#KelpDAOBridgeHacked

**Exploração da Ponte KelpDAO: Uma Análise Abrangente do Hack DeFi de $292 Milhões**

Em 18 de abril de 2026, o ecossistema de finanças descentralizadas testemunhou uma das suas maiores brechas de segurança quando a ponte rsETH alimentada pelo LayerZero da KelpDAO foi explorada, resultando em perdas de aproximadamente $292 milhões. Este incidente enviou ondas de choque pelo panorama DeFi, desencadeando uma cascata de respostas de emergência em vários protocolos de empréstimo e expondo vulnerabilidades críticas na infraestrutura de pontes entre cadeias.

**O Mecanismo da Exploração**

Por volta das 17h35 UTC de 18 de abril, um atacante executou uma exploração sofisticada direcionada à ponte rsETH da KelpDAO, que utiliza a tecnologia de adaptador de Token Fungível Omnichain (OFT) do LayerZero. O atacante conseguiu forjar uma mensagem entre cadeias através da função lzReceive, contornando efetivamente os mecanismos de validação na rede principal do Ethereum. Ao falsificar a cadeia de origem como Unichain (EID 30320), o atacante conseguiu liberar 116.500 tokens rsETH não garantidos do escrow da ponte sem qualquer depósito correspondente na cadeia de origem.

A causa raiz dessa exploração foi rastreada até uma configuração frágil de Quorum de Verificador Descentralizado (DVN) que dependia de endpoints RPC limitados. Esses endpoints parecem ter sido comprometidos, alimentando dados de verificação falsos ao contrato da ponte. Notavelmente, nenhum token foi queimado na cadeia de origem, embora a ponte tenha cunhado erroneamente o equivalente de rsETH na rede principal do Ethereum. O hash de transação principal para essa exploração é 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222, que pode ser rastreado em exploradores de blockchain como Routescan.

**Consequências Imediatas e Contágio no DeFi**

Em vez de simplesmente manter o rsETH roubado, o atacante imediatamente utilizou esses tokens não garantidos como garantia em múltiplos protocolos de empréstimo, transformando uma vulnerabilidade na ponte em um evento de contágio sistêmico no DeFi. O rsETH roubado foi depositado em mercados Aave V3 e V4 tanto na rede principal do Ethereum quanto na Arbitrum, assim como em Compound V3, Euler e aproximadamente 30 outras plataformas de empréstimo. A partir dessas posições, o atacante tomou emprestado cerca de 83.427 WETH e wstETH, com detalhes específicos mostrando 52.834 WETH emprestados na rede principal do Ethereum e 29.782 WETH mais 821 wstETH na Arbitrum.

Essa estratégia agressiva de alavancagem criou uma exposição significativa a dívidas ruins em todo o ecossistema DeFi. Estimativas atuais situam as perdas potenciais entre $120 milhões e $236 milhões nos protocolos de empréstimo afetados, com a Aave enfrentando a maior exposição, potencialmente de $230 milhões em dívidas ruins. A situação colocou uma pressão imensa sobre o token de governança AAVE e levantou questões sérias sobre as práticas de gestão de risco das principais plataformas de empréstimo.

**Protocolos de Resposta de Emergência**

A resposta a essa exploração foi rápida, porém reativa. Por volta das 18h21 UTC de 18 de abril, a multisig de pausa de emergência da KelpDAO executou um congelamento nos contratos principais de rsETH na rede principal e em todas as redes Layer 2. Logo depois, a Aave passou a congelar os mercados de rsETH nas versões V3 e V4, uma decisão rapidamente seguida por Spark, Fluid, Ethena, Upshift, Morpho e diversos outros protocolos.

Stani Kulechov, fundador e CEO da Aave, confirmou via X que o rsETH foi congelado tanto na Aave V3 quanto na V4, com o ativo sendo privado de todo poder de empréstimo como resposta direta à exploração da ponte da KelpDAO. A conta oficial da Aave indicou que a comunidade precisaria discutir se o rsETH deveria ser removido permanentemente de todos os mercados da Aave após a crise imediata, seguindo um padrão estabelecido após eventos anteriores de dívidas ruins.

**Atribuição e Análise Técnica**

Pesquisadores de segurança e empresas de análise de blockchain atribuíram esse ataque ao Lazarus Group, de Coreia do Norte, um coletivo de hackers patrocinado pelo Estado, conhecido por atacar plataformas de criptomoedas. A metodologia do ataque está alinhada com táticas estabelecidas do Lazarus Group, incluindo intrusão paciente, manipulação de mecanismos de confiança e supressão de capacidades de detecção.

A LayerZero Labs forneceu detalhes técnicos adicionais sobre o vetor de ataque. Segundo sua análise, o atacante obteve acesso à lista de endpoints RPC usados pela infraestrutura DVN, comprometendo posteriormente dois nós independentes que operavam em clusters separados, sem conexão direta entre si. O atacante então substituiu os binários que executam os nós op-geth, controlando efetivamente os dados de verificação alimentados aos contratos da ponte.

A KelpDAO alegou que a culpa foi da infraestrutura da LayerZero para a brecha de segurança, enquanto a LayerZero contrapôs que o problema derivou da configuração específica do DVN da KelpDAO. A LayerZero mantém que eles e outras partes externas haviam comunicado anteriormente as melhores práticas de diversificação do DVN à KelpDAO, sugerindo que uma configuração adequada poderia ter evitado a exploração.

**Impacto no Mercado e Desvinculação do rsETH**

A exploração teve consequências severas para a posição de mercado do rsETH. O token experimentou uma desvinculação significativa de sua proporção de respaldo em ETH, criando incerteza para os detentores em mais de 20 redes blockchain onde o rsETH embrulhado está implantado. Com aproximadamente 18% do fornecimento circulante de rsETH agora representando tokens não garantidos, a confiança no derivado de staking líquido foi gravemente abalada.

O ecossistema DeFi mais amplo também sentiu o impacto, com perdas totais por hacks em 2026 agora ultrapassando $750 milhões até meados de abril. Essa exploração da KelpDAO superou o recorde anterior de 2026, que era de $285 milhões pelo hack do Drift Protocol em 1 de abril, por vários milhões de dólares. A concentração de explorações de ponte em 2026 destacou os desafios contínuos de segurança enfrentados pela infraestrutura entre cadeias.

**Status Atual e Esforços de Recuperação**

Em 21 de abril de 2026, tanto a KelpDAO quanto a LayerZero estão colaborando ativamente na análise das causas raízes e na elaboração de um relatório de pós-morte. A KelpDAO confirmou via sua conta oficial no X que está trabalhando com a LayerZero, Unichain, auditores de segurança e especialistas em blockchain para investigar o incidente e desenvolver uma estrutura de recuperação.

A LayerZero afirmou que estava ciente do incidente desde que ocorreu e está remediando ativamente a situação com a equipe da KelpDAO. Enfatizaram que outras aplicações que utilizam a infraestrutura da LayerZero permanecem seguras e que um relatório detalhado de pós-morte será divulgado em colaboração com a KelpDAO e a equipe de resposta de segurança SEAL 911.

Os endereços dos atacantes, incluindo 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF, foram marcados em exploradores de blockchain principais e estão sendo monitorados ativamente para qualquer movimentação dos fundos roubados. No entanto, dada a sofisticação do ataque e a participação de atores patrocinados pelo Estado, as perspectivas de recuperação permanecem incertas.

**Principais Lições**

Este ataque representa um momento decisivo para a segurança do DeFi, demonstrando como vulnerabilidades em pontes podem desencadear riscos sistêmicos em todo o ecossistema. O incidente reforça a importância de configurações robustas de DVN, mecanismos de verificação diversificados e gestão de risco proativa em protocolos entre cadeias. Para os usuários, o evento serve como um lembrete severo dos riscos associados a ativos embrulhados e à natureza interconectada dos mercados de empréstimo DeFi modernos.

A situação continua a evoluir, com os protocolos afetados trabalhando para quantificar perdas e desenvolver estratégias de remediação. Os usuários são aconselhados a monitorar canais oficiais da KelpDAO, LayerZero e plataformas de empréstimo afetadas para atualizações sobre possíveis planos de reembolso ou mecanismos de recuperação.