#Gate广场五月交易分享

Perdas em DeFi atingem o pico de $600M em abril — O pior mês na história da segurança em criptomoedas

Abril de 2026 é agora confirmado como o mês mais destrutivo na história das finanças descentralizadas. O DeFiLlama registrou de 28 a 30 incidentes de exploração separados com perdas superiores a 635 milhões de dólares, enquanto o relatório mensal final da CertiK estimou o total em aproximadamente 651 milhões de dólares, a pior cifra desde março de 2022, quando a indústria perdeu cerca de 715 milhões de dólares. Este único mês eliminou 3,7 vezes o total do primeiro trimestre de 2026, de aproximadamente 164 milhões de dólares, e representou um aumento impressionante de 1.140% em relação às perdas de março, de 52,2 milhões de dólares. A hashtag #DeFiLossesTop600MInApril é confirmada, uma realidade verificada por dados.

Duas Megahacks Responsabilizaram 93% das Perdas de Abril

Protocolo Drift (1 de abril): ~285 milhões de dólares roubados. A TRM Labs rastreou o ataque até o grupo norte-coreano UNC4736 (Citrine Sleet), que passou seis meses social engineering os membros da equipe Drift na Solana. O atacante obteve controle de uma chave de assinatura privilegiada da AWS, cunhou quase 80 milhões de tokens USR contra um colateral mínimo e drenou USDC, JLP, SOL e outros ativos de pools de armazenamento.

KelpDAO (18 de abril): ~293 milhões de dólares roubados. A causa raiz foi uma configuração catastrófica de uma Rede de Verificadores Descentralizados (DVN) 1-para-1 na ponte LayerZero V2 do KelpDAO. O atacante, atribuído ao Grupo Lazarus (TraderTraitor), acessou dois nós verificadores, injetou mensagens falsas entre cadeias e lançou um ataque DDoS contra nós RPC legítimos para forçar a troca para infraestrutura controlada pelo atacante. Eles drenaram 116.500 rsETH. A LayerZero confirmou que uma configuração multi-DVN teria evitado totalmente isso. Juntos, esses dois ataques representaram 93% do total de perdas em dólares de abril e ambos entraram no top 10 dos maiores hacks de criptomoedas desde 2021.

A Cascata Aave: $13B Compressão de TVL em DeFi em 48 Horas

O atacante do KelpDAO depositou US$ 249,7 milhões de rsETH roubados como colateral na Aave V3 e V4 na Ethereum e Arbitrum, emprestando 83.427 WETH e wstETH (~US$ 228,2 milhões em ativos reais) contra tokens não garantidos. Isso criou cerca de US$ 196 milhões em dívidas ruins na Aave. A Aave congelou os mercados de rsETH em horas, mas o pânico se espalhou: US$ 8,45 bilhões em depósitos fugiram da Aave em 48 horas, levando a uma queda de US$ 13,21 bilhões no TVL total de DeFi, de US$ 99,497 bilhões para US$ 86,286 bilhões, uma compressão de 13% em dois dias. O token AAVE caiu 16%. A Ethereum viu US$ 1,6 bilhão em saídas de DeFi apenas em 24 de abril.

Coreia do Norte: 76% de Todas as Perdas de Hack de Criptomoedas em 2026

A TRM Labs relata que hackers apoiados pelo estado norte-coreano representam 76% de todas as perdas por hacks e golpes em criptomoedas em 2026, com US$ 575 milhões roubados em apenas 18 dias do Drift e KelpDAO. Seus roubos totais desde 2017 ultrapassam US$ 6 bilhões. O vice-CISO da BeyondTrust afirmou: "A Coreia do Norte roubou US$ 575 milhões em 18 dias porque a infraestrutura tinha pontos únicos de confiança, sem validação de proveniência, e estruturas de governança que não podiam responder na velocidade do ataque."

Mudança na Metodologia de Ataque e Complicações na Recuperação

As explorações de abril revelam uma mudança de bugs em contratos inteligentes para ameaças de múltiplas camadas, combinando engenharia social, spoofing de ponte e comprometimento de infraestrutura. Quatro explorações menores também visaram componentes de ponte. As pontes entre cadeias, comercializadas como descentralizadas, permanecem pontos únicos de falha. A recuperação enfrenta novos obstáculos: o investigador on-chain ZachXBT expôs que o escritório de advocacia Gerstein Harrow LLP apresentou reivindicações fraudulentas de mais de US$ 71 milhões em ETH congelados do KelpDAO, tentando priorizar uma sentença de 2015 sobre as vítimas reais do hack de 2026. Suspeita-se que o Grupo Lazarus esteja movendo $175M em ETH, apesar de a Arbitrum ter congelado US$ 71 milhões.

Abril de 2026 provou três coisas: configurações de ponte de DVN único são superfícies de ataque catastróficas, tokens de restaking líquidos como colateral criam risco sistêmico que pode comprimir o TVL de $13B em 48 horas, e atacantes de estados-nação agora operam com meses de engenharia social combinados com exploits técnicos em escala de infraestrutura. Configurações multi-DVN, validação de proveniência e auditoria contínua impulsionada por IA são requisitos mínimos de sobrevivência. As perdas estão verificadas. As vulnerabilidades estruturais estão documentadas. A menos que o DeFi reengenhe fundamentalmente sua arquitetura de segurança, o próximo mês pode ser ainda pior.