Análise do ataque ao Kelp DAO: uma notícia falsa enganou US$ 292 milhões, riscos sistêmicos em DeFi reacendem preocupações

1. Visão geral do evento

18 de abril, 17h35 UTC, o segundo maior protocolo de staking de liquidez, Kelp DAO, sofreu um ataque em grande escala. O hacker explorou uma vulnerabilidade na ponte cross-chain rsETH baseada em LayerZero, falsificando mensagens entre cadeias para roubar 116.500 rsETH na rede principal do Ethereum, avaliado em aproximadamente US$ 292 milhões, representando cerca de 18% do total de circulação de rsETH. Cerca de 46 minutos após o incidente, o Kelp DAO suspendeu emergencialmente a multiassinatura, interceptando com sucesso duas tentativas subsequentes de retirar mais 40 mil rsETH (aproximadamente US$ 100 milhões).

O atacante obteve fundos iniciais via Tornado Cash e construiu pacotes de dados cross-chain com precisão, chamando a função lzReceive no contrato LayerZero EndpointV2, acionando a liberação de ativos pelo contrato de ponte do Kelp — porém, na cadeia origem, ninguém havia depositado rsETH, e a instrução foi totalmente forjada do nada.

2. Origem da vulnerabilidade: falha fatal na configuração cross-chain

A causa raiz foi a adoção de uma configuração de DVN (nó de validação único) excessivamente simplificada 1/1, ao invés da recomendação oficial do LayerZero de validação múltipla 2/2, permitindo que um único validador confirmasse mensagens cross-chain. Após a validação ser burlada, o adaptador de ponte não verificou rigorosamente a origem da mensagem, interpretando erroneamente que ativos equivalentes estavam bloqueados na cadeia origem, e executou a liberação — essencialmente, uma "emissão sem garantia do colateral".

3. Impacto em cadeia: inadimplência na Aave e pânico no mercado

O hacker rapidamente colocou os rsETH roubados como garantia em protocolos de empréstimo como Aave V3, Compound e Euler, emprestando cerca de US$ 236 milhões em WETH/ETH reais. Como rsETH é uma emissão falsa, essas posições de empréstimo tornaram-se inadimplentes irrecuperáveis, com Aave assumindo aproximadamente US$ 177-196 milhões, Compound cerca de US$ 39,4 milhões e Euler cerca de US$ 84 mil.

A Aave imediatamente congelou o mercado de rsETH, mas isso provocou um pânico massivo de retirada, com mais de US$ 5,4 bilhões em ativos sendo retirados da plataforma, e a utilização de ETH atingiu 100%. O TVL da Aave caiu de cerca de US$ 26,4 bilhões para US$ 20,7 bilhões, e o token AAVE caiu mais de 10%.

4. Reflexões do setor: riscos sistêmicos na estrutura de DeFi tipo LEGO

Este ataque não foi uma vulnerabilidade tradicional de contratos inteligentes, mas revelou a dupla fragilidade na segurança da configuração de pontes cross-chain e na lógica de garantia de tokens de staking líquido (LRT). O incidente do Kelp DAO é o segundo grande evento de segurança em abril, após o Drift Protocol (US$ 285 milhões), sem contar a perda de US$ 284 milhões por um único phishing em janeiro, evidenciando os desafios crescentes de segurança complexa no DeFi. Como rsETH, um ativo de embalagem do tipo LRT, depende da segurança da ponte cross-chain, protocolos de empréstimo como Aave que incluem esses ativos de alto risco na lista de garantias propagam o risco de forma assimétrica na cadeia de protocolos. Uma vulnerabilidade na base pode se espalhar instantaneamente por toda a ecologia de empréstimos.

O evento também gerou uma reação em cadeia: projetos como Solv anunciaram pausas nas pontes relacionadas ao LayerZero, e a Curve Finance suspendeu temporariamente a infraestrutura LayerZero. A LayerZero afirmou estar investigando as causas e publicará um relatório completo de análise em parceria.

Charlie, fundador do Kelp DAO, postou na plataforma X admitindo que a equipe cometeu erro ao usar a configuração DVN 1/1, e declarou que criará um plano de compensação integral para todos os usuários afetados, sem adotar a solução de "compartilhamento social de perdas" que a comunidade teme. O fundador destacou que, embora seja difícil recuperar os ativos, a prioridade é proteger os direitos dos usuários, e os detalhes da compensação serão divulgados em breve.

Este incidente reforça o alerta ao setor DeFi: à medida que os ativos se tornam cada vez mais embutidos em múltiplos protocolos, cada ponto fraco na estrutura tipo LEGO pode desencadear uma crise sistêmica. O mercado precisa de padrões de controle de risco mais rigorosos, estruturas de segurança mais conservadoras e estratégias de configuração cross-chain mais cautelosas — caso contrário, a próxima perda pode superar facilmente US$ 292 milhões. #Gate13周年现场直击