Aave Bad Debt e KelpDAO Bridge Attack Post-Mortem: transmissão de Garantia em DeFi, squeeze de liquidez e lições para a governança de risco

Linha do tempo dos eventos e fatos principais

Fonte da imagem: Publicação oficial da AAVE no X

Entre 18 e 20 de abril de 2026, KelpDAO e componentes relacionados à verificação de mensagens cross-chain apresentaram anomalias, permitindo que atacantes adquirissem grandes volumes de rsETH e acessassem rapidamente o mercado secundário e estratégias de portfólio DeFi. O foco do mercado passou a ser o Aave V3 (com alguns relatos mencionando testes ou implantação do V4) em relação ao caminho de empréstimos colateralizados por rsETH, com cifras como “aproximadamente US$ 177 milhões a US$ 236 milhões em dívida inadimplida” e “cerca de US$ 290 milhões em ativos roubados”. Simultaneamente, mudanças no TVL, na taxa de utilização do pool de WETH e na experiência de saque dominaram discussões em redes sociais e painéis de dados.

Caminho do ataque: de “falha no reforço de crédito de bridge de ativos” a “estresse no balanço do protocolo de empréstimo”

Ao decompor o risco DeFi em “risco de código / risco econômico / risco operacional / risco de portfólio”, este incidente é um exemplo clássico de evento de risco de portfólio:

1. Falha de reforço de crédito a montante: problemas em bridges cross-chain ou caminhos de verificação de mensagens comprometeram a integridade de ativos LST/LRT do tipo rsETH, rompendo a ligação com os ativos subjacentes.
2. Colateral comprometido entra no mercado monetário: atacantes usaram esses ativos como garantia no Aave, pegando emprestado WETH e outros ativos do lado do passivo com alta liquidez.
3. Saída de ativos reais a jusante: se liquidação e descoberta de preço não ocorrem no mesmo momento, surge um descompasso entre o lado do passivo (ativos resgatáveis por depositantes) e o lado do ativo (valor recuperável da garantia), chamado de dívida inadimplida — tema recorrente nas discussões de mercado.

O ponto crítico desse fluxo é que o mercado monetário não absorve a “bridge em si”, mas sim o “símbolo de garantia creditado pela bridge”. Quando esse símbolo se desvincula do lastro, o modelo de risco do protocolo de empréstimo passa de “risco de volatilidade” para “risco de autenticidade” (falsificação/cunhagem sem lastro), geralmente fora do escopo dos testes de estresse tradicionais.

Por que o Aave absorveu o prejuízo: parâmetros de garantia, correlação e limites de liquidação

Os diferenciais do Aave como mercado monetário generalista são a composabilidade e a gestão de risco parametrizada; sob condições extremas, essas características também potencializam a exposição sistêmica. Entre os mecanismos amplamente debatidos estão:

• Fator de colateral e capacidade de empréstimo: maior eficiência de colateral reduz a margem de segurança; se a garantia não está apenas “depreciada”, mas é “falsificada”, o conceito de margem de segurança muda completamente.
• E‑Mode (Efficiency Mode): em portfólios de ativos altamente correlacionados, o E‑Mode aumenta a eficiência de capital, mas pode comprimir o “risco homogêneo” em uma proteção mínima. Se garantia e fontes de risco compartilham o mesmo evento, o risco de correlação pode resultar em atrasos na liquidação ou produto insuficiente.
• Caps: os caps limitam a “escala”, mas um cap de escala não equivale automaticamente a um “cap de autenticidade”. Quando cunhagens anômalas contornam restrições de ativos reais, caps podem permitir rápida concentração de risco em um único protocolo.
• Oráculos e liquidez: liquidações dependem de preço e liquidez. Se os caminhos de preço se rompem antes ou depois do evento, ou se a profundidade do pool é insuficiente para absorver liquidações, a discussão sobre dívida inadimplida deixa de ser teórica e passa à microestrutura do mercado.

Com listas abertas de colateral e parâmetros de eficiência, o sistema explicita o risco extremo de ativos cross-chain como liquidez emprestável.

Efeitos de segunda ordem no mercado: TVL, taxa de utilização e restrições de saque

Após choques desse tipo, três fenômenos de mercado costumam surgir e se retroalimentar:

• Choque de informação: usuários reavaliam a confiabilidade do colateral.
• Preferência por liquidez: aversão ao risco estimula saques de WETH/ETH e ativos similares.
• Taxa de utilização e mecanismos de juros: quando empréstimos crescem junto com saques, taxas de utilização sobem e a dinâmica de empréstimos muda. Em cenários extremos, “quem quer sair não consegue sair rapidamente”. Embora não seja necessariamente insolvência do ponto de vista técnico, para o usuário equivale a uma crise de liquidez.

Resposta do protocolo e considerações de bens públicos: congelamento de mercados, fundos de backstop e transparência

Segundo informações públicas, as “ações emergenciais padrão” incluem:

• Congelamento ou suspensão de mercados de garantias específicas para bloquear nova exposição ao risco;
• Comunicação sobre lacunas de dívida e estratégias de resolução (recompra, reservas, módulos de seguro, subsídios de governança etc.) para reduzir assimetria de informação;
• Coordenação com times de auditoria, jurídico e outros protocolos para evitar comunicações fragmentadas e danos secundários.

Caso o protocolo adote fundos de backstop ou módulos de buffer de risco (com nomes como Umbrella, citados em reportagens e pertencentes à narrativa do produto), surgem três questões de engenharia:

1. Quais as condições de acionamento — automáticas ou por governança?
2. Qual a ordem de cobertura — como depositantes, holders de token e tesourarias do ecossistema são priorizados?
3. Revisões pós-mortem podem levar a mudanças executáveis em parâmetros e critérios de admissão de garantias?

O profissionalismo no DeFi está em transformar incertezas em checklists verificáveis, não em slogans.

Conclusão: não é uma vulnerabilidade pontual, mas uma reprecificação do risco sistêmico de acoplamento

Reduzir o evento a “Aave foi hackeado” ignora a questão central: à medida que LST/LRT e bridges cross-chain se tornam garantias padrão em mercados monetários, esses mercados passam a subscrever crédito para toda a stack. Uma falha na camada de bridge pode resultar em dívida inadimplida, aumento da taxa de utilização e fricção nos saques.

Para pesquisadores e profissionais, o aprendizado é uma lista de perguntas críticas — não apenas um sentimento:

• Admissão de garantias: quais hipóteses de reforço de crédito precisam ser codificadas em cláusulas de onboarding e testes de estresse?
• Governança de parâmetros: como explicar de forma transparente o trade-off entre eficiência e resiliência?
• Comunicação de crise: como alinhar números digitais com evidências on-chain para evitar que “números de manchete” direcionem o mercado?