- DefiLlama registra cerca de 70 exploits no 2º trimestre de 2026
- Drift Protocol e KelpDAO responderam por 93% das perdas em abril
- Ataques a pontes somam US$ 328 milhões em prejuízos no ano
O setor de defi entrou no trimestre mais violento de sua história em volume de incidentes. Levantamento da DefiLlama contabilizou cerca de 70 ataques entre abril e a primeira metade de junho de 2026, com prejuízo agregado de aproximadamente US$ 746 milhões. O número de incidentes praticamente dobrou o recorde trimestral anterior.
O dado revela uma mudança estrutural. Apesar do salto na frequência, o valor total fica longe dos picos vistos em mega-incidentes isolados de anos anteriores. A invasão da Bybit em fevereiro de 2025, por si só, drenou cerca de US$ 1,4 bilhão quase o dobro do que todo o segundo trimestre somou agora.
Abril concentrou a destruição. Foram entre 28 e 30 incidentes confirmados e mais de US$ 625 milhões em perdas, segundo a base da DefiLlama. Dois eventos respondem por 93% desse total, o ataque ao Drift Protocol, em 1º de abril, com US$ 285 milhões drenados, e a quebra do KelpDAO, em 18 de abril, que escoou US$ 293 milhões via mensagem falsificada na ponte LayerZero.
Frequência substitui mega-eventos como padrão
Maio mudou a foto. O mês reuniu 41 incidentes em 16 blockchains, mas espalhou apenas US$ 84,2 milhões em perdas, conforme relatório da Cryip publicado em 1º de junho. Os cinco maiores ataques responderam por aproximadamente 60% do prejuízo mensal, sinal de pulverização inédita do risco.
O comparativo com o primeiro trimestre escancara a aceleração. O Q1 de 2026 registrou 34 incidentes e cerca de US$ 169 milhões em perdas. Só abril foi 3,7 vezes maior que o trimestre anterior inteiro em valor. A leitura, atacantes operam em rajada, mirando vetores operacionais em vez de buscar a falha única bilionária.
Os ataques de infraestrutura manipulação de multisigs, bypass de verificação em pontes e envenenamento de endereços em vault churn responderam por 63% das perdas de maio. Três dos quatro maiores incidentes do trimestre envolveram acesso operacional, não falha de código on-chain. O caso Drift foi atribuído ao grupo norte-coreano Lazarus, especialista em engenharia social contra equipes.
Ethereum e pontes concentram 74% das perdas
Protocolos conectados ao Ethereum absorveram US$ 61,9 milhões dos US$ 84,2 milhões perdidos em maio, ou cerca de 74% do total mensal. Já as pontes acumulam US$ 328 milhões em prejuízos em 2026, segundo relatório da CertiK Skynet de 3 de junho. O caso KelpDAO sozinho representa US$ 291,3 milhões dessa conta.
Junho começou no mesmo ritmo. O Humanity Protocol teve sua ponte explorada em US$ 36 milhões nos primeiros dias do mês, episódio que o projeto atribuiu a malware com captura de chaves privadas. O padrão se repete, ataques exploram falhas humanas e de infraestrutura, raramente o contrato inteligente.
Para o investidor brasileiro, o impacto é indireto, mas relevante. Plataformas locais que oferecem rendimento em DeFi via pools agregadoras costumam alocar recursos em protocolos como KelpDAO e derivados de restaking. Quando esses contratos quebram, perdas chegam a usuários domésticos sem aviso prévio e sem cobertura do FGC, já que cripto não está sob o guarda-chuva bancário no país.
O cenário regulatório local responde devagar. A CVM concentra esforços em tokenização de ativos tradicionais, enquanto regras específicas para custódia e auditoria de protocolos descentralizados seguem ausentes. O Banco Central também não exige reporte de exposição a DeFi por parte das prestadoras de serviços de ativos virtuais.
TVL do setor segue abaixo do nível pré-abril
O valor total bloqueado em DeFi ainda não voltou ao patamar anterior ao caso KelpDAO. A fuga de capital iniciada em meados de abril não foi revertida, mesmo com a estabilização dos preços de BTC em torno de US$ 63,500 mil e do ETH próximo de US$ 1.667. Investidores institucionais, em particular, reduziram exposição a protocolos de restaking e pontes cross-chain.
A DefiLlama alerta que pode revisar os números. Várias ocorrências de maio e junho seguem em investigação, e eventuais recuperações de fundos comuns em casos com negociação direta com atacantes não foram descontadas do total de US$ 746 milhões. Detalhes técnicos da contagem podem ser consultados na base pública de hacks da DefiLlama.
