Os exploits DeFi em 2026 até agora já atingiram $137M, e estamos apenas em março. A tabela de classificação é brutal: • @StepFinance_: $27.3M • @Truebitprotocol: $26.2M • @ResolvLabs: $25M (Ontem) ​ É raro na história do DeFi ver um depósito de $100k se transformar em uma emissão de stablecoin de $80M em segundos. Isso me lembra da tese de @a16zcrypto "Spec é Lei" no início de 2026. Aqui está uma análise completa do que deu errado e por que a tese da a16z nunca foi tão relevante 🧵👇

1/ A Falha Secreta da Resolv O stablecoin delta-neutro da @ResolvLabs (USR) utilizou um fluxo de mintagem híbrido on-chain/off-chain: depósitos/reembolsos on-chain, preços verificados off-chain pela @PythNetwork. Um único EOA com a SERVICE_ROLE (não um multisig) finalizou as mintagens, criando um ponto crítico de falha.

2/ Como a extração de $25M aconteceu Isto não é um bug de contrato. Por volta das 2:21 AM UTC do dia 22 de março, um atacante comprometeu a chave SERVICE_ROLE e contornou a verificação. - Normal: O usuário deposita $100k USDC → SERVICE_ROLE verifica o oráculo → 100k USR cunhados. - Exploit: O atacante deposita $100k USDC → oráculo contornado → 80M USR cunhados em duas chamadas. - Nenhum limite on-chain, verificações de proporção ou limites de fornecimento impediram isso. O atacante envolveu e despejou o USR não lastreado em @CurveFinance e @Uniswap, fazendo com que o USR caísse para $0.025. Eles trocaram os lucros por ~11,400+ ETH (~$23–$25M). O transbordamento DeFi atingiu protocolos que usavam USR/wstUSR como colateral (Morpho, Fluid, Aave), desencadeando dívidas ruins, liquidações e congelamentos de mercado para conter a contaminação.