O que começou como o exploit da Kelp DAO não é mais apenas uma história de bridge, mas agora é um referendo cripto sobre como o DeFi lida com segurança, contágio e responsabilidade.
O dano imediato já era severo. O exploit de aproximadamente US$ 292 milhões atingiu a bridge rsETH da Kelp DAO, desencadeou preocupações com dívidas incobráveis na Aave e gerou uma nova rodada de acusações entre protocolos e provedores de infraestrutura.
A reação do mercado foi brutal. Analistas onchain da Lookonchain disseram que o valor total bloqueado (TVL) da Aave caiu quase US$ 8 bilhões depois que o atacante usou ativos roubados vinculados à Kelp DAO como garantia, deixando cerca de US$ 195 milhões em dívidas incobráveis.
Os dados do The Block agora mostram que o TVL da Aave sofreu uma forte queda em 48 horas, à medida que os fundos foram realocados para outros lugares, incluindo o Spark.
Expandir Gráfico
O The Block relatou posteriormente que a Aave havia modelado dois possíveis cenários de dívidas incobráveis ligados às consequências.
Enquanto isso, os fundos roubados no exploit começaram a se mover entre as chains depois que a Arbitrum congelou uma grande parte do ETH vinculado.
Uma questão contundente agora em circulação na indústria debate não se o DeFi ainda funciona, mas que tipo de riscos ele ainda está tolerando em 2026.
O fundador da Curve, Michael Egorov, colocou isso nos termos mais diretos. "WTF? Somos uma indústria de palhaços?", ele escreveu no X, argumentando que as falhas recentes ligadas a pontos centralizados de falha estão prejudicando uma indústria que ainda afirma estar construindo o futuro das finanças.
Seu ponto principal está sendo compreendido. A violação da Kelp não atingiu apenas um protocolo, mas se espalhou através da composability.
Uma única falha de bridge se transformou em risco de garantia multiprotocolo. O risco de garantia se transformou em estresse de empréstimo. O estresse de empréstimo se transformou em saques. No DeFi, o código pode ser modular, mas o pânico é compartilhado.
Wenzhao Dong, analista de blockchain da CertiK, disse ao The Block que o problema não é que o DeFi esteja inerentemente quebrado. Pelo contrário, é que muitas equipes ainda tratam a segurança como um custo indireto.
"Os protocolos que sobreviverem ao próximo ciclo serão aqueles que veem a segurança como a TradFi vê o risco de contraparte — como um fator crucial, não uma reflexão tardia", disse Dong.
Brian Trunzo, chief growth officer da Succinct Labs, compartilhou um ponto semelhante. Ele disse que as bridges não deveriam mais depender de modelos de validadores que exigem muita confiança quando sistemas baseados em prova existem.
Em sua opinião, o exploit da Kelp foi uma falha na camada de verificação da bridge, não um bug típico de smart contract, e isso mostrou o quão perigosas as suposições de um único signatário ainda são.
"Neste ponto, se seu modelo de confiança é inferior a ZK, você está sendo grosseiramente negligente. Talvez até imprudente", disse Trunzo ao The Block.
Outros levaram a crítica adiante.
Sergej Kunz, co-fundador da 1inch, disse que o episódio expôs o quão frágil o modelo de pool compartilhado pode se tornar quando um ativo problemático impulsiona a utilização total e efetivamente aprisiona os fundos dos usuários. Matthew Pinnock, COO da Altura DeFi, acrescentou que a velocidade dos saques mostrou a rapidez com que a confiança pode se desfazer quando as premissas de garantia são quebradas.
Ainda assim, nem todos saíram mais pessimistas.
O especialista em segurança da Metamask, Taylor Monahan, chamou o congelamento emergencial de ETH roubado pela Arbitrum de um sinal de que "o DeFi venceu pra caramba", elogiando a coordenação necessária para impedir mais danos.
Haseeb Qureshi, da Dragonfly, disse que o DeFi sempre aprendeu com as falhas, comparando o momento atual a crises anteriores como a Terra, as quebras de leilão de março de 2020 e o depeg do stETH. Erik Voorhees apresentou um argumento semelhante a partir de primeiros princípios: em cripto, ele argumentou, as falhas permanecem próximas à fonte em vez de serem socializadas em toda a sociedade, como frequentemente acontece nas finanças tradicionais.
Uma perspectiva ligeiramente diferente foi oferecida por Neil May, CEO da defi.com. Em conversa com o The Block, May conjecturou que a fraqueza do DeFi não é apenas técnica, mas também experiencial. Ainda se espera que os usuários entendam demais, se exponham demais e se recuperem muito mal quando as coisas dão errado.
"As pessoas precisam entender o que estão assinando, limitar o que expõem e ter um caminho claro de recuperação quando as coisas dão errado. Isso é simplesmente um nível empresarial que falta no DeFi hoje", disse May. "Os produtos que conquistam a confiança do mainstream serão aqueles que tornam a segurança invisível, não aqueles que pedem aos usuários para serem sua própria equipe de segurança."
Para alguns, essa pode ser a conclusão mais importante do incidente da Kelp.
O exploit reviveu um antigo argumento do DeFi sobre descentralização versus conveniência, mas também acentuou um mais novo: a segurança não termina mais nos próprios contratos de um protocolo.
Um mercado de empréstimos pode ser saudável em seus próprios termos e ainda ser atingido por uma bridge upstream.
Uma bridge pode se autodenominar descentralizada e ainda depender de um elo fraco.
Um congelamento de emergência pode salvar fundos e ainda reabrir questões desconfortáveis sobre governança e intervenção.
Lukas Schor, presidente da Safe Ecosystem Foundation, disse ao The Block que o padrão maior importa mais do que o jogo de culpas sobre quem, em última instância, preenche o buraco da Aave.
Atores ligados ao Lazarus, disse ele, aceleraram a cadência de ataques este mês, enquanto a IA está começando a ampliar os riscos de reconhecimento e engenharia social.
Na visão de Schor, a indústria DeFi está enfrentando um adversário de nível de estado-nação com defesas ainda construídas para uma era mais suave.
"O que está claro agora é que mesmo os protocolos DeFi mais estabelecidos têm um alvo nas costas", ele disse ao The Block. "A cibersegurança sempre foi um jogo de gato e rato. Mas agora está claro que nós, como indústria, temos que aprimorar nossas defesas. Caso contrário, a confiança no DeFi será muito rapidamente e irremediavelmente erodida."
Ele postulou que este é o ponto exato pelo qual os números importam além das manchetes. O The Block relatou no início desta semana que as perdas do DeFi já haviam ultrapassado US$ 600 milhões em apenas semanas. Adicione o exploit de aproximadamente US$ 285 milhões da Drift e a estimativa revisada de perda de US$ 2,5 milhões da Hyperbridge, e abril está se configurando como mais um mês que força o setor a responder a perguntas difíceis sobre suposições de confiança e disciplina operacional.
Disclaimer: O The Block é um veículo de mídia independente que entrega notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é uma investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de cripto Bitget é uma LP âncora para a Foresight Ventures. O The Block continua a operar independentemente para entregar informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou pretendido para ser usado como aconselhamento legal, fiscal, de investimento, financeiro ou outro.
