Em 18 de abril de 2026, Lazarus roubou 292 milhões de dólares da KelpDAO e depositou os tokens roubados — rsETH, um token de restaking líquido (LRT — um derivativo que representa ETH bloqueado em protocolos como EigenLayer) — como colateral na Aave para pegar ativos reais emprestados. A Aave perdeu 6,6 bilhões em TVL em 48 horas. O DeFi total caiu 13 bilhões. Então, algo que nunca havia acontecido em cripto ocorreu: sete protocolos concorrentes se uniram para arrecadar 300 milhões de dólares e evitar o colapso. Chama-se DeFi United. E é o primeiro resgate coordenado — ou bailout (injeção de capital para salvar uma instituição à beira do colapso) — da história das finanças descentralizadas. Com tudo de bom e de incômodo que isso implica.
Este artigo explica como um hack em uma bridge causou uma corrida bancária digital na Aave, quem são os sete protocolos que investiram o dinheiro e por que a Bloomberg comparou esta operação aos resgates de Wall Street de 2008.
Aviso editorial: este artigo é informativo e não constitui aconselhamento financeiro. O DeFi United é uma resposta de emergência em andamento — os valores e participantes podem mudar conforme as votações de governança avançam. A CleanSky não tem relação comercial com nenhum protocolo mencionado. Dados de abril de 2026.
Como um hack na KelpDAO causou uma corrida bancária na Aave?
O exploit não atacou a Aave diretamente — seus contratos nunca foram comprometidos. O que ocorreu foi mais sofisticado e mais perigoso:
- O hack: Lazarus explorou uma vulnerabilidade na bridge LayerZero da KelpDAO para cunhar 116.500 tokens rsETH (um token de restaking líquido que representa ETH depositado na EigenLayer) sem lastro real — rsETH "fantasma".
- A injeção de dívida: em vez de vender os rsETH roubados (o que teria colapsado o preço imediatamente), o atacante os depositou como colateral na Aave V3 e pegou emprestado ~190 milhões de dólares em ETH e WETH reais. A Aave aceitou os rsETH porque seu sistema os valorizava como legítimos.
- A corrida: quando se descobriu que os rsETH não tinham lastro, os depositantes da Aave entraram em pânico. Se a Aave não pudesse recuperar o colateral, a dívida incobrável seria socializada entre os provedores de liquidez. O TVL da Aave caiu de 26,4 bilhões de dólares para ~20 bilhões de dólares em 48 horas — uma queda de 6,6 bilhões. Os mercados de WETH atingiram 100% de utilização: ninguém conseguia sacar.
- O contágio: o TVL total de DeFi caiu 13 bilhões — de 99,5 bilhões de dólares para 86,3 bilhões de dólares. Não apenas a Aave: Compound, Morpho e Spark viram saques massivos por medo de que outros tokens de restaking líquido tivessem o mesmo problema.
A dívida incobrável estimada na Aave: entre 124 e 230 milhões de dólares, dependendo da volatilidade e da recuperação de fundos. O módulo de segurança da Aave tinha apenas 56 milhões de dólares em WETH — uma fração do necessário.
Por que a Aave é "grande demais para falir"?
Aave não é apenas um protocolo de lending — é a camada base de liquidez do DeFi. Antes do hack, gerenciava 26,4 bilhões de dólares em depósitos em 12 cadeias. stETH da Lido é usado como colateral na Aave. Pendle tokeniza yields sobre posições da Aave. Morpho otimiza as taxas da Aave. DAI da MakerDAO usa colateral depositado na Aave. Se a Aave colapsar, o contágio atinge a maioria dos principais protocolos de DeFi.
O módulo de segurança da Aave — sua reserva de emergência — tinha apenas 56 milhões de dólares em WETH quando o hack injetou entre 124 e 230 milhões de dólares de dívida incobrável. A diferença entre "módulo de segurança" e "necessidade real" era de 3-4x. Sem intervenção externa, a Aave teria socializado as perdas entre os depositantes — causando uma segunda onda de saques e potencialmente a espiral da morte do protocolo.
Quem são os sete protocolos do DeFi United e quanto eles contribuíram?
O DeFi United não foi uma ordem governamental nem um mandato regulatório. Foi uma resposta de mercado: sete protocolos e contribuidores individuais se uniram porque entenderam que o colapso da Aave — a "camada base" de liquidez em DeFi — arrastaria todo o ecossistema.
| Contribuinte | Compromisso | Tipo | Condição |
|---|---|---|---|
| Aave DAO | 25.000 ETH (~47 milhões de dólares) | Tesouraria própria | Filosofia "No Ghost Left Behind" |
| Consensys / Joseph Lubin | 30.000 ETH (~70 milhões de dólares) | Capital direto | Sem votação DAO — execução imediata |
| Mantle Network | 30.000 ETH (~70 milhões de dólares) | Empréstimo de 3 anos | Juros: APR da Lido + 1%. Exige 130.000 tokens AAVE em delegação |
| Lido DAO | 2.500 stETH (~5 milhões de dólares) | Contribuição direta | Simbólica, mas crítica — protege a utilidade do stETH como colateral |
| EtherFi | 5.000 ETH (~12 milhões de dólares) | Tesouraria DAO | Motivação direta: o colapso do rsETH ameaça todo o restaking |
| Ethena | Em revisão | Participação material | Pendente de governança |
| Stani Kulechov (fundador Aave) | 5.000 ETH (~12 milhões de dólares) | Doação pessoal | Sinal de confiança |
| Outros (Compound, Renzo, Ink, Frax...) | ~15.000+ ETH | Vários | Votações em andamento |
| Total comprometido | ~112.500+ ETH (~300 milhões de dólares) | Supera o déficit estimado de 116.500 rsETH |
Em 26 de abril, a Aave havia arrecadado ~160 milhões de dólares dos ~200 milhões de dólares necessários para cobrir a dívida incobrável. O Conselho de Segurança da Arbitrum congelou ainda 30.766 ETH (~71 milhões de dólares) vinculados ao atacante em sua L2 — reduzindo o buraco que a coalizão precisava cobrir.
O DeFi United é um resgate tipo Wall Street?
A Bloomberg titulou que este resgate "prejudica o discurso anti-Wall Street" do DeFi. O argumento: quando a crise real chegou, o setor recorreu às mesmas táticas que os bancos centrais — negociações entre grandes players, socialização do risco, "grande demais para falir".
As comparações são inevitáveis:
| Característica | Fed / BCE (2008) | DeFi United (2026) |
|---|---|---|
| Origem do capital | Emissão monetária / impostos | Tesourarias de DAOs + capital privado |
| Processo de decisão | Hierárquico / político | Governança descentralizada + consenso social |
| Transparência | Opacidade estratégica | Totalmente on-chain, auditável em tempo real |
| Quem decide | Bancos centrais designados | Holders de tokens de governança que votam |
| Quem paga | Contribuintes (via inflação ou impostos) | Os protocolos que aportaram capital voluntariamente |
| Risco moral | Alto — "too big to fail" incentiva risco excessivo | Alto — se você sabe que será resgatado, para que auditar? |
A diferença real: em 2008, ninguém sabia onde estava a dívida tóxica até que o Lehman faliu. Em DeFi, cada ETH comprometido, cada voto emitido e cada endereço envolvido é público e auditável. O DeFi United não é menos "resgate" do que o TARP (o programa de 700 bilhões de dólares que salvou os bancos dos EUA em 2008) — mas é infinitamente mais transparente.
O empréstimo da Mantle em troca de poder de voto é um problema?
É o detalhe mais incômodo do DeFi United. A Mantle não doou 30.000 ETH — ela os emprestou por 3 anos com juros, e em troca exigiu a delegação de 130.000 tokens AAVE de governança. É uma troca de "liquidez por poder político" que revela como as DAOs funcionam sob pressão:
- A Mantle obtém influência direta sobre a governança da Aave — o maior protocolo de lending de DeFi.
- A Aave obtém liquidez urgente sem vender ativos de tesouraria a preços de pânico.
- Os holders de AAVE veem seu poder de voto diluído por uma decisão de emergência que não votaram diretamente.
Este padrão — protocolos grandes emprestando capital em troca de influência na governança de outros — pode definir o futuro do DeFi. A centralização oculta não é mais apenas técnica (validadores, oráculos, sequenciadores). É política: blocos de poder interconectados que emprestam dinheiro e votos para manter a ordem. Se a Mantle acumular delegações na Aave, Compound e Lido, poderá se tornar o "Goldman Sachs do DeFi" — um player cuja influência cruza protocolos e cujas decisões afetam todo o ecossistema.
Arbitrum congelando 71 milhões de dólares é descentralização ou censura?
Enquanto o DeFi United arrecadava fundos, o Conselho de Segurança da Arbitrum — um grupo de 12 pessoas com poderes de emergência — congelou 30.766 ETH (~71 milhões de dólares) vinculados ao atacante que estavam inativos na L2. A ação reduziu significativamente o déficit que a coalizão precisava cobrir.
Mas 12 pessoas congelando fundos unilateralmente é exatamente o que o DeFi prometeu eliminar. Os críticos argumentam que é a antítese de um sistema sem permissão. Os defensores respondem que, diante de um ataque de um grupo de hackers estatais (Lazarus/Coreia do Norte), a capacidade de agir rápido salva centenas de milhões.
É o mesmo debate que com Sui e Cetus: você prefere uma rede que pode recuperar fundos roubados, mas também pode censurar os seus — ou uma rede onde ninguém pode intervir, mas os ladrões fogem com seu dinheiro? Não há resposta universal. Mas o padrão de 2026 é claro: quando o dinheiro real está em jogo, o ecossistema escolhe a intervenção em vez da pureza ideológica.
Como a Aave está se recuperando tecnicamente?
A recuperação tem duas frentes: restaurar a liquidez (para que os depositantes voltem) e absorver a dívida incobrável (para que os rsETH sem lastro parem de contaminar o balanço).
| Fase | Ação | Impacto estimado | Status (28 abr) |
|---|---|---|---|
| 1. Congelamento | Arbitrum congela 30.766 ETH do atacante | 71 milhões de dólares a menos de buraco | ✅ Concluído |
| 2. Arrecadação | DeFi United arrecada 100.000+ ETH | ~300 milhões de dólares comprometidos, 160 milhões de dólares recebidos | Em andamento |
| 3. Restauração de rsETH | Os ETH arrecadados são usados para lastrear os rsETH "fantasma" | Restaura a paridade rsETH:ETH | Proposta técnica publicada hoje |
| 4. Normalização de mercados | Reabertura de saques em pools de WETH | Depende da utilização cair de 100% | Em progresso — stablecoins normalizando |
| 5. Post-mortem | Auditoria de todas as integrações de LRT na Aave | Prevenção de futuros ataques semelhantes | Pendente |
O multisig de recuperação é um Gnosis Safe 2/3 controlado por Sharplink (a empresa de Lubin), Certora (verificação formal) e BGD Labs (desenvolvedor core da Aave). Cada movimento de fundos é público e auditável on-chain — ao contrário dos resgates bancários tradicionais, onde os termos são negociados a portas fechadas.
Marc Zeller, da Aave Chan Initiative, propôs formalizar o DeFi United como infraestrutura permanente: um "Vault DeFi United ETH" onde 50% das receitas da Aave acima de um limite seriam depositadas como fundo de reserva sistêmico. É a tentativa de converter uma resposta ad-hoc em um seguro programático — algo que os bancos centrais levaram décadas para construir após 2008.
Que lições o DeFi United deixa para o investidor?
Cinco lições concretas:
- Aave é "grande demais para falir" — mas isso tem um preço. A coalizão confirmou: se a Aave colapsar, o DeFi colapsa. Isso protege os depositantes, mas cria risco moral — se os protocolos sabem que serão resgatados, para que investir em segurança?
- Os tokens de restaking líquido (LRTs) são o vetor de risco sistêmico de 2026. rsETH, eETH, pufETH — todos circulam como colateral em money markets (protocolos onde você deposita um ativo e pega outro emprestado). Uma falha em qualquer um pode injetar dívida incobrável na Aave, Morpho ou Compound. O restaking multiplica rendimento e risco. A indústria está se movendo em direção a limites dinâmicos de cunhagem — restringir quantos LRTs novos um money market pode aceitar se o lastro não for verificado por múltiplos oráculos.
- A governança funciona — mas lentamente. Muitas contribuições do DeFi United estão pendentes de votação. Lubin agiu em horas; as DAOs levam dias ou semanas. Em uma crise que se mede em minutos, a velocidade da governança descentralizada é uma limitação real.
- A transparência é a vantagem real. Cada ETH do DeFi United é rastreável on-chain. O multisig de recuperação (Gnosis Safe 2/3 controlado por Sharplink, Certora e BGD Labs) é público. Isso não existiu no TARP nem nos resgates bancários europeus.
- Diversifique entre protocolos de lending. Se todo o seu capital estava na Aave quando a utilização chegou a 100%, você não podia sacar. Distribuir entre Aave, Morpho e Compound não elimina o risco sistêmico — mas reduz a probabilidade de ficar preso em um único protocolo. E verifique a composição do colateral: se o pool onde você deposita aceita LRTs como rsETH, sua exposição ao risco de bridge é indireta, mas real.
O mais honesto: o DeFi United é simultaneamente a maior força e a maior fraqueza do DeFi em 2026. Demonstra que o ecossistema pode se coordenar para salvar sua infraestrutura — algo que nenhum outro mercado financeiro faz com essa transparência. Mas também demonstra que "código é lei" tem um limite: quando os fundos dos usuários estão em risco, o consenso social substitui o contrato inteligente. O DeFi não eliminou os resgates — ele os descentralizou. E a pergunta que fica aberta para os próximos meses: o DeFi United será formalizado como infraestrutura permanente com um vault de reserva sistêmico — ou se dissolverá até o próximo hack? A resposta definirá se o DeFi aprendeu algo com 2008 ou se está condenado a repeti-lo, desta vez com mais transparência, mas com a mesma improvisação.
Você sabe quanto do seu capital em DeFi depende de tokens de restaking líquido como colateral?
A CleanSky mostra sua exposição por protocolo, cadeia e tipo de colateral — para que você veja onde o risco sistêmico se acumula antes que um hack como o da Kelp o afete. Sem custodiar seus fundos. Descubra como funciona.