#KelpDAOBridgeHacked

A Hackeada da Ponte KelpDAO: Um Golpe Devastador na Segurança DeFi

Em 18 de abril de 2026, o protocolo de restaking líquido KelpDAO sofreu uma das brechas de segurança mais catastróficas da história do DeFi, com atacantes drenando aproximadamente 116.500 tokens rsETH no valor de entre $292 a $294 milhões. Essa exploração agora é considerada o maior hack de DeFi de 2026, superando o recorde anterior detido pelo prejuízo de $285 milhões do Drift Protocol no início do mês.

O ataque teve como alvo a infraestrutura da ponte cross-chain do KelpDAO, especificamente o caminho da ponte rsETH que conecta a Unichain à rede principal do Ethereum. O protocolo dependia do padrão OFT da LayerZero para transferências de tokens entre cadeias, mas uma vulnerabilidade crítica residia na sua arquitetura de segurança. O KelpDAO configurou sua ponte com uma rede de Verificadores Descentralizados 1-de-1, ou seja, um único nó verificador era responsável por validar todas as mensagens inbound entre cadeias antes de liberar fundos. Este ponto centralizado de falha revelou-se a Achilles' heel que os atacantes exploraram.

A metodologia do ataque foi sofisticada e em múltiplas etapas. Primeiro, os perpetradores comprometeram pelo menos dois nós RPC que alimentavam dados ao verificador único, injetando malware projetado para fabricar mensagens falsas entre cadeias. Depois, lançaram um ataque DDoS contra os nós RPC não afetados, forçando o sistema a alternar para a infraestrutura comprometida. Isso criou uma câmara de eco onde dados envenenados se tornaram a única fonte de verdade. O verificador comprometido posteriormente aprovou chamadas lzReceive forjadas no contrato EndpointV2 da LayerZero, cunhando e liberando 116.500 tokens rsETH não respaldados diretamente para endereços controlados pelos atacantes. O malware então se autodestruiu, apagando logs para obscurecer a trilha.

As consequências se estenderam muito além do próprio KelpDAO. Os atacantes imediatamente usaram o rsETH roubado como garantia em pelo menos nove protocolos DeFi principais, incluindo Aave V3 e V4, Compound V3, Euler, SparkLend, Fluid e Upshift, emprestando mais de $236 milhões em WETH. Depois, converteram aproximadamente $178 milhões em ETH na rede principal do Ethereum e $72 milhões na Arbitrum. O rsETH roubado permanece agora preso e não respaldado em mais de 20 redes blockchain, incluindo Base, Arbitrum, Linea e Blast.

Este único exploit desencadeou uma cascata de consequências sistêmicas em todo o ecossistema DeFi. O Valor Total Bloqueado em protocolos de finanças descentralizadas despencou de $13 para $14 bilhões em 48 horas. Só a Aave experimentou uma saída de depósitos de $6 para $8,45 bilhões, com seu token nativo caindo aproximadamente 10% em valor. O incidente criou dívidas ruins significativas em múltiplos protocolos de empréstimo e forçou respostas de emergência de várias plataformas DeFi.

Os esforços de resposta começaram minutos após a exploração. A multisig do KelpDAO pausou os contratos principais de rsETH na rede principal e em múltiplas redes Layer-2 às 18:21 UTC, aproximadamente 46 minutos após a violação inicial. Duas tentativas subsequentes de drenagem, totalizando cerca de 40.000 rsETH cada, falharam devido a essas medidas de proteção. A Aave congelou os mercados de rsETH tanto na V3 quanto na V4 em questão de horas, com SparkLend, Fluid e Upshift seguindo o mesmo caminho. A Lido pausou os depósitos de earnETH, enquanto a Ethena suspendeu temporariamente suas pontes LayerZero por cerca de seis horas como medida de precaução, apesar de não ter exposição direta.

O debate sobre a atribuição entre KelpDAO e LayerZero tornou-se uma narrativa central no desdobramento do incidente. O KelpDAO afirma que as configurações padrão do LayerZero contribuíram para a vulnerabilidade, enquanto a LayerZero responde que o KelpDAO implementou uma configuração personalizada fraca, desviando-se das práticas de segurança recomendadas. A LayerZero atribuiu o ataque ao grupo Lazarus, da Coreia do Norte, citando evidências forenses que ligam a operação a esse coletivo de hackers patrocinado pelo Estado. Os atacantes financiaram sua carteira inicial através do Tornado Cash cerca de dez horas antes de executar a exploração.

Este incidente representa mais do que uma brecha de segurança isolada. Ele expõe fraquezas fundamentais na arquitetura e segurança das pontes entre cadeias no ecossistema DeFi. A dependência de mecanismos de verificação de ponto único de falha, mesmo quando rotulados como descentralizados, cria superfícies de ataque que adversários sofisticados podem explorar. O fato de tokens não respaldados poderem ser cunhados e imediatamente aceitos como garantia em múltiplos protocolos principais destaca os riscos interconectados presentes na composabilidade moderna do DeFi.

Para o ecossistema mais amplo de criptomoedas, o hack do KelpDAO serve como um lembrete contundente de que a infraestrutura de pontes permanece entre os componentes mais vulneráveis do finanças descentralizadas. Apesar de inúmeras auditorias e revisões de segurança, a complexidade dos protocolos de comunicação entre cadeias continua a oferecer oportunidades de exploração. O incidente reacendeu debates sobre os trade-offs entre interoperabilidade e segurança, com muitos na comunidade pedindo requisitos de multi-assinatura mais robustos e mecanismos de verificação descentralizados.

À medida que as investigações continuam e os protocolos afetados trabalham para conter os danos, a exploração do KelpDAO provavelmente influenciará padrões de segurança e melhores práticas na indústria pelos próximos anos. A escala da brecha e seus efeitos em cascata demonstram que, em um ecossistema DeFi cada vez mais interconectado, a segurança de protocolos individuais está intrinsecamente ligada à resiliência da infraestrutura na qual dependem.