Segundo trimestre de 2026 estabelece recorde de hacks no ecossistema DeFi

O segundo trimestre de 2026 não só bateu recorde em número de hacks no DeFi (70 incidentes), mas revelou uma mutação tática clara: ataques deixaram de ser eventos raros e catastróficos para se tornarem um fluxo contínuo, com foco em vetores humanos, não técnicos. Mais de 72% das perdas do ano até maio vieram de roubo de chaves e credenciais, não de bugs em contratos inteligentes. Isso muda o jogo para equipes de segurança: agora é menos sobre auditoria de código e mais sobre gestão de identidade, controle de acesso multifatorial em infraestrutura crítica e monitoramento em tempo real de assinaturas fora do padrão.

Abril foi o epicentro dessa nova onda, 28 a 30 ataques, com dois exploits dominando as perdas: Drift Protocol (285 milhões) e KelpDAO (293 milhões), ambos explorando falhas de governança e oráculos, mas com execução baseada em engenharia social contra signatários. O ataque à KelpDAO, por exemplo, não quebrou o LayerZero, enganou seu contrato com dados falsos de oráculo, aproveitando confiança cega em feeds centralizados. É o oposto do exploit clássico: não é o código que falha, é a arquitetura de confiança que colapsa.

Esse padrão afeta diretamente quem constrói, investe e regula. Protocolos com múltiplos signatários ou oráculos centralizados estão sob risco sistêmico crescente, não por má escrita de código, mas por dependência de entidades terceirizadas ou processos manuais. Para reguladores, isso reforça que exigir 'auditorias de smart contracts' já não basta; a supervisão precisa abranger políticas de governança, práticas de key management e resiliência de oráculos. Para usuários, significa que o risco não está só no token que você deposita, mas na cadeia de confiança que sustenta cada transação cross-chain.