#加密市场行情震荡rsETH ATUALIZAÇÃO DO ATAQUE COMO UMA MENSAGEM FALSIFICADA QUEBROU $10 BILHÕES EM DEFI
O ATAQUE QUE MUDOU A DEFI PARA SEMPRE
Exatamente às 17:35 UTC de 18 de abril de 2026, uma única mensagem transchain falsificada desencadeou o maior exploit de DeFi do ano. A ponte rsETH alimentada pelo LayerZero da KelpDAO foi drenada de 116.500 rsETH aproximadamente $292 milhão em questão de minutos. Nenhum contrato inteligente foi quebrado. Nenhum código Solidity foi explorado. Todo o ataque ocorreu na camada invisível entre blockchains, na infraestrutura de verificação off-chain na qual a DeFi confiou silenciosamente, sem compreender totalmente sua vulnerabilidade. Quando a poeira assentou 24 horas depois, o valor total bloqueado em DeFi caiu de $99,5 bilhões para $85,21 bilhões, uma destruição de valor de $14 bilhão por um único exploit. Esta é a atualização do ataque ao rsETH que todos os participantes de DeFi precisam entender completamente.
O QUE É KELPDAO E POR QUE ISSO IMPORTA
KelpDAO é um protocolo de restaking líquido construído sobre Ethereum e EigenLayer. Os usuários depositam ETH, o protocolo o encaminha através da infraestrutura de restaking do EigenLayer para obter rendimento adicional além das recompensas de staking padrão, e emite rsETH, um token de recibo negociável que representa a posição de restake mais as recompensas acumuladas. Em abril de 2026, o rsETH tinha ultrapassado $1 bilhão em valor total bloqueado e foi integrado como garantia na maioria dos principais mercados de empréstimo e plataformas de rendimento em DeFi. O rsETH estava ativo em mais de 20 redes blockchain, incluindo Arbitrum, Base, Linea, Mantle, Blast e Scroll, usando o padrão OFT do LayerZero para mover-se entre cadeias. A ponte que foi drenada continha as reservas que sustentavam todos esses tokens rsETH encapsulados em todas as implantações Layer 2. Quando essa ponte foi esvaziada, 18% de toda a oferta circulante de rsETH tornou-se não garantida simultaneamente em mais de 20 cadeias.
COMO O ATAQUE FOI EXECUTADO DESCRIÇÃO TÉCNICA
O ataque não foi uma invasão por contrato inteligente. Cada transação na cadeia parecia completamente válida. As assinaturas foram verificadas. As mensagens estavam corretamente formatadas. A exploração foi contra a camada de infraestrutura off-chain — especificamente a Rede de Verificadores Descentralizados do LayerZero, o sistema que confirma se as mensagens transchain são legítimas antes que a cadeia de destino aja sobre elas.
A ponte rsETH da KelpDAO usava uma configuração DVN 1-de-1. Isso significava que apenas uma entidade, o DVN do LayerZero Labs, precisava verificar e aprovar mensagens transchain. Sem segundo verificador, sem confirmação independente, sem redundância. Um verificador. Um ponto de falha.
O Grupo Lazarus, unidade de hacking patrocinada pelo Estado da Coreia do Norte, identificou essa vulnerabilidade e executou um ataque de infraestrutura em três partes. Primeiro, comprometeram dois nós RPC internos que alimentavam dados de mercado para o verificador do LayerZero, envenenando o feed de dados com informações falsas. Segundo, lançaram um ataque DDoS contra os nós de backup limpos, forçando o sistema a alternar para a infraestrutura já comprometida. Terceiro, com o verificador agora operando inteiramente em nós envenenados, injetaram uma nonce de mensagem transchain falsificada do LayerZero, nonce 308, que informou ao contrato da ponte Ethereum que uma queima válida havia ocorrido na cadeia de origem, acionando a liberação de 116.500 rsETH para uma carteira controlada pelo atacante. Toda a operação usou carteiras pré-financiadas obtidas via Tornado Cash aproximadamente 10 horas antes do ataque, confirmando que foi uma operação planejada de nível estatal e não uma exploração oportunista.
Em minutos, o atacante depositou o rsETH roubado como garantia na Aave e tomou emprestado mais de $236 milhão em WETH contra ele, usando tokens não garantidos como garantia para um empréstimo real. O roubo de $292 milhão transformou-se em uma extração de $236 milhão em WETH antes que a maioria dos usuários percebesse que algo havia acontecido.
A RESPOSTA DE 46 MINUTOS QUE SALVOU $100 MILHÕES
A equipe de resposta de emergência da KelpDAO identificou o ataque e ativou o multisig de pausa de emergência às 18:21 UTC, exatamente 46 minutos após o esvaziamento inicial. A pausa em todo o protocolo congelou depósitos, retiradas e o token rsETH em toda a mainnet e implantações Layer 2. Às 18:26 UTC e 18:28 UTC, duas tentativas de drenagem subsequentes pelo atacante, cada uma visando aproximadamente 40.000 rsETH, ambas foram revertidas contra os contratos congelados. O período de resposta de 46 minutos é a diferença entre um exploit de $100 milhão e uma catástrofe de $292 milhão. A ação rápida da equipe de emergência da KelpDAO foi a única razão pela qual o dano não quase dobrou.
A CONTAMINAÇÃO QUE SE ESPALHOU PELA DEFI
Os danos subsequentes avançaram mais rápido do que qualquer pausa de emergência poderia conter. Aave, o maior protocolo de empréstimo em DeFi com mais de $492 bilhão em valor total bloqueado, congelou os mercados de rsETH em V3 e V4 em poucas horas. A utilização de ETH na Aave atingiu brevemente 100% enquanto os usuários tentavam retirar fundos. O token AAVE caiu aproximadamente 10-20% à medida que os traders precificavam uma possível exposição a dívidas ruins. SparkLend e Fluid também congelaram seus mercados de rsETH. A Lido Finance pausou depósitos em seu produto earnETH devido à exposição ao rsETH. A Ethena pausou temporariamente suas pontes LayerZero OFT do Ethereum mainnet como medida de precaução. O TVL total de DeFi caiu de $99,5 bilhões para $85,21 bilhões em um único dia, $20 bilhão apagado de todo o ecossistema por um único exploit em uma única ponte.
A análise de incidente da Aave revelou que o exploit criou garantias não garantidas usadas para emprestar aproximadamente $14 milhão, deixando o protocolo enfrentando uma possível dívida ruim entre $190 milhão e $123 milhão, dependendo de como a KelpDAO distribuirá o déficit entre os detentores de rsETH.
A ATRIBUIÇÃO DO GRUPO LAZARUS
Este não foi um hack aleatório. A LayerZero atribuiu formalmente o ataque ao Grupo Lazarus, unidade de hacking patrocinada pelo Estado da Coreia do Norte, a mesma vinculada ao exploit $230 milhão Drift em 1 de abril de 2026, e a dezenas de roubos anteriores de bilhões de dólares ao longo de vários anos. O Grupo Lazarus é a operação de hacking de criptomoedas mais prolífica e tecnicamente sofisticada do mundo, e sua participação em dois dos três maiores exploits de DeFi de 2026 em 18 dias confirma uma campanha sistemática e coordenada visando a infraestrutura de DeFi na camada de infraestrutura, e não na camada de contratos.
FROTA DE EMERGÊNCIA DO ARBITRUM INTERVENÇÃO SEM PRECEDENTES
Em 21 de abril de 2026, três dias após o exploit, o Conselho de Segurança do Arbitrum executou a intervenção de emergência mais significativa na história do Layer 2. O conselho de 12 membros, operando sob um multisig de 9 de 12, confiscou 30.766 ETH do endereço do atacante no Arbitrum One e transferiu para uma carteira intermediária congelada. A transferência foi concluída às 23h26 ET de 21 de abril. Esses fundos não podem ser movidos novamente sem uma votação formal de governança do Arbitrum. A intervenção recuperou aproximadamente $71,15 milhões, cerca de 29% do ETH que o atacante havia acumulado no Arbitrum. Os restantes 75.701 ETH, avaliados em aproximadamente $285 milhão na Ethereum mainnet, já haviam sido movidos e estavam sendo lavados através do Thorchain e outras ferramentas de privacidade antes que o congelamento pudesse ser estendido.
O congelamento gerou debate imediato sobre descentralização. Se um conselho de 12 pessoas pode congelar ativos no Arbitrum, o que isso significa para a garantia de propriedade permissionless que o Layer 2 promete? Os apoiantes chamaram de defesa do DeFi contra crimes patrocinados pelo Estado. Os críticos disseram que isso prova que o Arbitrum é, no final, uma carteira multisig com poder de sobrepor o controle de ativos pelos usuários.
A GUERRA DE CULPAS ENTRE LAYERZERO E KELPDAO
O período pós-exploração gerou uma disputa pública completa entre LayerZero e KelpDAO sobre quem é responsável. A LayerZero publicou uma análise post-mortem afirmando que a KelpDAO escolheu uma configuração DVN 1-de-1, apesar de recomendações explícitas para adotar redundância de múltiplos verificadores, e anunciou que imediatamente deixaria de assinar mensagens para qualquer aplicação com configuração de verificador único, forçando uma migração ampla em todas as integrações LayerZero.
A KelpDAO respondeu, alegando que a configuração 1-de-1 era a configuração padrão fornecida pela LayerZero para novos deployments, que a própria documentação e o código de implantação pública da LayerZero promovem verificação de fonte única, e que a infraestrutura comprometida, os nós RPC e os servidores DVN, foi construída e operada inteiramente pela LayerZero, não pela Kelp. Pesquisadores de segurança apoiaram parcialmente a Kelp, com o destacado desenvolvedor banteg publicando uma análise técnica confirmando que o código de implantação de referência da LayerZero vem com verificação de fonte única como padrão nas principais cadeias.
O resultado é um impasse de divisão de danos sem resolução clara. Ambas as partes prometeram análises completas das causas raízes. A questão mais profunda, se todas as outras aplicações OFT 1-de-1 atualmente em execução na LayerZero estão expostas ao mesmo tipo de ataque, permanece sem resposta.
O QUE ISSO SIGNIFICA PARA O DEFI NO FUTURO
O exploit da KelpDAO não é apenas mais um hack. É um evento que define uma categoria, expondo uma vulnerabilidade estrutural em todo o ecossistema cross-chain de DeFi. O ataque pertence à mesma família histórica das falhas das pontes Ronin e Nomad, onde pontos de verificação centralizados se tornaram alvos de alto valor. Mas vai além, porque os contratos on-chain nunca foram tocados. Cada transação na cadeia era válida. A falha esteve na infraestrutura off-chain invisível que a DeFi tratou como um problema resolvido há anos.
As lições são claras e imediatas. Configurações de múltiplos verificadores DVN são agora obrigatórias para qualquer ponte que detenha valor significativo. Auditorias de configuração que revisam as configurações de implantação, não apenas o código do contrato inteligente, devem tornar-se práticas padrão. Monitoramento de invariantes transchain que verifica continuamente se os tokens liberados nas cadeias de destino correspondem aos tokens queimados nas cadeias de origem é o novo padrão mínimo para segurança de pontes. E a questão de como a DeFi lida com operações de hacking patrocinadas por estados, com os recursos e paciência de um governo nacional, ainda não tem resposta clara.
O roubo de $175 milhão. A destruição de $292 bilhão em TVL. Os potenciais dívidas ruins de $14 milhão na Aave. Os 30.766 ETH congelados pelo Arbitrum. A atribuição ao Grupo Lazarus. Tudo aponta para uma única conclusão: a camada de infraestrutura cross-chain do DeFi é a superfície mais desprotegida de todo o ecossistema, e os hackers mais sofisticados do mundo identificaram esse fato e estão explorando-o sistematicamente.
O ataque ao rsETH não é um aviso. É um veredicto. Corrija a infraestrutura ou perca tudo o que está acima dela.
$230
O ATAQUE QUE MUDOU A DEFI PARA SEMPRE
Exatamente às 17:35 UTC de 18 de abril de 2026, uma única mensagem transchain falsificada desencadeou o maior exploit de DeFi do ano. A ponte rsETH alimentada pelo LayerZero da KelpDAO foi drenada de 116.500 rsETH aproximadamente $292 milhão em questão de minutos. Nenhum contrato inteligente foi quebrado. Nenhum código Solidity foi explorado. Todo o ataque ocorreu na camada invisível entre blockchains, na infraestrutura de verificação off-chain na qual a DeFi confiou silenciosamente, sem compreender totalmente sua vulnerabilidade. Quando a poeira assentou 24 horas depois, o valor total bloqueado em DeFi caiu de $99,5 bilhões para $85,21 bilhões, uma destruição de valor de $14 bilhão por um único exploit. Esta é a atualização do ataque ao rsETH que todos os participantes de DeFi precisam entender completamente.
O QUE É KELPDAO E POR QUE ISSO IMPORTA
KelpDAO é um protocolo de restaking líquido construído sobre Ethereum e EigenLayer. Os usuários depositam ETH, o protocolo o encaminha através da infraestrutura de restaking do EigenLayer para obter rendimento adicional além das recompensas de staking padrão, e emite rsETH, um token de recibo negociável que representa a posição de restake mais as recompensas acumuladas. Em abril de 2026, o rsETH tinha ultrapassado $1 bilhão em valor total bloqueado e foi integrado como garantia na maioria dos principais mercados de empréstimo e plataformas de rendimento em DeFi. O rsETH estava ativo em mais de 20 redes blockchain, incluindo Arbitrum, Base, Linea, Mantle, Blast e Scroll, usando o padrão OFT do LayerZero para mover-se entre cadeias. A ponte que foi drenada continha as reservas que sustentavam todos esses tokens rsETH encapsulados em todas as implantações Layer 2. Quando essa ponte foi esvaziada, 18% de toda a oferta circulante de rsETH tornou-se não garantida simultaneamente em mais de 20 cadeias.
COMO O ATAQUE FOI EXECUTADO DESCRIÇÃO TÉCNICA
O ataque não foi uma invasão por contrato inteligente. Cada transação na cadeia parecia completamente válida. As assinaturas foram verificadas. As mensagens estavam corretamente formatadas. A exploração foi contra a camada de infraestrutura off-chain — especificamente a Rede de Verificadores Descentralizados do LayerZero, o sistema que confirma se as mensagens transchain são legítimas antes que a cadeia de destino aja sobre elas.
A ponte rsETH da KelpDAO usava uma configuração DVN 1-de-1. Isso significava que apenas uma entidade, o DVN do LayerZero Labs, precisava verificar e aprovar mensagens transchain. Sem segundo verificador, sem confirmação independente, sem redundância. Um verificador. Um ponto de falha.
O Grupo Lazarus, unidade de hacking patrocinada pelo Estado da Coreia do Norte, identificou essa vulnerabilidade e executou um ataque de infraestrutura em três partes. Primeiro, comprometeram dois nós RPC internos que alimentavam dados de mercado para o verificador do LayerZero, envenenando o feed de dados com informações falsas. Segundo, lançaram um ataque DDoS contra os nós de backup limpos, forçando o sistema a alternar para a infraestrutura já comprometida. Terceiro, com o verificador agora operando inteiramente em nós envenenados, injetaram uma nonce de mensagem transchain falsificada do LayerZero, nonce 308, que informou ao contrato da ponte Ethereum que uma queima válida havia ocorrido na cadeia de origem, acionando a liberação de 116.500 rsETH para uma carteira controlada pelo atacante. Toda a operação usou carteiras pré-financiadas obtidas via Tornado Cash aproximadamente 10 horas antes do ataque, confirmando que foi uma operação planejada de nível estatal e não uma exploração oportunista.
Em minutos, o atacante depositou o rsETH roubado como garantia na Aave e tomou emprestado mais de $236 milhão em WETH contra ele, usando tokens não garantidos como garantia para um empréstimo real. O roubo de $292 milhão transformou-se em uma extração de $236 milhão em WETH antes que a maioria dos usuários percebesse que algo havia acontecido.
A RESPOSTA DE 46 MINUTOS QUE SALVOU $100 MILHÕES
A equipe de resposta de emergência da KelpDAO identificou o ataque e ativou o multisig de pausa de emergência às 18:21 UTC, exatamente 46 minutos após o esvaziamento inicial. A pausa em todo o protocolo congelou depósitos, retiradas e o token rsETH em toda a mainnet e implantações Layer 2. Às 18:26 UTC e 18:28 UTC, duas tentativas de drenagem subsequentes pelo atacante, cada uma visando aproximadamente 40.000 rsETH, ambas foram revertidas contra os contratos congelados. O período de resposta de 46 minutos é a diferença entre um exploit de $100 milhão e uma catástrofe de $292 milhão. A ação rápida da equipe de emergência da KelpDAO foi a única razão pela qual o dano não quase dobrou.
A CONTAMINAÇÃO QUE SE ESPALHOU PELA DEFI
Os danos subsequentes avançaram mais rápido do que qualquer pausa de emergência poderia conter. Aave, o maior protocolo de empréstimo em DeFi com mais de $492 bilhão em valor total bloqueado, congelou os mercados de rsETH em V3 e V4 em poucas horas. A utilização de ETH na Aave atingiu brevemente 100% enquanto os usuários tentavam retirar fundos. O token AAVE caiu aproximadamente 10-20% à medida que os traders precificavam uma possível exposição a dívidas ruins. SparkLend e Fluid também congelaram seus mercados de rsETH. A Lido Finance pausou depósitos em seu produto earnETH devido à exposição ao rsETH. A Ethena pausou temporariamente suas pontes LayerZero OFT do Ethereum mainnet como medida de precaução. O TVL total de DeFi caiu de $99,5 bilhões para $85,21 bilhões em um único dia, $20 bilhão apagado de todo o ecossistema por um único exploit em uma única ponte.
A análise de incidente da Aave revelou que o exploit criou garantias não garantidas usadas para emprestar aproximadamente $14 milhão, deixando o protocolo enfrentando uma possível dívida ruim entre $190 milhão e $123 milhão, dependendo de como a KelpDAO distribuirá o déficit entre os detentores de rsETH.
A ATRIBUIÇÃO DO GRUPO LAZARUS
Este não foi um hack aleatório. A LayerZero atribuiu formalmente o ataque ao Grupo Lazarus, unidade de hacking patrocinada pelo Estado da Coreia do Norte, a mesma vinculada ao exploit $230 milhão Drift em 1 de abril de 2026, e a dezenas de roubos anteriores de bilhões de dólares ao longo de vários anos. O Grupo Lazarus é a operação de hacking de criptomoedas mais prolífica e tecnicamente sofisticada do mundo, e sua participação em dois dos três maiores exploits de DeFi de 2026 em 18 dias confirma uma campanha sistemática e coordenada visando a infraestrutura de DeFi na camada de infraestrutura, e não na camada de contratos.
FROTA DE EMERGÊNCIA DO ARBITRUM INTERVENÇÃO SEM PRECEDENTES
Em 21 de abril de 2026, três dias após o exploit, o Conselho de Segurança do Arbitrum executou a intervenção de emergência mais significativa na história do Layer 2. O conselho de 12 membros, operando sob um multisig de 9 de 12, confiscou 30.766 ETH do endereço do atacante no Arbitrum One e transferiu para uma carteira intermediária congelada. A transferência foi concluída às 23h26 ET de 21 de abril. Esses fundos não podem ser movidos novamente sem uma votação formal de governança do Arbitrum. A intervenção recuperou aproximadamente $71,15 milhões, cerca de 29% do ETH que o atacante havia acumulado no Arbitrum. Os restantes 75.701 ETH, avaliados em aproximadamente $285 milhão na Ethereum mainnet, já haviam sido movidos e estavam sendo lavados através do Thorchain e outras ferramentas de privacidade antes que o congelamento pudesse ser estendido.
O congelamento gerou debate imediato sobre descentralização. Se um conselho de 12 pessoas pode congelar ativos no Arbitrum, o que isso significa para a garantia de propriedade permissionless que o Layer 2 promete? Os apoiantes chamaram de defesa do DeFi contra crimes patrocinados pelo Estado. Os críticos disseram que isso prova que o Arbitrum é, no final, uma carteira multisig com poder de sobrepor o controle de ativos pelos usuários.
A GUERRA DE CULPAS ENTRE LAYERZERO E KELPDAO
O período pós-exploração gerou uma disputa pública completa entre LayerZero e KelpDAO sobre quem é responsável. A LayerZero publicou uma análise post-mortem afirmando que a KelpDAO escolheu uma configuração DVN 1-de-1, apesar de recomendações explícitas para adotar redundância de múltiplos verificadores, e anunciou que imediatamente deixaria de assinar mensagens para qualquer aplicação com configuração de verificador único, forçando uma migração ampla em todas as integrações LayerZero.
A KelpDAO respondeu, alegando que a configuração 1-de-1 era a configuração padrão fornecida pela LayerZero para novos deployments, que a própria documentação e o código de implantação pública da LayerZero promovem verificação de fonte única, e que a infraestrutura comprometida, os nós RPC e os servidores DVN, foi construída e operada inteiramente pela LayerZero, não pela Kelp. Pesquisadores de segurança apoiaram parcialmente a Kelp, com o destacado desenvolvedor banteg publicando uma análise técnica confirmando que o código de implantação de referência da LayerZero vem com verificação de fonte única como padrão nas principais cadeias.
O resultado é um impasse de divisão de danos sem resolução clara. Ambas as partes prometeram análises completas das causas raízes. A questão mais profunda, se todas as outras aplicações OFT 1-de-1 atualmente em execução na LayerZero estão expostas ao mesmo tipo de ataque, permanece sem resposta.
O QUE ISSO SIGNIFICA PARA O DEFI NO FUTURO
O exploit da KelpDAO não é apenas mais um hack. É um evento que define uma categoria, expondo uma vulnerabilidade estrutural em todo o ecossistema cross-chain de DeFi. O ataque pertence à mesma família histórica das falhas das pontes Ronin e Nomad, onde pontos de verificação centralizados se tornaram alvos de alto valor. Mas vai além, porque os contratos on-chain nunca foram tocados. Cada transação na cadeia era válida. A falha esteve na infraestrutura off-chain invisível que a DeFi tratou como um problema resolvido há anos.
As lições são claras e imediatas. Configurações de múltiplos verificadores DVN são agora obrigatórias para qualquer ponte que detenha valor significativo. Auditorias de configuração que revisam as configurações de implantação, não apenas o código do contrato inteligente, devem tornar-se práticas padrão. Monitoramento de invariantes transchain que verifica continuamente se os tokens liberados nas cadeias de destino correspondem aos tokens queimados nas cadeias de origem é o novo padrão mínimo para segurança de pontes. E a questão de como a DeFi lida com operações de hacking patrocinadas por estados, com os recursos e paciência de um governo nacional, ainda não tem resposta clara.
O roubo de $175 milhão. A destruição de $292 bilhão em TVL. Os potenciais dívidas ruins de $14 milhão na Aave. Os 30.766 ETH congelados pelo Arbitrum. A atribuição ao Grupo Lazarus. Tudo aponta para uma única conclusão: a camada de infraestrutura cross-chain do DeFi é a superfície mais desprotegida de todo o ecossistema, e os hackers mais sofisticados do mundo identificaram esse fato e estão explorando-o sistematicamente.
O ataque ao rsETH não é um aviso. É um veredicto. Corrija a infraestrutura ou perca tudo o que está acima dela.
$230
