A Coreia do Norte está cobrando imposto sobre o DeFi
Durante muito tempo, hack em cripto foi tratado como ruído de uma indústria jovem.
Uma falha aqui.
Um bridge mal montado ali.
Um contrato mal auditado no meio do caminho.
A leitura ficou velha.
No dia 30 de abril, a TRM Labs publicou que dois ataques atribuídos a grupos norte-coreanos responderam por 76% de todo o valor perdido em hacks cripto em 2026 até o fim de abril. Foram US$ 577 milhões em apenas dois golpes: US$ 285 milhões na Drift Protocol, em 1º de abril, e US$ 292 milhões na KelpDAO, em 18 de abril.
Quando dois eventos concentram esse tamanho de estrago, já não estamos falando de azar estatístico.
Estamos falando de um custo estrutural que o mercado ainda insiste em subprecificar.
o caso drift mostrou que audit não basta
A Drift, uma perp DEX em Solana, publicou em 5 de maio seu plano de recuperação para usuários afetados. No texto, o protocolo fala em US$ 295,4 milhões em perdas verificadas, número um pouco acima da estimativa da TRM.
A divergência de valor não é o ponto principal.
O ponto principal é como o ataque aconteceu.
Segundo a TRM, houve meses de engenharia social antes do golpe. O invasor preparou terreno, explorou o uso de durable nonces na Solana, induziu signers a pré assinar transações e depois usou um ativo falso, o CarbonVote Token, como colateral para drenar ativos reais.
O saque final aconteceu em cerca de 12 minutos, com 31 retiradas.
Isso deveria incomodar mais gente.
Não foi um script aleatório trombando em contrato mal escrito.
Foi operação paciente.
Com preparação.
Com conhecimento de fluxo operacional.
Com foco claro na parte humana e na rotina de governança.
a kelpdao atingiu outro ponto fraco
Se a Drift expôs a fragilidade operacional, a KelpDAO expôs a fragilidade da infraestrutura ao redor do protocolo.
A TRM escreveu que o ataque de 18 de abril drenou cerca de 116.500 rsETH, avaliados em US$ 292 milhões. O vetor, segundo a investigação, passou por nós RPC internos comprometidos e por uma configuração com verificador único no LayerZero.
Traduzindo para português claro: bastou contaminar a fonte de verdade de uma ponte crítica para liberar ativo sem lastro do outro lado.
Depois veio a parte que o mercado conhece bem demais.
Corrida para lavar fundos.
A própria TRM diz que cerca de US$ 75 milhões foram congelados no Arbitrum, enquanto parte relevante do restante correu para o THORChain e foi convertida em bitcoin.
Percebe o tamanho do problema?
Em um caso, o risco estava na governança operacional.
No outro, na dependência de infraestrutura externa.
São dores diferentes, mas com a mesma consequência: o usuário acha que está comprando exposição a um protocolo. Na prática, muitas vezes está comprando exposição a uma pilha inteira de premissas que ele nunca leu.
o mercado ainda precifica defi como se o inimigo fosse amador
Esse talvez seja o erro mais caro da fase atual.
Boa parte do mercado continua analisando DeFi com a cabeça de 2021.
TVL.
Taxa.
Volume.
Emissão.
Token unlock.
Só que o atacante do outro lado também evoluiu.
A TRM afirma que a Coreia do Norte já acumula mais de US$ 6 bilhões em roubos cripto atribuídos desde 2017. Não é mais um ambiente em que o principal risco vem de adolescente brilhante procurando bounty informal.
É ameaça de nível estatal.
Com tempo.
Com disciplina.
Com capacidade de esperar meses para monetizar o roubo.
Esse detalhe muda a forma de olhar o setor inteiro.
Audit segue importante, claro.
Mas audit sozinho não resolve signer mal treinado, política de multisig frouxa, ponte montada com verificador insuficiente ou processo operacional que abre janela para manipulação.
O desconto de valuation do DeFi tende a sair cada vez menos do código puro e cada vez mais da qualidade do encanamento invisível.
a descentralização ficou menos romântica
Tem outro recado incômodo nesses ataques.
Na KelpDAO, o congelamento emergencial no Arbitrum segurou cerca de US$ 75 milhões. Para quem sofreu o golpe, isso ajuda.
Para a tese ideológica mais pura do setor, isso também mostra outra coisa: na hora do incêndio, muita gente ainda prefere ter botão de emergência por perto.
Não estou dizendo que isso invalida o DeFi.
Estou dizendo que a conversa ficou adulta.
O mercado vai precisar aceitar que segurança real não cabe em slogan simples. Em certos pontos, ela exige coordenação, camadas redundantes, monitoramento agressivo e até poderes extraordinários para conter dano.
Isso reduz a fantasia, mas melhora a chance de sobrevivência.
o que muda daqui para frente
Eu acho que a consequência mais importante nem é a manchete do hack em si.
É a repricing silenciosa que vem depois.
Protocolos vão enfrentar due diligence mais dura.
Colateral exótico deve perder espaço mais rápido.
Bridges e stacks operacionais frágeis passam a merecer desconto automático.
E projetos que tratam segurança como centro de custo inevitável, não como item de marketing, tendem a ganhar prêmio.
Esse é o ponto que vale guardar.
Os US$ 577 milhões citados pela TRM não contam apenas uma história policial.
Eles contam uma história de mercado.
O DeFi continua útil.
Continua inovando.
Continua valendo atenção.
Mas agora carrega uma conta geopolítica muito mais explícita.
Quem ignorar isso pode continuar vendo TVL, fee e narrativa.
Quem olhar direito vai começar a perguntar se o protocolo sabe se defender de um adversário que trata hack como política de Estado.
Essa diferença de leitura deve separar muita coisa boa de muita coisa frágil nos próximos meses.
