Início » Últimas Notícias » DeFi perde US$ 10 bilhões após exploit de US$ 292 milhões acender corrida bancária

DeFi perde US$ 10 bilhões após exploit de US$ 292 milhões acender corrida bancária

DeFi perde US$ 10 bilhões após exploit de US$ 292 milhões acender corrida bancária
Siga o CriptoFacil no Google News CriptoFacil

Um atacante desconhecido explorou na tarde de sábado, 18 de abril de 2026, uma vulnerabilidade crítica na ponte cross-chain da KelpDAO – protocolo de liquid restaking baseado em EigenLayer – drenando 116.500 tokens rsETH avaliados em US$ 292 milhões (aproximadamente R$ 1,69 bilhão na cotação de R$ 5,80 por dólar) ao forjar uma mensagem falsa na infraestrutura LayerZero que convenceu o adaptador do lado da Ethereum mainnet a liberar reservas pré-financiadas sem autorização legítima, desencadeando um efeito cascata que retirou US$ 10 bilhões (aproximadamente R$ 58 bilhões) de todo o ecossistema DeFi em menos de 48 horas, reduziu o TVL total do setor de US$ 99 bilhões para US$ 89 bilhões, forçou o congelamento de mercados de rsETH em ao menos nove protocolos incluindo Aave, Compound, Euler e Lido, e deixou a maior plataforma de empréstimos descentralizados do mundo com uma exposição a crédito podre de US$ 236 milhões (R$ 1,37 bilhão) – tornando este o maior hack DeFi de 2026 até o momento.

A pergunta que domina as mesas de operação é clara: o episódio da KelpDAO representa uma falha isolada de configuração técnica que o setor pode absorver e corrigir, ou é a prova definitiva de que a infraestrutura de pontes cross-chain e colateral líquido restakado ainda não está madura o suficiente para sustentar os US$ 89 bilhões que o DeFi movimenta?

Publicidade

Contexto do mercado

O exploit da KelpDAO não surgiu do nada: ele chegou ao fim de um abril já marcado por sangramento contínuo no DeFi. O mês havia começado com o hack de US$ 285 milhões (R$ 1,65 bilhão) na Drift Protocol em 1º de abril – atribuído a agentes norte-coreanos que infiltraram a equipe por engenharia social e usaram autorizações pré-assinadas para drenar fundos – seguido pelo exploit de configuração incorreta de oráculos na Silo Finance, que custou US$ 392.000 (R$ 2,28 milhões) em 3 de abril, e por uma manipulação de oráculos na rede NEAR envolvendo 423 carteiras coordenadas que somou US$ 18,4 milhões (R$ 106,7 milhões).

Como analisamos anteriormente no CriptoFácil ao cobrir o padrão de risco em infraestrutura cross-chain, o exploit da Hyperbridge em abril de 2026 revisou para cima as perdas dez vezes em relação à estimativa inicial, expondo como falhas em pontes de validação única podem escalar muito além da superfície de ataque imediata. O denominador comum de todos esses eventos é o mesmo: oráculos que precificam ativos comprometidos como se estivessem intactos, e colateral que circula por múltiplas camadas antes que qualquer mecanismo de pausa possa agir.

O resultado acumulado é devastador em termos numéricos e de confiança: segundo análise da plataforma de dados DeFiLlama, o setor acumulou mais de US$ 605 milhões (R$ 3,51 bilhões) em perdas em menos de 20 dias antes do ataque à KelpDAO, colocando abril de 2026 no caminho de se tornar um dos meses mais custosos da história do DeFi em termos de exploits. Cada novo incidente reduz o tempo médio que investidores institucionais e baleias estão dispostos a esperar antes de puxar liquidez de protocolos vizinhos ao explorado.

🚀 Buscando a próxima moeda 100x?
Confira nossas sugestões de Pre-Sales para investir agora

O que torna o caso da KelpDAO estruturalmente diferente dos anteriores – e por isso systemicamente mais perigoso – é que o rsETH havia sido adotado como colateral de primeira classe em praticamente toda a pilha de empréstimos descentralizados: não era um token periférico, mas um ativo de restaking com presença em mercados de lending, produtos de vault e estratégias de colateral que dependiam tanto da integridade on-chain do token quanto da fluidez de transferências entre redes. Quando essa confiança quebrou, quebrou em nove frentes simultaneamente.

Em termos simples, imagine

Imagine uma cooperativa de crédito brasileira – como as do sistema Sicredi ou Sicoob – onde os associados podem depositar um recibo de CDB de outro banco como garantia para tomar empréstimos. A KelpDAO seria o banco emissor desse CDB. O LayerZero seria o sistema de mensageria que transmite para a cooperativa a confirmação de que o CDB existe e tem valor. O problema é que essa linha de comunicação estava protegida por apenas um validador – equivalente a um único funcionário responsável por conferir a autenticidade dos documentos – sem nenhum segundo revisor ou auditor de backup.

O atacante não arrombou o cofre do banco: ele ligou para o único funcionário responsável pela verificação e, usando um documento falsificado convincente, convenceu-o de que um CDB de R$ 1,69 bilhão havia sido emitido. A cooperativa – o Aave no caso real – acreditou na confirmação, liberou empréstimos em ETH contra o “CDB” e só descobriu a fraude quando tentou executar a garantia e percebeu que não havia nada do outro lado. Nesse momento, os outros associados, temendo que os fundos da cooperativa estivessem comprometidos, correram simultaneamente para sacar seus próprios depósitos – a clássica corrida bancária.

Publicidade

A analogia tem um ponto de ruptura importante: numa cooperativa de crédito brasileira regulada pelo Banco Central, o Fundo Garantidor do Cooperativismo de Crédito (FGCoop) cobre até R$ 250.000 por CPF em caso de insolvência, e há mecanismos de intervenção regulatória que podem ser acionados em horas. No DeFi, não existe fundo garantidor, não existe regulador que possa bloquear saques antes que o pânico se complete, e o código que governa os contratos inteligentes executa as ordens de saque automaticamente, sem nenhuma janela de resfriamento obrigatória. A velocidade de contágio no ambiente descentralizado é, por design, ordens de magnitude maior do que qualquer sistema financeiro tradicional consegue operar.

O que os dados on-chain revelam?

  • ‘O Tamanho do Rombo’ – 116.500 tokens rsETH drenados da ponte cross-chain da KelpDAO no trajeto Unichain-Ethereum mainnet, avaliados em US$ 292 milhões (R$ 1,69 bilhão) no momento do ataque; análises posteriores do Etherscan registraram o valor em US$ 171,2 milhões (R$ 993 milhões) após a queda do preço do rsETH – uma diferença de US$ 120 milhões que reflete tanto a depreciação do ativo comprometido quanto a velocidade com que o mercado precificou o risco.
  • ‘A Vulnerabilidade Técnica’ – o atacante explorou uma rota LayerZero configurada no modelo um-de-um de DVN (Decentralized Verifier Network), ou seja, um único verificador sem backup, sem redundância e sem secundário que pudesse contestar a transação fraudulenta; a mensagem maliciosa foi identificada como nonce 308 e verificada às 17:35:35 UTC, com o hash de transação 0x1ae2…4222, segundo análise do desenvolvedor Banteg da Yearn Finance.
  • ‘O Dano no Aave’ – o protocolo Aave viu seu TVL despencar de US$ 26 bilhões (R$ 150,8 bilhões) para aproximadamente US$ 20 bilhões (R$ 116 bilhões), uma saída líquida de US$ 6 bilhões (R$ 34,8 bilhões) em poucas horas; a taxa de utilização do ETH no Aave atingiu 100%, o que significa que todo o Ether disponível na plataforma estava emprestado ou havia sido retirado – um evento de liquidez extrema sem precedentes recentes no protocolo.
  • ‘O Crédito Podre’ – o atacante depositou os rsETH roubados como colateral no Aave enquanto os oráculos de preço ainda liam o token próximo ao seu peg normal, permitindo que o protocolo emitisse 106.467 ETH (aproximadamente US$ 249 milhões ou R$ 1,44 bilhão) contra garantia comprometida; isso gerou uma exposição a bad debt de US$ 236 milhões (R$ 1,37 bilhão), que o protocolo passou a tentar gerenciar via leilão de dívida.
  • ‘O Movimento das Baleias’ – o fundador da TRON, Justin Sun, retirou 65.580 ETH – equivalentes a aproximadamente US$ 154 milhões (R$ 893 milhões) – em uma única transação, acelerando o colapso da liquidez disponível no Aave e sinalizando para o mercado que os grandes players estavam abandonando o navio antes que a situação se agravasse.
  • ‘A Venda dos Tokens AAVE’ – segundo dados da plataforma Lookonchain, a carteira identificada como smaugvision vendeu mais de 20.000 AAVE por US$ 2,06 milhões (R$ 11,9 milhões); um segundo investidor vendeu volume similar por US$ 2,05 milhões (R$ 11,9 milhões); e um terceiro whale liquidou quase 19.700 AAVE em troca de Wrapped Bitcoin e ETH – pressionando o token de governança do Aave a uma queda de mais de 18% durante o episódio.
  • ‘O Contágio Sistêmico’ – além do Aave, ao menos oito protocolos congelaram seus mercados de rsETH: Lido, SparkLend, Fluid, Compound, Euler e outros; a Ethena, desenvolvedora do USDe sintético, suspendeu preventivamente suas pontes LayerZero mesmo declarando não ter exposição ao rsETH; e os fundos roubados circularam por redes secundárias incluindo Base, Arbitrum, Linea, Blast, Mantle e Scroll antes que qualquer contenção fosse possível.
  • ‘A Resposta da KelpDAO’ – a carteira de multisig de emergência do protocolo bloqueou duas tentativas adicionais que, juntas, teriam removido outros US$ 100 milhões (R$ 580 milhões) em rsETH; a equipe pausou todas as transferências de rsETH em todas as redes dentro de 46 minutos da detecção do ataque – rápido para padrões humanos, lento demais para conter o pânico de mercado que já havia se instalado.

Em conjunto, esses dados revelam algo mais grave do que um hack isolado: eles mostram que o rsETH havia se tornado infraestrutura sistêmica no DeFi – embebido em camadas de colateral, vault e estratégia que pressupunham integridade de uma ponte com configuração de segurança mínima. A velocidade com que US$ 10 bilhões (R$ 58 bilhões) saíram do setor em resposta a um exploit de US$ 292 milhões (R$ 1,69 bilhão) – uma proporção de 34 para 1 – é a medida mais precisa do grau de interdependência e fragilidade que o ecossistema acumulou silenciosamente.

O que muda na estrutura do mercado?

Efeito de primeira ordem: a liquidez do rsETH colapsa imediatamente e os mercados de empréstimo que o usavam como colateral entram em modo de emergência, forçando congelamentos coordenados que interrompem a capacidade de novos depósitos e retiradas – o que, paradoxalmente, amplifica o pânico entre usuários que não conseguem acessar seus fundos, mesmo nos casos em que o protocolo em si não foi diretamente comprometido. O token AAVE cai mais de 18% e vendedores institucionais realizam saques multimilionários, sinalizando ao mercado que mesmo os blue chips do DeFi podem ser impactados por falhas na periferia de suas integrações de colateral.

Publicidade

Efeito de segunda ordem: a crise de confiança se propaga para além do rsETH, atingindo toda a categoria de liquid restaking tokens (LRTs) e os protocolos de bridge que os movimentam entre redes; a decisão preventiva da Ethena de suspender pontes LayerZero mesmo sem exposição direta ao rsETH é sintomática – quando um protocolo saudável prefere paralisar operações por cautela, o mercado interpreta isso como sinal de que o risco sistêmico é desconhecido e potencialmente maior do que o anunciado. Como analisamos anteriormente no CriptoFácil ao cobrir o exploit de pontes cross-chain que cunhou 1 bilhão de tokens DOT sintéticos na Ethereum, vulnerabilidades em infraestrutura de mensageria entre redes têm consequências que transcendem em muito o valor nominal do ativo diretamente comprometido.

Efeito de terceira ordem: o episódio redefine as premissas de risco de todo o modelo de colateral do DeFi, especialmente para ativos que dependem de transferências cross-chain para manter seu peg e liquidez; se bridges de mensageria como o LayerZero podem ser exploradas com uma única DVN mal configurada, então qualquer protocolo que aceite como colateral ativos bridged de camada 2 para mainnet está implicitamente assumindo o risco de configuração de segurança de terceiros que não controla e frequentemente não audita em tempo real – o que representa uma superfície de risco estrutural que o mercado ainda não aprendeu a precificar corretamente. A proposta do cofundador da Monad, Keone Hon, de implementar rate limits graduais para depósitos de ativos exóticos em protocolos de lending – onde um ativo não pode saltar imediatamente ao seu cap máximo, mas deve acumular presença progressivamente ao longo de minutos ou horas – aponta para uma reforma arquitetural profunda que o setor precisará implementar para sobreviver à próxima onda de exploits.

A opinião editorial do CriptoFácil sobre este movimento é direta: a configuração de DVN única no LayerZero que permitiu este exploit não era um segredo técnico obscuro – era uma escolha de design documentada, e a responsabilidade por não exigir configurações mínimas de segurança antes de aceitar rsETH como colateral recai sobre os próprios protocolos de lending, especialmente o Aave. O setor precisa migrar urgentemente de uma cultura de “o código é lei” para uma cultura de “o risco é sistêmico”, e isso exige due diligence ativa sobre a infraestrutura de bridge de todo ativo aceito como colateral – não apenas sobre o contrato inteligente do token em si.

Publicidade

Quais os sinais de mercado que importam agora?

  • ‘O Termômetro do TVL’ – monitore diariamente o TVL total do DeFi no DeFiLlama; o cenário de recuperação requer retorno acima de US$ 95 bilhões (R$ 551 bilhões) nas próximas duas semanas; qualquer estabilização abaixo de US$ 85 bilhões (R$ 493 bilhões) sinaliza que o contágio de confiança está se aprofundando além do evento imediato.
  • ‘O Balanço do Aave’ – acompanhe a exposição ao bad debt do Aave diretamente no painel de governança do protocolo; se o leilão de dívida dos US$ 236 milhões (R$ 1,37 bilhão) em crédito podre não for resolvido dentro de 30 dias, espere nova pressão de venda sobre o token AAVE e potencial proposta de socialização de perdas entre os detentores do Safety Module.
  • ‘O Preço do rsETH’ – o peg do rsETH em relação ao ETH é o indicador mais direto de recuperação ou aprofundamento do colapso; um desconto persistente acima de 5% por mais de 72 horas indicará que o mercado está precificando insolvência permanente do protocolo, não apenas pânico temporário.
  • ‘A Taxa de Utilização do ETH no Aave’ – a taxa que atingiu 100% durante a crise precisa recuar abaixo de 85% para que o protocolo volte a operar com margem de segurança adequada; monitore em tempo real no dashboard do Aave.
  • ‘O Status da Investigação LayerZero’ – qualquer comunicado da equipe do LayerZero sobre obrigatoriedade de DVNs duplos ou triplos para novas integrações de OFT (Omnichain Fungible Token) será um sinal positivo estrutural para toda a categoria de ativos bridged; a ausência de resposta técnica em mais de duas semanas será interpretada como sinal negativo pelo mercado institucional.
  • ‘O Rastro do Atacante no Tornado Cash’ – rastreadores on-chain como Arkham Intelligence e ZachXBT estão monitorando os endereços associados ao exploit; qualquer movimento de fundos para exchanges centralizadas com KYC pode sinalizar tentativa de liquidação e oferecer janela para rastreamento e eventual recuperação parcial.

Como sempre, o volume será o árbitro final.

Como isso afeta o investidor brasileiro?

Efeito BRL: para o investidor brasileiro com posição em ETH ou em tokens de protocolos DeFi como AAVE, o impacto é duplo – além da queda nominal em dólar, há o efeito do câmbio. Com o dólar cotado a R$ 5,80, uma queda de 18% no token AAVE equivale, em reais, a aproximadamente 18% de desvalorização mais qualquer variação cambial no período; se o dólar se valorizar durante a turbulência – o que historicamente ocorre em momentos de fuga de risco global – a perda em BRL pode superar a queda nominal em USD. Um investidor com R$ 10.000 em AAVE que não se protegeu pode ter visto sua posição cair para R$ 8.200 ou menos em função do movimento combinado de preço e câmbio.

Acesso prático: investidores brasileiros que operam DeFi diretamente via carteiras como MetaMask ou Rabby devem verificar imediatamente se possuem qualquer exposição a rsETH ou a protocolos que congelaram mercados – o congelamento não impede saques de ativos não afetados, mas pode criar confusão operacional. Para quem acessa o mercado cripto via exchanges brasileiras como Mercado Bitcoin, Foxbit ou Binance Brasil, a exposição direta ao rsETH é improvável, mas a queda de confiança no DeFi como categoria pode pressionar os preços de ETH e tokens relacionados disponíveis nessas plataformas. O token AAVE é negociado na Binance Brasil e em plataformas internacionais acessíveis a brasileiros – verifique o status de liquidação de suas posições antes de qualquer movimentação em ambiente de alta volatilidade.

Publicidade

Atenção fiscal: qualquer venda de tokens com lucro no Brasil – incluindo liquidações forçadas ou trocas realizadas durante o episódio de pânico – está sujeita à tributação conforme a Lei 14.754/2023 e a Instrução Normativa 1.888 da Receita Federal. Ganhos em operações no exterior (incluindo DeFi) são tributados mensalmente via DARF, com alíquotas entre 15% e 22,5% dependendo do valor do ganho – a isenção de R$ 35.000 por mês se aplica apenas a vendas de ativos mantidos em território nacional. Perdas realizadas podem ser compensadas em ganhos futuros, o que torna o registro detalhado de todas as transações essencial. Utilize o programa GCAP da Receita Federal para cálculo e sempre consulte um contador especializado em criptoativos antes de declarar operações complexas envolvendo múltiplos protocolos e redes.

Riscos e o que observar

  • Risco de Bad Debt Não Resolvida no Aave – se os US$ 236 milhões (R$ 1,37 bilhão) em crédito podre não forem cobertos pelo Safety Module ou por leilão de dívida, o protocolo pode ser forçado a socializar as perdas entre detentores de stkAAVE, o que pressionaria ainda mais o preço do token. Gatilho a monitorar: qualquer proposta de governança do Aave que mencione “bad debt socialization” ou uso de reservas do protocolo nas próximas duas semanas.
  • Risco de Contágio em Outros LRTs – tokens de liquid restaking similares ao rsETH – como weETH da Ether.fi e ezETH da Renzo – estão sob escrutínio aumentado; qualquer desconto significativo de peg nesses tokens sinalizará que o mercado está generalizando a desconfiança para toda a categoria. O que observar: monitorar o spread de weETH e ezETH em relação ao ETH no DeFiLlama e no CoinGecko nas próximas 72 horas.
  • Risco Regulatório em Bridges Cross-Chain – o acúmulo de mais de US$ 605 milhões (R$ 3,51 bilhões) em perdas em abril de 2026 pode acelerar ações regulatórias de órgãos como a SEC americana ou mesmo a CVM brasileira sobre infraestrutura de pontes e protocolos de restaking; regulação apressada e mal calibrada poderia restringir o acesso de investidores brasileiros a plataformas DeFi de forma desproporcional. Gatilho a monitorar: qualquer comunicado oficial de reguladores sobre bridges cross-chain ou liquid staking nas próximas quatro semanas.
  • Risco de Segunda Rodada de Saques no Aave – como analisamos anteriormente no CriptoFácil ao cobrir a pressão de saída de desenvolvedores e usuários em protocolo DeFi de grande porte, episódios de perda de confiança raramente se esgotam em uma única onda; uma segunda rodada de saques pode ser desencadeada se surgirem novas informações sobre a extensão do bad debt ou se outros grandes holders decidirem reduzir exposição. O que observar: monitorar a taxa de utilização do ETH no Aave em tempo real via painel oficial do protocolo – qualquer retorno acima de 90% sinaliza nova pressão de liquidez.
  • Risco de Congelamento Prolongado em Protocolos Secundários – protocolos como SparkLend, Fluid e Euler que congelaram mercados de rsETH podem demorar semanas para reabrir dependendo do resultado da investigação forense e das garantias fornecidas pela KelpDAO; usuários com posições ativas nesses protocolos podem enfrentar períodos prolongados de acesso restrito. Gatilho a monitorar: comunicados oficiais de cada protocolo mencionando critérios específicos para reabertura dos mercados de rsETH.

O cenário é binário – ou recuperação estruturada, ou precedente sistêmico irreversível

Se a investigação forense conduzida pelas equipes da KelpDAO e do LayerZero confirmar que a vulnerabilidade estava circunscrita à configuração de DVN única naquele trajeto específico de Unichain para Ethereum mainnet; se o Aave resolver sua exposição de US$ 236 milhões (R$ 1,37 bilhão) em bad debt dentro de 30 dias via leilão de dívida sem necessidade de socialização de perdas; se o setor adotar amplamente as propostas de rate limiting do cofundador da Monad, Keone Hon, e as medidas de throttle na camada OFT endossadas pelo fundador da Ethena, Guy Young – então o TVL do DeFi pode se recuperar acima de US$ 95 bilhões (R$ 551 bilhões) nas próximas quatro semanas e o episódio será catalogado como uma correção dolorosa mas tecnicamente resolvível que acelerou a maturação da infraestrutura do setor.

Caso contrário, se a auditoria revelar que múltiplos trajetos do LayerZero estão configurados com DVN única sem que os protocolos que os utilizam saibam disso; se o bad debt do Aave exigir socialização de perdas ou se novos protocolos revelarem exposições ocultas ao rsETH; se o total de perdas em abril de 2026 ultrapassar US$ 1 bilhão (R$ 5,8 bilhões) antes do fim do mês – então o mercado passará a aplicar um desconto estrutural permanente a toda a categoria de liquid restaking tokens e bridges cross-chain, o TVL do setor pode testar os US$ 80 bilhões (R$ 464 bilhões) como novo suporte, e o processo de adoção institucional do DeFi sofrerá um retrocesso de meses ou anos difícil de quantificar.

Siga o CriptoFacil no Google News CriptoFacil
CriptoFácil
CriptoFácil é o usuário oficial por trás do criptofacil.com, um portal líder dedicado à disseminação de informações confiáveis e atualizadas sobre o universo das criptomoedas e tecnologia blockchain. Com 8 anos de experiência no setor, CriptoFácil não apenas cura conteúdos informativos, mas também estrutura páginas essenciais do site, como a homepage, sobre nós, contato, política de privacidade, entre outras, assegurando que os visitantes tenham acesso fácil e seguro às informações que procuram.
View all posts by CriptoFácil