O DeFi sofreu seu pior mês em mais de um ano neste abril, com exploradores desviando US$635 milhões em 28 incidentes separados, de acordo com dados compilados por empresas de segurança blockchain. O total eleva as perdas históricas acumuladas para US$16,5 bilhões, com US$7,7 bilhões desse montante direcionados especificamente ao DeFi. O evento mais danoso do mês — o ataque à ponte rsETH — deixou a Aave com US$200 milhões em dívidas incobráveis e reabriu um debate sobre como a indústria prioriza velocidade em detrimento da segurança.
O ataque rsETH: uma configuração única que perdurou por anos
O ataque à ponte rsETH da KelpDAO explorou uma configuração de rede de validadores descentralizados (DVN) do tipo 1-de-1 — uma configuração que exigia apenas um único validador para aprovar uma mensagem. Os atacantes comprometeram a infraestrutura RPC, forçaram uma falha para nós envenenados via DDoS e injetaram dados falsos naquele DVN solitário. A mensagem forjada liberou aproximadamente 116.500 rsETH, que foram então depositados como garantia na Aave.
O relatório de incidentes da Aave confirmou que a cadeia Ethereum aceitou o nonce 308 do ataque, enquanto o endpoint de origem da Unichain nunca avançou além de 307 — uma incompatibilidade que deveria ter sido detectada com melhor monitoramento. A KelpDAO afirma que o DVN 1-de-1 era o padrão fornecido pela própria LayerZero. A LayerZero contra-argumenta que a KelpDAO fez o downgrade para essa configuração. Independentemente disso, a LayerZero desde então baniu a configuração DVN 1-de-1 em todo o protocolo.
Culpa, responsabilidade e o vínculo com a Lazarus
A Chainalysis vinculou preliminarmente o ataque ao grupo norte-coreano Lazarus, embora a atribuição ainda esteja em andamento. Para a indústria, o incidente é menos sobre quem fez e mais sobre como aconteceu. “O DeFi historicamente recompensou crescimento, integrações, liquidez e velocidade em detrimento da maturidade de segurança”, disse Mitchell Amador, CEO da Immunefi. Ele apontou práticas negligenciadas, como higiene de multisig, fortalecimento da cadeia de suprimentos, monitoramento em tempo real e procedimentos de resposta a emergências que muitos protocolos ainda ignoram.
Ben Nadareski, CEO da Solstice Finance, foi direto: “Equipes vencedoras serão construídas com conformidade e segurança desde o primeiro dia.” E o CTO da Euler Finance, Kasper Pawlowski, observou que a avaliação de riscos no DeFi é frequentemente tratada como uma lista de verificação única, mas “o risco é dinâmico”.
US$11 bilhões em TVL eliminados em um único mês
Além do caso rsETH, o DeFi perdeu quase US$11 bilhões em valor total bloqueado no mês passado devido a explorações de alto perfil na Drift e na ponte da KelpDAO. Os números ressaltam uma tendência contra a qual pesquisadores de segurança vêm alertando: à medida que os protocolos buscam integrações e liquidez, a superfície de ataque se expande mais rápido do que as defesas conseguem acompanhar. O total de abril é a maior perda mensal desde o início de 2024.
A questão agora é se a indústria finalmente tratará a segurança como um processo contínuo, em vez de uma lista de verificação do dia do lançamento — ou esperará por outro buraco de US$200 milhões aparecer.
