Tenho acompanhado a situação de segurança do DeFi ao longo deste ano e, honestamente, parece bastante sombria. Ainda não estamos nem na metade de 2026 e os números já são impressionantes - mais de 137 milhões de dólares roubados em 15 protocolos diferentes nos primeiros meses. O que é pior? Apenas 9 milhões de dólares foram recuperados. Essa é uma taxa de recuperação que a maioria das pessoas não aceitaria num banco tradicional, quanto mais numa indústria que deveria ser confiável e transparente.

Os danos estão espalhados por alguns nomes bastante conhecidos. A Step Finance sofreu o maior golpe, com 27,3 milhões de dólares após uma chave privada ser comprometida. A Truebit não ficou muito atrás, com 26,2 milhões de dólares perdidos devido a uma vulnerabilidade em um contrato inteligente. Depois, temos a Resolv, que perdeu mais de 25 milhões de dólares por uma falha de cunhagem, e a SwapNet, que sangrou 13,4 milhões de dólares através de uma exploração de chamada arbitrária. Esses não são projetos pequenos sendo destruídos — são protocolos que as pessoas realmente usam.

O que é frustrante é que a maioria desses ataques não deveriam ter acontecido. Vazamentos de chaves privadas? Isso é segurança operacional 101, não algum exploit de ponta. Manipulação de oráculos e bugs de reentrância? Essas vulnerabilidades têm defesas documentadas há anos. O fato de continuarem funcionando sugere que a indústria não está aprendendo com seus erros rápido o suficiente. Existem falhas de lógica, falhas de validação, problemas com limites de fornecimento — coisas que pesquisadores de segurança vêm alertando desde os primeiros dias do DeFi.

A YieldBlox DAO conseguiu recuperar 7,2 milhões de dólares de suas perdas de 11 milhões, sendo o único protocolo que conseguiu reaver algo significativo. Todo o resto da lista — SagaEVM com 7 milhões, Makina com 5 milhões, IoTeX com 4,4 milhões, Aperture Finance e Venus Protocol, cada um com 3,7 milhões — basicamente estão sem sorte.

Se esse ritmo continuar, 2026 pode acabar sendo um dos piores anos para a segurança do DeFi já registrados. Novos protocolos continuam sendo lançados sem auditorias adequadas, expandindo a superfície de ataque mais rápido do que qualquer um consegue defender. Com 137 milhões de dólares em perdas em apenas três meses e uma taxa de recuperação de 6,5%, é difícil argumentar que a infraestrutura de segurança da indústria está onde precisa estar. Para algo construído com a promessa de sistemas confiáveis, essa é uma posição bastante desconfortável de se estar.