Em apenas 18 dias do mês de abril de 2026, o ecossistema DeFi registrou mais de 12 ataques relevantes somando US$ 606 milhões em perdas. É o pior número desde o assalto à Bybit, em 2025, e quatro vezes o total do primeiro trimestre do ano.
Os dois casos que dominaram o mês
Drift Protocol — 1º de abril — US$ 285 milhões
O que parecia uma brincadeira de 1º de abril virou o maior incidente do ano até então. A DEX baseada em Solana foi explorada por meio de autorizações pré-assinadas escondidas em contratos, resultado de uma campanha de engenharia social que durou meses.
A investigação atribui o ataque a grupos ligados à Coreia do Norte — o mesmo perfil operacional visto em incidentes contra a Bybit e outras exchanges. O modus operandi envolve:
- Criação de identidades falsas de "desenvolvedores" em LinkedIn e GitHub;
- Infiltração em equipes via contratação remota como freelancers;
- Injeção gradual de assinaturas maliciosas no sistema de permissions;
- Ativação sincronizada da exploração.
A Tether anunciou compromisso de US$ 147,5 milhões para liderar o plano de recuperação do protocolo.
Kelp DAO — 19 de abril — US$ 293 milhões
Poucas semanas depois, o Kelp DAO superou o Drift como maior exploit de 2026. O ataque mirou uma ponte cross-chain construída sobre o LayerZero, drenando quase US$ 300 milhões em uma única madrugada de sábado. Wallets ligadas ao roubo já começaram a movimentar fundos por serviços de mixing.
O evento provocou êxodo geral do DeFi: o TVL (Total Value Locked) agregado caiu US$ 14 bilhões em 48 horas, para o menor nível em um ano.
Outros incidentes do mês
- CoW Swap (14/abr): US$ 1,2 milhão via sequestro de domínio, com atacantes se passando por funcionários junto ao registro.
- Vercel (20/abr): breach na provedora de infra web expôs chaves de API, forçando projetos cripto a rotacionar credenciais em massa.
- Ice Open Network (15/abr): breach de identidade envolvendo ex-parceiros e vazamento de base de usuários.
Padrões que se repetem
Analisando os ataques em conjunto, três vetores dominaram o mês:
- Engenharia social de longo prazo — não é mais "phishing de e-mail". São meses de infiltração.
- Pontes cross-chain — continuam sendo o ponto fraco estrutural do multichain.
- Supply chain — atacar dependências (Vercel, provedor de domínio) é mais lucrativo que atacar o protocolo final.
A perspectiva ON3X
Cada mês como abril reforça por que defendemos o modelo de cripto custodiada por plataforma regulada para a maioria dos usuários. Autocustódia e DeFi têm seu lugar — mas exigem conhecimento técnico que a média do mercado não tem. Quando alguém cai num phishing que drena autorizações pré-assinadas, o usuário perde tudo, e o protocolo não tem a quem acionar.
Em plataformas como a ON3X, segregação patrimonial, seguros regulatórios, monitoramento on-chain 24/7 e reporte a autoridades são parte do contrato. Não é o mesmo risco. Não é a mesma experiência.
Para quem opera em DeFi: revise hoje as permissões concedidas a cada contrato usando ferramentas como Revoke.cash. A lição de abril é que assinaturas antigas matam.