Em abril de 2026, o setor DeFi enfrentou a crise de confiança mais severa dos últimos anos. Segundo instituições como a CertiK, no mês ocorreram perdas de segurança de aproximadamente 634 a 651 milhões de dólares devido a ataques de hackers, exploração de vulnerabilidades, um crescimento explosivo de mais de dez vezes em relação aos 59,5 milhões de dólares de março, estabelecendo o maior recorde de perdas mensais desde março de 2022. Ainda mais alarmante, naquele mês ocorreram 31 incidentes de ataques independentes, quase um por dia, tanto em termos de valor perdido quanto na frequência de ataques, quebrando recordes históricos no setor DeFi.

Duas grandes operações no centro dessa tempestade — KelpDAO e Drift Protocol — somaram mais de 90% dos ativos roubados naquele mês. A KelpDAO foi explorada devido a uma vulnerabilidade no verificador de uma ponte cross-chain, permitindo que o atacante bypassasse o mecanismo de segurança e criasse do nada tokens rsETH no valor de 292 milhões de dólares, usando esses tokens como garantia para emprestar Ethereum real em plataformas de empréstimo como Aave. Essa operação não só colocou em risco quase 200 milhões de dólares em dívidas potenciais na Aave, como também provocou a retirada de mais de 8 bilhões de dólares em fundos da plataforma em 24 horas, com o TVL caindo cerca de 32%. Logo após, o incidente do Drift Protocol também foi chocante: após seis meses de infiltração de informações, o atacante conseguiu roubar a chave do administrador e transferir aproximadamente 285 milhões de dólares em ativos. Ambos os casos foram atribuídos ao grupo Lazarus, com base na Coreia do Norte, cuja atividade na cadeia apresentou características altamente consistentes durante esses ataques.
Essa rodada de crise de segurança não foi por acaso, mas uma explosão concentrada do modo de desenvolvimento do DeFi, que prioriza a eficiência a longo prazo. Expondo fundamentalmente três níveis de risco sistêmico: primeiro, a falha fatal na verificação das pontes cross-chain, cuja arquitetura de verificador único coloca milhões de dólares sob a segurança de uma única chave privada, um risco que já havia sido alertado pelo incidente na ponte Ronin em 2022, mas que foi ignorado pela indústria. Segundo, ataques de engenharia social e infiltrações de longo prazo estão se tornando novas ameaças principais, com métodos que evoluíram de vulnerabilidades de código para infiltrações que exploram permissões de pessoal e falhas de processos. Terceiro, a composibilidade do DeFi, que amplifica os lucros, também aumenta os riscos — uma brecha em um protocolo pode rapidamente se transformar em uma cadeia de impacto envolvendo múltiplos protocolos.
As reações em cadeia no mercado também foram intensas. O setor DeFi perdeu cerca de 13 bilhões de dólares em TVL em curto prazo, com depósitos na Aave caindo 38% e o token AAVE caindo entre 15% e 21%. Os fundos claramente migraram de protocolos de alto risco para plataformas de empréstimo mais maduras ou soluções de custódia centralizadas. Um impacto mais profundo é a perda de confiança a nível institucional: o JPMorgan destacou que as falhas de segurança contínuas e o crescimento estagnado do TVL estão severamente limitando a atratividade do DeFi para instituições. Ao mesmo tempo, o Standard Chartered, embora mantenha uma visão otimista sobre o mercado de RWA a longo prazo, reconhece que é necessário um upgrade estrutural nos riscos cross-chain. #DeFi4月安全事件损失超6亿美元