Abril tornou-se o mês com mais hacks em cripto pelo número de incidentes, com quase 30 casos reportados, e um dos maiores em valor em dólares, com perdas totais que ultrapassaram os US$ 630 milhões. A maior parte disso veio de dois exploits DeFi, Drift Protocol e KelpDAO, que juntos foram responsáveis por mais de 90% dos fundos roubados. Mas o impacto de um ataque também pode ser sentido além dos protocolos hackeados. Esses incidentes podem prejudicar os preços dos tokens, enfraquecer a confiança no DeFi e colocar mais pressão sobre os fundos líquidos e focados em rendimento que já vêm enfrentando dificuldades desde o evento recorde de liquidação de 10 de outubro.

Entrei em contato com vários investidores e analistas para entender por que os hacks de DeFi estão aumentando e o que eles podem significar para os fundos de cripto. A maioria disse que os incidentes mais recentes provavelmente não irão quebrar o DeFi, mas ainda podem adicionar pressão aos fundos através de preços de tokens mais fracos e exposição do portfólio.

Em meio à preocupação generalizada de que o avanço das ferramentas de IA contribuiu para o número recorde de hacks em abril, Igor Igamberdiev, meu ex-colega analista e agora chefe de pesquisa da Wintermute, disse que seu papel não deve ser superestimado. Igamberdiev, que também faz parte do SEAL 911, um grupo de resposta a emergências cripto que ajuda equipes durante hacks ativos e incidentes de segurança, disse que os modelos de linguagem grandes melhoraram muito recentemente e agora podem ajudar os atacantes a encontrar vulnerabilidades mais facilmente e rapidamente. Mas ele disse que ainda é difícil chamar a IA de principal catalisador para a mais recente onda de exploits, especialmente quando muitos incidentes ainda envolviam abuso de funções administrativas e engenharia social.

A empresa de análise de blockchain TRM Labs esta semana disse que seus analistas começaram a especular que hackers norte-coreanos estão usando ferramentas de IA para pesquisa e engenharia social, já que ataques como o do Drift parecem mais direcionados e complexos do que os comprometimentos anteriores de chaves privadas. Vários outros investidores compartilharam uma visão semelhante, dizendo que a IA pode estar auxiliando nos ataques, mas ainda não está descobrindo autonomamente zero-days ou executando exploits novos. (Uma vulnerabilidade zero-day é uma falha de software desconhecida para o fornecedor, dando-lhes zero dias para corrigi-la antes que os hackers a explorem.)

Alguns investidores disseram que o DeFi é maior e mais conectado agora, então há mais pontos fracos para atacar. Francis Zhan, associado da equipe de cripto da Tribe Capital, disse que o DeFi agora tem mais ligações entre os protocolos, o que significa "mais complexidade + mais TVL [valor total bloqueado] = mais superfície de ataque por dólar garantido". Evgeny Gokhberg, fundador da Re7 Capital, e Amir Hajian, pesquisador da empresa de investimento em cripto Keyrock, enquanto isso, apontaram que abril pareceu severo pelo número de hacks, mas as perdas como porcentagem do TVL do DeFi ainda estão abaixo dos picos de ciclos anteriores.

 

"O volume de hacks de abril, anualizado, aponta para cerca de US$ 750 milhões. Com o TVL do DeFi previsto para crescer 31% — em linha com o crescimento médio anual [ano a ano] desde 2021 — a relação entre o volume de hacks e o TVL continua seu declínio estrutural, de 7,24% em 2022 para um projetado 1,49% em 2026", disse Gokhberg. "O mês pareceu agudo; no contexto de um ecossistema amadurecendo e se expandindo, a trajetória está inequivocamente melhorando.”

 

Vários investidores disseram que a segurança não pode mais ser tratada como uma auditoria única antes do lançamento. As equipes de DeFi agora precisam de monitoramento contínuo, gerenciamento de chaves mais robusto, melhores configurações de ponte, planos de resposta a incidentes mais claros e controles mais rigorosos sobre quem pode acessar funções administrativas. "O problema estrutural é que os protocolos DeFi estão lidando com valor em escala de estado-nação com uma arquitetura de segurança em escala de startup", disse Anirudh Pai, sócio da Robot Ventures.

Os gastos com segurança permanecem baixos, disseram vários investidores. "Existem muitos protocolos que estão essencialmente sem gerenciamento hoje, mas ainda têm milhões ou dezenas de milhões de dólares em seus contratos inteligentes. O ponto de referência certo daqui para frente não tem nada a ver com auditoria, isso é o básico, mas sim quanta atenção está sendo dada ao monitoramento em tempo real, gerenciamento de chaves, resposta a incidentes e opsec geral", disse Rob Hadick, sócio geral da Dragonfly.

A IA também poderia ajudar no lado da segurança. "A maioria dos protocolos ainda não possui infraestrutura de monitoramento em tempo real; eles descobrem que foram hackeados quando alguém tuíta sobre isso", disse Thomas Klocanas, sócio-gerente da Strobe Ventures. "Ferramentas de segurança impulsionadas por IA são uma das áreas de investimento mais interessantes em cripto atualmente." Hadick acrescentou uma ressalva: startups de segurança apenas para cripto historicamente tiveram dificuldades porque as empresas de cripto sozinhas não eram um mercado grande o suficiente para suportar resultados de venture muito grandes. Mas à medida que stablecoins e ativos tokenizados se movem para empresas tradicionais, isso pode mudar, especialmente para startups que resolvem problemas de cibersegurança mais amplos.

Vários investidores disseram que os hacks podem desacelerar a adoção do DeFi no curto prazo, mas é improvável que parem o movimento mais amplo em direção às finanças onchain. Praneeth Srikanti, parceiro de investimento técnico da Ethereal Ventures, disse que as instituições não precisam que o DeFi seja livre de riscos. Segundo ele, elas precisam que o risco seja "medido, limitado, governado, reportado, remediado e, onde possível, transferido". Isso poderia significar mais capital se movendo em direção a pools permissionados.

Hadick disse que o custo real é que esses hacks atrasam a conversa sobre DeFi institucional por mais 6 a 12 meses e dão às equipes de compliance "mais munição para continuar dizendo não, mas não espere que isso tenha um impacto significativo a longo prazo", já que os problemas de segurança não estão isolados em cripto. "Veja o hack da Vercel que aconteceu há apenas algumas semanas — esse foi provavelmente o maior que tivemos em anos", acrescentou.

Hadick afirmou ainda que o capital institucional que está de fato se movendo onchain está indo para stablecoins, títulos tokenizados, outros ativos do mundo real (RWAs) ou cofres RWA, e locais permissionados e/ou isolados, observando que essa parte do mercado continuará a crescer porque a tecnologia é muito melhor.

Notavelmente, após o exploit do KelpDAO, a indústria DeFi coordenou mais de US$ 300 milhões em suporte prometido via o fundo DeFi United, ajudando a limitar danos maiores. Vários investidores disseram que isso mostrou que o DeFi amadureceu e pode responder sob estresse. Mas também disseram que a indústria não pode depender de resgates de emergência toda vez que algo quebra. "O DeFi United foi em grande parte um ato de autointeresse", disse Samantha Bohbot, sócia e diretora de crescimento da RockawayX. "Os participantes entenderam que, sem um esforço de recuperação, o dano à reputação e a contaminação colateral lhes custariam muito mais do que o próprio resgate. Isso sinaliza uma certa maturidade no ecossistema, mas não deve ser confundido com altruísmo."

A pressão ao nível dos fundos

Um dos maiores impactos pode ser sobre os próprios fundos. Para fundos de venture capital e equity, o impacto direto é frequentemente limitado, a menos que uma empresa do portfólio estivesse estreitamente ligada aos protocolos afetados. Mas os fundos líquidos e focados em rendimento estão mais diretamente expostos porque frequentemente detêm tokens DeFi, usam mercados de empréstimo ou executam estratégias de rendimento onchain. Hadick disse que os hacks mais recentes tornam a captação de recursos "absolutamente mais difícil" para fundos líquidos que precisam estar onchain e negociar ativos voláteis. Ele acrescentou que os fundos de rendimento já estavam lutando para encontrar um bom rendimento onchain, enquanto os fundos líquidos têm sofrido desde 10 de outubro.

Pai da Robot Ventures e Zhan da Tribe Capital disseram que suas empresas não foram afetadas pelos hacks recentes. Bohbot da RockawayX disse que sua empresa não tinha exposição direta aos protocolos Drift, Kelp ou Resolv. Ela disse que o impacto indireto veio por meio de mudanças nas taxas de depósito e empréstimo, mas não houve "efeito material" no desempenho do fundo. Klocanas da Strobe Ventures também disse que sua empresa não teve exposição direta a desvalorizações porque não tinha empresas de portfólio com valor total bloqueado, receita ou atividade de usuário significativas ligadas aos protocolos afetados.

Mathijs van Esch, sócio geral da Maven 11, disse que as participações líquidas da empresa "provavelmente sofreram um golpe" à medida que os tokens cripto reagiram aos hacks e exploits, e que isso provavelmente afetou portfólios em todo o espaço. Ele acrescentou que isso também pode acontecer em um movimento de mercado mais amplo.

Hajian da Keyrock disse que o impacto total dos fundos em toda a indústria pode levar tempo para aparecer publicamente. Ele observou que nenhum grande fundo líquido ainda divulgou uma desvalorização especificamente ligada a Drift ou Kelp em uma carta de fundo, em parte porque as cartas do Q2 são geralmente esperadas por volta de meados de julho. Mas ele disse que a mecânica já está clara e vem em várias camadas.

A primeira camada de Hajian são as desvalorizações diretas de garantias. Qualquer fundo que detivesse rsETH durante o exploit do Kelp teve que decidir se o marcaria pelo preço de mercado mais baixo ou mais próximo do par, caso acreditasse que a recuperação do DeFi United funcionaria, disse Hajian. Ele acrescentou que ambas as escolhas são defensáveis, mas cada uma tem consequências. Fundos sem exposição direta a rsETH ainda poderiam ser atingidos por meio de posições Pendle PT-rsETH, posições de provedor de liquidez Curve ou estratégias estruturadas de restaking líquido. Ele disse que esta parte do contágio é frequentemente subnotificada. Um fundo pode ter exposição direta zero ao ativo hackeado e ainda assim sofrer uma desvalorização de 5% a 15% em uma estratégia por causa desse risco embutido, acrescentou.

Hajian disse que a segunda camada de pressão vem através dos mercados de empréstimo e estratégias de rendimento. Após o colapso do Kelp, a Aave registrou quase US$ 8,5 bilhões em saídas, as taxas de empréstimo dispararam e os custos de empréstimo de stablecoins aumentaram drasticamente. "Fundos de rendimento que executam estratégias delta-neutras que dependiam de custos de empréstimo estáveis sofreram perdas marcadas a mercado na perna de financiamento, mesmo onde suas garantias não foram tocadas", disse ele.

A terceira camada de Hajian é a liquidez e o "gating" (restrição de saques). Fundos líquidos que publicam valores patrimoniais líquidos diários ou semanais enfrentam um verdadeiro desafio quando a garantia subjacente está comprometida e a recuperação depende de um esforço de resgate de várias semanas, disse ele. Fundos de rendimento que oferecem resgates mensais podem precisar decidir se devem impor restrições, criar side-pockets ou absorver totalmente as desvalorizações, e cada opção cria um problema diferente para os LPs (Limited Partners), disse ele. A quarta camada está nas contrapartes e linhas de crédito. Hajian disse que os prime brokers e mesas de balcão "não cortaram linhas de crédito em massa", mas novas exposições se tornaram mais restritas. Fundos que dependiam dessas linhas de crédito para suas estratégias de restaking estruturado tiveram que ou desalavancar a preços desfavoráveis ou aceitar termos materialmente piores, de acordo com Hajian. "Isso é um impacto direto nos retornos líquidos, mesmo onde a garantia principal não se moveu muito", disse ele.

Quanto à sua empresa Keyrock especificamente, Hajian disse que seu negócio principal é formador de mercado, OTC (over-the-counter) e provisão de liquidez "em vez de fundos de rendimento direcionais combinados", e os frameworks de risco operacional que a empresa executa para seu próprio balanço patrimonial são diferentes de um fundo de rendimento líquido típico. "As implicações de portfólio que descrevi acima são mais agudas para fundos cujo produto é explicitamente rendimento nativo de DeFi, e essas são as estratégias onde eu esperaria as desvalorizações e mudanças de relatórios mais visíveis nas cartas de LP do Q2", Hajian disse. 

Para se inscrever na newsletter gratuita The Funding, clique aqui.