Acabei de lidar com uma das histórias mais selvagens do DeFi nos últimos anos.

18 de abril, exatamente 46 minutos - foi o tempo necessário para liquidar 293 milhões de dólares da ecossistema.
Refere-se à invasão da ponte Kelp, e isso não é apenas mais uma exploração, é uma crise sistêmica que mostrou o quão frágil pode ser toda a arquitetura das finanças descentralizadas.

Aqui está o que aconteceu.
O atacante usou uma vulnerabilidade na ponte cross-chain Kelp DAO, que funciona na LayerZero.
Mas aqui está o truque - não foi um erro de código.
Foi um erro de configuração.
Kelp usou a chamada configuração DVN 1 de 1, ou seja, apenas um nó validador verificava todas as mensagens entre as cadeias.
Um nó.
Consegue imaginar?
O atacante ou invadiu, ou enganou, enviou uma mensagem falsificada, e a ponte emitiu 116.500 rsETH (aproximadamente 293 milhões de dólares) simplesmente assim - sem garantia, criado do nada, do ar.

Depois começou o mais interessante.
Em vez de despejar tokens no mercado, o hacker agiu cirurgicamente.
Ele colocou essa rsETH falsificada como garantia na Aave, tomou emprestado WETH real, depois repetiu o mesmo na Aave V4.
Quando a Kelpa conseguiu congelar os contratos (passaram-se 46 minutos), os ativos reais já haviam desaparecido.
A tentativa de repetir o ataque duas vezes mais não funcionou porque o sistema já estava congelado.

O que aconteceu depois foi um colapso em cascata.
Aave ficou com 196 milhões de dólares em dívida sem esperança, porque a rsETH simplesmente deixou de valer alguma coisa.
O pool de WETH atingiu 100% de utilização, as pessoas não conseguiam retirar seu dinheiro.
O TVL do Aave caiu de 26 bilhões para 22 bilhões - uma perda de 6,6 bilhões em um dia.
O token AAVE caiu 20%, embora já tenha se recuperado para 98,91 dólares, com um aumento de 3,31% nas últimas 24 horas.

O pânico foi causado pela retirada de fundos de 5,4 bilhões de dólares.
As pessoas simplesmente ficaram assustadas e começaram a sair em massa do protocolo.
É um pânico bancário clássico, mas no DeFi acontece em horas, não em dias.

O incidente se espalhou para pelo menos nove outras plataformas - SparkLend, Fluid, Lido (seu produto EarnETH), Compound, Euler e mais algumas.
Todos eles ou congelaram os mercados de rsETH, ou suspenderam operações como medida de precaução.
Até a Ethena, que nem tinha exposição ao rsETH, suspendeu suas pontes LayerZero simplesmente assim, por medo.

O que me impressiona nesta história não é o lado técnico.
O código da Kelpa estava normal.
Foi uma questão de configuração.
Mikhail Egorov, da Curve, resumiu bem: coisas podem acontecer quando você confia em uma única parte, quem quer que seja.
E isso não violou nenhuma regra do LayerZero - o protocolo simplesmente permitiu essa configuração.

No que diz respeito ao dinheiro - é praticamente impossível de recuperar.
O hacker rapidamente lavou tudo através do Tornado Cash, distribuindo os fundos por várias carteiras.
ZachXBT identificou seis carteiras relacionadas ao atacante, todas pré-financiadas via mixer horas antes da invasão.
Justin Sun sugeriu "conversar" com o hacker, mas isso parece mais uma encenação.

O ano de 2026 foi realmente um inferno para o DeFi.
Antes do Kelpa, houve outros grandes hacks - Resolv Labs perdeu cerca de 80 milhões em março, Drift Protocol perdeu 285 milhões em 1º de abril (posteriormente relacionado a atores norte-coreanos), depois CoW Swap, Zerion, Rhea Finance e mais uma dezena de protocolos menores.
Perdas acumuladas em 2026 já ultrapassam 450 milhões de dólares, envolvendo cerca de 45 protocolos.

Para os investidores, isso significa algumas coisas.
Primeiro, o risco de liquidez é real mesmo em plataformas "seguras".
Quando o TVL cai e os pools atingem 100% de utilização, até quem não tinha acesso ao ativo hackeado pode ficar preso e não conseguir retirar seu dinheiro.
Em segundo lugar, a composibilidade do DeFi corta dos dois lados.
A mesma interconectividade que torna o sistema poderoso também o torna o canal mais rápido de contaminação.
Vulnerabilidade em um protocolo se torna um evento sistêmico em minutos.

Em terceiro lugar, o suporte cross-chain de ativos não é garantido.
rsETH em mais de 20 redes permanece em estado de suporte indefinido, até que a Kelpa publique uma reconciliação verificada de reservas.
Qualquer um que tenha aceitado wrsETH como garantia permanece vulnerável ao risco.

A indústria responderá com requisitos obrigatórios para múltiplos DVN para pontes, padrões mais rigorosos para protocolos de crédito e auditorias abrangentes das integrações LayerZero.
Mas a lição aqui é mais profunda - não é sobre técnica, é sobre a filosofia de confiança no DeFi.
A suposição implícita era que tokens líquidos de reposição eram tão seguros quanto o ETH básico, se o protocolo fosse confiável.
Essa premissa caiu por terra.

Agora, muitos estão reconsiderando sua posição em relação ao DeFi.
O chefe de segurança da Ledger disse que 2026 provavelmente será o pior ano para hacks e que a confiança no DeFi está sendo ativamente minada.
Essa é uma observação justa.
Quando uma única configuração em um protocolo pode liquidar 293 milhões e causar pânico de bilhões, isso nos faz refletir sobre o que chamamos de "segurança" nesse espaço.