O protocolo de re-staking de liquidez na Ethereum, Kelp DAO, confirmou no X a 26 de Maio que a componente de operação do plano de recuperação de rsETH já foi concluída oficialmente. O último lote de 20.373,70 rsETH foi enviado para o contrato inteligente da LayerZero. As operações de cunhagem, resgate e recompensas do rsETH foram confirmadas como a funcionar normalmente, dando por terminado o impacto do ataque do grupo de hackers associado à Coreia do Norte Lazarus Group.
Mecanismo do ataque: como a vulnerabilidade do verificador único 1/1 do LayerZero foi explorada
O sistema de ponte cross-chain do rsETH do Kelp DAO utiliza o protocolo LayerZero, configurado com uma DVN 1/1 (rede de validação descentralizada, com necessidade de apenas um validador para confirmar a transacção). O Lazarus Group explorou esta concepção de falha num único ponto: os atacantes comprometeram dois nós RPC fornecendo dados ao validador do protocolo e, em simultâneo, desencadearam um ataque DDoS contra os endpoints RPC legítimos, forçando o sistema de ponte a depender de nós já comprometidos. Desta forma, os atacantes falsificaram mensagens cross-chain, levando o contrato na Ethereum a libertar 116.500 rsETH sem que o rsETH na cadeia de origem tivesse sido destruído legalmente. A LayerZero tinha anteriormente alertado para os riscos de segurança da configuração 1/1 DVN.
Após detectar o ataque, o Kelp DAO suspendeu imediatamente o contrato de rsETH e adicionou a carteira do atacante à lista negra, impedindo uma tentativa de novo roubo adicional de mais 40.000 rsETH. O comité de segurança da Arbitrum congelou cerca de 30.766 ETH relacionados com o atacante (aprox. 71 milhões de dólares), mas o Lazarus Group passou depois a ser suspeito de ter transferido 175 milhões de dólares em ETH para novos endereços.
Linha temporal de recuperação já confirmada
18 de Abril: ocorre o ataque do Lazarus Group; são roubados 116.500 rsETH (aprox. 293 milhões de dólares); o Kelp DAO suspende o contrato de rsETH, impedindo o segundo ataque
13 de Maio: a primeira transferência de 25.000 rsETH é concluída; a ponte de rsETH entre a mainnet Ethereum e a Layer 2 volta a ser reaberta
14 de Maio: a função de levantamento de rsETH volta a ser reaberta
26 de Maio: o último lote de 20.373,7 rsETH é enviado para o contrato inteligente da LayerZero; o Kelp DAO confirma que a componente de operação do plano de recuperação foi concluída oficialmente; a cunhagem, o resgate e as operações de recompensas do rsETH estão a funcionar normalmente
Perguntas frequentes
Qual é o mecanismo pelo qual o ataque do Kelp DAO causou uma dívida má de 190 milhões de dólares ao Aave?
Os atacantes exploraram, sem custos, uma vulnerabilidade na ponte LayerZero para obter 116.500 rsETH. Em seguida, utilizaram estes rsETH de “custo zero” como colateral para os depositar na plataforma de empréstimos do Aave e pediram grandes quantidades de wETH (ETH embrulhado). Quando o Kelp DAO suspendeu o contrato de rsETH, o valor de mercado do rsETH e a sua capacidade de resgate foram postos em causa. Muitos fornecedores de liquidez começaram a retirar fundos do Aave, e o colateral de rsETH depositado pelo atacante tornou-se, na prática, créditos de dívida má irrecuperáveis. A dívida má de 190 milhões de dólares prejudicou directamente o TVL do Aave, desencadeando um pânico de liquidez mais alargado. Após o evento, o TVL do Aave caiu de 26,4 mil milhões de dólares para abaixo de 14 mil milhões de dólares, perdendo a posição de protocolo DeFi com maior TVL a nível global.
Como é que a iniciativa DeFi United disponibilizou fundos para a recuperação do rsETH; qual é o mecanismo de injecção conjunta de vários protocolos?
A DeFi United é uma iniciativa de emergência conjunta que conta com participação de vários protocolos DeFi. Nesta recuperação, coordenou-se a injecção de fundos por múltiplos protocolos para colmatar a lacuna de financiamento necessária para que o Kelp DAO suporte rsETH integralmente on-chain. A lista completa das fontes específicas de financiamento e as proporções de contribuição de cada protocolo ainda não foram divulgadas em detalhe na declaração pública do Kelp DAO. Este modelo de coordenação de fundos entre protocolos assemelha-se à prática de coordenação de emergência do sector que surgiu anteriormente após ataques à Euler Finance e a outros protocolos DeFi. Trata-se de uma prática emergente no ecossistema DeFi para responder a grandes ataques de forma descentralizada.
Que dados de contexto existem sobre a vaga de ataques DeFi de Abril de 2026?
Os dados da DefiLlama e de instituições de monitorização de segurança on-chain confirmam: em Abril de 2026 ocorreram 25 incidentes de ataques de cibersegurança criptográfica, com perdas totais na ordem dos 630 milhões de dólares. Trata-se do mês com maiores perdas num único mês desde Fevereiro de 2025, quando a Bybit foi roubada (150 milhões de dólares, recorde de perdas numa única operação de ataque). Os 293 milhões de dólares do Kelp DAO são a maior falha DeFi única até agora em 2026. Os dados de período completo da DefiLlama mostram que, ao longo da última década, os hackers já roubaram mais de 17 mil milhões de dólares cumulativamente. As vulnerabilidades em pontes cross-chain têm ocupado uma posição central nas principais campanhas de ataque até 2026 (incluindo casos como Kelp DAO, Map Protocol Butter Bridge e Verus Bridge).
