de segurança

Opinião da comunidade: de pânico à reflexão

Saques de pânico e discussão de dados

Após o incidente, a discussão na plataforma X, em comunidades em chinês e inglês, atingiu bilhões de visualizações em poucas horas. No início, o sentimento predominante foi de pânico e preocupação com a segurança dos ativos. 0xngmi, fundador do DeFiLlama, afirmou que até protocolos na Solana, que não foram afetados diretamente, sofreram saques. Ele acrescentou que o TVL total do DeFi evaporou quase US$ 100 bilhões, e que “não há vencedores nesse tipo de evento, apenas uma redução do ‘bolo’ para todos, todos perdem”.

Divergências na avaliação do gerenciamento de risco da Aave

Após o congelamento do mercado de rsETH, a comunidade debate duas visões: apoiadores consideram que a resposta rápida da Aave evitou uma expansão maior da inadimplência, demonstrando resiliência; críticos questionam se a avaliação de risco ao aceitar rsETH como garantia foi suficiente, especialmente considerando que a Spark já removeu rsETH em janeiro.

Respostas de equipes e protocolos

Declarações públicas de diferentes protocolos

• Kelp DAO: confirmou em seu canal oficial no X que “atividade suspeita de cross-chain foi detectada” e que iniciou uma investigação com LayerZero, auditores e especialistas em segurança.
• LayerZero: afirmou estar ciente do incidente e que está investigando a causa raiz.
• Aave: declarou que o rsETH na rede Ethereum “está bem suportado”, mas que mantém o congelamento por precaução, limitando a exposição ao risco.

Controvérsia sobre responsabilidade

Especialistas de segurança concordam que a decisão do Kelp DAO de usar uma configuração 1/1 DVN foi a causa raiz do incidente. Quanto à responsabilidade, há duas opiniões: uma atribui ao Kelp DAO, como desenvolvedor do protocolo; outra aponta que a LayerZero, como infraestrutura de cross-chain, também tem responsabilidades na configuração e na promoção de boas práticas.

Visão dos pesquisadores de segurança

Classificação da vulnerabilidade técnica

De acordo com análises aprofundadas publicadas por diversos pesquisadores na plataforma X, a vulnerabilidade central reside na configuração do LayerZero OApp (Omnichain Application): o uso do modo 1/1 DVN, que depende de um único nó de validação, permitiu ao atacante falsificar mensagens de validação cross-chain. Com payloads cuidadosamente construídos, o atacante conseguiu gerar na cadeia alvo um rsETH sem respaldo de ativos reais, obtendo uma quantidade equivalente a quase US$ 300 milhões em ativos sintéticos.

Paralelos com eventos históricos e lições

Pesquisadores comparam o ataque ao incidente Nomad de 2022: ambos envolvem falhas na configuração de validação cross-chain, permitindo que atacantes explorem pontos fracos na verificação de mensagens. Após Nomad, a atenção à segurança de pontes cross-chain aumentou, mas novas arquiteturas e ativos mais complexos, como LRT, criaram novas superfícies de ataque. O incidente do Kelp DAO mostra que a segurança das pontes ainda é uma questão aberta, agravada pela complexidade crescente dos ativos.

Impacto na indústria: de vulnerabilidades pontuais a riscos sistêmicos

Confiança na categoria LRT sob impacto

A lógica de valor dos ativos LRT é questionada

O rsETH é um ativo representativo da categoria LRT. O incidente revelou riscos estruturais: seu valor depende da integridade das reservas de ETH subjacentes, e vulnerabilidades em pontes podem criar tokens “sem âncora” sem tocar nas reservas reais. Isso abala a confiança na categoria.

Possíveis melhorias na transparência e auditoria de reservas de LRT

Após o evento, espera-se que haja maior rigor na transparência e auditoria das reservas de protocolos LRT. O Kelp DAO precisará divulgar reconciliações de reservas e comprovar a integridade do respaldo do rsETH restante. Isso pode marcar uma mudança de padrão na segurança do setor.

Reavaliação da capacidade de isolamento de risco em protocolos de empréstimo

Vantagens do modelo de mercado isolado da Morpho

No incidente, a Morpho limitou a exposição ao risco do rsETH a cerca de US$ 1 milhão, distribuído em dois mercados independentes, evitando impacto sistêmico. Em contraste, o design de pool único da Aave permitiu que a contaminação de um colateral se propagasse rapidamente por toda a plataforma.

Arquitetura do protocolo como fator mais importante que controle pontual

A diferença de desempenho entre Morpho e Aave evidencia que, na segurança do DeFi, a arquitetura de isolamento de risco é mais fundamental do que controles pontuais. Mercados isolados, embora menos eficientes, oferecem uma espécie de firewall contra eventos extremos.

Segurança de pontes cross-chain: uma questão antiga com novas variantes

Riscos na configuração do LayerZero

A vulnerabilidade técnica do incidente está na decisão de configuração 1/1 DVN, que introduz risco de ponto único de falha na validação de ativos cross-chain. O atacante explorou essa configuração para falsificar mensagens de validação, permitindo cunhar rsETH sem respaldo.

Promoção de boas práticas de segurança em pontes

Após o incidente, a indústria deve acelerar a padronização de boas práticas para segurança de pontes cross-chain, incluindo validações múltiplas, mecanismos de tempo de bloqueio e limites de transação. Protocolos como Curve pausaram suas integrações LayerZero para avaliações de segurança, uma tendência que deve se expandir.

Cenários de evolução: do atual à segurança futura do DeFi

Caminho base: resolução gradual da crise e fortalecimento institucional

Neste cenário, a Aave usa reservas e receitas para absorver inadimplências, o Kelp DAO reconcilia reservas e publica respaldo real do rsETH, e o setor se recupera após curto período de turbulência. Variáveis-chave incluem: se a Aave consegue cobrir a inadimplência sem recorrer ao módulo de segurança; se o respaldo do rsETH será confirmado; e se outros protocolos de LRT reforçarão suas políticas de transparência.

Caminho de pressão: queda do ETH provoca liquidações secundárias

Monetsupply.eth, responsável pela estratégia do Spark, alerta que, com ETH como principal colateral, a inadimplência aumenta se a utilização atingir 100%. Uma queda de 15-20% no preço do ETH pode gerar inadimplência adicional significativa, levando a uma cadeia de liquidações e agravando a crise, afetando outros protocolos que dependem de ETH como garantia.

Caminho de reestruturação: atualização sistêmica na segurança do DeFi

O incidente pode acelerar melhorias na segurança do DeFi, como: padronização de configurações de pontes cross-chain (validações múltiplas, mecanismos de tempo, limites); provas de reservas de ativos LRT; critérios mais rígidos para ativos de risco em empréstimos; e uso de mercados isolados em protocolos líderes. Essas mudanças exigirão novos equilíbrios entre eficiência e segurança, mas o incidente do Kelp DAO mostrou que sacrificar segurança por eficiência tem custos elevados.

Conclusão

O evento de US$ 293 milhões do Kelp DAO não foi apenas um ataque de grande escala, mas uma demonstração prática de risco sistêmico no DeFi. O atacante, explorando uma vulnerabilidade na configuração de uma ponte, desencadeou uma cadeia de transmissão que atingiu desde ativos LRT até os maiores protocolos de empréstimo, levando à evaporação de US$ 8,45 bilhões em TVL do Aave em dois dias e à redução de mais de US$ 13 bilhões no valor total do DeFi na cadeia.

No contexto, diferentes protocolos mostraram resultados distintos: a Aave suportou grande impacto devido à sua aceitação ampla de garantias; a Morpho controlou riscos com mercados isolados; a SparkLend saiu relativamente ilesa por ter removido ativos de baixo uso como rsETH antecipadamente. Essas diferenças reforçam uma ideia central: no DeFi, segurança é mais do que uma soma de medidas técnicas, é uma filosofia de arquitetura.

Até 20 de abril de 2026, o Kelp DAO ainda não divulgou sua reconciliação de reservas, a solução de inadimplência da Aave está em discussão, e o valor real do rsETH aguarda nova avaliação. Essas questões pendentes continuarão a testar a resiliência e a governança do setor. Mas uma coisa é certa: a crise de segurança de 2026 deixará uma marca profunda na história do DeFi — forçando a indústria a reavaliar a lógica de crescimento “focado na eficiência” e a buscar um novo equilíbrio entre segurança e expansão.