Rewards Hub 
Aave, o maior protocolo de empréstimos descentralizados, com mais de US$ 20 bilhões em depósitos antes desta semana, absorveu aproximadamente US$ 196 milhões em dívida inadimplente decorrente de um único incidente externo. Em 19 de abril de 2026, o contrato rsETH do Kelp DAO sofreu uma exploração resultando na drenagem de US$ 292 milhões, tornando-se o maior ataque DeFi do ano. O invasor depositou o rsETH roubado como garantia na Aave V3 e tomou empréstimo em WETH. O problema é que, após a exploração, o rsETH deixou de ser respaldado, tornando essa garantia praticamente sem valor.
Em apenas 24 horas, o TVL da Aave caiu de cerca de US$ 22 bilhões para US$ 15,4 bilhões, com saques de usuários em todos os mercados, inclusive em pools sem exposição ao rsETH. O token AAVE recuou entre 16% e 20%. A reserva de segurança "Umbrella", criada para cenários assim, pode não ser suficiente para cobrir totalmente o déficit de US$ 196 milhões.
Como o ataque à Kelp afetou a Aave
A exploração no Kelp DAO não teve relação direta com os contratos inteligentes da Aave. O Kelp é um protocolo de restaking líquido construído sobre o EigenLayer, emitindo tokens rsETH que representam posições de ETH em staking. Em 19 de abril, um invasor explorou uma vulnerabilidade no mecanismo de saque da Kelp, drenando cerca de US$ 292 milhões dos ativos subjacentes. Os tokens rsETH restantes perderam seu lastro, sendo negociados com forte desconto em relação ao seu preço teórico vinculado ao ETH.
Neste cenário, antes que a equipe da Kelp congelasse os tokens comprometidos, o invasor depositou grande parte do rsETH furtado como garantia na Aave V3 e tomou WETH como empréstimo. O oráculo da Aave ainda precificava o rsETH com o valor pré-ataque, já que o feed da Chainlink não havia refletido a desvalorização. Quando a governança da Aave congelou os mercados de rsETH nas versões V3 e V4, o invasor já havia extraído o WETH, restando à Aave garantias agora sem valor real.
O resultado foi cerca de US$ 196 milhões em dívida inadimplente concentrada no par rsETH-WETH. Esse prejuízo não é hipotético: trata-se de dívida real que o protocolo deve aos depositantes de WETH que tiveram seus fundos retirados.
Por que US$ 6,6 bilhões saíram da Aave em 24 horas
A queda no TVL é um ponto que preocupa os usuários DeFi tanto quanto a dívida inadimplente. A exposição do prejuízo estava restrita ao par rsETH-WETH em mercados específicos. A grande maioria dos pools da Aave não tinha exposição ao rsETH. Fornecedores de USDC, DAI e wBTC em redes não afetadas não corriam risco de perda neste incidente.
No entanto, os depositantes não aguardaram detalhes. Assim que "Aave" e "dívida inadimplente" apareceram nas manchetes, ocorreu uma espécie de corrida bancária: saques em todos os mercados, redes e pools. O TVL caiu de cerca de US$ 22 bilhões para US$ 15,4 bilhões em 24 horas, um fluxo de saída de US$ 6,6 bilhões — 33 vezes maior que o prejuízo real.
Esse padrão não é novo no DeFi. No ataque ao Euler Finance em março de 2023, vários protocolos de empréstimo viram saques mesmo sem relação direta com o hack. Desta vez, o impacto é maior, pois a Aave é referência institucional no setor. Uma retirada de US$ 6,6 bilhões do líder de mercado sinaliza um alerta que ultrapassa apenas o gráfico de TVL.
A saída de depósitos gerou outro efeito: com menos fundos, as taxas de utilização dos pools restantes subiram, elevando as taxas de empréstimo e incentivando mais saques. Esse ciclo explica o tamanho da queda do TVL em relação à perda efetiva. O valor retirado reflete uma mudança na percepção de risco dos depositantes, não prejuízos diretos.
O que acontece com o déficit de US$ 196 milhões?
A Aave possui um mecanismo específico para esse tipo de situação: o módulo de segurança "Umbrella", formado por receitas do protocolo e depósitos em staking de AAVE. A dúvida é se a reserva será suficiente para cobrir o déficit de US$ 196 milhões.
Em meados de abril de 2026, a reserva "Umbrella" continha cerca de US$ 80 a US$ 100 milhões em ativos, deixando um possível déficit adicional de US$ 96 a US$ 116 milhões a ser coberto por outros meios. Para ativar o módulo, é necessária votação de governança, cabendo à comunidade decidir como utilizar esses fundos.
Se a reserva não for suficiente, o próximo nível de proteção recai sobre os detentores de stkAAVE — usuários que apostaram seus tokens AAVE como garantia, recebendo taxas do protocolo em troca do risco de corte (slashing). Uma proposta de governança pode decidir cortar parte do AAVE em staking para cobrir a dívida restante, e esse risco já está sendo precificado pelos detentores de stkAAVE.
O fundador da Aave, Stani Kulechov, afirmou publicamente que a exploração foi totalmente externa aos contratos do protocolo, ressaltando que a vulnerabilidade estava no código da Kelp, não na lógica dos empréstimos da Aave. Embora tecnicamente correta, essa distinção oferece pouco conforto aos depositantes que perderam acesso ao WETH por conta de uma garantia que se tornou sem valor.
O que o preço do token AAVE indica
O token AAVE caiu entre 16% e 20% em poucas horas após o incidente, de cerca de US$ 280 para US$ 224, estabilizando próximo a US$ 235. O movimento refletiu dois temores: o impacto financeiro direto da dívida inadimplente e o risco de corte para stkAAVE, bem como o dano reputacional de o maior protocolo DeFi estar relacionado a uma perda significativa.
O token se recuperou parcialmente, mas segue abaixo do patamar anterior. A trajetória dependerá de como a governança resolverá o déficit. Uma solução rápida, em que a reserva cobre a maior parte da perda e o restante seja resolvido com corte moderado para stkAAVE, tende a restaurar a confiança. Caso o processo demore ou surjam novas dívidas inadimplentes relacionadas a outros tokens de restaking, o token pode testar novas mínimas.
Vale observar o comportamento dos grandes detentores (whales): nos primeiros dois dias, houve sinais mistos, alguns acumulando abaixo de US$ 230 e outros movendo AAVE para exchanges, possivelmente para venda. O mercado ainda busca consenso, que deve se definir conforme avança a governança.
O que isso significa para os protocolos de empréstimos DeFi
O incidente Kelp-Aave expõe uma vulnerabilidade estrutural compartilhada por todos os protocolos de empréstimo: a dependência de oráculos para avaliação de garantias. Se um ataque externo torna um ativo de garantia inútil antes do ajuste do oráculo, o protocolo absorve o prejuízo. Os contratos da Aave funcionaram como programado, mas a arquitetura do sistema implica que a segurança dos depósitos depende da robustez de todos os protocolos dos tokens aceitos como garantia.
Esse é o risco de composabilidade com restaking, apontado por críticos desde o início do EigenLayer. Tokens de restaking líquido como rsETH, rswETH e ezETH embrulham posições de staking complexas em novos derivativos usados como garantia. Cada camada adiciona dependências e, quando uma falha, todo o ecossistema é impactado.
É esperado que, nas próximas semanas, protocolos líderes revisem requisitos para tokens de restaking como garantia. Compound, MakerDAO e outros provavelmente reavaliarão seus parâmetros de risco e podem remover temporariamente tais tokens das listas de garantia.
Para depositantes, a lição é que contratos inteligentes auditados protegem contra falhas no próprio protocolo, mas não contra riscos de garantias externas. Diversificar entre plataformas reduz riscos individuais, mas o caso Kelp mostrou que mesmo pools não afetados podem sofrer saques. A diversificação importante é entre tipos de garantia, não apenas entre plataformas.
Perguntas Frequentes
A Aave foi hackeada?
Não, os contratos inteligentes da Aave não foram comprometidos. A dívida inadimplente decorre de uma exploração no protocolo rsETH do Kelp DAO. O invasor usou o rsETH roubado como garantia para tomar WETH, e quando o rsETH perdeu seu respaldo, a garantia se tornou inútil enquanto os fundos tomados já haviam sido sacados.
Quanto a Aave perdeu no ataque à Kelp?
Aave absorveu cerca de US$ 196 milhões em dívida inadimplente do par rsETH-WETH. O TVL do protocolo também caiu US$ 6,6 bilhões devido a saques preventivos dos depositantes, ainda que a maioria não tenha sofrido perdas reais.
Os detentores de stkAAVE terão prejuízo?
É possível, e este é o risco que os detentores de stkAAVE assumem ao realizar staking, recebendo taxas do protocolo como compensação. Caso a reserva "Umbrella" não seja suficiente, uma votação pode decidir pelo corte de parte do AAVE em staking para cobrir o déficit. Até 20 de abril, ainda não houve votação.
Ainda é seguro depositar na Aave após este evento?
Os contratos da Aave seguem funcionando e não foram comprometidos. O risco não está no código, mas nas garantias aceitas. É fundamental verificar os ativos de garantia ativos nos pools e entender que tokens de restaking carregam riscos adicionais comparados a ativos simples como ETH ou USDC.
Conclusão
O ataque à Kelp gerou uma dívida inadimplente de US$ 196 milhões para a Aave e retiradas de US$ 6,6 bilhões, mas o código do protocolo permaneceu íntegro. O risco exposto é o da dependência de protocolos externos de restaking para garantias. Nos próximos dias, a governança decidirá como utilizar a reserva "Umbrella" e se será necessário cortar stkAAVE. Uma resolução rápida pode trazer a recuperação do TVL; caso contrário, pode haver mudanças profundas nos critérios de aceitação de garantias em todo o ecossistema. Protocolos que ajustarem seus padrões de restaking primeiro poderão atrair capital mais cauteloso.
Este artigo tem caráter informativo e não constitui aconselhamento financeiro ou de investimento. Negociações com criptomoedas envolvem riscos significativos. Sempre realize sua própria pesquisa antes de tomar decisões.
