O confirmar mais caro da história do DeFi: 50 milhões de dólares evaporados instantaneamente na cadeia

Autor: 137Labs

No dia 12 de março, um investidor anónimo de baleia realizou uma troca de ativos de grande valor através da interface frontend do protocolo @aave: tentou comprar tokens de governança AAVE por cerca de 50,43 milhões de dólares em USDT. Contudo, devido a um deslizamento extremo, recebeu apenas entre 324 e 327 aEthAAVE, avaliados em cerca de 36 mil dólares, sofrendo uma perda instantânea de quase 50 milhões de dólares. Este episódio rapidamente ganhou destaque no X e na mídia mainstream, tornando-se uma história de humor negro e advertência para os utilizadores de DeFi. Este artigo, através da reconstrução detalhada dos dados e da cadeia de eventos, revela o custo de um simples clique.

Relato factual do evento: cronologia e detalhes-chave

Vamos primeiro reconstruir objetivamente o percurso do incidente. A falha ocorreu na rede principal Ethereum, no protocolo Aave V3, que é uma das plataformas de empréstimo DeFi mais avançadas globalmente, com um TVL (valor total bloqueado) superior a centenas de bilhões de dólares. O utilizador realizou a troca através da interface oficial do #Aave, usando o CoW Protocol (um roteador descentralizado de ordens).

A cronologia baseada em dados on-chain e declarações oficiais:

• Por volta das 12h45 UTC de 12 de março: o utilizador inicia a troca, inserindo USDT no valor de 50,43 milhões de dólares (equivalente a aEthUSDT).
• Às 12h47 UTC: a interface detecta que a ordem excede em muito a profundidade do pool, exibindo múltiplos alertas, como “ordem de valor excepcionalmente alto”, “risco de deslizamento extremo” e “necessária confirmação manual”.
• Às 12h48 UTC: o utilizador confirma na app móvel, prosseguindo com a operação. A transação é enviada para a blockchain, e o Etherscan mostra que parte da perda foi capturada por bots MEV (com lucros de cerca de 9 a 10 milhões de dólares de diferença de preço).
• Por volta das 13h30 UTC: Stani Kulechov publica um esclarecimento, reforçando que o protocolo e o roteador CoW funcionaram normalmente, que o utilizador aceitou os riscos e que irá contactar o utilizador para reembolsar uma taxa de 600 mil dólares.
• Na manhã de 13 de março: o incidente espalha-se pelo Crypto Twitter e pela mídia mainstream, com centenas de discussões. O volume de negociação do Aave nos últimos 24 horas aumenta entre 15% e 20%.

Ao final, o utilizador recebeu apenas 327,2 AAVE (com preço atual de cerca de 111 dólares, avaliado em aproximadamente 36,5 mil dólares), com uma taxa de perda de 99,93%. Em comparação com eventos anteriores, como a liquidação de 27 milhões de dólares na Mango Markets em 2022 ou a recente falha na oracle do Aave que levou a uma liquidação de 27 milhões, este incidente foi uma falha de execução do lado do utilizador, sem vulnerabilidades no protocolo.

Esta cronologia, baseada em dados on-chain e declarações oficiais, mostra que, em menos de 24 horas após a exposição do evento, o preço do token AAVE teve uma breve oscilação, mas no geral subiu mais de 6%, indicando que o mercado manteve confiança no protocolo.

Erro de operação do utilizador e responsabilidade: de quem é a culpa?

A controvérsia central reside na atribuição de responsabilidades. O princípio fundamental do DeFi é “sua chave, sua carteira, sua responsabilidade” — o utilizador tem controlo total, mas também deve suportar todas as consequências. Este grande investidor cometeu um erro básico: ignorou os alertas evidentes de deslizamento, optando por uma troca de grande volume numa asset com baixa liquidez.

Por outro lado, críticos apontam que o próprio protocolo e os agregadores (como o CoW) não são perfeitos na sua conceção. A interface do Aave, embora exiba alertas, pode não ser suficientemente intuitiva na versão móvel; o algoritmo de roteamento do CoW não conseguiu evitar riscos de pools superficiais, levando a que a ordem fosse “atacada”.

Stani Kulechov respondeu enfatizando: “O utilizador confirmou manualmente os riscos, não somos babás.”

No entanto, há divergências na comunidade: alguns consideram que foi uma falha puramente do utilizador, outros defendem que o protocolo deveria reforçar mecanismos de proteção obrigatórios, como limites automáticos de deslizamento ou alertas de divisão de ordens de grande volume.

Em comparação com incidentes históricos semelhantes (como a liquidação de Mango Markets em 2022), que muitas vezes foram atribuídos a bugs no protocolo, este caso parece mais uma combinação de “erro humano + limitações do sistema”.

Risco de liquidez e deslizamento no DeFi, como prevenir?

Primeiro, o que é o deslizamento: a variação de preço causada por uma ordem de grande volume ao ser executada, devido à insuficiência de liquidez.

No DeFi, os pools de liquidez (como Uniswap ou os pools de empréstimo do Aave) não são infinitamente profundos — especialmente para ativos derivados como aEthAAVE, cujo tamanho do pool é limitado. Uma ordem de 50 milhões de dólares equivale a um grande tubarão a encalhar numa praia rasa.

Se a ordem for demasiado grande, pode atravessar a profundidade do pool, causando uma queda instantânea do preço. Bots MEV (Maximal Extractable Value) amplificam ainda mais o impacto, através de frontrunning (corrida à frente) ou sandwich attacks (ataques de sandwich), capturando parte do valor.

Como prevenir?

1. Dividir a ordem: fragmentar uma grande troca em várias menores, para evitar impacto súbito;
2. Usar ordens limitadas (limit orders): definir um preço mínimo aceitável;
3. Verificar a profundidade do pool: consultar plataformas como DefiLlama ou Dune Analytics;
4. Preferir pools maiores: trocar diretamente por ETH, em vez de versões encapsuladas;
5. Escolher agregadores de rotas: como 1inch ou Paraswap, que podem oferecer rotas mais eficientes.

MEV e arbitragem on-chain: o papel invisível do “vampiro”

No incidente, nem toda a perda foi “evaporada”: cerca de 10 milhões de dólares foram capturados por bots MEV. O MEV (Maximal Extractable Value) é uma zona cinzenta do ecossistema Ethereum: mineradores ou validadores reordenam transações para extrair valor. Neste caso, o bot detectou a grande ordem, comprou antecipadamente aEthAAVE para elevar o preço, e depois vendeu para garantir lucros.

Isto revela uma questão de justiça no DeFi: utilizadores comuns podem ser facilmente “caçados” por bots profissionais. Soluções como Flashbots (um sistema de leilão de MEV) ou MEV-Share (partilha de lucros) existem, mas ainda estão em desenvolvimento. Após o incidente, a comunidade pediu que o Aave integrasse mais ferramentas anti-MEV para proteger grandes operações.

Reputação do protocolo Aave e a cadeia de eventos recentes: alertas de “falhas contínuas”

Este não foi o primeiro episódio problemático do Aave. Poucos dias antes, uma configuração incorreta na oracle do wstETH levou a uma liquidação excessiva de 27 milhões de dólares, gerando insatisfação entre os utilizadores. Apesar de a equipa ter agido rapidamente para corrigir e compensar, o episódio colocou à prova a sua reputação. O TVL do Aave mantém-se entre os maiores do DeFi, mas incidentes sucessivos expõem vulnerabilidades na configuração das oracles, nos parâmetros de liquidação (CAPO) e no design da interface.

Por outro lado, a resposta do Aave foi eficiente: transparência pública, reembolsos parciais, mantendo a confiança da comunidade. Em comparação com concorrentes como o Compound, isso pode fortalecer a sua quota de mercado, mas se episódios semelhantes se repetirem, a adoção por instituições (como a Anchorage Digital com re-pledge) pode desacelerar.

//////////////////

Um clique, 50 milhões desaparecidos — este episódio também nos lembra: o mundo cripto é como um casino, com regras transparentes, mas cruéis. O próximo “confirma” de um clique pode estar na sua tela. Que todos nos lembremos: antes de clicar, dê uma olhada nos alertas.