Recentemente, ao revisitar o momento sombrio do DeFi em abril, ainda sinto um pouco de arrepios. Em apenas 18 dias, o ecossistema perdeu mais de 600 milhões de dólares, e a história por trás desses números é mais digna de atenção do que os próprios números.

Tudo começou com o Drift Protocol. No dia 1 de abril, muitas pessoas pensaram que era uma brincadeira de 1º de abril, mas em 12 minutos, 285 milhões de dólares desapareceram. Só depois soubemos que o grupo Lazarus da Coreia do Norte passou meio ano infiltrando-se, usando engenharia social, encontros presenciais e implantando malware, até obter permissões de gestão e esvaziar vários cofres de uma só vez. O que isso demonstra? Mesmo com segurança na blockchain rigorosa, não adianta nada; se os processos de gestão offline forem comprometidos, carteiras multiassinatura tornam-se apenas enfeites.

Em seguida, a ponte cross-chain Hyperbridge foi atacada, com hackers explorando uma vulnerabilidade na verificação de prova Merkle para criar do nada 1 bilhão de tokens virtuais DOT. Mas isso ainda não foi o pior. Em 18 de abril, o rsETH do Kelp DAO foi severamente comprometido, com os atacantes usando uma combinação de infiltração via RPC e DDoS para falsificar 116.5 mil rsETH (aproximadamente 292 milhões de dólares). Esses tokens falsificados foram posteriormente usados como garantia no Aave e no Compound, emprestando 236 milhões de dólares em WETH.

A verdadeira catástrofe foi a reação em cadeia. Como maior mercado de empréstimos, os usuários do Aave fizeram empréstimos em modo de alavancagem com rsETH — depositando LRT, emprestando ETH e trocando por mais LRT. Quando o mercado virou, tudo desabou instantaneamente. Em 48 horas, mais de 6 bilhões de dólares em fundos fugiram do Aave, e o TVL de todo o mercado DeFi evaporou 13 bilhões de dólares.

Percebi um fenômeno interessante: quando a taxa de rendimento anual do USDC no Aave caiu para 2,61%, abaixo dos 3,14% do tradicional broker Interactive Brokers, o incentivo dos usuários a assumirem riscos com contratos inteligentes desapareceu. Qualquer dúvida de segurança era suficiente para fazer o capital alavancado se desintegrar instantaneamente. Isso reflete que o ambiente de rendimento do DeFi está mudando, e o mecanismo de precificação de risco precisa ser repensado.

Curiosamente, também vimos sinais de comprometimento durante a crise. O comitê de segurança do Arbitrum congelou 30.7 mil ETH do atacante, e a Tether, em colaboração com as autoridades, congelou US$ 344 milhões em USDT. Essas ações, embora elogiadas, também levantam questões sobre a realidade do ideal de descentralização — quando a sobrevivência está ameaçada, o controle multiassinatura é ativado.

A reconstrução pós-catástrofe já está em andamento. O Aave arrecadou cerca de 243 milhões de dólares para compensar as perdas, e os desenvolvedores estão migrando para carteiras MPC, pontes cross-chain ZK e sistemas de validação mais defensivos.

A lição dessa crise de abril é clara: ao buscar rendimento, é preciso considerar o risco de portfólio, e segurança, descentralização e usabilidade devem evoluir em conjunto. Caso contrário, nenhuma inovação tecnológica será suficiente para sustentar o sistema.