#DeFiLossesTop600MInApril

Abril de 2026 é agora o pior mês registado para violações de segurança em DeFi. A CertiK registou 29 incidentes que totalizaram perdas de 651 milhões de dólares — e dois mega-exploits sozinhos representaram 93% do dano.

Os dois golpes catastróficos:

Drift Protocol (Solana) — $285M (1 de abril): O Grupo Lazarus passou 6 meses a ganhar confiança com a equipa do Drift — reuniões presenciais em vários países, mais de $1M em depósitos reais — depois enganou os signatários multisig a pré-aprovar autorizações ocultas e esvaziou $285M em 12 minutos. Os fundos foram transferidos para Ethereum em poucas horas. Segundo maior exploit na história do Solana.

Kelp DAO (Ethereum/LayerZero) — $293M (18 de abril): Um atacante enviou uma mensagem de cadeia cruzada falsificada para a ponte LayerZero do Kelp DAO às 17:35 UTC, enganando-a para libertar 116.500 rsETH (~18% de todo o fornecimento em circulação do token). O rsETH roubado foi então depositado como garantia na Aave v3, emprestando quantidades massivas de wETH — deixando a Aave com $195M em dívida má, uma queda de 18% no token AAVE, e ~$8B em saídas de TVL.

Divisão por vetor de ataque (dados da CertiK):

Vetor Perdas

Comprometimento de carteiras $611M

Manipulação de preço $18,8M

Vulnerabilidades de código $16,9M

Phishing $3,5M

Contratos não verificados $8,5M

Ataques ao front-end $544K

Consequências sistémicas:

~$14B em saídas de TVL em DeFi através de protocolos

O TVL da Aave caiu cerca de $8B em 24 horas; o token AAVE caiu de $112 para $89,5

Aave congelou os mercados rsETH no v3 e v4

O Conselho de Segurança do Arbitrum congelou ~$71M em ETH ligado ao hack do Kelp DAO

Operadores norte-coreanos (Grupo Lazarus) agora representam 76% de todo o roubo de criptomoedas em 2026 (TRM Labs)

Luz ao fundo — fundo de recuperação "DeFi United": Uma campanha de recuperação colaborativa organizada pela Aave arrecadou mais de $302M — suficiente para cobrir totalmente o exploit do Kelp DAO. Contribuições incluem Aave DAO (25.000 ETH), Lido DAO (2.500 ETH), e compromissos do próprio Kelp DAO e LayerZero.

Mas uma nova reviravolta: O investigador on-chain ZachXBT acusou o escritório de advogados dos EUA Gerstein Harrow LLP de apresentar reivindicações fraudulentas para confiscar os fundos congelados do KelpDAO, aproveitando uma sentença judicial de 2015 contra a Coreia do Norte para priorizar os seus clientes em relação às vítimas do hack de 2026. ZachXBT propôs uma DAO comunitária para contestar legalmente a firma.

Principais lições de segurança para utilizadores de DeFi:

Verifique a governança multisig — migrações sem bloqueio de tempo são uma vulnerabilidade fatal

Audite rigorosamente as implementações de pontes de cadeia cruzada (a verificação de mensagens do LayerZero é crítica)

Diversifique garantias — não concentre holdings em tokens de restaking únicos

Monitore as capacidades de congelamento/pausa do protocolo — respostas rápidas evitaram ~$71M em tentativas de follow-up do Kelp DAO

Use carteiras de hardware e estratégias separadas de carteiras hot/cold para posições grandes

Este post foi recentemente partilhado — ainda sem gostos ou comentários. Seja o primeiro a envolver-se e ajudar a espalhar a conscientização. A segurança em DeFi é responsabilidade de todos.

$80M