Foram os hackers e a regulação que arruinaram as DeFi?

Autor: Gu Yu, ChainCatcher

Em abril de 2026, uma série de desastres de segurança colocou novamente as DeFi no centro das atenções. Os ataques à Kelp DAO e ao Drift Protocol resultaram em prejuízos superiores a US$ 575 milhões, fazendo com que o valor total bloqueado (TVL) nas DeFi despencasse de aproximadamente US$ 172 bilhões para US$ 148 bilhões, com o TVL no setor de empréstimos colapsando de US$ 53 bilhões para US$ 40 bilhões.

Recentemente, Manuel Aráoz, cofundador da renomada empresa de auditoria de segurança OpenZeppelin, afirmou categoricamente na plataforma X: "Acredito que todas as DeFi são inseguras agora". Ele mencionou até que começou a aconselhar amigos e familiares a liquidar todas as posições em DeFi, incluindo protocolos como Aave, MakerDAO e Compound, reconhecidos como "blue chips de baixo risco".

Embora este julgamento seja particularmente duro, vale a pena refletir. Afinal, a OpenZeppelin tem sido, há muito tempo, uma das construtoras mais importantes da infraestrutura de segurança no mundo DeFi, com seus padrões de contratos inteligentes e ferramentas de segurança permeando todo o desenvolvimento da indústria. Se até aqueles que melhor compreendem o sistema de segurança de contratos inteligentes começam a questionar os riscos das DeFi e a retirar seus investimentos, isso indica, sem dúvida, que questões mais profundas estão surgindo.

Nos últimos anos, sempre que as DeFi enfrentavam contratempos, as pessoas conseguiam encontrar rapidamente uma razão específica. Durante as quedas de mercado, a culpa era atribuída ao macroambiente; quando ocorriam ataques de hackers, as pessoas atribuíam a vulnerabilidades técnicas; quando agências reguladoras agiam, os problemas eram resumidos como pressão política.

No entanto, se estendermos a dimensão temporal, encontraremos um fato cada vez mais claro: a situação difícil que as DeFi enfrentam hoje não é causada por um único ataque, uma política regulatória específica ou um projeto fracassado, mas sim pelo fato de que as duas lógicas centrais sobre as quais foram originalmente construídas estão enfrentando desafios simultâneos.

Uma lógica vem do mundo técnico, ou seja, que o código pode substituir a confiança. A outra lógica vem do mundo institucional, que afirma que redes abertas podem contornar as restrições dos sistemas financeiros tradicionais.

E hackers e reguladores atingiram precisamente esses dois pilares.

I. A evolução profunda da crise de segurança das DeFi

Por uma década, o paradoxo central no campo da segurança DeFi nunca mudou. Pesquisadores de segurança Web3 identificaram há muito tempo essa assimetria fatal: o defensor deve corrigir todas as vulnerabilidades possíveis, enquanto o atacante só precisa ter sucesso em um aspecto.

Na superfície, os métodos de ataque não passam dos suspeitos de sempre: vulnerabilidades em pontes cross-chain, sequestro de permissões de multi-assinatura, manipulação de oráculos, etc. No entanto, os incidentes envolvendo a Kelp DAO e o Drift Protocol revelam uma tendência mais brutal: as vulnerabilidades mais fatais muitas vezes não residem no código do contrato inteligente.

Em 18 de abril, o protocolo de re-staking de liquidez da Ethereum, Kelp DAO, foi atacado. O atacante explorou uma vulnerabilidade de configuração na DVN (Rede de Validação Descentralizada) da ponte cross-chain LayerZero, forjando mensagens cross-chain e sacando 116.500 rsETH da ponte em poucas horas, totalizando aproximadamente US$ 293 milhões na época.

A essência deste desastre é um erro de configuração, não um defeito de código. A Kelp DAO escolheu uma configuração "1-de-1" para a rede de validação cross-chain da LayerZero — apenas a confirmação de um nó DVN é necessária para que as mensagens cross-chain sejam consideradas legítimas. Quando o atacante comprometeu dois nós RPC que forneciam dados de validação e lançou um ataque DDoS, todo o sistema de ponte tornou-se praticamente inexistente.

Em 1º de abril, uma das maiores DEXs de contratos perpétuos no ecossistema Solana, o Drift Protocol, foi atacada, resultando em uma perda de US$ 285 milhões, tornando-se o maior incidente de ataque DeFi de 2026 até o momento e o segundo maior caso de hack na história da Solana.

Isso também não foi uma vulnerabilidade de contrato inteligente. O atacante usou engenharia social para comprometer pelo menos dois dos três signatários da carteira multi-assinatura, forçando-os a pré-assinar transações maliciosas usando o recurso de nonce durável da Solana. Assim que o atacante obteve privilégios administrativos, completou o roubo dos fundos em menos de 12 minutos.

A raiz do ataque reside em uma falha completa na segurança operacional (OpSec): configuração inadequada da carteira multi-assinatura, pontos cegos na gestão de chaves e uma linha de defesa contra engenharia social que era praticamente inexistente.

Esses dois incidentes revelam a profunda evolução da crise de segurança das DeFi: os pontos de ruptura dos ataques estão mudando sistematicamente das vulnerabilidades tradicionais de código de contratos inteligentes para as camadas de configuração e camadas humanas/OpSec.

Manuel Aráoz apontou o cerne do problema: "A segurança de contratos inteligentes é essencialmente um jogo extremamente assimétrico — os defensores devem corrigir todas as vulnerabilidades, enquanto os atacantes só precisam encontrar uma para roubar fundos". À medida que a IA começa a aumentar exponencialmente a eficiência dos ataques, essa assimetria está se tornando rapidamente desequilibrada.

Agentes de codificação de IA podem comprimir problemas que antes exigiam semanas de equipes de elite de white-hat para descobrir em questão de minutos, até mesmo gerando autonomamente scripts de ataque baseados em códigos de protocolos disponíveis publicamente. Como uma das empresas de auditoria de segurança mais tradicionais do setor, o julgamento pessimista do cofundador serve como um sinal — a própria indústria de segurança está percebendo que a estrutura de defesa existente enfrenta uma falha sistêmica.

II. A disseminação contínua da pressão regulatória

À medida que a crise de segurança se aprofunda, as forças regulatórias também exercem pressão contínua tanto nas dimensões on-chain quanto off-chain.

Em 26 de maio, o governo do Reino Unido incluiu a exchange de criptomoedas HTX em sua lista de sanções contra a Rússia, marcando a primeira vez que utilizou o Regulamento 17A para impor sanções a uma exchange de criptomoedas. O Reino Unido acusou a HTX de movimentar US$ 3,3 trilhões em transações em 2025, supostamente fornecendo serviços financeiros à rede de pagamentos sancionada A7 e à exchange russa Garantex.

A reação em cadeia desencadeada pelas sanções espalhou-se rapidamente. Como várias empresas de AML (prevenção à lavagem de dinheiro) listaram o endereço da exchange HTX como de alto risco, muitas exchanges que utilizam seu sistema AML endureceram as revisões de transações relacionadas a endereços associados à HTX, levando inúmeros usuários da HTX a enfrentar problemas com saques de ativos para outras exchanges.

O incidente da HTX revela um dilema mais profundo: sob um cenário geopolítico complexo, uma única sanção iniciada por reguladores pode desencadear um efeito em cadeia crescente on-chain, afetando, em última análise, os fundos de inúmeros usuários comuns. Um usuário da HTX pode ser completamente inocente ao manter ativos, mas devido aos potenciais riscos de conformidade da plataforma, pode encontrar o "firewall" de todo o sistema AML ao tentar sacar para outras exchanges, resultando em fundos congelados ou indefinidamente atrasados.

Na verdade, o incidente da HTX é apenas a ponta do iceberg da pressão regulatória. O que realmente restringe a inovação DeFi em um nível mais profundo é a caracterização legal dos modelos de negócios subjacentes dos protocolos pelas agências reguladoras.

Nos últimos dois anos, a SEC dos EUA iniciou investigações sobre protocolos DeFi "blue chip" como Compound, Uniswap e Curve, focando em saber se os tokens de governança constituem valores mobiliários não registrados. Golpes mais diretos vêm do setor de tokens que geram rendimento — as ações de execução da SEC contra produtos como o Gemini Earn indicam que, desde que um protocolo pague aos usuários juros passivos com base em depósitos, ele é facilmente classificado como um contrato de investimento, desencadeando obrigações de registro e divulgação sob a Lei de Valores Mobiliários.

Essa ambiguidade legal e o ambiente de alta pressão sufocam diretamente as direções mais imaginativas da inovação DeFi: desde mineração de liquidez até produtos de rendimento estruturado, os desenvolvedores devem se preocupar constantemente se seus modelos econômicos de token cruzam linhas vermelhas regulatórias.

Em certo sentido, a natureza "sem permissão" que as DeFi enfatizavam inicialmente está evoluindo gradualmente para outra forma de "sistema de permissão". Essa "permissão" não vem de uma empresa ou protocolo específico, mas de cada elo na cadeia de conformidade regulatória: listas de AML, motores de controle de risco de exchanges, a jurisdição de longo alcance das leis de valores mobiliários, e assim por diante.

III. As DeFi entram em uma fase realista

Olhando para os altos e baixos das DeFi nos últimos anos, os dilemas de segurança e as pressões regulatórias das DeFi não existem de forma independente. A falta de uma estrutura regulatória clara torna difícil estabelecer um consenso da indústria sobre padrões de segurança; a ocorrência frequente de incidentes de segurança, por sua vez, fornece a justificativa mais direta para as agências reguladoras globais endurecerem a aplicação da lei; e a aceleração da assimetria de segurança na era da IA, combinada com limites de conformidade gradualmente mais rígidos, entrelaçam-se para empurrar inúmeros usuários comuns para o centro da tempestade.

Essencialmente, os limites da auditoria de segurança e a rigidez da conformidade regulatória estão erodindo continuamente as duas premissas centrais sobre as quais as DeFi se sustentam — "código é lei" e "liberdade sem permissão".

Hoje, os usuários suportam riscos técnicos maiores do que nas finanças tradicionais, mas podem não ganhar mais liberdade do que nas finanças tradicionais. É precisamente por isso que muitos participantes do mercado estão confusos. Eles descobrem que as DeFi não são tão seguras quanto os bancos nem tão completamente abertas quanto prometido inicialmente.

Quando um sistema perde simultaneamente prêmios de segurança e prêmios de liberdade, sua lógica de crescimento será naturalmente desafiada. Portanto, a pergunta pode não ser "Hackers e reguladores destruíram as DeFi?"

Mais precisamente, hackers e reguladores simplesmente forçaram a indústria a enfrentar a realidade. Os hackers fizeram as pessoas perceberem que o código não cria confiança inerentemente; os reguladores fizeram as pessoas perceberem que o mundo on-chain nunca operou como um universo paralelo desvinculado do mundo real.

Isso não significa o fracasso das DeFi. Pelo contrário, significa que este experimento está transitando de uma fase idealista para uma fase realista.

As DeFi não estão sendo destruídas por hackers ou reguladores. Elas estão sendo redefinidas pelas leis de sobrevivência moldadas por ambos: o futuro das DeFi deve caminhar para estruturas de autorregulação e conformidade mais rigorosas, forçando concessões nos princípios de descentralização; ou perder gradualmente a confiança do mercado devido ao desequilíbrio contínuo entre ataque e defesa, levando a uma marginalização de longo prazo.