Saltar para o conteúdo principal

O Desastre de Swap de AAVE de $50M: Quando o DeFi 'Funcionando como Projetado' Custa Tudo a uma Baleia

· 11 min de leitura
Dora Noda
Dora Noda
Software Engineer

Em 12 de março de 2026, uma única transação de Ethereum transformou 50,4milho~esemUSDTem327tokensAAVEvalendoaproximadamente50,4 milhões em USDT em 327 tokens AAVE valendo aproximadamente 36.000. A perda não foi causada por um hack, um exploit ou um bug de contrato inteligente. Cada protocolo envolvido — Aave, CoW Swap, SushiSwap — funcionou exatamente como projetado. O usuário confirmou um aviso de impacto no preço de 99,9% em um dispositivo móvel, marcou uma caixa e assistiu a quase cinquenta milhões de dólares evaporarem para bots de MEV em menos de trinta segundos.

Este incidente é a falha de UX mais cara da história do DeFi e força uma pergunta desconfortável: se sistemas sem permissão "funcionando como projetados" podem destruir tanto valor, quem é responsável por evitar isso?

Anatomia de um Erro de $ 50 Milhões

A carteira em questão detinha $ 50,4 milhões em aEthUSDT — um token de depósito da Aave que rende juros. O proprietário tentou trocar toda a posição por aEthAAVE usando o widget de swap incorporado na interface da Aave.

Aqui está a cadeia de execução que se seguiu:

  1. Desembrulho (Unwrapping) na Aave V3: A interface, alimentada pelo roteador de swap do CoW Protocol, converteu o aEthUSDT de volta em USDT bruto através da Aave V3.
  2. Roteamento no Uniswap V3: O USDT foi roteado através de um pool do Uniswap V3 para adquirir wrapped Ether (WETH).
  3. Salto final no SushiSwap: O WETH foi então roteado para um pool AAVE/WETH do SushiSwap para concluir o swap.

O problema crítico estava no terceiro passo. O pool AAVE/WETH do SushiSwap detinha aproximadamente 73.000emliquideztotal.Umaordemde73.000 em liquidez total. Uma ordem de 50 milhões atingindo um pool de $ 73.000 produziu um impacto no preço de 99,9% — o que significa que foi cotada ao usuário uma taxa que entregaria centavos por dólar antes mesmo da execução da transação.

A interface da Aave exibiu um aviso claro: "Alto impacto no preço (99,9%)" e exigiu que o usuário marcasse manualmente uma caixa de confirmação reconhecendo que aceitava uma perda potencial de 100% do valor. O usuário, supostamente em um dispositivo móvel, marcou a caixa e confirmou.

A Máquina de Extração de MEV

O que aconteceu a seguir foi uma aula mestre em extração de valor. Dados on-chain analisados pela Arkham Intelligence revelaram o quadro completo:

Titan Builder, uma grande entidade de construção de blocos, executou um ataque sanduíche — comprando tokens AAVE antes da ordem da baleia, permitindo que a transação massiva empurrasse os preços para níveis absurdos e, em seguida, vendendo no preço inflacionado. O Titan extraiu aproximadamente $ 34 milhões em ETH desta única operação.

Um segundo bot de MEV capturou $ 10 milhões adicionais através de uma estratégia de backrun semelhante.

O valor restante foi absorvido pelos provedores de liquidez no pool do SushiSwap, que receberam USDT enquanto a ordem comprava cada token AAVE disponível a preços cada vez mais inflacionados.

O usuário recebeu 327 tokens AAVE a um preço efetivo de aproximadamente 154.000portokencontraumataxademercadodeaproximadamente154.000 por token — contra uma taxa de mercado de aproximadamente 114.

Duelo de Post-Mortems: Aave vs. CoW Swap

Nos dias seguintes ao incidente, tanto a Aave quanto o CoW Swap publicaram análises post-mortem. Seus tons divergiram acentuadamente.

A Posição da Aave: O Sistema Funcionou

O fundador da Aave, Stani Kulechov, enquadrou o resultado como lamentável, mas consistente com o design sem permissão (permissionless). "A interface avisou o usuário sobre um slippage extraordinário e exigiu confirmação através de uma caixa de seleção", escreveu Kulechov no X. O protocolo ofereceu reembolsar aproximadamente $ 600.000 em taxas coletadas da transação e prometeu entrar em contato com o trader.

O post-mortem da Aave atribuiu a perda a um "mercado ilíquido" em vez de uma falha de slippage, fazendo uma distinção técnica importante: a tolerância de slippage de 1,21% aplicada pelo CoW Swap era secundária. A catástrofe ocorreu na fase de cotação, onde a transação já estava precificada com uma perda de 99,9% antes que qualquer slippage de execução pudesse ser aplicado.

A Posição do CoW Swap: Tecnicamente Correto Não é o Suficiente

A resposta do CoW Swap foi notavelmente mais autocrítica. O protocolo reconheceu que "ser tecnicamente correto não é o teto que deveríamos estar construindo" e admitiu que uma caixa de seleção de confirmação é "um instrumento cego quando os riscos atingem $ 50M".

A análise do CoW também revelou várias falhas técnicas além da questão de UX:

  • Teto de gás obsoleto: Um teto de preço de gás rejeitou cotações com preços melhores que teriam mitigado parcialmente a perda.
  • Falhas na execução do solver: O solver de melhor desempenho venceu duas rodadas de leilão, mas falhou em executar ambas on-chain.
  • Vazamento de mempool privado: Apesar de a transação ter sido enviada via um RPC privado, evidências sugerem que ela vazou para o mempool público antes da inclusão no bloco — provavelmente permitindo o grave ataque sanduíche pelo Titan Builder.

Este último ponto é particularmente condenável. A proposta de valor central do CoW Protocol é a proteção contra MEV por meio de leilões em lote e fluxo de ordens privado. Se a transação vazou de um mempool privado, a própria infraestrutura destinada a proteger o usuário pode ter falhado no momento mais crítico.

O Problema da Caixa de Seleção: Um Ajuste de Contas no Design de UX

A perda de $ 50 milhões cristaliza uma tensão de design que existe no DeFi desde o seu início: como equilibrar o acesso sem permissão com a proteção do usuário?

As finanças tradicionais resolveram isso décadas atrás — imperfeitamente, mas com salvaguardas reais:

  • Limites de tamanho de ordem: As corretoras impõem tamanhos máximos de ordem em relação à liquidez disponível.
  • Disjuntores (Circuit breakers): As bolsas interrompem as negociações quando os preços se movem além de limites predefinidos.
  • Obrigações de melhor execução: Os corretores são legalmente obrigados a buscar o melhor preço disponível para seus clientes.
  • Períodos de reflexão: Ordens grandes ou incomuns acionam processos de revisão obrigatórios.

O DeFi não possui nada disso por padrão. A principal defesa do setor contra erros catastróficos do usuário tem sido o diálogo de confirmação — um padrão emprestado de softwares de consumo onde os riscos geralmente são "Tem certeza de que deseja excluir este arquivo?" em vez de "Tem certeza de que deseja perder $ 50 milhões?".

O padrão de caixa de seleção falha em escala por um motivo específico: ele normaliza o reconhecimento de risco. Usuários que interagem com o DeFi regularmente encontram avisos de slippage, confirmações de taxas de gás e pop-ups de aprovação dezenas de vezes por sessão. Cada confirmação torna-se um reflexo em vez de uma decisão deliberada. Quando um aviso de impacto no preço de 99,9% parece idêntico a um aviso de slippage de 0,5% — mesma caixa de seleção, mesmo botão "Confirmar" — o design falhou em comunicar a magnitude do que está prestes a acontecer.

No celular, o problema se agrava. Telas menores comprimem as informações. Os usuários passam direto pelos avisos. A carga cognitiva de analisar os impactos percentuais enquanto se gerencia uma posição que vale dezenas de milhões não é trivial.

Aave Shield: A Resposta ao Incidente

Quatro dias após o incidente, a Aave implementou o Aave Shield — um novo recurso que bloqueia automaticamente swaps com impacto de preço superior a 25%. Os usuários que desejarem prosseguir com negociações de alto impacto devem navegar até o menu Configurações e desativar manualmente a proteção antes que a interface permita a execução.

Esta é uma melhoria significativa em relação a uma simples caixa de seleção. Ao exigir uma ação deliberada de várias etapas para anular a salvaguarda, o Aave Shield introduz uma fricção proporcional ao risco. Não se trata mais de um único clique para confirmar uma negociação catastrófica. O usuário deve procurar ativamente e desativar a proteção, criando um ponto de pausa natural para reconsideração.

Mas o Aave Shield levanta as suas próprias questões. Um limite de impacto de preço de 25% bloqueará muitas negociações legítimas em mercados ilíquidos — um cenário comum para tokens DeFi de "cauda longa" (long-tail). A tensão entre proteger os usuários de erros e preservar a natureza permissionless do DeFi não desaparece; ela apenas muda para um limite diferente.

DEXs Baseadas em Intenção: Uma Solução Estrutural?

O incidente acelerou o interesse em arquiteturas de negociação baseadas em intenção (intent-based) — sistemas onde os usuários expressam o que desejam alcançar, em vez de especificar parâmetros exatos de execução.

O próprio CoW Protocol é um sistema baseado em intenção: os usuários assinam uma "intenção de trocar" em vez de uma transação bruta. Solvers profissionais competem então para encontrar o caminho de execução ideal. Em teoria, isso deveria evitar catástrofes como o swap de $50 milhões, porque os solvers reconheceriam que não existe um caminho de execução razoável para uma ordem de $50 milhões em um mercado com $73.000 de liquidez.

Na prática, a rede de solvers da CoW falhou neste caso. O solver vencedor não conseguiu executar on-chain, e o roteamento de fallback direcionou a ordem para a pool ilíquida da SushiSwap.

O ecossistema mais amplo baseado em intenção — incluindo protocolos como UniswapX, 1inch Fusion e Across Protocol — está a avançar para um modelo onde:

  • Divisão de ordens: Grandes ordens são automaticamente divididas em partes menores executadas ao longo do tempo.
  • Roteamento consciente da liquidez: Os caminhos de execução são validados contra a liquidez disponível antes que qualquer cotação de negociação seja apresentada.
  • Competição de solvers: Múltiplos solvers competem para fornecer a melhor execução, criando pressão de mercado para melhores resultados.
  • Internalização de MEV: O valor que de outra forma vazaria para bots de MEV é capturado pelo protocolo e devolvido aos usuários.

Se estes sistemas podem evitar outra perda de $50 milhões continua a ser uma questão em aberto. O desafio fundamental é que os sistemas permissionless devem, por definição, permitir que os usuários façam coisas que não são do seu interesse. A questão é quantas barreiras colocar entre a intenção e a execução.

O Que Isto Significa para as Ambições Institucionais do DeFi

O momento deste incidente é particularmente inconveniente para o DeFi. A adoção institucional está a acelerar — o fundo BUIDL da BlackRock ultrapassou $2 mil milhões em tesouraria tokenizada, o Kinexys do JPMorgan processa milhares de milhões em liquidações on-chain diárias, e a harmonização SEC-CFTC está a criar clareza regulatória para a participação institucional no DeFi.

Mas nenhum gestor de risco institucional aprovará a alocação em DeFi se uma única caixa de seleção separar um trader de uma perda de $50 milhões. O incidente fornece munição para todos os céticos das TradFi que argumentam que o DeFi é demasiado perigoso para capital sério.

O contra-argumento — de que o usuário foi avisado e optou por prosseguir — é tecnicamente correto, mas estrategicamente suicida. As companhias aéreas não deixam os passageiros abrir as portas de emergência porque clicaram em "Eu compreendo os riscos". A infraestrutura financeira requer salvaguardas que funcionem mesmo quando o usuário está distraído, desinformado ou simplesmente errado.

Para que o DeFi capture o capital institucional que cobiça, a indústria deve evoluir além da era do "caveat emptor" (cuidado pelo comprador). Isto não significa abandonar o design permissionless. Significa construir sistemas seguros por padrão que protejam os usuários de resultados catastróficos, preservando ao mesmo tempo a opção para atores sofisticados operarem sem salvaguardas quando assim o decidirem deliberadamente.

O Panorama Geral

O desastre do swap de $50 milhões em AAVE será lembrado como um ponto de viragem. Não porque tenha sido a primeira vez que alguém perdeu dinheiro no DeFi — isso acontece diariamente — mas porque ilustrou perfeitamente a lacuna entre as ambições do DeFi e a sua realidade.

Os protocolos funcionaram. A matemática estava correta. O usuário foi avisado. E, ainda assim, alguém perdeu $50 milhões porque uma caixa de seleção no ecrã de um telemóvel era a única coisa entre uma intenção de negociação legítima e uma falha de execução catastrófica.

Aave Shield é um começo. As arquiteturas baseadas em intenção oferecem um caminho estrutural a seguir. Mas a lição mais profunda é sobre a filosofia de design: permissionless não tem de significar desprotegido. A melhor infraestrutura financeira do mundo é aquela que nem sequer se nota — não porque seja invisível, mas porque evita desastres antes que estes exijam uma autópsia.

Construir sobre infraestrutura de blockchain requer acesso a APIs fiáveis e de alto desempenho nas quais possa confiar para operações críticas. BlockEden.xyz fornece endpoints RPC de nível empresarial e serviços de dados para Ethereum, Sui, Aptos e mais de 20 redes — concebidos para suportar a camada de infraestrutura onde a qualidade da execução é mais importante.

Share on Twitter