Então, tenho acompanhado o que tem acontecido no DeFi neste mês de abril, e honestamente, tem sido difícil. Estamos a falar de mais de $600m em perdas reportadas só neste mês, e o padrão é bastante revelador - isto não é apenas uma brecha de chave ou uma vulnerabilidade isolada. É um problema sistémico que se espalha por várias camadas do ecossistema.

Deixe-me explicar o que aconteceu. Os dois principais incidentes que causaram a maior parte dos danos foram a situação do rsETH da Kelp DAO e o Drift Protocol. A Kelp DAO sofreu uma perda de cerca de $292m quando alguém explorou uma vulnerabilidade numa ponte para cunhar ativos não garantidos. Não foi uma drenagem tradicional, mas os efeitos em cadeia em plataformas integradas criaram um risco sistémico sério, especialmente para protocolos de empréstimo que detêm o ativo. Depois, o Drift Protocol foi atingido através de manipulação de colaterais e problemas de acesso - relatos sugerem que centenas de milhões também foram impactados aí.

Mas aqui está o que é interessante. Além destes casos de destaque, há toda uma camada de explorações de médio porte que continuam a surgir. A Rhea Finance perdeu 7,6 milhões de dólares para contratos de tokens fraudulentos e manipulação de oráculos. A Grinex Exchange reportou um esvaziamento de carteira de 13,7 milhões de dólares através de múltiplos endereços. A GiddyDefi foi atingida por 1,3 milhões de dólares devido a uma falha na validação de autorização relacionada com a repetição de assinaturas - isso é uma brecha de chave de um tipo diferente, mais operacional do que técnica.

Depois há casos como o incidente de 1,2 milhões de dólares do CoW Swap, causado por sequestro de domínio. Este é particularmente interessante porque mostra que a superfície de ataque vai muito além dos contratos inteligentes. Estamos a falar de infraestrutura, gestão de chaves, controlo de domínios - toda a pilha.

Até os casos menores dizem algo. A Silo Finance, Aethir, Dango, Scallop, Volo Protocol - todos tiveram seus próprios problemas. Configuração incorreta de oráculos, lacunas no controlo de acesso, falhas na lógica do contrato, até comprometimento de chaves privadas em alguns casos. O Dango, por exemplo, recuperou fundos através de intervenção de white-hat, o que já é algo.

O que realmente me chama atenção é como este panorama de risco se tornou fragmentado. Temos explorações que atingem a lógica de contratos inteligentes, sistemas de gestão de chaves, infraestrutura de domínios, pontes cross-chain e parâmetros de protocolos tudo ao mesmo tempo. Não é um ponto único de falha - são múltiplos vetores simultaneamente.

A mais recente adição à lista é o protocolo de perpétuos da Aftermath. Eles divulgaram uma brecha de chave que permitiu definir taxas negativas de construtor, custando cerca de 1,14 milhões de dólares. O protocolo foi pausado, mas outros produtos continuaram a funcionar.

A lição aqui é que as perdas de abril revelam algo mais profundo do que apenas bugs no código. O risco no DeFi vai desde vulnerabilidades técnicas até segurança operacional e arquitetura do sistema. Até que o ecossistema comece a abordar todas as três camadas de forma simultânea, provavelmente vamos continuar a ver este padrão se repetir.