#KelpDAOBridgeHacked

O Hack da Ponte KelpDAO: Um Golpe Devastador na Segurança DeFi

Em 18 de abril de 2026, o protocolo de restaking líquido KelpDAO sofreu uma das brechas de segurança mais catastróficas da história do DeFi, com atacantes drenando aproximadamente 116.500 tokens rsETH no valor de entre $292 a $294 milhões. Essa exploração agora é considerada o maior hack de DeFi de 2026, superando o recorde anterior detido pelo prejuízo de $285 milhões do Drift Protocol no início do mês.

O ataque teve como alvo a infraestrutura da ponte cross-chain do KelpDAO, especificamente o caminho da ponte rsETH que conecta a Unichain à rede principal do Ethereum. O protocolo dependia do padrão OFT da LayerZero para transferências de tokens entre cadeias, mas uma vulnerabilidade crítica residia em sua arquitetura de segurança. O KelpDAO configurou sua ponte com uma rede de Verificadores Descentralizados 1-de-1, ou seja, um único nó verificador era responsável por validar todas as mensagens inbound entre cadeias antes de liberar os fundos. Esse ponto central de falha revelou-se a fraqueza que os atacantes exploraram.

A metodologia do ataque foi sofisticada e em múltiplas etapas. Primeiro, os perpetradores comprometeram pelo menos dois nós RPC que alimentavam dados para o verificador único, injetando malware projetado para fabricar mensagens falsas entre cadeias. Depois, lançaram um ataque de DDoS contra os nós RPC não afetados, forçando o sistema a alternar para a infraestrutura comprometida. Isso criou uma câmara de eco onde dados envenenados se tornaram a única fonte de verdade. O verificador comprometido posteriormente aprovou chamadas lzReceive forjadas no contrato EndpointV2 da LayerZero, cunhando e liberando 116.500 tokens rsETH não lastreados diretamente para endereços controlados pelos atacantes. O malware então se autodestruiu, apagando logs para obscurecer a trilha.

As consequências se estenderam muito além do próprio KelpDAO. Os atacantes imediatamente usaram o rsETH roubado como garantia em pelo menos nove protocolos DeFi principais, incluindo Aave V3 e V4, Compound V3, Euler, SparkLend, Fluid e Upshift, tomando emprestado mais de $236 milhões em WETH. Depois, converteram aproximadamente $178 milhões em ETH na rede principal do Ethereum e $72 milhões na Arbitrum. O rsETH roubado agora permanece preso e não lastreado em mais de 20 redes blockchain, incluindo Base, Arbitrum, Linea e Blast.

Esse único exploit desencadeou uma cascata de consequências sistêmicas em todo o ecossistema DeFi. O Valor Total Bloqueado em protocolos de finanças descentralizadas despencou de $13 para $14 bilhões em 48 horas. Somente a Aave experimentou uma saída de depósitos de $6 para $8,45 bilhões, com seu token nativo caindo aproximadamente 10% de valor. O incidente criou dívidas ruins significativas em múltiplos protocolos de empréstimo e forçou respostas de emergência de várias plataformas DeFi.

Os esforços de resposta começaram minutos após a exploração. A multisig do KelpDAO pausou os contratos principais de rsETH na rede principal e em múltiplas redes Layer-2 às 18:21 UTC, aproximadamente 46 minutos após a brecha inicial. Duas tentativas subsequentes de drenagem, totalizando cerca de 40.000 rsETH cada, falharam devido a essas medidas de proteção. A Aave congelou os mercados de rsETH tanto na V3 quanto na V4 em questão de horas, com SparkLend, Fluid e Upshift seguindo o mesmo procedimento. A Lido pausou os depósitos de earnETH, enquanto a Ethena suspendeu temporariamente suas pontes LayerZero por cerca de seis horas como medida de precaução, apesar de não ter exposição direta.

O debate sobre a atribuição entre KelpDAO e LayerZero tornou-se uma narrativa central no desdobramento do incidente. O KelpDAO afirma que as configurações padrão do LayerZero contribuíram para a vulnerabilidade, enquanto a LayerZero responde que o KelpDAO implementou uma configuração personalizada fraca, desviando-se das práticas de segurança recomendadas. A LayerZero atribuiu o ataque ao grupo Lazarus, da Coreia do Norte, citando evidências forenses que ligam a operação a esse coletivo de hackers patrocinados pelo Estado. Os atacantes financiaram sua carteira inicial por Tornado Cash cerca de dez horas antes de executar a exploração.

Este incidente representa mais do que uma brecha de segurança isolada. Ele expõe fraquezas fundamentais na arquitetura e na segurança das pontes entre cadeias no ecossistema DeFi. A dependência de mecanismos de verificação de ponto único de falha, mesmo quando rotulados como descentralizados, cria superfícies de ataque que adversários sofisticados podem explorar. O fato de tokens não lastreados poderem ser cunhados e imediatamente aceitos como garantia em múltiplos protocolos principais destaca os riscos interconectados presentes na composabilidade moderna do DeFi.

Para o ecossistema mais amplo de criptomoedas, o hack do KelpDAO serve como um lembrete severo de que a infraestrutura de ponte continua entre os componentes mais vulneráveis do finanças descentralizadas. Apesar de inúmeras auditorias e revisões de segurança, a complexidade dos protocolos de comunicação entre cadeias continua oferecendo oportunidades de exploração. O incidente reacendeu debates sobre os trade-offs entre interoperabilidade e segurança, com muitos na comunidade pedindo requisitos de multi-assinatura mais robustos e mecanismos de verificação descentralizados.

À medida que as investigações continuam e os protocolos afetados trabalham para conter os danos, a exploração do KelpDAO provavelmente influenciará padrões de segurança e melhores práticas na indústria pelos próximos anos. A escala da brecha e seus efeitos em cascata demonstram que, em um ecossistema DeFi cada vez mais interconectado, a segurança de protocolos individuais está intrinsecamente ligada à resiliência da infraestrutura na qual dependem.