Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Os protocolos de rendimento automatizados do DeFi foram desenvolvidos para o varejo, agora eles apenas adicionam outra camada de risco
Protocolos de rendimento automatizados criados DeFi O argumento de varejo mais persuasivo de que depositar em um cofre era tudo o que o usuário precisava fazer, com o protocolo cuidando de todo o resto.
Para usuários que desejam exposição aos rendimentos aumentados do Curve sem gerenciar manualmente bloqueios de CRV, poder de voto, invólucros, medidores e incentivos, a Stake DAO ofereceu um produto que empacotava toda a pilha por trás de uma interface simples e, ao fazer isso, também empacotava o que poderia quebrar.
De acordo com Blockaid, um invasor cunhou mais de 5,4 trilhões vsdCRV na Arbitrum por meio de uma suspeita de comprometimento de uma chave de implantação e começou a trocar tokens por ETH.
O invasor alterou a configuração de pares relacionada ao LayerZero para forjar uma mensagem entre cadeias antes de cunhar 5.446.744.073.709 vsdCRV, convertendo uma parte em aproximadamente 43,78 ETH, com a extração realizada restringindo a liquidez muito abaixo da cunhagem nominal.
Stake DAO disse aos usuários para não interagirem com vsdCRV enquanto a situação estivesse ativa. O incidente se espalhou para Curve, que alertou os usuários em um Arbitrum LlamaLend afetado mercadoe Beefy Finance pausou um cofre conectado com exposição a Curve e Convex.
Os Liquid Lockers da Stake DAO permitem que os usuários depositem tokens de governança como CRVreceba sdTokens líquidos e acesse maior rendimento e exposição de governança sem gerenciar a pilha de bloqueio de curva diretamente.
A interface do vault esconde tudo isso e, ao fazer isso, também oculta as chaves do implementador, a confiança de mensagens entre cadeias, a contabilidade do token wrapper e as dependências do oráculo pelas quais a exploração passou.
Movimentos de rendimento automatizados DeFi complexidade fora da vista, uma realocação que só se torna visível quando algo na camada oculta se quebra.
Ido Ben-Natan, cofundador e CEO da Blockaid, enquadrou a desconexão da segurança em uma nota:
“Onde quer que haja valor na cadeia, haverá invasores tentando explorá-lo, e isso é verdade, independentemente de quão simples ou complexa seja a estratégia de um protocolo. Duas coisas importam aqui. Primeiro, se os protocolos têm a infraestrutura de governança correta para garantir que não haja um ponto fácil de falha na exploração. Em segundo lugar, ter uma ferramenta de segurança na cadeia em tempo real que valide cada transação antes da execução.”
O cálculo mais amplo
Abril de 2026 foi o pior mês do DeFi para exploraçõescom cerca de US$ 635 milhões extraídos em 28 incidentes, impulsionados por engenharia social, falsificação de pontes e reconhecimento assistido por IA.
Manuel Aráoz, que cofundou a OpenZeppelin e atuou como CTO até 2019, escreveu que agora considera “todos” do DeFi inseguros porque os agentes de codificação de IA se tornaram “sobre-humano” em encontrar vulnerabilidadesenquanto os defensores devem corrigir todos os bugs e os atacantes precisam apenas de um.
A OpenZeppelin rejeitou publicamente essa afirmação, afirmando que as postagens de Aráoz não refletem a posição da empresa. A assimetria que ele descreve, porém, atraiu muita atenção para além da disputa de atribuição.
Ben-Natan coloca a vantagem defensiva em ferramentas em tempo real e detecção adaptativa de ameaças:
“Os hackers estão cada vez mais aproveitando a IA para se moverem mais rapidamente e encontrar novos vetores de ataque. No entanto, os provedores de segurança cibernética on-chain, como a Blockaid, têm profunda experiência no uso de IA para se manterem bem à frente. Analisamos e nos adaptamos continuamente a novos padrões de ameaças em tempo real, usando agentes de IA para investigações, simulações e correspondência de padrões maliciosos.”
Essa capacidade em tempo real torna a validação de transações uma contramedida viável para a velocidade que os invasores estão ganhando e, para protocolos de rendimento automatizados, controles de governança e monitoramento tornaram-se a camada de segurança real da qual a interface do cofre depende.
O próximo cofre
No caso negativo, mais compromissos importantes, incidentes de ponte, contágio de oráculos e pausas de cofre geram um desconto de abstração em produtos de rendimento automatizados.
Os usuários exigem retornos mais elevados para compensar o risco oculto da pilha, tornando mais difícil sustentar o argumento de rendimento de um clique sem divulgação explícita do risco, e cofres menores perdem TVL à medida que as integrações se tornam controladas pelo risco.
O padrão de incidentes que definiu abril se estende pelo resto do ano, e cada novo incidente reforça a percepção de que a automação de rendimento agrupa riscos que os usuários não podem avaliar de forma independente.
No caso positivo, os protocolos adotam a arquitetura descrita por Ben-Natan, que consiste em controles de governança que eliminam pontos fáceis de falha, validação de transações em tempo real e monitoramento contínuo de padrões de ameaças, e o rendimento automatizado sobrevive de uma forma mais padronizada.
Verificação formal, controles multisig e monitoramento de tempo de execução tornam-se a infraestrutura padrão, e os produtos que retêm a confiança do varejo são aqueles que divulgam e gerenciam a pilha de dependências.
Os fornecedores de segurança e os painéis de risco estão integrados na própria interface do cofre, e a vantagem competitiva passa de ocultar a complexidade para provar quais partes dela estão sob controle.
| Cenário | O que acontece | Impacto nos usuários | Impacto nos protocolos |
|---|---|---|---|
| Estojo de urso | Mais compromissos importantes, incidentes de ponte, contágio de oráculos e pausas de cofre | Os usuários exigem rendimentos mais elevados para riscos ocultos | Vaults menores perdem TVL; integrações tornam-se protegidas pelo risco |
| Caso básico | Os protocolos adicionam divulgações, monitoramento e controles de emergência mais claros | O varejo ainda usa cofres, mas com mais cautela | A segurança passa a fazer parte da UX do produto |
| Caso de touro | Validação em tempo real, controles multisig, verificação formal e painéis de risco tornam-se padrão | Os usuários recuperam a confiança nos produtos monitorados | Protocolos mais fortes consolidam confiança e liquidez |
A promessa do varejo de rendimento automatizado sempre foi sobre a realocação da complexidade e, durante anos, o protocolo absorveu esse fardo de forma invisível. A exploração do Stake DAO mostra o que acontece quando a camada invisível é quebrada, e o recorde de abril mostra que ela é quebrada com frequência crescente.
O próximo produto de rendimento automatizado a conquistar a confiança do varejo irá conquistá-la, mostrando aos usuários quais partes da pilha são monitoradas, controladas e isoladas, e o que o protocolo faz quando qualquer parte falha.
