As vantagens centrais do DeFi estão a arruinar-se a si próprias

Autor: Thejaswini, Fonte: Buttercup Network, Tradução: Shaw Finanças Ouro

“Desaparecimento” é uma palavra muito pesada. Como sempre, sou favorável ao DeFi. Mas, por outro lado, a cada poucos meses, o DeFi repete o mesmo drama de riscos, e depois finge que não viu o resultado de surpresa. Com o tempo, acabo tendo que admirar essa persistência.

Em 18 de abril, o atacante explorou uma vulnerabilidade na ponte cross-chain baseada em LayerZero do Kelp DAO, roubando 116.500 rsETH, avaliado em cerca de 292 milhões de dólares, representando aproximadamente 18% do total de circulação desse token. O atacante não vendeu imediatamente — hoje em dia, os hackers agem com mais cautela.

O hacker depositou 89.567 rsETH roubados na Aave V3 como garantia, tomou emprestado ETH nativo e depois desapareceu.

Assim, a Aave assumiu uma dívida ruim de cerca de 196 milhões de dólares do nada, enquanto esses tokens usados como garantia, há poucas horas, não deveriam existir do nada.

Em 48 horas, o valor total bloqueado na Aave (TVL) caiu de 26,4 bilhões de dólares para quase 20 bilhões, e atualmente caiu para 14 bilhões de dólares; o token nativo AAVE também despencou 16%.

SparkLend e Fluid congelaram urgentemente os empréstimos relacionados ao rsETH, a Lido suspendeu o produto earnETH, e a Ethena, mesmo sem exposição direta ao risco, fechou de emergência todas as suas pontes cross-chain LayerZero.

A casa ao lado pegou fogo, e o tio, com medo de ser atingido, jogou todos os móveis pela janela. No cenário atual do setor, como posso criticar essa atitude de autoproteção?

Stani Kulechov, fundador da Aave, esclareceu no Twitter: o contrato da Aave não foi invadido, o mecanismo de pausa de emergência funcionou normalmente, e todo o sistema operou de acordo com o projeto.

Se esse sistema realmente funciona conforme o projeto, então esse próprio projeto é um desastre.

A ponte cross-chain do Kelp usa uma arquitetura de rede de validação descentralizada de nó único (1-de-1 DVN). Aqui está a explicação do seu significado:

• Validador único: responsável pela verificação das transações por uma única entidade.

• Autorização por assinatura única: basta uma “confirmação digital” para aprovar a transferência de ativos.

• Permissão ilimitada: com uma única assinatura, tem o máximo poder de cunhar bilhões de dólares em tokens adicionais.

Mesmo um banco tradicional, para uma transferência eletrônica de 10 mil dólares, geralmente precisa de duas ou três pessoas aprovando e assinando.

E a ponte cross-chain do Kelp, que movimenta dezenas de bilhões de dólares em ativos cross-chain, busca apenas baixo custo e uma arquitetura “simples”, totalmente desprovida de mecanismos eficazes de freio e controle de risco.

Vamos falar agora da Aave. Anteriormente, a Aave aceitava rsETH como garantia, com um valor de empréstimo (LTV) de até 93%. Simplificando: para cada dólar de rsETH depositado pelo usuário, a Aave empresta 0,93 dólares em ativos reais. Só confia em um token com alta confiança na sua garantia, para definir parâmetros tão agressivos. Mas esse token confiável pela Aave pode, com uma única transação, emitir 18% a mais de circulação do nada.

O limite de depósito desse token é extremamente relaxado, permitindo que uma carteira única deposite até 90.000 rsETH de uma só vez, sem disparar qualquer alerta de risco. Como descrever esse nível de risco? Talvez a resposta seja óbvia.

Cada análise pós-evento chega à mesma conclusão: contratos inteligentes executaram corretamente, os dados do oráculo foram reportados normalmente, o mecanismo de liquidação foi acionado conforme as regras, e a função de pausa de emergência foi ativada em poucos minutos. São fatos, mas não capturam o núcleo do problema.

O projeto da Aave tem uma vulnerabilidade fundamental: enquanto o risco não for exposto publicamente, o sistema permite que carteiras anônimas depositem bilhões de dólares em garantias sem respaldo subjacente, e assim emitam dívidas reais de empréstimo.

Esse projeto deriva de uma filosofia básica: desde que haja um preço do oráculo e um limite de depósito suficiente, pode-se emprestar sem restrições usando esses ativos como garantia.

Os defensores de “código é lei” sempre usam essa frase como uma garantia. Mas código é lei, não significa que as regras sejam razoáveis, apenas que serão executadas mecanicamente, sem espaço para ajustes. Se as regras disserem “qualquer token com preço do oráculo pode ser usado como garantia de alto valor”, então essa execução incondicional é o que mais assusta.

Nos últimos seis anos, o DeFi tem se vangloriado da sua composabilidade. Todos falam sobre “lego financeiro”: camadas de protocolos aninhados, fluxo livre de fundos, mecanismos eficientes e engenhosos.

Por outro lado, os bancos tradicionais nunca usam títulos de dívida entre instituições como garantia, sempre há uma equipe de risco dedicada à revisão. Essa é uma lição da crise financeira de 2008: posições financeiras altamente correlacionadas só aumentam o risco, não o dividem. Globalmente, os reguladores financeiros perceberam, já em 2019, os riscos fatais dessa arquitetura DeFi.

Risco de contraparte em camadas, risco de mercado sem desconto, ausência de limites de crédito, falta de um último garantidor — toda a indústria acredita cegamente que a transparência na blockchain substitui qualquer limite de risco.

A taxa de utilização do fundo principal da Aave chegou a 100%, impossibilitando os depositantes de resgatar seus fundos de ETH normalmente. No sistema financeiro tradicional, isso é um típico caso de corrida bancária.

Ao depositar ativos na Aave, o usuário está, na verdade, assumindo quatro riscos simultâneos: os parâmetros de risco da Aave, o oráculo do rsETH, a ponte Kelp, e a configuração da rede de validação descentralizada do Kelp. E a maioria dos usuários da Aave nem conhece a última.

Fatura de perdas

• Perda na ocorrência do Kelp: 292 milhões de dólares;

• Perda no evento da Drift, três semanas atrás: 285 milhões de dólares;

• Em apenas 21 dias, duas das principais plataformas do setor perderam quase 500 milhões de dólares.

No primeiro trimestre de 2026, o volume de negócios de venture capital em cripto caiu 48,9% em relação ao ano anterior, com rodadas de financiamento caindo de 358 para 183. No mesmo período, investimentos em IA atingiram 242 bilhões de dólares, cerca de 80% do total global de venture capital.

O capital destinado a melhorar a infraestrutura básica do DeFi está sendo direcionado para outros setores mais atraentes para especulação. As inovações realmente necessárias — limites de LTV mais conservadores, pontes cross-chain com múltiplos validadores, mecanismos de seguro efetivos, auditorias rotineiras de configurações básicas — permanecem ignoradas.

Nunca ninguém ficou rico pensando “e se um nó de validação único (DVN) se tornar um ponto único de falha e causar um desastre”. Claro, o hacker do ataque de 18 de abril foi uma exceção.

Vamos fazer uma conta simples: em 18 de abril, o fundo de reserva de segurança da Aave tinha 390 milhões de dólares, enquanto o saldo de empréstimos não pagos era de 17,82 bilhões de dólares.

A taxa de capitalização implícita era de apenas 2,2%.

O Acordo de Basileia III exige uma capitalização mínima de 8% para bancos, e o JPMorgan, na prática, atingiu 15,5%. Já a penalidade máxima de penhor do Aave, de 30%, significa que o fundo de reserva disponível é de aproximadamente 180 milhões de dólares, e a capitalização efetiva fica em torno de 1,0%.

Soluções simples e viáveis sempre existiram: usar uma arquitetura de múltiplos validadores (Multi-DVN), reduzir o LTV de ativos duvidosos, estabelecer limites reais de fornecimento de tokens. A solução mais cara, porém, é admitir uma verdade: a composabilidade nunca foi uma vantagem, é apenas um mecanismo de transmissão de risco bem embalado.

Não vejo isso apenas como uma questão de segurança. Nos últimos seis anos, o DeFi vive uma ilusão constante: acreditar que transparência na blockchain equivale a segurança de ativos. E a cada 18 meses, uma crise maior prova essa falsa premissa.

“Lego financeiro” soa bem, mas também descreve a realidade atual: empilhar blocos de plástico em uma mesa em chamas. Essa é uma lição que meus maiores me ensinaram, e que é certeira.