“Extinção” é uma palavra muito pesada. Assim como minha opinião habitual, eu sou otimista em relação ao DeFi. Mas, voltando ao ponto, a cada poucos meses, o DeFi repete o mesmo drama de riscos, e depois finge que foi tudo imprevisível. Com o tempo, acabo admirando essa persistência.

Em 18 de abril, o atacante explorou uma vulnerabilidade na ponte cross-chain baseada em LayerZero do Kelp DAO, roubando 116.500 rsETH, avaliado em cerca de 292 milhões de dólares, representando aproximadamente 18% do total de circulação desse token. O atacante não vendeu imediatamente — hoje em dia, os hackers agem com mais cautela.

O hacker depositou 89.567 rsETH roubados na Aave V3 como garantia, tomou emprestado ETH nativo e depois desapareceu.

Assim, a Aave assumiu uma dívida ruim de cerca de 196 milhões de dólares do nada, enquanto esses tokens usados como garantia, há poucas horas, não deveriam existir do nada.

Em 48 horas, o valor total bloqueado na Aave (TVL) caiu de 26,4 bilhões de dólares para quase 20 bilhões, e atualmente está em 14 bilhões de dólares; o token nativo AAVE também caiu 16% de preço.

SparkLend e Fluid congelaram urgentemente os empréstimos relacionados ao rsETH, a Lido suspendeu o produto earnETH, e a Ethena, mesmo sem exposição direta ao risco, fechou rapidamente todas as suas pontes cross-chain LayerZero.

A vizinha pegou fogo, e seu tio, com medo de ser atingido, jogou todos os móveis pela janela. No cenário atual do setor, como posso criticar essa autoproteção?

Stani Kulechov, fundador da Aave, esclareceu no Twitter: o contrato da Aave não foi invadido, o mecanismo de pausa de emergência funcionou normalmente, e todo o sistema operou de acordo com o projeto.

Se esse sistema realmente funciona conforme o projeto, então esse próprio projeto é um desastre.

A ponte cross-chain do Kelp usa uma arquitetura de rede de validação descentralizada de nó único (1-of-1 DVN). Aqui está a explicação do seu significado:

Validador único: responsável pela verificação das transações por uma única entidade.
Autorização por assinatura única: basta uma “confirmação digital” para aprovar a transferência de ativos.
Permissão ilimitada: com uma única assinatura, tem-se o máximo poder de cunhar bilhões de dólares em tokens adicionais.

Mesmo um banco tradicional, para uma transferência de 10 mil dólares, geralmente precisa de duas ou três pessoas aprovando a assinatura.

E a ponte cross-chain do Kelp, que movimenta dezenas de bilhões de dólares em ativos entre blockchains, busca apenas baixo custo e uma arquitetura “simples”, totalmente desprovida de mecanismos eficazes de freio e controle de risco.

Agora, falando da Aave. Anteriormente, a Aave aceitava rsETH como garantia, com um valor de empréstimo (LTV) de até 93%. Em termos simples: para cada dólar de rsETH depositado, a Aave empresta 0,93 dólares em ativos reais. Só confia em um token com alta confiança, para definir um parâmetro tão agressivo. Mas esse token, cuja circulação total é confiável, pode ser emitido do nada com uma única transação, aumentando 18% de circulação instantaneamente.

O limite de depósito desse token é extremamente relaxado, permitindo que um único wallet deposite até 90 mil rsETH de uma só vez, sem disparar qualquer alerta de risco. Como descrever esse risco? Talvez a resposta seja óbvia.

Cada análise pós-evento chega à mesma conclusão: contratos inteligentes executaram corretamente, os dados do oráculo foram reportados normalmente, o mecanismo de liquidação foi acionado conforme as regras, e a função de pausa de emergência foi ativada em poucos minutos. São fatos, mas não capturam o núcleo do problema.

O projeto da Aave tem uma vulnerabilidade fundamental: enquanto o risco não for exposto publicamente, o sistema permite que carteiras anônimas depositem bilhões de dólares em garantias sem respaldo, e emitam dívidas reais com base nisso.

Esse projeto deriva de uma filosofia básica: desde que haja um preço do oráculo e limites de depósito suficientemente amplos, pode-se emprestar e usar como garantia sem restrições.

Os grupos que acreditam em “código é lei” sempre usam essa frase como uma espécie de mantra. Mas código sendo lei não significa que as regras sejam razoáveis, apenas que serão executadas mecanicamente, sem margem de manobra. Se as regras disserem “qualquer token com preço do oráculo pode ser usado como garantia de alto valor”, então essa execução incondicional é o que mais assusta.

Nos últimos seis anos, o DeFi tem se vangloriado de sua composabilidade. Todos falam sobre “lego financeiro”: camadas de protocolos aninhados, fluxo livre de fundos, mecanismos eficientes e sofisticados.

Por outro lado, bancos tradicionais nunca usariam títulos de dívida entre instituições como garantia facilmente, sempre com uma equipe de risco dedicada revisando tudo. Essa é uma lição da crise de 2008: posições financeiras altamente interligadas geram risco compartilhado, não retorno compartilhado. Globalmente, os reguladores já perceberam, em 2019, os perigos fatais dessa arquitetura DeFi.

Risco de contraparte em camadas, risco de zero desconto, sem limites de crédito, sem um último garantidor, e o setor ainda acredita cegamente que a transparência na blockchain substitui qualquer limite de controle de risco.

A taxa de utilização do fundo principal da Aave chegou a 100%, impossibilitando os depositantes de resgatar seus ETH. Isso é um típico “bank run” no setor financeiro tradicional.

Ao depositar ativos na Aave, o usuário está, na verdade, assumindo quatro riscos simultâneos: os parâmetros de risco da Aave, o oráculo do rsETH, a ponte Kelp, e a configuração da rede de validação descentralizada do Kelp. E a maioria dos usuários da Aave nem conhece a última.

Fatura de perdas

Perda na Kelp: 292 milhões de dólares;
Perda no evento da Drift, três semanas atrás: 285 milhões de dólares;
Em apenas 21 dias, duas das maiores plataformas do setor perderam quase 500 milhões de dólares.

No primeiro trimestre de 2026, o volume de negócios de venture capital em cripto caiu 48,9% em relação ao ano anterior, com rodadas de financiamento caindo de 358 para 183. No mesmo período, investimentos em IA atingiram 242 bilhões de dólares, cerca de 80% do total global de venture capital.

O capital destinado a melhorar a infraestrutura básica do DeFi está sendo direcionado para outros setores mais atraentes para especulação. As inovações realmente necessárias — limites de empréstimo conservadores, pontes cross-chain com múltiplos validadores, mecanismos de seguro efetivos, auditorias rotineiras de configurações básicas — permanecem ignoradas.

Nunca se viu alguém enriquecer simplesmente pensando “e se um nó de validação único (DVN) se tornar um ponto único de falha e causar um desastre”. Claro, o ataque de 18 de abril foi uma exceção.

Vamos fazer uma conta simples: em 18 de abril, o fundo de reserva de segurança da Aave tinha 390 milhões de dólares, enquanto o saldo de empréstimos não pagos era de 17,82 bilhões de dólares.

A taxa de capitalização implícita era de apenas 2,2%.

O Acordo de Basileia III exige uma capitalização mínima de 8% para bancos, e o JPMorgan, na prática, atingiu 15,5%. Já a reserva de garantia da Aave, com limite de penalidade de 30% sobre o AAVE, significa que o máximo de fundos disponíveis é cerca de 180 milhões de dólares, e a taxa de capitalização efetiva cai para aproximadamente 1,0%.

Soluções simples e viáveis sempre existiram: usar uma arquitetura de múltiplos validadores (Multi-DVN), reduzir o LTV de ativos duvidosos, estabelecer limites reais de fornecimento de tokens. A solução mais cara, porém, é admitir uma verdade: a composabilidade nunca foi uma vantagem, é apenas um mecanismo de transmissão de risco bem embalado.

Não vejo isso como apenas uma questão de segurança. Nos últimos seis anos, o DeFi tem se iludido com a ideia de que transparência na blockchain equivale a segurança de ativos. E a cada 18 meses, uma crise maior vem provar o erro dessa crença.

“Lego financeiro” soa bem, mas também descreve a realidade atual: empilhar blocos de plástico em uma mesa em chamas. Essa é uma lição que meus maiores me ensinaram, e que é certeira.

AAVE-3,5%

ETH-2,39%

ZRO-2,53%

Ver original

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.