O hack de US$ 293 milhões da KelpDAO é um alerta sobre o risco de complexidade em defi

Eu acompanho o espaço de DeFi desde 2019 e, se tem algo que aprendi, é que "inovação" costuma ser apenas uma palavra educada para dizer "adicionamos mais uma camada de risco que ninguém entende direito". O recente hack de US$ 293 milhões da KelpDAO não é só mais um item na longa lista de exploits. É um exemplo clássico do que é o risco de complexidade em defi, e mostra que a indústria finalmente bateu em um muro onde a matemática se torna confusa demais para ser gerenciada com segurança. Já falamos antes sobre riscos de carteiras DeFi para dar mais contexto.

O que aconteceu de fato com a KelpDAO

Para quem não está mergulhado no mundo do liquid restaking, a KelpDAO foi feita para que os usuários mantenham a liquidez enquanto ganham recompensas sobre ativos em stake. O problema é que o liquid restaking não é um processo simples. Ele envolve camadas de contratos inteligentes, protocolos de terceiros e loops recursivos de colateral.

Nesse caso, o invasor não achou apenas um bug simples em uma linha de código. Ele explorou a maneira como diferentes componentes do protocolo interagiam entre si. Ao manipular o estado do sistema, conseguiu drenar quase US$ 300 milhões. Não foi um ataque de "flash loan" tradicional, mas sim uma falha do sistema em lidar com uma sequência específica e complexa de eventos.

O que é risco de complexidade em defi e por que isso importa

Quando falo de risco de complexidade, estou falando do problema dos "blocos de Lego". No começo, um protocolo fazia uma coisa só. A Uniswap trocava tokens. A Aave emprestava. Simples. Mas agora temos protocolos que rodam em cima de outros protocolos, que por sua vez são embrulhados em outro token, que depois é depositado em um otimizador de rendimento.

Cada nova camada é um novo ponto de falha. Mesmo que cada pedaço de código seja "auditado" e "seguro", a forma como essas peças interagem pode criar vulnerabilidades emergentes. É como construir um arranha-céu onde cada parafuso é forte, mas o design arquitetônico geral é tão instável que qualquer brisa na direção errada derruba tudo.

Eu já vi esse padrão antes. Cobrimos anteriormente o hack do Drift Protocol, onde o risco não estava só no código, mas no elemento humano e nas chaves administrativas. A KelpDAO é diferente porque o risco estava impregnado na própria lógica do produto.

Onde a indústria está errando

O maior problema é que a maioria dos usuários (e até alguns desenvolvedores) trata auditorias como um "selo de aprovação". Veem um PDF de uma empresa de segurança renomada e assumem que o dinheiro está seguro. Mas uma auditoria é apenas um retrato de um momento específico. Ela não prevê como um protocolo se comporta ao interagir com outros cinco protocolos ativos em um mercado volátil.

Sinceramente, estou cansada da mentalidade de "correr e quebrar as coisas" quando as "coisas" que estão sendo quebradas são as economias da vida das pessoas. Os dados atuais do mercado mostram um sentimento Neutro, com o Índice de Medo e Ganância em 43 e a dominância do Bitcoin em 60,25%. As pessoas estão se refugiando no BTC porque perceberam que o "rendimento alto" em DeFi muitas vezes vem com um custo oculto de risco sistêmico extremo.

Como se proteger de falhas sistêmicas

Se você cansou de ver US$ 300 milhões sumirem em poucos blocos, precisa mudar a forma como guarda seus ativos. Não posso te dizer qual protocolo é "seguro" porque, em um sistema complexo, a segurança é uma ilusão. O que eu posso dizer é que você nunca deve deixar suas reservas principais em um protocolo que você não entenda fundamentalmente.

Para os ativos que você planeja segurar a longo prazo, tire-os da rede e coloque em uma hardware wallet. Eu prefiro a Ledger Flex porque a tela touchscreen de E Ink torna muito mais difícil assinar acidentalmente uma transação maliciosa. Custa US$ 249, um preço pequeno comparado a perder tudo em um exploit de complexidade.

Minha opinião final

O DeFi está finalmente sendo forçado a amadurecer. A era de empilhar dez protocolos diferentes para buscar um APY de 20% está acabando porque o risco ficou óbvio demais. Acho que veremos uma mudança para o "DeFi entediante". Protocolos simples, transparentes e testados pelo tempo vão vencer os complexos e chamativos.

Até lá, assuma que qualquer protocolo que prometa rendimentos "otimizados" ou "em camadas" é, essencialmente, um experimento gigante com o seu dinheiro. Se você não consegue desenhar o fluxo dos fundos em um guardanapo em trinta segundos, provavelmente é complexo demais para ser seguro.

Opere as notícias na corretora escolhida pelo nosso editorial: MEXC