Em abril de 2026, o sector das finanças descentralizadas (DeFi) enfrentou a sua crise de segurança mais grave dos últimos anos. Segundo agências especializadas em segurança blockchain, as perdas resultantes de ataques informáticos nesse mês ultrapassaram os 606 milhões $, estabelecendo um novo recorde mensal. Vários protocolos de grande dimensão foram alvo de ataques em sucessão rápida, tendo o grupo de hackers Lazarus Group, alegadamente ligado à Coreia do Norte, sido identificado por diversas entidades de investigação como o principal responsável por estes incidentes. Esta série de acontecimentos expôs não só vulnerabilidades na infraestrutura DeFi, como também levou o sector a reavaliar os limites de risco das interações cross-chain e da gestão de chaves privadas.
Como são apuradas as perdas reais dos principais incidentes de segurança de abril?
Até 27 de abril de 2026, os ataques a protocolos DeFi reportados publicamente resultaram no roubo de mais de 606 milhões $ em ativos. Os três maiores casos foram: KelpDAO, com perdas de aproximadamente 292 milhões $; Drift Protocol, com cerca de 285 milhões $ subtraídos; e Purrlend, que registou perdas em torno de 1,5 milhões $. Adicionalmente, protocolos como Scallop reportaram prejuízos que variaram entre algumas centenas de milhares e vários milhões de dólares. Estes valores baseiam-se em divulgações pós-incidente por parte das equipas dos projetos e em relatórios de monitorização on-chain. Não incluem ataques de menor dimensão não reportados ou ainda por confirmar. A análise semanal das perdas em abril revela um aumento progressivo ao longo das três primeiras semanas, seguido de uma diminuição na quarta semana, à medida que alguns projetos suspenderam serviços ou atualizaram contratos.
Que técnicas de ataque cross-protocol foram utilizadas pelos hackers?
As análises técnicas dos incidentes divulgados mostram que os atacantes exploraram sobretudo vulnerabilidades na gestão de permissões dos contratos e falhas na lógica de bridges cross-chain. No caso da KelpDAO, o atacante obteve controlo da chave privada de uma carteira de gestão, contornou o mecanismo de verificação multisig e invocou diretamente a função de levantamento do contrato, transferindo os ativos em staking em lotes. O ataque ao Drift Protocol foi ainda mais complexo: o atacante implementou um contrato malicioso noutra rede e utilizou um protocolo de mensagens cross-chain para forjar provas de depósito de ativos, permitindo-lhe contrair empréstimos em excesso na rede de destino. Estas táticas demonstram que os atacantes já não se limitam a explorar vulnerabilidades em contratos inteligentes de um único protocolo, mas visam as suposições de confiança entre múltiplos protocolos.
Porque é que o Lazarus Group é considerado o principal suspeito?
Várias empresas de segurança blockchain associaram múltiplos ataques de abril ao Lazarus Group através da análise dos fluxos de fundos on-chain. Este grupo tem um histórico de utilização de criptomoedas para branqueamento de capitais ilícitos, apresentando impressões digitais comportamentais como: movimentação rápida dos fundos roubados através de bridges descentralizadas para diferentes redes, utilização de mixers (como forks do Tornado Cash ou alternativas) para lavagem dos fundos em lotes e, por fim, encaminhamento de parte dos ativos para endereços ligados a rampas de conversão para moeda fiduciária. Em abril, a movimentação dos fundos após os ataques à KelpDAO e Drift refletiu padrões observados noutras operações do Lazarus Group, como os ataques à Ronin Bridge e Harmony Bridge. Embora nenhuma entidade ou indivíduo tenha reivindicado publicamente a autoria, as semelhanças comportamentais tornam o Lazarus Group o suspeito mais plausível neste momento.
Como são movimentados e branqueados os fundos roubados entre diferentes redes?
Após um ataque bem-sucedido, os atacantes concentram-se em mover os fundos de forma rápida e discreta. Nos dois maiores incidentes de abril, a maioria dos ativos foi transferida, em poucas horas, das redes originais (como Ethereum e Solana), através de bridges cross-chain, para várias redes Layer 2 emergentes ou blockchains com maiores garantias de privacidade. Os fundos foram depois divididos em centenas de transações de menor valor e canalizados para múltiplos protocolos de mixing descentralizados. Estes mixers recorrem a provas de conhecimento zero ou computação multipartidária para ocultar a ligação entre endereços de entrada e saída, dificultando a identificação dos destinatários reais por ferramentas convencionais de rastreio on-chain. Em alguns casos, após o mixing, os ativos foram ainda convertidos em outros tipos de criptoativos através de plataformas de ativos sintéticos, aumentando a dificuldade de congelamento e recuperação dos fundos.
Que impacto teve esta vaga de ataques no Total Value Locked (TVL) do DeFi?
Grandes falhas de segurança têm impacto direto na confiança do mercado, refletindo-se no valor total bloqueado (TVL) no ecossistema DeFi. Dados on-chain mostram que, nas 72 horas seguintes aos ataques, os principais protocolos afetados registaram uma queda média de 35 % a 60 % no seu TVL. Por exemplo, o TVL da KelpDAO caiu de cerca de 850 milhões $ antes do ataque para menos de 310 milhões $. O mercado DeFi mais amplo também sentiu o efeito dominó: os utilizadores tendem a retirar ativos de projetos com interações cross-chain complexas e permissões de contrato abertas, preferindo protocolos de empréstimo mais consolidados ou soluções de custódia centralizada. Em 27 de abril, o TVL DeFi na Ethereum apresentava uma queda de cerca de 12 % face ao início do mês, enquanto alguns protocolos com módulos de isolamento de risco registaram entradas líquidas modestas.
Poderá o fundo de recuperação da Aave definir um novo padrão de segurança para o sector?
Em resposta ao agravamento das perdas de segurança, o principal protocolo de empréstimos Aave anunciou, em meados de abril, a criação de um fundo de recuperação para compensar parcialmente os utilizadores prejudicados por vulnerabilidades do protocolo não relacionadas com código (como dependências externas ou ataques de governação). O fundo é financiado conjuntamente pelo tesouro da Aave e parceiros do ecossistema, sendo cada pedido de compensação avaliado por um comité independente de gestão de risco. Embora o fundo ainda não cubra todos os incidentes de abril, a sua lógica suscitou debate no sector—nomeadamente, se o DeFi deve estabelecer uma "reserva de segurança" semelhante ao seguro de depósitos bancários. Os defensores argumentam que tal medida poderia aumentar a confiança dos utilizadores, enquanto os críticos alertam para o risco moral, em que projetos possam relaxar os seus próprios padrões de segurança na expetativa de compensação externa.
Como podem os utilizadores identificar e mitigar riscos em protocolos DeFi?
Enquanto as melhorias ao nível dos protocolos levam tempo, os utilizadores podem adotar as seguintes medidas para reduzir a exposição dos seus ativos:
- Privilegiar protocolos que tenham passado por várias auditorias de segurança independentes e cujo código dos contratos seja open-source. Verificar se as entidades auditoras são reconhecidas no sector.
- Ser cauteloso ao conceder permissões de tokens e revogar regularmente aprovações de contratos não utilizadas, recorrendo a exploradores blockchain ou ferramentas de gestão de permissões.
- Armazenar ativos principais em carteiras multisig ou hardware wallets, mantendo-os separados das hot wallets utilizadas para grandes transações.
- Monitorizar alertas em tempo real de plataformas de segurança e revogar imediatamente as permissões de contratos relevantes ao tomar conhecimento de um ataque.
- Em protocolos recentes que oferecem recompensas elevadas de liquidity mining, assumir que a segurança ainda não foi totalmente validada e limitar o investimento a uma pequena fração do total de ativos.
Conclusão
Em abril de 2026, o ecossistema DeFi sofreu perdas superiores a 606 milhões $ devido a uma vaga de ataques, tendo protocolos de referência como KelpDAO e Drift Protocol sido gravemente afetados. A análise comportamental on-chain aponta fortemente para o envolvimento do Lazarus Group, que recorreu a técnicas sofisticadas de transferências cross-chain e mixing. Esta crise de segurança provocou não só uma queda acentuada do TVL nos projetos afetados, como também levou o sector a repensar a gestão de permissões, os modelos de confiança cross-chain e os mecanismos de compensação aos utilizadores. Até à implementação de padrões de segurança unificados, a forma mais eficaz de proteger fundos para os participantes comuns continua a ser a gestão proativa de permissões, a segregação de tipos de ativos e a vigilância permanente face a alertas de segurança.
FAQ
P: Como posso verificar rapidamente se um protocolo DeFi foi alvo de incidentes de segurança relevantes?
R: Pode consultar o histórico de segurança de um protocolo através de plataformas de monitorização (como SlowMist MistTrack, PeckShield Alert) ou sites de análise on-chain (por exemplo, o módulo de rastreio de Rug Pulls da DeFi Llama). Adicionalmente, siga os canais oficiais de anúncios do projeto no Discord ou Twitter—a maioria das equipas emite um comunicado inicial até uma hora após o incidente.
P: É possível recuperar criptoativos roubados pelo Lazarus Group?
R: A recuperação é extremamente difícil. O grupo costuma lavar fundos através de múltiplas bridges cross-chain e mixers, sendo que alguns ativos acabam por ser convertidos em moeda fiduciária em jurisdições com fraca cooperação regulatória. Historicamente, apenas um número muito reduzido de casos (como o congelamento de endereços por autoridades antes de concluído o mixing) resultou em recuperações parciais.
P: O que devo fazer se um protocolo que utilizo foi alvo de ataque em abril?
R: Em primeiro lugar, revogue imediatamente todas as permissões de contratos associadas ao protocolo. Em segundo, guarde os hashes das suas transações on-chain, registos de aprovações e capturas de ecrã dos saldos relativos às interações com o protocolo. Em terceiro, acompanhe as propostas oficiais de compensação ou governação do projeto—a maioria dos projetos utiliza snapshots para confirmar os utilizadores afetados e iniciar votações subsequentes. Não efetue pagamentos a terceiros que aleguem conseguir recuperar os seus fundos em seu nome.
