😱💢💥DeFi Perde $292 Milhões em Menos de Uma Hora!
Um único erro na configuração abriu a porta. Uma ponte negligenciada, sem olhos suficientes, foi tudo o que foi preciso. A maior brecha de DeFi daquele ano não veio de brilhantismo, mas de negligência.
18 de abril de 2026. Hora: 17:35 UTC. Alguém saiu da ponte LayerZero do Kelp DAO com 116.500 rsETH.. Essa quantia? Quase $292 milhões. Passaram-se 46 minutos até que o Kelp pausasse seus contratos. Nesse intervalo, cerca de $250 milhões em tokens roubados trocaram de mãos, convertidos em ETH usando uma carteira carregada discretamente anteriormente pelo Tornado Cash. Cada movimento foi planejado com antecedência. Nada deixou ao acaso. Dano feito.
Essa brecha marca o maior hack de DeFi até agora em 2026 - nenhuma outra ocorrência chega perto.
O que foi violado e o método utilizado
Um mar de atividade gira ao redor do Kelp DAO, que funciona como uma máquina que permite às pessoas colocar ETH ou certos ativos apostados. Em vez de ficar parado, esses depósitos fluem para o EigenLayer para obter retornos extras ao longo do tempo. Sai o rsETH, um token que pode ser trocado ou movido livremente. O problema surgiu: o vínculo entre as cadeias, que mantém reservas para o rsETH encapsulado, foi danificado. Essa conexão suporta operações em mais de vinte redes. Arbitrum define o ritmo, seguido por Base, Linea, e até redes menos conhecidas como Blast e Scroll, todas conectadas na web.
Um sinal falso passou pelas defesas do LayerZero, enganando o sistema para aceitar dados corrompidos. Por causa disso, a conexão do Kelp reagiu como se a permissão tivesse vindo de uma fonte confiável. Uma transferência começou sem autorização real por trás dela. Foram 116.500 rsETH enviados, desviados antes que alguém pudesse impedir. O destino? Um endereço já sob controle do atacante.
Apenas uma mensagem falsa foi suficiente para tudo começar. A brecha aconteceu porque uma única ponte acreditou nela. Tudo desmoronou depois disso.
Um assinante único gerenciou as aprovações, então só um jogador tinha autoridade sobre as trocas. Por isso, o hacker conseguiu passar assinando uma transferência para criar toneladas de rsETH sem respaldo na rede original. Michael Egorov, fundador do Curve Finance, disse de forma direta: "Riscos aparecem se tudo depender de uma única pessoa."
A Propagação Acelerou
Aqui é onde as coisas ficam piores. Não só o ladrão pegou o dinheiro, como o transformou em uma ferramenta para mais danos.
Uma onda de wETH emprestado passou pelo Aave V3 após hackers direcionarem rsETH roubado para o protocolo. Uma brecha gerou outra, de repente, efeitos em cascata atingiram grande parte das finanças descentralizadas.
De US$ 26,4 bilhões em 18 de abril, os fundos bloqueados do Aave chegaram perto de $20 bilhão na manhã de domingo nos EUA, perdendo US$ 6,6 bilhões enquanto seu token AAVE caía 16%. Por causa do caos, SparkLend, Fluid e Lido pausaram imediatamente as negociações no mercado de rsETH. A moeda RAVE do RaveDAO despencou 90%, caindo de US$ 27,33 para apenas US$ 1,15, apagando mais de $5 bilhões em valor de mercado em uma única sessão. Embora se esperasse estabilidade, o caos se espalhou rapidamente pelas plataformas assim que os números começaram a cair.
Algo mais aconteceu depois - duas tentativas adicionais de retirar 40.000 rsETH, cerca de $100 milhões, foram interrompidas quando o Kelp acionou o freio de emergência. Não que isso tenha ajudado muito depois que $292 milhões já tinham desaparecido.
Isto Não é Acidente, Mas uma Sequência Repetida
A verdade é que 2026 não tem sido gentil com a segurança do DeFi
Uma brecha atingiu o Drift Protocol hospedado na Solana no início de 1º de abril, eliminando cerca de $285 milhão. O incidente remete a hackers ligados à Coreia do Norte. Os fundos desapareceram rapidamente durante a exploração.
Uma série de hacks atingiu várias plataformas, CoW Swap foi a primeira, depois Zerion caiu sob pressão. Rhea Finance seguiu logo depois, suas defesas cederam inesperadamente. Silo Finance foi a última, juntando-se à cadeia de brechas que se desenrolaram semana após semana.
Somente no primeiro trimestre de 2026, golpes e hacks drenaram cerca de $482 milhão em moedas digitais. Embora as brechas tenham causado grandes perdas, a enganação também desempenhou seu papel nesses meses.
Um fim de semana viu o Kelp crescer em mais $292 milhão.
O Diretor de Segurança da Ledger afirmou claramente: "No geral, a confiança nos protocolos DeFi é erodida por esse tipo de evento. E 2026 provavelmente será o pior ano em termos de hacks, novamente."
A Dura Realidade dos Blocos de Construção do DeFi
Acontece que a coisa que ninguém quer admitir: o que torna o DeFi flexível também o quebra quando a pressão aperta. A composabilidade constrói poder através de conexões, mas esses laços se tornam pontos fracos sob pressão.
Um momento, o rsETH servia como respaldo confiável na Aave, SparkLend, Fluid, Compound e Euler, construídos assim desde que a ligação aberta define a razão de existir do DeFi. Esses sistemas permitem que operem livremente. É por design. Mas logo após a brecha, holdings falsas inundaram principalmente a Aave, usadas rapidamente para sacar ETH genuíno por meio de empréstimos, transformando roubo isolado em uma tensão generalizada.
Quando uma parte quebra, cada sistema que depende dela como segurança também é atingido. Isso não é um erro isolado. É assim que todo o sistema funciona.
Quando a reserva da ponte acaba, quem detém tokens fora do Ethereum começa a questionar se esses tokens ainda têm respaldo. Essa preocupação provoca saídas apressadas das cadeias layer 2, mesmo que a oferta do Ethereum não seja afetada diretamente. De repente, o Kelp pode precisar dividir ativos restakeados só para cobrir pedidos de saque.
Uma falha leva à outra. Sempre acontece assim.
O que Precisa Mudar
O que é necessário não está escondido. Ainda assim, o progresso fica atrás da necessidade]
Pontes devem exigir múltiplas assinaturas em vez de apenas uma. Uma única chave fraca não pode desbloqueá-las quando múltiplas aprovações são necessárias. Um elo fraco pode falhar, mas todo o sistema permanece fechado.
Quando se trata de onboarding de garantias, regras mais rígidas estão entrando em vigor. Os setups de empréstimo agora enfrentam pressão, a verificação do design da ponte deve vir primeiro, nunca em segundo lugar. Tokens restakeados não passarão sem uma análise cuidadosa de sua estrutura. A sequência se inverte: escrutínio antes da aceitação, não o contrário. Protocolos hesitam menos quando a estrutura é confirmada cedo. A segurança depende do timing, uma ordem errada arrisca mais do que atrasos.
Esse atraso importa. O Kelp esperou até 20:10 UTC para falar alguma coisa, mesmo que a brecha tivesse começado muito antes. Passaram-se três horas inteiras até que sua primeira mensagem fosse divulgada. Silêncio assim não funciona quando os sistemas já estão se quebrando.
Quando as pontes agem de forma estranha, os sistemas param imediatamente por circuit breakers entre protocolos, ao invés de esperar horas por intervenção humana. Alertas acionam desligamentos instantâneos em redes conectadas, ao invés de correções tardias. Paradas rápidas acontecem antes que os problemas se espalhem além dos pontos de controle. Máquinas reagem mais rápido que pessoas quando conexões mostram sinais de aviso. Congelamentos são ativados automaticamente assim que irregularidades aparecem nos canais de comunicação.
Michael Egorov vê um lado positivo na destruição: "Cripto é um ambiente severo, que nenhum banco teria sobrevivido, mas estamos lidando com isso. O DeFi aprenderá com esse incidente e ficará mais forte do que antes."
Pode ser. Embora, quando as lições custam $292 milhões cada, os preços estejam subindo rápido.
Uma única falha abriu a porta. Uma mensagem falsa passou. Em 46 minutos, milhões desapareceram. Essa brecha passou por cima da perda do Drift por uma margem estreita. Agora, ela é o maior colapso de DeFi de 2026. Laços entre sistemas transformaram pequenas rachaduras em falhas totais.
Um passo à frente das salvaguardas, as pontes continuam ficando mais complexas. Quando os validadores não têm variedade, pontos fracos permanecem. As regras de garantia também não acompanharam o ritmo. Enquanto essas lacunas permanecerem abertas, histórias como essa irão reaparecer. Não é uma questão de se, mas de quando.
A sobrevivência do DeFi não está sendo testada. É a velocidade com que ele pode mudar antes que outro $292 milhão de erro apareça.
✅️ SIGA PARA MAIS✅️
$BTC
$SOL
#GatePreIPOsLaunchesWithSpaceX $XRP
