Explorações de segurança estão pesando sobre o apetite institucional pela finança descentralizada (DeFi), mesmo com a adoção mais ampla de criptomoedas avançando por meio de stablecoins e ativos tokenizados.
Em uma nota de pesquisa de abril, analistas do JPMorgan Chase afirmaram que a segurança das bridges continua sendo um desafio para o setor, levantando dúvidas sobre se a DeFi pode crescer a ponto de sustentar uma adoção institucional maior.
A exploração recente da bridge Versus-Ethereum foi o oitavo grande ataque contra bridges DeFi em 2026 até agora, com perdas acumuladas totalizando US$ 328,6 milhões.
Bridges DeFi continuam sendo alvos preferenciais de hackers em busca de roubar milhões de dólares. Fonte: PeckShield
Misha Putiatin, CEO da empresa de segurança de contratos inteligentes Statemind e cofundador do protocolo DeFi Symbiotic, disse que frequentemente recebe ligações de grandes instituições tradicionais explorando exposição à DeFi, geralmente em momentos ruins.
“Cinco minutos antes de eu entrar em uma chamada com uma grande instituição tradicional, acontece outro grande hack”, disse ao Cointelegraph.
“Eles ficam me olhando como se perguntassem: ‘Isso é normal? Isso acontece todos os dias com vocês?’”
Ainda assim, as instituições podem entrar na DeFi, mas os termos dessa entrada podem remodelar o setor em algo muito mais parecido com as finanças tradicionais do que o sistema aberto e sem permissão imaginado por seus desenvolvedores.
DeFi se tornou complexa demais para o DYOR
No início de abril, o Lazarus Group, da Coreia do Norte, foi implicado na exploração de US$ 285 milhões do Drift Protocol, realizada por meio de uma campanha de engenharia social que durou meses, na qual infiltrados abordaram colaboradores do Drift durante uma conferência presencial de criptomoedas.
Os mesmos agentes foram responsabilizados algumas semanas depois pela violação da KelpDAO, que drenou cerca de US$ 290 milhões da bridge cross-chain do protocolo.
O valor total bloqueado (TVL) na DeFi caiu para cerca de US$ 86 bilhões, ante pouco menos de US$ 100 bilhões, em dois dias após o hack da KelpDAO em abril. As saídas vieram de pools sem exposição direta aos ativos comprometidos, disseram analistas do JPMorgan.
Pools DeFi perderam cerca de US$ 14 bilhões após o ataque à KelpDAO. Fonte: DefiLlama
Putiatin afirmou que a complexidade da DeFi moderna torna quase impossível para usuários comuns saberem onde realmente está o risco. “O faça sua própria pesquisa não funciona mais”, disse. “Já não funciona há muito tempo.”
Ele explicou que o sistema se tornou interconectado e complexo demais para ser rastreado.
Por exemplo, quando um usuário deposita Ether (ETH) para obter rendimento sem sequer tocar em qualquer outro token, ainda assim ele pode ser afetado por uma violação em uma bridge conectada a um token do qual nunca ouviu falar.
O “faça sua própria pesquisa”, ou DYOR, é um mantra do setor nascido nos primeiros dias do Bitcoin, quando os protocolos eram simples o suficiente para que um usuário pudesse ler um whitepaper e tomar uma decisão informada.
Hoje, com contratos inteligentes contendo dezenas de milhares de linhas de código, protocolos empilhados uns sobre os outros e novos serviços e tokens sendo lançados em ritmo acelerado, essa expectativa se tornou praticamente impossível de cumprir.
“Eu nunca espero que pessoas que apenas querem investir seu dinheiro consigam entender cada parte da estrutura sozinhas”, disse Putiatin.
“Eu não vou passar os próximos dois anos da minha vida tentando descobrir como obter um rendimento de 6%”, acrescentou, afirmando que as alternativas das finanças tradicionais oferecem retornos suficientemente próximos, tornando os riscos de segurança da DeFi pouco atraentes para a maioria dos investidores.
Um prêmio cada vez menor para um risco impossível de quantificar
O USDt (USDT), a maior stablecoin do mundo, oferece um APY de fornecimento de 2,74% no mercado Ethereum da Aave, o maior protocolo de empréstimos DeFi. Isso está abaixo dos 3,57% oferecidos por títulos do Tesouro dos EUA de três meses. O USDC (USDC), da Circle Internet Group, apresenta desempenho melhor, com 4,14%.
APY de fornecimento e empréstimo no mercado Ethereum da Aave. Fonte: Aave
Putiatin afirmou que as instituições enxergam isso claramente, mesmo que tenham dificuldade para quantificar o risco com precisão. O problema é que as instituições não possuem uma estrutura confiável para precificar o risco de hacks existente por trás desses protocolos.
“Elas não conseguem precificar o risco corretamente”, disse. “Então descontam bastante o rendimento que oferecemos.”
Os rendimentos da DeFi diminuíram à medida que o mercado amadureceu, reduzindo o prêmio que antes justificava o risco.
Ao mesmo tempo, os hacks não diminuíram. Para investidores acostumados a avaliar riscos com precisão atuarial, uma redução do potencial de ganho combinada com um risco impossível de quantificar é difícil de aceitar.
O custo da presença da DeFi na mesa institucional
O parâmetro de Putiatin para considerar que a DeFi realmente virou a página seria um sistema de seguro on-chain capaz de cobrir o risco de hacks em todo o ecossistema e precificá-lo com o nível de precisão atuarial exigido pelas instituições.
“Quando tivermos circuit breakers, curadores capazes de fazer due diligence e uma estrutura para isso, teremos a quarta coisa de que precisamos desesperadamente como setor”, afirmou. “Teremos seguro.”
A DeFi já perdeu mais de US$ 7,76 bilhões em explorações, segundo dados da DefiLlama que remontam a 2016. Embora existam provedores de seguro para DeFi, sua capacidade ainda é pequena demais para sustentar algo próximo de uma escala institucional.
Sem essa infraestrutura, as instituições que entrarem no setor o farão em seus próprios termos, exigindo verificações completas de know-your-customer (KYC), controles de custódia e tokens que possam ser congelados a qualquer momento.
A arquitetura aberta e sem permissão que tornou a DeFi atraente acaba sendo desmontada para atender às exigências de conformidade regulatória.
“Todos os benefícios que temos como setor acabam desaparecendo”, disse. “A blockchain vira apenas um banco de dados.”
Para Putiatin, esse cenário é mais preocupante do que os próprios hacks. Os ataques, ao menos, são um problema que o setor ainda pode tentar resolver. Já uma versão da DeFi esvaziada pelas instituições para torná-la segura o suficiente para seus mandatos representaria a rendição de tudo o que essa tecnologia deveria transformar.