Carta 111: Estou Retirando Todo o Meu Dinheiro do DeFi

Abril foi o mês com o maior número de hacks na história das criptomoedas, totalizando aproximadamente US$ 651 milhões roubados em mais de 40 explorações distintas. Este cenário foi dominado por dois ataques ligados ao Lazarus Group: o desvio de US$ 285 milhões da exchange perpétua Drift, que envolveu uma operação de engenharia social de seis meses utilizando os durable nonces da Solana para que contribuidores pré-assinassem transações, e a exploração de US$ 292 milhões da KelpDAO. Neste último, os atacantes manipularam um DVN (Decentralized Verifier Network) 1-de-1 mal configurado do LayerZero para cunhar 116.500 rsETH sem lastro, o que desencadeou saídas de depósitos de US$ 8,4 bilhões da Aave e uma queda superior a US$ 13 bilhões no TVL do DeFi.

A ameaça iminente mais significativa é a exploração de smart contracts movida por IA. O modelo Claude Mythos, ainda não lançado pela Anthropic, demonstrou ser capaz de encontrar vulnerabilidades de zero-day em uma escala que supera a de todos, exceto os humanos mais habilidosos. Capacidades equivalentes são esperadas em uso no mercado em 6 a 18 meses. Diante disso, a recomendação é retirar os fundos dos protocolos DeFi para cold storage imediatamente, pois a relação recompensa-risco do rendimento onchain se inverteu contra os usuários neste ambiente.