- Mercados de empréstimo em EVM e Solana perderam apenas 0,03% do TVL em 12 meses
- Exploits somaram US$ 30,9 mi contra TVL médio de US$ 99,6 bilhões
- Recuperações em casos como Euler reduzem perda líquida em 20%
Os protocolos de empréstimo em DeFi sobre redes compatíveis com a Ethereum Virtual Machine (EVM) e na Solana registraram perdas com ataques equivalentes a apenas 3 pontos-base do valor total bloqueado nos últimos 12 meses. Em termos práticos, cada US$ 10 mil depositados nesses mercados resultaram em uma perda esperada de apenas US$ 3 por ataque hacker no período.
O cálculo foi divulgado em 17 de novembro pelo fundador da Keyring Network, Alex McFarlane, com base em registros públicos do DefiLlama. A leitura isola operações de lending e remove incidentes em bridges categoria que historicamente distorce as estatísticas de segurança da indústria.
O que os números realmente mostram
Os dados consideram US$ 30,9 milhões em exploits brutos de empréstimo sem bridges contra um TVL médio de US$ 99,6 bilhões no período de 12 meses encerrado em 16 de novembro. A taxa bruta ficou em 3,1 pontos-base e cai para 3 pontos-base líquidos após recuperações.
McFarlane comparou o risco a uma estatística pública americana, a probabilidade de 3 em 10 mil é próxima à taxa anual com que cidadãos dos EUA morrem em quedas. Segundo o pesquisador, em publicação no X, o setor de borrowing on-chain “parece bastante seguro, apesar do fator medo”.
O recorte exclui falhas de oráculo, riscos específicos de protocolos individuais e eventos de cauda longa. Considera, também, que o capital tenha sido distribuído entre os maiores mercados de EVM e Solana. Para o histórico completo do DefiLlama, as perdas em DeFi somam US$ 7,75 bilhões. Sem bridges, o número desaba para US$ 4,52 bilhões.
Diversificação e recuperação mudam a conta
A distribuição dos ataques é altamente assimétrica. Poucos megaeventos respondem pela maior parte do prejuízo acumulado, enquanto o grosso dos incidentes se concentra em valores baixos. Em escala logarítmica, a curva se aproxima de uma distribuição lognormal.
A maior parte dos exploits atinge um componente específico do mercado, sem drenar o protocolo inteiro. Mercados maiores absorvem percentualmente menos quando atacados. O padrão reforça o caso para diluir capital entre vários protocolos em vez de concentrar em um único endereço.
Recuperações também aliviam o quadro. No agregado do DefiLlama, recuperações limitadas representam cerca de 8% do dano bruto. No subconjunto de lending em EVM e Solana sem bridges, o número sobe para perto de 20%. O caso mais emblemático foi o da Euler Finance: após o ataque de flash loan em 2023, o invasor devolveu integralmente os fundos roubados.
Impacto para o investidor brasileiro
Para quem aloca em Aave, Morpho e outros protocolos a partir do Brasil, o dado tem leitura prática. O risco de hack agora é mensurável e precificável, mas continua acima do que ocorre em produtos regulados pela CVM ou em renda fixa bancária categorias em que perda principal é virtualmente nula. A janela analisada exclui ainda o efeito cambial do real, que adiciona volatilidade adicional ao retorno final em BRL.
Outro ponto relevante para o público local, corretoras brasileiras como Mercado Bitcoin e Foxbit não cobrem perdas em protocolos DeFi externos, e o IRPF trata cada movimentação on-chain como evento tributável. Recuperações eventuais, como no caso Euler, não isentam o investidor de declarar a perda original. O incidente recente no KelpDAO, em abril, mostrou que ataques de grande porte continuam ocorrendo e podem zerar a carteira de quem se concentra em um único protocolo.
O contribuidor da Morpho Merlin Egalite defende que o minimalismo de código é a fronteira entre mercados seguros e inseguros. A tese ganha tração entre desenvolvedores: contratos menores, menos dependências e auditorias recorrentes. Aave e Morpho seguem absorvendo a maior parte do capital novo em lending, enquanto eventos isolados continuam pressionando o setor caso do ataque ao THORChain, que drenou US$ 10 milhões e derrubou o token RUNE.
