#DeFiLossesTop600MInApril

Abril de 2026 é agora o pior mês registrado para violações de segurança em DeFi. A CertiK rastreou 29 incidentes totalizando perdas de $651 milhões — e dois mega-exploits sozinhos representaram 93% do dano.

Os dois golpes catastróficos:

Drift Protocol (Solana) — $285M (1º de abril): O Grupo Lazarus passou 6 meses construindo confiança com a equipe do Drift — reuniões presenciais em vários países, mais de $1M em depósitos reais — depois enganou os signatários multisig para pré-aprovar autorizações ocultas e drenou $285M em 12 minutos. Os fundos foram bridged para Ethereum em questão de horas. Segundo maior exploit na história do Solana.

Kelp DAO (Ethereum/LayerZero) — $293M (18 de abril): Um atacante enviou uma mensagem falsificada de cadeia cruzada para a ponte LayerZero do Kelp DAO às 17:35 UTC, enganando-a a liberar 116.500 rsETH (~18% de toda a oferta circulante do token). O rsETH roubado foi então depositado como garantia na Aave v3, emprestando grandes quantidades de wETH — deixando a Aave com $195M em dívida ruim, uma queda de 18% no token AAVE, e ~$8B em saídas de TVL.

Divisão por vetor de ataque (dados da CertiK):

Vetor Perdas

Comprometimento de carteiras $611M

Manipulação de preço $18,8M

Vulnerabilidades de código $16,9M

Phishing $3,5M

Contratos não verificados $8,5M

Ataques ao front-end $544K

Consequências sistêmicas:

~$14B em saídas de TVL em DeFi por protocolos

O TVL da Aave caiu cerca de $8B em 24 horas; o token AAVE caiu de $112 para $89,5

Aave congelou os mercados de rsETH no v3 e v4

O Conselho de Segurança do Arbitrum congelou ~$71M em ETH ligado ao hack do Kelp DAO

Operadores norte-coreanos (Grupo Lazarus) agora representam 76% de todo roubo de criptomoedas em 2026 (TRM Labs)

Luz no fim do túnel — fundo de recuperação "DeFi United": Uma campanha de recuperação colaborativa orquestrada pela Aave arrecadou mais de $302M — suficiente para cobrir totalmente o exploit do Kelp DAO. Contribuições incluem Aave DAO (25.000 ETH), Lido DAO (2.500 ETH), e compromissos do próprio Kelp DAO e LayerZero.

Mas uma nova reviravolta: O investigador on-chain ZachXBT acusou o escritório de advocacia dos EUA Gerstein Harrow LLP de registrar reivindicações fraudulentas para confiscar os fundos congelados do KelpDAO, aproveitando uma sentença judicial de 2015 contra a Coreia do Norte para priorizar seus clientes acima das vítimas reais do hack de 2026. ZachXBT propôs uma DAO comunitária para contestar legalmente a firma.

Principais lições de segurança para usuários de DeFi:

Verifique a governança multisig — migrações sem timelock são uma vulnerabilidade fatal

Audite rigorosamente as implementações de pontes de cadeia cruzada (a verificação de mensagens do LayerZero é crítica)

Diversifique garantias — não concentre holdings em tokens de restaking únicos

Monitore as capacidades de congelamento/pausa do protocolo — respostas rápidas salvaram ~$71M em tentativas de follow-up do Kelp DAO

Use carteiras de hardware e estratégias separadas de hot/cold wallets para posições grandes

Este post foi compartilhado recentemente — ainda sem curtidas ou comentários. Seja o primeiro a engajar e ajudar a espalhar a conscientização. A segurança em DeFi é responsabilidade de todos.

$80M