Acabei de analisar uma das histórias mais selvagens do DeFi nos últimos anos.

18 de abril, exatamente 46 minutos - foi o tempo necessário para esvaziar 293 milhões de dólares da ecossistema.
Refere-se à invasão da ponte Kelp, e não é apenas mais uma exploração, é uma crise sistêmica que mostrou o quão frágil pode ser toda a arquitetura das finanças descentralizadas.

Aqui está o que aconteceu.
O atacante utilizou uma vulnerabilidade na ponte cross-chain Kelp DAO, que funciona na LayerZero.
Mas aqui está o truque - não foi um erro de código.
Foi um erro de configuração.
Kelp usou a chamada configuração DVN 1 de 1, ou seja, apenas um nó validador verificava todas as mensagens entre as cadeias.
Um nó.
Consegue imaginar?
O atacante ou invadiu esse nó, ou enganou-o, enviando uma mensagem falsificada, e a ponte emitiu 116.500 rsETH (aproximadamente 293 milhões de dólares) simplesmente assim - sem garantia, criados do nada, do ar.

Depois começou o mais interessante.
Em vez de despejar tokens no mercado, o hacker agiu de forma cirúrgica.
Ele colocou essa rsETH falsificada como garantia na Aave, tomou emprestado WETH real, depois repetiu o mesmo na Aave V4.
Quando a Kelpa conseguiu congelar os contratos (passaram-se 46 minutos), os ativos reais já tinham desaparecido.
A tentativa de repetir o ataque duas vezes mais não funcionou porque o sistema já estava congelado.

O que aconteceu depois foi um colapso em cascata.
Aave ficou com 196 milhões de dólares em dívida sem esperança, porque a rsETH simplesmente deixou de valer alguma coisa.
O pool de WETH atingiu 100% de utilização, as pessoas não conseguiam retirar o seu dinheiro.
O TVL da Aave caiu de 26 bilhões para 22 bilhões - uma perda de 6,6 bilhões em um dia.
O token AAVE caiu 20%, embora já tenha se recuperado para 98,91 dólares, com um aumento de 3,31% nas últimas 24 horas.

O pânico foi causado pela retirada de fundos no valor de 5,4 bilhões de dólares.
As pessoas simplesmente ficaram assustadas e começaram a sair em massa do protocolo.
É um pânico bancário clássico, mas no DeFi acontece em horas, não em dias.

O incidente se espalhou para pelo menos nove outras plataformas - SparkLend, Fluid, Lido (seu produto EarnETH), Compound, Euler e mais algumas.
Todas elas ou congelaram os mercados de rsETH, ou suspenderam operações como medida de precaução.
Até a Ethena, que nem tinha exposição ao rsETH, suspendeu suas pontes LayerZero só por medo.

O que me impressiona nesta história não é o lado técnico.
O código da Kelpa era normal.
Foi uma questão de configuração.
Mikhail Egorov, da Curve, resumiu bem: as coisas podem acontecer quando você confia em uma única parte, quem quer que seja.
E isso não violou nenhuma regra do LayerZero - o protocolo simplesmente permitiu essa configuração.

No que diz respeito ao dinheiro - é praticamente impossível recuperá-lo.
O hacker rapidamente lavou tudo através do Tornado Cash, distribuindo os fundos por várias carteiras.
ZachXBT identificou seis carteiras relacionadas ao atacante, todas pré-financiadas via mixer horas antes do hack.
Justin Sun sugeriu "conversar" com o hacker, mas isso parece mais uma encenação.

O ano de 2026 foi realmente um inferno para o DeFi.
Antes do Kelpa, houve outros grandes hacks - Resolv Labs perdeu cerca de 80 milhões em março, Drift Protocol perdeu 285 milhões em 1 de abril (posteriormente relacionado a atores norte-coreanos), depois CoW Swap, Zerion, Rhea Finance e mais uma dezena de protocolos menores.
As perdas totais de 2026 já ultrapassam 450 milhões de dólares, envolvendo cerca de 45 protocolos.

Para os investidores, isso significa várias coisas.
Primeiro, o risco de liquidez é real mesmo em plataformas "seguras".
Quando o TVL cai e os pools atingem 100% de utilização, até quem não tinha acesso ao ativo hackeado pode ficar preso e não conseguir retirar seu dinheiro.
Em segundo lugar, a composibilidade do DeFi corta dos dois lados.
A mesma interconectividade que torna o sistema poderoso também o torna o canal mais rápido de contaminação.
Uma vulnerabilidade em um protocolo torna-se um evento sistêmico em minutos.

Em terceiro lugar, o suporte cross-chain de ativos não é garantido.
O rsETH em mais de 20 redes permanece em estado de suporte indefinido até que a Kelpa publique uma reconciliação verificada dos reserves.
Qualquer pessoa que aceitou wrsETH como garantia permanece vulnerável ao risco.

A indústria responderá com requisitos obrigatórios para múltiplos DVN para pontes, padrões mais rígidos para protocolos de crédito e auditorias abrangentes das integrações LayerZero.
Mas a lição aqui é mais profunda - não é sobre técnica, é sobre a filosofia de confiança no DeFi.
A suposição implícita era que tokens líquidos de reposição eram tão seguros quanto o ETH básico, se o protocolo fosse confiável.
Essa premissa desabou.

Agora, muitos estão reconsiderando sua posição em relação ao DeFi.
O chefe de segurança da Ledger disse que 2026 provavelmente será o pior ano para hacks e que a confiança no DeFi está sendo ativamente minada.
Essa é uma observação justa.
Quando uma única configuração em um protocolo pode esvaziar 293 milhões e causar pânico de bilhões, é hora de refletir sobre o que chamamos de "segurança" neste espaço.