#KelpDAOBridgeHacked

Exploração da Ponte KelpDAO: Análise Técnica & Impacto na Indústria

Em 18 de abril de 2026, a ponte cross-chain rsETH da KelpDAO sofreu a maior exploração DeFi de 2026, com atacantes drenando aproximadamente 116.500 rsETH avaliados em cerca de $292 milhões. O incidente representa aproximadamente 18% do fornecimento circulante total de rsETH e desencadeou efeitos em cascata em todo o ecossistema DeFi.

Análise do Vetor de Ataque

A exploração foi executada por meio de um ataque sofisticado em várias etapas direcionado à infraestrutura LayerZero. Os atacantes comprometeram primeiro dois nós RPC independentes operados pela LayerZero Labs, substituindo binários legítimos do op-geth por versões maliciosas. Esses nós envenenados foram configurados especificamente para enganar a Rede de Verificadores Descentralizados (DVN) da LayerZero enquanto mantinham respostas verdadeiras para outros sistemas de monitoramento, evitando efetivamente a detecção.

A sequência do ataque envolveu um ataque coordenado de DDoS contra um terceiro nó RPC limpo, forçando a DVN a alternar para a infraestrutura comprometida. A configuração da ponte da KelpDAO utilizava uma configuração de DVN 1-de-1, ou seja, apenas o DVN da LayerZero era necessário para validar mensagens cross-chain. Os nós envenenados confirmaram com sucesso uma transação de queima fabricada na Unichain, que o sistema de retransmissão EndpointV2 propagou para o Adaptador OFT da KelpDAO, acionando a liberação não autorizada das reservas da rede principal.

Após a exploração, o atacante lavou sistematicamente o rsETH roubado através de várias carteiras, depositando fundos como garantia nos mercados Aave V3 na Ethereum e Arbitrum. O atacante garantiu aproximadamente 75.700 WETH na Ethereum e 30.800 WETH na Arbitrum, atingindo índices de empréstimo-para-valor próximos de 99% antes que congelamentos a nível de protocolo interrompessem novos empréstimos.

Atribuição & Perfil do Atacante

Pesquisadores de segurança e empresas de análise de blockchain atribuíram o ataque ao Grupo Lazarus da Coreia do Norte, especificamente ao cluster TraderTraitor. As características operacionais estão alinhadas com as metodologias documentadas do Lazarus: táticas de intrusão paciente, manipulação de infraestrutura confiável e mecanismos sofisticados de supressão de detecção. O malware utilizado se autodestruiu após a exploração, apagando sistematicamente evidências forenses dos sistemas comprometidos.

Resposta do Protocolo & Contenção

Aave respondeu em horas congelando os mercados rsETH nas implantações V3 e V4, incluindo a integração SparkLend. O protocolo atualmente enfrenta aproximadamente $177 milhões em dívidas ruins, concentradas principalmente na Arbitrum. O Valor Total Bloqueado em todo o ecossistema Aave caiu de $26 bilhões para $18 bilhões, representando saídas de $8 a $14 bilhões à medida que provedores de liquidez retiraram capital.

A contaminação se estendeu além da Aave, com mais de 15 protocolos implementando pausas emergenciais na ponte. Os pools de empréstimo WETH atingiram taxas de utilização de 100%, criando riscos de liquidação secundária para posições alavancadas. A KelpDAO colocou endereços do explorador na lista negra e afirma ter evitado tentativas adicionais de ataque no valor de $95 milhões.

Análise da Causa Raiz Contestada

Existe uma disputa significativa entre a KelpDAO e a LayerZero quanto à responsabilidade fundamental. A LayerZero sustenta que a configuração de DVN 1-de-1 da KelpDAO divergiu das práticas de segurança recomendadas, enfatizando que o próprio protocolo não continha vulnerabilidades e que o incidente foi isolado à infraestrutura rsETH. A LayerZero subsequentemente corrigiu os sistemas de DVN e RPC afetados.

A KelpDAO contra-argumenta que a documentação padrão e as configurações de início rápido da LayerZero recomendavam a configuração 1-de-1, argumentando que o provedor de infraestrutura é responsável pela segurança dos nós RPC. Ambas as partes concordam que nenhum bug em contratos inteligentes foi explorado; a causa raiz centra-se nas suposições de confiança dentro de configurações de ponto único de falha.

Implicações de Segurança em DeFi

O incidente expõe vulnerabilidades críticas em arquiteturas de pontes cross-chain, especialmente no que diz respeito à segurança da infraestrutura RPC. Os nós RPC emergiram como um elo fraco sistêmico, com a maioria dos protocolos dependendo de um conjunto limitado de provedores sem diversificação adequada de failover. A exploração demonstra que mesmo sistemas sofisticados de assinatura múltipla e verificação podem ser comprometidos quando as fontes de dados subjacentes são envenenadas.

Analistas da indústria recomendam a implementação imediata de configurações multi-DVN, redes diversificadas de provedores RPC e sistemas de auditoria de configuração em tempo real. A arquitetura modular de segurança do LayerZero limitou o raio de impacto especificamente ao rsETH, sem afetar outros contratos OFT ou OApp, sugerindo que frameworks de mensagens cross-chain podem manter resiliência mesmo durante ataques direcionados à infraestrutura.

Status Atual & Esforços de Recuperação

A governança da Aave está atualmente debatendo mecanismos de socialização de dívidas para lidar com a situação de dívidas ruins. A KelpDAO, LayerZero e Aave estabeleceram canais de coordenação para operações de recuperação. O coletivo de segurança blockchain Seal-911 está monitorando ativamente os movimentos de fundos, com partes dos ativos roubados identificados passando por Tornado Cash e outros protocolos de ofuscação. Canais de negociação de whitehat permanecem abertos, embora nenhuma recuperação tenha sido confirmada até o momento.

O ataque estabelece um novo recorde para hacks DeFi de 2026, superando o incidente do $285 milhão do Drift Protocol de 1º de abril. O incidente reforça as preocupações contínuas sobre a segurança das pontes como principal vetor de ataque em DeFi, com a infraestrutura cross-chain permanecendo a fronteira de segurança mais contestada do ecossistema.

#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews