Aave Bad Debt e análise pós-incidente do ataque à Ponte KelpDAO: transmissão de Garantia em DeFi, squeeze de liquidez e principais lições para a governança de risco

Linha temporal dos eventos e factos-chave

Fonte da imagem: Publicação oficial da AAVE no X

Entre 18 e 20 de abril de 2026, a KelpDAO e componentes ligados à verificação de mensagens entre cadeias registaram anomalias, permitindo a atacantes adquirir grandes volumes de rsETH e aceder rapidamente ao mercado secundário e a estratégias de portfólio DeFi. O foco do mercado deslocou-se para a Aave V3 (com alguns relatos a referirem-se a testes ou implementação da V4) relativamente ao caminho de empréstimos colateralizados em rsETH, com diversas referências a “aproximadamente 177 milhões $ a 236 milhões $ em dívida incobrável” e “cerca de 290 milhões $ em ativos roubados”. Em simultâneo, a evolução do TVL, a taxa de utilização do pool WETH e a experiência de levantamento tornaram-se temas centrais nas redes sociais e nos painéis de dados.

Caminho do ataque: do “fracasso do reforço de crédito do ativo em ponte” ao “stress no balanço do protocolo de empréstimos”

Ao analisar o risco DeFi em “risco de código / risco económico / risco operacional / risco de portfólio”, este incidente é um exemplo paradigmático de risco de portfólio:

1. Falha a montante no reforço de crédito: Problemas em pontes entre cadeias ou nos caminhos de verificação de mensagens comprometeram a integridade dos ativos LST/LRT do tipo rsETH, quebrando a ligação aos respetivos ativos subjacentes.

2. Colateral comprometido entra no mercado monetário: Os atacantes utilizaram esses ativos como garantia na Aave, pedindo emprestado WETH e outros ativos do lado da responsabilidade, mais líquidos.

3. Saída real de ativos a jusante: Se liquidação e descoberta de preços não ocorrerem no mesmo horizonte temporal, surge um desfasamento entre o lado da responsabilidade (ativos reclamáveis por depositantes) e o lado do ativo (valor de garantia recuperável), situação normalmente designada dívida incobrável — um tema recorrente na discussão de mercado.

O ponto crítico nesta cadeia é que o mercado monetário não absorve a “ponte em si”, mas sim o “símbolo de colateral creditado pela ponte”. Assim que este símbolo se dissocia do ativo subjacente, o modelo de risco do protocolo de empréstimos passa de “risco de volatilidade” para “risco de autenticidade” (falsificação/cunhagem sem lastro), tipicamente fora do âmbito dos testes de stress convencionais.

Porque é que a Aave assumiu as perdas: parâmetros do colateral, correlação e limites de liquidação

Os principais pontos fortes da Aave enquanto mercado monetário generalista são a composabilidade e a gestão parametrizada do risco; no entanto, em condições extremas, estas características podem concentrar a exposição sistémica. Entre os mecanismos frequentemente debatidos destacam-se:

• Fator de colateral e capacidade de empréstimo: Maior eficiência do colateral reduz a margem de segurança; quando o colateral não é apenas “depreciado”, mas sim “falsificado”, a definição de margem de segurança altera-se profundamente.

• E‑Mode (Efficiency Mode): Em portfólios de ativos altamente correlacionados, o E‑Mode aumenta a eficiência de capital, mas pode comprimir o “risco homogéneo” numa almofada mais fina. Se colateral e fontes de risco partilham a mesma janela de evento, o risco de correlação pode traduzir-se em atrasos de liquidação ou produto de liquidação insuficiente.

• Caps: Os limites restringem a “escala”, mas um cap de escala não equivale automaticamente a um “cap de autenticidade”. Quando cunhagens anormais contornam restrições de ativos reais, os caps podem permitir a acumulação rápida de risco num único protocolo.

• Oráculos e liquidez: As liquidações dependem do preço e da liquidez. Se os caminhos de preço se rompem antes ou após a divulgação do evento, ou se a profundidade do pool é insuficiente para absorver vendas de liquidação, a discussão sobre dívida incobrável passa do modelo teórico para a microestrutura do mercado.

Com listas de colateral abertas e parâmetros de eficiência em vigor, o sistema torna explícito o risco de cauda dos ativos entre cadeias enquanto liquidez emprestável.

Efeitos de segunda ordem ao nível do mercado: TVL, taxa de utilização e restrições de levantamento

Após um choque desta natureza, surgem e reforçam-se três fenómenos de mercado:

• Choque informativo: Os utilizadores reavaliam se o colateral permanece confiável.

• Preferência acrescida por liquidez: A aversão ao risco conduz ao levantamento de WETH/ETH e ativos semelhantes do protocolo.

• Mecanismos de taxa de utilização e taxa de juro: Quando o aumento da atividade de empréstimo coincide com levantamentos de depósitos, as taxas de utilização sobem, alterando a dinâmica dos empréstimos. Em cenários extremos, isto resulta em “quem quer sair não consegue fazê-lo rapidamente”. Embora do ponto de vista técnico tal não represente necessariamente insolvência, do ponto de vista da experiência do utilizador equivale a uma crise de liquidez.

Resposta do protocolo e considerações de bens públicos: congelamento de mercados, fundos de backstop e transparência

Segundo informações públicas, as “ações de emergência padrão” do setor incluem normalmente:

• Congelar ou suspender mercados de colateral específicos para bloquear nova exposição ao risco;

• Comunicar lacunas de dívida e estratégias de resolução (recompras, reservas, módulos de seguro, subsídios de governança, etc.) para reduzir a assimetria de informação;

• Coordenar com equipas de auditoria, jurídicas e interprotocolos para evitar declarações fragmentadas que possam causar danos secundários.

Se o protocolo introduzir fundos de backstop ou módulos de buffer de risco (com nomes como Umbrella, referidos em relatórios mediáticos e pertencentes à narrativa do produto), surgem três questões de engenharia:

1. Quais as condições de ativação — automáticas ou definidas por governança?

2. Qual a ordem de cobertura — como são priorizados depositantes, titulares de tokens e tesourarias do ecossistema?

3. Podem análises post-mortem originar alterações executáveis de parâmetros e estruturas de admissão de colateral?

No DeFi, o profissionalismo mede-se pela capacidade de decompor a incerteza em listas de verificação auditáveis.

Conclusão: não é uma vulnerabilidade pontual, mas sim uma reavaliação do risco sistémico de acoplamento

Reduzir o evento a “Aave foi hackeada” ignora o verdadeiro problema do setor: à medida que LST/LRT e pontes entre cadeias se tornam colateral mainstream nos mercados monetários, estes mercados passam a subscrever o risco de crédito de toda a stack. Uma falha na camada de ponte pode manifestar-se como dívida incobrável, subida acentuada da taxa de utilização e dificuldades de levantamento no mercado monetário.

Para investigadores e profissionais, a principal lição é uma lista de questões críticas — não apenas um sentimento:

• Admissão de colateral: Que pressupostos de reforço de crédito devem ser codificados em cláusulas de onboarding e testes de stress?

• Governança de parâmetros: Como explicar de forma transparente o equilíbrio entre eficiência e resiliência?

• Comunicação de crise: Como alinhar dados digitais com provas on-chain para evitar que “números de manchete” distorçam o mercado?