600 milhões de dólares roubados em 20 dias, marcando o início da era dos hackers de IA no mundo das criptomoedas

Quanto dinheiro tem num protocolo DeFi?

«Basta usar o Aave», esta é uma frase muito comum na comunidade das criptomoedas, que significa: «Não te andes a brincar com esses protocolos pequenos e sofisticados, o risco é demasiado elevado; usa simplesmente o Aave. O Aave já foi auditado várias vezes, está em funcionamento há muitos anos e é uma referência no setor; é relativamente seguro depositar os teus fundos lá.» No entanto, esta frase parece, hoje em dia, ter-se tornado menos óbvia. Houve até mesmo declarações de natureza contrária, tais como «"basta usar o Aave" está ultrapassado», «o fracasso da narrativa da Ethereum» e até mesmo «a DeFi está morta».

O mercado tem assistido a estas reações emocionais, o que talvez não seja surpreendente num mês como abril, marcado por frequentes incidentes de segurança no setor das criptomoedas.

2026, o ano com mais ataques informáticos da história

Ainda só passaram dois terços do mês e, embora os preços do BTC e do ETH tenham vindo a subir lentamente, o número de ataques cibernéticos no mercado das criptomoedas continua a ser muito preocupante.

As perdas totais em menos de 20 dias em abril ultrapassaram os 605 milhões de dólares, tendo pelo menos 12 protocolos sido alvo de ataques. Entre os eventos mais notáveis, destacam-se:

No dia 1 de abril, a maior bolsa de contratos perpétuos da Solana, a Drift Protocol, foi alvo de um ataque cibernético que resultou num prejuízo de 285 milhões de dólares em apenas 12 minutos, tornando-se o maior ataque isolado ao setor DeFi de 2026 até à data.

No dia 10 de abril, a infraestrutura de nuvem de GPU descentralizada Aethir detetou um ataque malicioso ao seu contrato de ponte entre cadeias ETH, desligou imediatamente o contrato comprometido e limitou as perdas a menos de 90 000 dólares. No mesmo dia, a Hyperbridge foi alvo de um ataque que explorou uma vulnerabilidade de verificação, no qual o atacante falsificou mensagens entre cadeias, cunhou e vendeu mil milhões de tokens DOT transferidos, o que resultou em perdas de aproximadamente 2,5 milhões de dólares.

Em meados de abril, vários protocolos de pequena dimensão foram alvo de ataques em rápida sucessão. A Silo Finance perdeu 392 000 dólares devido a um erro de configuração do oráculo; o agregador de pontes Dango sofreu um ataque à vulnerabilidade de um contrato inteligente, o que resultou numa perda de 410 000 dólares; na rede NEAR, um atacante preparou 423 carteiras e 8 pools de liquidez falsos com dois dias de antecedência para manipular um oráculo, acabando por roubar cerca de 18,4 milhões de dólares.

No dia 18 de abril, a Kelp DAO foi alvo de um ataque cibernético que resultou num prejuízo de 292 milhões de dólares, estabelecendo um novo recorde de ataques à DeFi em 2026.

«É muito provável que 2026 venha a ser o ano com mais ataques informáticos da história», afirmou Charles Guillemet, diretor de segurança da Ledger.

É provável que esta previsão se concretize, não porque a DeFi esteja a tornar-se mais frágil, mas porque os atacantes adquiriram uma nova arma: a IA.

Roubaram 290 milhões de dólares nas últimas duas semanas; a IA já tinha identificado vulnerabilidades

Ao longo do último ano, o valor das explorações baseadas em IA duplicou aproximadamente a cada 1,3 meses, tendo o custo da análise de um único contrato descido agora para 1,22 dólares. A eliminação das barreiras à entrada para os ataques poderá ser a verdadeira razão por trás dos recordes de 2026. Em abril deste ano, a Anthropic revelou que o seu modelo interno, o Claude Mythos Preview, descobriu de forma autónoma milhares de vulnerabilidades de dia zero em sistemas operativos e bibliotecas criptográficas de uso comum, com uma taxa de exploração bem-sucedida de 72,4%, um feito que nenhum modelo de IA tinha conseguido aproximar-se anteriormente.

Visualização: O eixo Y representa o montante simulado de fundos roubados (em escala logarítmica) e o eixo X representa o tempo, mostrando a tendência de duplicação das receitas provenientes de explorações de vulnerabilidades aproximadamente a cada 1,3 meses nos contratos do último ano, após a data de corte de dados para 10 modelos de IA de ponta. A área sombreada representa o intervalo de confiança de 90%.

Um caso típico é o seguinte: apenas um dia após o Drift ter sido alvo de um ataque, um programador chamado Zengineer utilizou o Claude Code para criar uma ferramenta de auditoria de riscos de IA de código aberto chamada Skill, que avaliava os riscos arquitetónicos do protocolo utilizando dados públicos (DeFiLlama, contratos na cadeia de blocos, documentos de governação, Safe API) e os comparava automaticamente com padrões históricos de ataques na Ronin, Harmony, Euler, Beanstalk e outras redes.

Ele acredita que, no caso da Drift desta vez e nos roubos de alto valor mais recentes na DeFi, não houve exploração de quaisquer vulnerabilidades do código Solidity. As verdadeiras falhas críticas residem na arquitetura de governança, nas permissões das chaves administrativas e nas configurações dos validadores das pontes entre cadeias — pontos cegos de segurança ao nível do «não código» que os scanners de código das empresas de auditoria tradicionais, por natureza, não conseguem detetar, mas que a sua ferramenta consegue.

Doze dias antes do roubo da Kelp DAO, ele executou esta ferramenta na Kelp DAO para realizar uma auditoria completa, atribuindo-lhe uma pontuação de 72 (risco médio) e identificando cinco problemas graves, incluindo «Configuração opaca do DVN: O número de nós de verificação e o limiar da LayerZero não foram divulgados publicamente," "Ponto único de falha em 16 cadeias: «Assim que o DVN falhar, todas as rsETH na cadeia perdem simultaneamente a garantia», «Grande semelhança com os cenários de ataque à Ronin e à Harmony, onde foram roubados 600 milhões e 100 milhões de dólares em 2022», «Cobertura de governação incerta», «Ausência de fundo de seguro: «O protocolo não dispõe de nenhum mecanismo para absorver perdas, pelo que os protocolos a jusante suportam o encargo em caso de incidentes», e muito mais.

Problema com a configuração do Kelp DVN mencionado no relatório do Zengineer

12 dias depois, a 18 de abril, o Kelp foi alvo de um ataque informático, cuja causa principal foi a configuração DVN de «1-de-1», um risco destacado no primeiro ponto do relatório.

O site de notícias sobre DeFi BlockBeats revelou que a ferramenta de avaliação de risco baseada em IA da Zengineer, denominada Skill, concluiu uma auditoria completa a 56 dos 100 protocolos com maior TVL no DeFiLlama. Para além do Kelp DAO, foram identificados vários outros protocolos com problemas de alto risco, incluindo: a auditoria desatualizada do JustLend (TVL de 3,3 mil milhões de dólares); a Falcon Finance (TVL de 1,6 mil milhões de dólares), afiliada à DWF Labs, com um fundo de seguro que cobre apenas 0,6%; a Grove Finance (TVL de 2,87 mil milhões de dólares), com uma estrutura de governação não divulgada e cuja empresa-mãe já sofreu um sequestro de DNS; e a Camelot, com uma assinatura múltipla de 2/3, bloqueio de tempo zero e uma equipa anónima.

O facto de estes protocolos ainda não terem sido explorados não significa que sejam totalmente seguros; é altamente provável que os atacantes simplesmente ainda não tenham encontrado um ponto de entrada.

O custo de atacar um contrato pode ser tão baixo quanto 1,22 dólares?

«A frequência dos ataques informáticos ao mundo das criptomoedas atingiu um máximo histórico. Acho que a IA é a razão para isso. A IA está a dar aos hackers «superpoderes obscuros». «A defesa tem de recuperar rapidamente, pois estamos a ficar sem tempo», alertou Ryan Sean Adams, cofundador da Bankless.

Em outubro do ano passado, os investigadores da Anthropic realizaram uma série de experiências, nas quais o Sonnet 4.5 e o GPT-5 analisaram 2849 contratos inteligentes recém-implementados no mundo real, sem vulnerabilidades conhecidas. Os dois modelos descobriram, de forma independente, duas vulnerabilidades de dia zero até então desconhecidas cada um e geraram os cenários de ataque correspondentes, simulando um lucro de 3694 dólares. O custo da API para o GPT-5 realizar tudo isto foi de aproximadamente 3476 dólares. Com menos de 3500 dólares em capacidade computacional, é possível descobrir novas vulnerabilidades em contratos implementados no mundo real.

Um motivo de particular preocupação é a curva de custos, tal como referido anteriormente: ao longo do último ano, a facilidade de exploração dos ataques simulados por IA duplicou aproximadamente a cada 1,3 meses, enquanto o custo em tokens necessário para gerar código de ataque eficaz diminuiu drasticamente a cada nova iteração do modelo. Com um orçamento equivalente, os atacantes conseguem lançar ataques cada vez mais eficazes. O custo de digitalização por contrato baixou agora para 1,22 dólares.

O que é que isto significa? Qualquer pessoa com um orçamento de alguns milhares de dólares para recursos computacionais pode, em teoria, utilizar um agente de IA para analisar milhares de contratos inteligentes, procurar automaticamente por vulnerabilidades e gerar código de ataque, tudo isto sem escrever qualquer código manualmente e sem necessitar de conhecimentos aprofundados em investigação de segurança.

A barreira à entrada para que uma pessoa comum se torne um hacker foi significativamente reduzida.

Em abril deste ano, a Anthropic revelou o seu modelo desenvolvido internamente, o Claude Mythos Preview, atualmente limitado a 40 parceiros empresariais e governamentais cuidadosamente selecionados. Descobriu de forma autónoma milhares de vulnerabilidades de dia zero em sistemas operativos, navegadores e bibliotecas criptográficas de uso generalizado, incluindo infraestruturas críticas nas quais se baseiam os protocolos DeFi. Uma vulnerabilidade permaneceu oculta no sistema OpenBSD durante 27 anos, estando presente em infraestruturas financeiras críticas a nível global até que este modelo a descobriu. O Mythos Preview apresenta uma taxa de sucesso de 72,4% na exploração de vulnerabilidades, enquanto qualquer modelo de IA anterior tinha uma taxa próxima de zero.

No entanto, a Anthropic recusa-se atualmente a divulgar este modelo ao público, alegando, entre outras razões, que, caso fosse divulgado, o equilíbrio de forças entre atacantes e defensores poderia ser perturbado, levando o setor a um abismo.

Outro exemplo concreto vem da empresa de segurança especializada em IA Cecuro. Analisaram 90 contratos inteligentes de DeFi que foram alvo de exploração entre outubro de 2024 e o início de 2026, o que resultou numa perda total de 228 milhões de dólares. O seu agente de segurança de IA dedicado identificou com sucesso vulnerabilidades em 92% dos contratos, enquanto um agente de programação de IA genérico que utilizava o mesmo modelo subjacente identificou apenas 34%. É importante referir que vários contratos deste lote tinham sido submetidos a auditorias manuais profissionais antes de serem explorados; no entanto, a IA detectou vulnerabilidades que escaparam aos auditores humanos.

O arsenal dos atacantes está a tornar-se exponencialmente mais poderoso, enquanto a infraestrutura de defesa fica claramente para trás.

Ethereum, potencialmente a maior vítima

Voltando ao ataque cibernético à Kelp DAO.

O rsETH da Kelp é um produto do ecossistema de re-staking da Ethereum. Os utilizadores depositam stETH e recebem rsETH, que podem ser utilizados como garantia para contrair empréstimos de WETH na Aave, bem como transferidos entre cadeias, circulando em mais de 20 redes, demonstrando a magia da composibilidade da DeFi.

No entanto, o problema é que o atacante só precisa explorar uma vulnerabilidade no ponto mais fraco. Toda a estrutura composta, semelhante a um Lego, funcionará então ao contrário: o rsETH falso transforma-se em garantia real, o WETH real é emprestado, a dívida incobrável permanece na Aave, o pânico alasta-se a todos os protocolos que integram o rsETH, e o SparkLend, o Fluid e o earnETH, sob a alçada da Lido, são todos suspensos com urgência.

O fundador da Aave, Stani Kulechov, afirmou imediatamente: O contrato da Aave em si não foi violado; tratou-se de um evento externo. Esta é a verdade. No entanto, a verdade é que a taxa de utilização do pool de empréstimos WETH da Aave disparou para 100%, os depositantes comuns viram-se impossibilitados de levantar os seus fundos, o TVL desceu drasticamente de 26,4 mil milhões de dólares para 17 mil milhões de dólares em quatro dias, registando-se uma saída de quase 10 mil milhões de dólares, e o token AAVE também desvalorizou cerca de 18%.

Fonte dos dados: DefiLama

Fonte dos dados: TradingView

No entanto, a afirmação «Os contratos da Aave não foram alvo de exploração» não traz qualquer consolo aos que ficaram presos no sistema como fornecedores de liquidez. Tal como salientou Deddy Lavid, CEO da Cyvers: «Esta é uma manifestação do risco de composibilidade da DeFi, em que o token de um único protocolo, integrado em várias plataformas, pode provocar um efeito em cadeia em todo o ecossistema devido a uma única vulnerabilidade.»

Talvez este seja também o paradoxo estrutural da narrativa da DeFi do Ethereum.

Uma das maiores conquistas da Ethereum é a sua «composibilidade», o seu «Lego financeiro», onde qualquer protocolo pode ser empilhado como blocos de construção. Este é simultaneamente o seu principal valor e a sua principal vulnerabilidade. Cada nova camada de protocolo, cada nova ponte, cada novo tipo de garantia, tudo isso aumenta a superfície de ataque do sistema. E esta expansão não pode ser abrangida por uma única entidade de auditoria.

«O autor do ataque à Kelp não conseguiu quebrar a criptografia, nem encontrou uma vulnerabilidade zero-day no contrato inteligente.» Aproveitaram-se de uma opção de configuração do validador entre cadeias, enganaram a camada de mensagens da LayerZero e cunharam falsamente 116 500 rsETH na rede principal da Ethereum. O contrato não era mau; era a camada de validação que era má. Esta diferença é crucial, porque a próxima vaga de atacantes não precisará de esperar por erros de configuração. «Eles vão ter IA.» Escreveu Jason Jones, analista da Brave New Coin.

Neste ciclo, a Ethereum tem duas narrativas de valor principais. Uma delas é a narrativa institucional em torno dos RWAs e dos ETFs, com os ativos tokenizados da BlackRock e da Morgan Stanley ainda a funcionar na Ethereum e os fundos dos ETFs a entrarem lentamente no mercado. Esta narrativa continua, em grande parte, intacta. No entanto, a ideia de que «o Ethereum é a camada de liquidação fundamental para a DeFi», que constitui a convicção fundamental de muitos detentores particulares de ETH, está atualmente a passar pelo seu mais severo teste de confiança.

Pela reação do mercado, é evidente que o pânico se estendeu, de facto, para além do próprio incidente da vulnerabilidade do Kelp e está a começar a alastrar-se por todo o ecossistema DeFi. A Morpho, a Sky e a JupLend viram-se todas confrontadas com uma corrida aos seus fundos, apesar de não terem qualquer ligação com a Kelp.

É evidente que se trata de uma crise de confiança e não de uma crise técnica.

Vamos voltar à questão inicial. Quanto dinheiro investiste num protocolo DeFi?

Pense bem nisso. Se a tua resposta for «não muito, só por diversão», então podes encarar isso como algo sem importância. Mas se a sua posição for relevante, talvez seja necessário reavaliar o setor da DeFi: o modelo de segurança dos projetos de DeFi consiste em «uma auditoria antes da implementação», mas agora a IA consegue analisar continuamente e detetar novas vulnerabilidades após a implementação, e isso está a tornar-se mais económico.

Depois de esclarecer este ponto, compreenderá que não estou a dizer que a Ethereum não tem futuro, uma vez que a cadeia da Ethereum não foi comprometida, o código da Aave não apresenta vulnerabilidades e a Uniswap continua a funcionar normalmente até hoje.

O que nós precisamos de repensar hoje não é o Ethereum em si, mas a ideia de que «basta usar o Aave para estar suficientemente seguro». Num ambiente de ataques impulsionado pela IA, modular e com sobreposições, tal pressuposto já não se verifica. Afinal, a segurança dos blocos LEGO a montante e a jusante é transitiva, e ninguém pode garantir que todos os blocos sejam absolutamente seguros.