🚨 #KelpDAOBridgeHacked — Um Ponto de Virada para a Segurança do DeFi 🚨

#KelpDAOBridgeHacked A exploração da ponte KelpDAO representa um momento decisivo para a segurança de DeFi cross-chain, expondo vulnerabilidades críticas na forma como protocolos de restaking líquido gerenciam garantias colaterais multi-chain. O $292 milhão de saque de 116.500 rsETH da ponte da Kelp alimentada pelo LayerZero em 19 de abril de 2026, agora é o maior hack de DeFi do ano e o segundo maior exploit de ponte na história das criptomoedas, superado apenas pelo roubo de $625 milhão na Rede Ronin em 2022.

Compreender o vetor de ataque requer examinar a relação arquitetônica entre KelpDAO e LayerZero. A Kelp funciona como um protocolo de restaking líquido, permitindo que os usuários depositem derivados de staking de ETH como stETH ou cbETH em troca de rsETH, um token que representa posições de restaking que geram rendimento através do EigenLayer. Para permitir a circulação de rsETH em mais de 20 blockchains, incluindo Base, Arbitrum, Linea, Blast, Mantle e Scroll, a Kelp utilizou o padrão de Token Fungível Omnichain (OFT) do LayerZero, que bloqueia tokens na rede principal do Ethereum enquanto emite representações encapsuladas nas chains de destino.

A sofisticação do exploit reside na sua abordagem na camada de infraestrutura, e não em vulnerabilidades de contratos inteligentes. Os atacantes, preliminarmente atribuídos ao grupo Lazarus da Coreia do Norte e sua subunidade TraderTraitor pelo LayerZero, executaram uma operação em múltiplas etapas comprometendo o próprio mecanismo de verificação. Primeiro, infiltraram-se em dois nós RPC que o verificador do LayerZero dependia para validação de mensagens cross-chain, substituindo o software legítimo por binários maliciosos projetados para reportar dados fraudulentos de transação de forma seletiva. Quando o verificador do LayerZero consultou esses nós comprometidos, recebeu confirmação de que uma transferência válida tinha ocorrido, mesmo que nenhuma transação assim existisse na cadeia de origem.

Comprometer apenas dois nós mostrou-se insuficiente, pois a arquitetura do verificador do LayerZero consulta múltiplos pontos finais RPC para redundância. Os atacantes lançaram um ataque coordenado de negação de serviço distribuída contra nós externos não comprometidos entre 10h20 e 11h40, horário do Pacífico, no sábado, forçando a troca para a infraestrutura envenenada. Uma vez que os nós maliciosos se tornaram a única fonte de dados, instruíram a ponte da Kelp a liberar 116.500 rsETH, aproximadamente 18% da oferta circulante, para endereços controlados pelos atacantes. O software malicioso posteriormente se autodestruiu, apagando binários e logs locais para dificultar análises forenses.

O fator crítico que possibilitou tudo isso foi a decisão da Kelp de operar uma configuração de verificador único (1-de-1), apesar das recomendações explícitas do LayerZero para redundância de múltiplos verificadores. Em uma configuração devidamente reforçada, que exige consenso entre várias redes de verificadores descentralizados (DVNs), comprometer um único feed de dados não seria suficiente para forjar mensagens cross-chain válidas. O LayerZero confirmou que todos os tokens e aplicações que utilizam o padrão OFT e operam com configurações de múltiplos verificadores permaneceram totalmente intactos, demonstrando que o protocolo funcionou como planejado, enquanto as escolhas de segurança da Kelp criaram a brecha explorável.

O impacto imediato desencadeou efeitos em cascata em protocolos de DeFi com exposição a rsETH. Aave, o maior protocolo de empréstimos com garantia em rsETH, enfrentou cenários de dívida ruim variando de $123 milhão a $230 milhão, dependendo de como a Kelp aloca o déficit. A estimativa menor assume perdas distribuídas entre todos os detentores de rsETH, causando aproximadamente 15% de despegamento, enquanto a maior reflete concentração em redes Layer 2, se as perdas permanecerem isoladas em implantações fora do Ethereum. O atacante depositou 89.567 rsETH como garantia na Aave, tomando emprestado cerca de $190 milhão em ETH e ativos relacionados na Ethereum e Arbitrum, deixando o protocolo exposto a garantias potencialmente sem respaldo completo.

A resposta de emergência da Aave congelou os mercados de rsETH na V3 e V4 em poucas horas, zerou as taxas de empréstimo em relação ao valor, e interrompeu novos empréstimos contra o ativo. Apesar dessas medidas, aproximadamente $6 bilhão em valor total bloqueado foi retirado da Aave enquanto os usuários reavaliavam os riscos de infraestrutura interconectada do DeFi. SparkLend, Fluid e Upshift também congelaram mercados de rsETH, enquanto a Lido Finance pausou depósitos em seu produto earnETH com exposição a rsETH. A Ethena suspendeu temporariamente suas pontes OFT do LayerZero como medida de precaução, apesar de não ter exposição direta a rsETH.

O ecossistema mais amplo de DeFi experimentou efeitos de contágio severos. O valor total bloqueado em protocolos de DeFi caiu $14 bilhão para aproximadamente $85 bilhão, atingindo uma mínima de um ano e marcando uma queda de 50% desde os picos de outubro de 2025. Somente a Aave viu cerca de $10 bilhão em saques de depósitos. A contração do TVL do setor de DeFi reflete não apenas as perdas diretas do exploit, mas uma reprecificação fundamental do risco de pontes cross-chain, à medida que os usuários reconhecem que ativos encapsulados em Layer 2 podem não ter respaldo completo quando as reservas das pontes são comprometidas.

A resposta pós-incidente do LayerZero traz implicações significativas para os padrões de infraestrutura cross-chain. O protocolo anunciou que não assinará mais mensagens para qualquer aplicação que utilize configurações de verificador único, forçando efetivamente uma migração obrigatória para configurações de múltiplos verificadores em todo o ecossistema. Essa mudança de política transforma o que antes era uma recomendação de segurança em um requisito de nível de protocolo, potencialmente prevenindo exploits semelhantes, mas também aumentando a complexidade operacional e os custos para aplicações cross-chain.

A dinâmica de despegamento do rsETH apresenta riscos contínuos de mercado. Com as reservas das pontes esgotadas, os detentores em implantações fora do Ethereum enfrentam incerteza sobre se seus tokens mantêm respaldo completo. Isso cria uma pressão reflexiva onde redemptions de pânico em Layer 2 podem forçar a Kelp a desfazer posições de restaking para honrar retiradas, potencialmente desencadeando mais despegamento e liquidações em cascata em protocolos de empréstimo. A multisig de pausa de emergência da Kelp congelou contratos principais 46 minutos após o saque inicial, mas duas tentativas subsequentes de exploit às 18h26 UTC e 18h28 UTC, cada uma tentando drenar mais 40.000 rsETH, aproximadamente $100 milhão, só foram impedidas por essas medidas de emergência.

De uma perspectiva de pesquisa de segurança, o exploit demonstra a evolução das operações de roubo de criptomoedas patrocinadas por estados. A abordagem de alvo na camada de infraestrutura do Lazarus Group, combinando comprometimento de nós RPC com manipulação de failover de DDoS, representa uma sofisticação muito maior do que exploits anteriores de contratos inteligentes. A poisonamento seletivo de dados que permaneceu invisível à infraestrutura de monitoramento do LayerZero, que consulta os mesmos RPCs de diferentes endereços IP, mostra uma tática avançada de segurança operacional projetada para evitar detecção até a execução.

O incidente também destaca os riscos sistêmicos da complexidade dos protocolos de restaking líquido. Ao encapsular derivados de ETH staked via EigenLayer e depois fazer a ponte de representações encapsuladas entre múltiplas chains via LayerZero, a rsETH criou uma cadeia de dependências onde vulnerabilidades em qualquer camada, ponte ou mecanismo de verificação podem comprometer toda a pilha de garantias. A perda de $292 milhão supera os exploits combinados do mês anterior, incluindo o exploit Drift de $285 milhão em 1º de abril, consolidando 2026 como um ano recorde para roubos em DeFi, com mais de $600 milhão roubado em apenas 20 dias.

Para os participantes de DeFi, o exploit da KelpDAO exige uma reavaliação fundamental do risco de ativos cross-chain. Ativos encapsulados em Layer 2s só são tão seguros quanto sua infraestrutura de ponte, e a concentração de reservas de garantia em pontos únicos de falha cria vulnerabilidades sistêmicas que atacantes sofisticados podem explorar. A migração para configurações de múltiplos verificadores, embora melhore a segurança, não consegue eliminar as suposições de confiança inerentes às pontes cross-chain. Até que uma comunicação cross-chain verdadeiramente trustless seja possível, os usuários de DeFi devem precificar o prêmio de risco da ponte ao avaliar oportunidades de rendimento em implantações multi-chain.