Perdas em DeFi caem, mas falhas atingem seis blockchains simultaneamente

As perdas em DeFi caíram drasticamente desde o pico de 2022, mas um novo tipo de risco está surgindo – a possibilidade de drenar fundos simultaneamente em múltiplas cadeias. As perdas em protocolos de toda a indústria diminuíram de US$ 2,62 bilhões em 2022 para US$ 534 milhões em 2024, uma queda de 80%, indicando uma melhora significativa na segurança do DeFi.

Explorações em bridges, antes o principal motivo de roubo de bilhões, agora representam apenas uma fração das perdas totais em DeFi. Especificamente, os US$ 1,9 bilhão perdidos em nove ataques a bridges em 2022 – incluindo a notória violação de US$ 624 milhões no Ronin Bridge – cairam para apenas 3% das perdas até 2025.

No entanto, surge uma ameaça mais insidiosa: o uso repetido de bases de código idênticas em várias cadeias. Essa conveniência arquitetural transforma um único erro de programação em uma vulnerabilidade multisistema. Um exemplo foi o dreno de US$ 128 milhões no último novembro nos Balancer V2 Composable Stable Pools, que atingiu simultaneamente seis blockchains – Ethereum, Arbitrum, Base, Polygon, OP Mainnet e Sonic.

O problema foi um bug de precisão aritmética que permitiu aos atacantes manipularem os saldos dos tokens, empurrando os valores até os limites de arredondamento e amplificando pequenos erros por meio de swaps encadeados até a drenagem total dos fundos. O erro passou por onze auditorias de segurança, destacando a sutileza e complexidade das vulnerabilidades atuais no DeFi.

Enquanto a perda média por incidente caiu de US$ 6 milhões em 2022 para US$ 1,5 milhão em 2025, o número de explorações individuais – 83 no ano passado – aumentou. Esse padrão sugere que a segurança está amadurecendo: os ataques permanecem frequentes, mas causam menos danos.

Ainda assim, o risco está se transformando, não desaparecendo. Conforme os exploits multisistema se tornam viáveis pela replicação de código, a superfície de ataque se amplia, potencialmente gerando choques sistêmicos que abrangem não apenas projetos, mas ecossistemas inteiros.

Traders e desenvolvedores devem ficar atentos a essas vulnerabilidades de implantação cross-chain. O caso Balancer estabelece um precedente: auditorias sozinhas não são suficientes. Estratégias defensivas precisarão evoluir para além das verificações básicas, incluindo análise do código compartilhado em todas as cadeias suportadas.

O Ethereum continua sendo o centro onde a maioria desses exploits ocorre, tornando o desenvolvimento de sua segurança especialmente relevante. Investidores devem acompanhar de perto as atualizações de protocolo e ciclos de correção, principalmente quando protocolos replicam código em múltiplos Layer-2 ou sidechains.

À medida que o DeFi aprofunda suas raízes em ambientes multichain, as próximas grandes explorações podem não estar mais em falhas isoladas de bridges, mas em colapsos simultâneos causados por um bug compartilhado. Isso eleva o desafio para as empresas de auditoria e equipes de protocolo criarem um código verdadeiramente resiliente cross-chain.