Recuperação de Hacks em DeFi e a Economia das Bounties.

Um protocolo DeFi perde $2,7 milhões em um exploit.

Em menos de 48 horas, publica uma oferta pública: devolva os fundos e fique com $270.000 — 10% — como recompensa. Sem processo judicial. Sem perseguição on-chain. Apenas dinheiro.

Nas finanças tradicionais, isso seria revertido. Polícia, seguros, intermediários — todo o sistema existe para desfazer a transação. Em DeFi, nada disso existe. A transação é final. Os fundos circulam por trilhos permissionless. A única ferramenta que resta ao protocolo é o design de incentivos.

Esta é uma aula do Kodex com Lilith. Vinte anos em cibersegurança, grande parte deles observando como sistemas realmente quebram — não da forma que os whitepapers dizem que vão quebrar. O que a bounty do Solv Protocol mostra não é um gesto isolado. É o início de algo que a maioria dos traders nunca ouviu falar: uma camada de recuperação que existe por baixo da segurança em DeFi e só se torna visível depois de um exploit.

Capítulo 1 — O Que Realmente Aconteceu.

O Solv Protocol — infraestrutura de staking e yield — perdeu aproximadamente $2,7 milhões em um exploit de smart contract no início de 2026. O atacante encontrou uma vulnerabilidade, moveu fundos por várias carteiras e começou a lavar os ativos entre diferentes blockchains.

Em menos de 48 horas, o Solv publicou uma bounty. 10% dos fundos roubados — $270.000 — pela devolução completa. Prazo definido. Garantia de não processar.

Isso já aconteceu antes. A Euler Finance recuperou $197 milhões em 2023 após uma negociação prolongada. A Wormhole ofereceu $10 milhões ao explorador em 2022 — sem resposta; a Jump Crypto cobriu a perda. A Poly Network recuperou $611 milhões em 2021 quando o atacante devolveu tudo em algo que parecia uma demonstração white-hat.

O que torna o caso do Solv interessante não é o valor.

É a velocidade.

Termos claros. Oferta pública. Em menos de dois dias. Não foi improviso.

Foi procedimento.

Capítulo 2 — A Camada de Incentivos.

A bounty funciona porque o explorador tem um problema.

$2,7 milhões em tokens roubados não são $2,7 milhões que você consegue gastar facilmente. Os fundos são rastreáveis. Empresas de análise on-chain — Chainalysis, Elliptic, TRM Labs — seguem esses ativos entre redes, bridges e mixers. Exchanges congelam tokens sinalizados. Quanto mais tempo você segura os fundos, mais difícil e caro fica movê-los.

A bounty de 10% oferece uma saída limpa.

$270.000 líquidos, sem marcação, sem necessidade de lavagem, sem exposição legal.

Para o protocolo: recuperar $2,43 milhões ou recuperar nada.

Pause & Decode:

A bounty funciona porque lavar cripto roubada tem custos reais — tempo, infraestrutura e risco

À medida que a vigilância on-chain melhora, esses custos aumentam, tornando devoluções negociadas mais atraentes

O número de 10% não é aleatório: ele aproxima o custo que o explorador teria para lavar o valor total

A maioria das conversas sobre segurança se concentra na prevenção. Auditorias. Verificação formal. Bug bounties antes do exploit.

Mas depois que o exploit já aconteceu, nada disso se aplica mais.

A única pergunta que resta é o que o explorador fará a seguir.

DeFi promete que transações são finais.

A bounty sugere outra coisa: transações podem ser finais, mas incentivos não são.

O protocolo não pode desfazer o que aconteceu. Mas pode tornar devolver o dinheiro a melhor opção.

Lilith observa esse padrão há vinte anos no campo da segurança. O sistema promete irreversibilidade. Então alguém encontra uma forma de tornar a reversão mais lucrativa que o roubo.

Capítulo 3 — Por Que Traders Interpretam Mal o Risco de Exploit.

Traders tratam exploits em DeFi como algo binário.

Seguro ou roubado.

Seguro ou comprometido.

Hack aconteceu, posição perdida.

Isso ignora uma camada.

Desde 2021, uma parte significativa dos exploits em DeFi terminou com recuperação parcial ou total dos fundos. Não por ação policial. Não por seguro.

Por negociação.

Bounties públicas, mensagens on-chain, acordos mediados por empresas de segurança.

O padrão é estrutural.

A vigilância on-chain melhora, a conformidade das exchanges fica mais rígida, e manter fundos roubados se torna mais caro. A melhor estratégia do explorador muda — em vez de desaparecer com tudo, passa a ser aceitar uma parte e sair limpo.

Isso não torna protocolos seguros.

Recuperação não é garantida.

Mas “hack significa perda total” não descreve como esses eventos costumam terminar.

Pause & Decode:

Resultados de exploits existem em um espectro: perda total → recuperação parcial → recuperação completa → cobertura por investidores

A recuperação depende de: sofisticação do atacante, rastreabilidade, velocidade de resposta e termos da bounty

Modelos binários erram o risco nas duas direções

Avaliar risco de protocolo deveria incluir capacidade de recuperação — não apenas histórico de auditorias.

O protocolo possui um plano de resposta a incidentes?

Já trabalhou com empresas de análise on-chain?

Consegue oferecer uma bounty crível?

Ninguém faz essas perguntas antes de algo dar errado.

Depois que dá, são as únicas que importam.

Capítulo 4 — O Problema do Precedente.

Cada recuperação bem-sucedida via bounty cria um precedente.

Precedentes têm consequências.

Se exploradores aprendem que protocolos consistentemente oferecem 10%, a matemática muda.

O exploit vira uma extração forçada: invadir, levar os fundos, esperar a oferta, devolver 90%, ficar com 10%.

O acordo fica melhor para o atacante cada vez que funciona.

Lilith vê um problema dentro da solução.

No curto prazo, a bounty funciona. É mais barato que perder tudo.

No longo prazo, garante ao atacante uma saída lucrativa.

Explorar passa a ser mais barato.

Isso já está acontecendo.

Vários protocolos relataram incidentes onde o timing e o comportamento do atacante sugeriam que todo o ataque foi desenhado para provocar uma bounty — não para roubar permanentemente.

O contra-argumento é simples:

Sem bounties, ninguém devolve nada.

As perdas permanecem totais. Os usuários absorvem o prejuízo inteiro.

Os dois lados estão certos.

O mecanismo recupera fundos.

O mecanismo também torna ataques futuros mais atraentes.

Essa tensão não desaparece.

É o preço de construir sobre um sistema que não consegue reverter transações.

Capítulo 5 — O Que Isso Significa para o Risco de Protocolo.

O framework padrão é prevenção.

O código foi auditado?

Por quem?

Quantas vezes?

As falhas foram corrigidas?

Necessário.

Mas não é a história completa.

Capacidade de recuperação também importa.

O protocolo tem um plano de resposta a incidentes? Uma equipe que consegue publicar termos claros em 48 horas recupera mais do que uma que ainda está tentando entender o que aconteceu.

Possui relações com empresas de análise on-chain? Chainalysis, TRM Labs e Elliptic rastreiam fundos roubados em tempo real. Ter essas conexões antes significa agir mais rápido quando importa.

Tem tesouraria suficiente para oferecer uma bounty credível?

10% de $2,7 milhões são $270.000.

10% de $200 milhões são $20 milhões.

O valor precisa ser relevante para o atacante.

Já recuperou fundos antes? Protocolos com histórico de recuperação tendem a obter respostas mais cooperativas da próxima vez.

A série Scams cobre os modelos de exploit por trás desses incidentes — vetores de ataque, engenharia social e vulnerabilidades de contratos. O walkthrough Risk mostra como dimensionar e gerenciar exposição a nível de protocolo.

Segurança de protocolo não é apenas sobre o código resistir.

É sobre o que acontece quando ele não resiste.

Os protocolos que sobrevivem a exploits nem sempre são os que têm as melhores auditorias.

São os que sabem o que fazer depois.