KelpDAO vulnerabilidade desencadeia crise de confiança no DeFi: TVL encolhe 14 bilhões

Em 18 de abril de 2026, a ponte cross-chain rsETH baseada em LayerZero da KelpDAO foi alvo de um ataque, com o invasor roubando aproximadamente 116.500 rsETH em cerca de 46 minutos, causando uma perda de cerca de 292 milhões de dólares, tornando-se o maior incidente de segurança DeFi até então em 2026. A essência do ataque não foi uma vulnerabilidade tradicional no código do contrato inteligente, mas uma falha sistêmica no modelo de confiança entre blockchains. A KelpDAO utilizou a solução de ponte OFT do LayerZero, cuja segurança dependia da DVN, uma rede de validação descentralizada. No entanto, a KelpDAO configurou uma arquitetura de nó único 1/1 na DVN — apenas um nó precisava assinar para confirmar que a mensagem cross-chain era “real”, enquanto a documentação oficial do LayerZero recomendava uma configuração multi-sig 2/2. O invasor, por meio de engenharia social, comprometeu esse nó único, falsificando mensagens cross-chain para “cunhar” moedas do nada, liberando rsETH sem respaldo de ativos reais na rede principal do Ethereum.

Na investigação posterior, o LayerZero atribuiu preliminarmente o ataque ao grupo Lazarus da Coreia do Norte, especificamente ao ramo TraderTraitor, indicando que o invasor contaminou os nós RPC downstream da DVN e, em conjunto com ataques DDoS, induziu uma transferência de falha, levando o nó de validação a confirmar que “nenhuma transação ocorreu” e, assim, falsificar mensagens. Essa abordagem técnica revelou um problema estrutural mais profundo: quando a segurança da ponte cross-chain depende totalmente de um único nó de validação, esse nó se torna o calcanhar de Aquiles de todo o sistema.

Como o rsETH roubado se propagou para Aave formando uma enorme inadimplência

O invasor usou o rsETH cunhado do nada como garantia para depositar em plataformas de empréstimo como Aave e tomar emprestado ativos reais. Como esses rsETH não tinham respaldo legítimo, esse empréstimo criou uma exposição potencial a inadimplência para os credores. Segundo análises on-chain, nas redes L2 da Aave, o valor de rsETH como garantia, calculado pelo preço de oráculos, é de aproximadamente 359 milhões de dólares. Se essas posições operarem com alavancagem máxima, o valor potencial de inadimplência pode chegar a cerca de 341 milhões de dólares, sem cobertura pelo protocolo Umbrella.

Isso não é uma falha no código do contrato inteligente da Aave, mas uma reação em cadeia sistêmica provocada por “confiança incorreta em ativos de garantia”. Após inserir tokens sem respaldo na pool de empréstimos, todos os usuários dependentes desses fundos ficam expostos ao risco de inadimplência. A composabilidade do DeFi atua como uma espada de dois gumes: ela oferece eficiência de capital sem costura entre protocolos, mas uma quebra de confiança em um ponto pode se propagar instantaneamente por toda a ecologia.

Como o pânico de fundos levou a uma queda de 140 bilhões de dólares no TVL

O pânico se transformou rapidamente em retirada em massa. Segundo dados do DefiLlama, o TVL total do DeFi caiu de 99,497 bilhões de dólares para 86,286 bilhões de dólares nos últimos 48 horas, uma evaporação de cerca de 13,2 bilhões de dólares; a retirada de fundos do Aave atingiu até 8,45 bilhões de dólares, levando o TVL a 17,947 bilhões de dólares. Até 20 de abril, o TVL do DeFi recuou ainda mais para aproximadamente 82,4 bilhões de dólares, uma redução de cerca de 25% em relação ao início de 2026, quando atingiu aproximadamente 110 bilhões de dólares.

A fuga de fundos concentrou-se em empréstimos, re-pledge de liquidez e protocolos de rendimento, com plataformas como Euler e Sentora sofrendo perdas de dois dígitos percentuais no TVL. Curiosamente, os preços dos tokens reagiram de forma relativamente moderada: AAVE caiu cerca de 2,5% nas últimas 24 horas, enquanto UNI e LINK tiveram quedas inferiores a 1%. Essa divergência entre fluxo de fundos e preço indica que o mercado ainda não precificou totalmente o impacto de longo prazo do evento — a retirada reflete uma crise de liquidez, enquanto os detentores de tokens podem ainda estar aguardando uma definição clara sobre a resolução da inadimplência.

O que o congelamento de 71 milhões de dólares pelo Conselho de Segurança do Arbitrum sinaliza

Em 21 de abril de 2026, o Conselho de Segurança do Arbitrum tomou uma ação emergencial, transferindo 30.766 ETH pertencentes ao invasor para uma carteira intermediária sob controle de governança e congelando esses fundos, avaliados em cerca de 71 milhões de dólares, recuperando aproximadamente um quarto do total roubado. Essa ação foi executada por meio de uma transação de sistema ArbitrumUnsignedTxType, uma operação que não pode ser assinada por uma EOA comum, sendo possível apenas por intervenção do Conselho de Segurança via injeção no ArbOS.

Esse tipo de intervenção enviou dois sinais importantes. Primeiro, a capacidade de intervenção emergencial na camada L2 foi comprovada na prática, marcando um marco no roteiro de expansão do Layer 2. Segundo, esse tipo de intervenção de governança sobre fundos de usuários é extremamente rara e controversa na ecologia on-chain, pois introduz controle discricionário em uma rede originalmente permissionless. O Arbitrum enfatizou que a ação foi baseada em informações de confirmação de identidade do atacante por parte de autoridades legais, sem afetar outros usuários ou aplicações. Contudo, esse precedente também levanta uma questão mais profunda: quando “permissionless” encontra “atacantes de nível estatal”, onde deve estar o limite da governança descentralizada?

Por que o alerta do fundador do Curve sobre os riscos do modelo de empréstimo não isolado foi público

Michael Egorov, fundador do Curve Finance, publicou um artigo após o incidente destacando que o problema de inadimplência causado pelo ataque à KelpDAO evidencia os riscos do atual modelo de “empréstimo não isolado”. Ele afirmou que esse modelo, embora altamente escalável, apresenta riscos elevados e requer uma gestão de ativos mais rigorosa. Egorov reforçou que muitos incidentes de segurança evitáveis recentemente decorrem de falhas centralizadas, e que esses problemas deveriam ser prevenidos antecipadamente, não remediados após o fato. Ele também pediu que a Ethereum Foundation, a Solana Foundation e outras instituições liderem a criação de padrões de segurança unificados para DeFi.

Egorov sugeriu que modelos de empréstimo totalmente isolados ou híbridos podem ser alternativas, e que a arquitetura “hub and spoke” do Aave v4 pode impulsionar uma evolução para um modelo de empréstimo mais seguro. Essa análise toca na contradição central do DeFi: eficiência de capital versus isolamento de risco. O modelo não isolado permite fluxo livre de fundos entre protocolos, aumentando a eficiência geral, mas também faz com que uma crise de confiança em um ativo se propague rapidamente por toda a rede de empréstimos. A crítica de Egorov é uma reflexão: o DeFi já atingiu um ponto em que é necessário sacrificar parte da eficiência para garantir maior estabilidade sistêmica?

As três opções de resolução de inadimplência do Aave e seus custos estruturais

O fundador do DeFiLlama, 0xngmi, delineou três possíveis caminhos para lidar com a inadimplência da KelpDAO, cada um com seus custos e trade-offs claros.

A primeira é a socialização das perdas, reduzindo proporcionalmente o saldo de todos os detentores de rsETH em 18,5% para absorver o prejuízo. Se essa abordagem for aplicada ao total de garantias de rsETH na rede Aave, estima-se uma inadimplência de cerca de 216 milhões de dólares, com o protocolo Umbrella cobrindo 55 milhões de dólares, o tesouro da Aave assumindo 85 milhões, e um déficit restante de aproximadamente 76 milhões de dólares. Essa solução distribui o prejuízo entre todos os usuários, mas compromete a confiança fundamental na segurança dos ativos do protocolo.

A segunda opção é garantir apenas o rsETH na rede principal do Ethereum, considerando o rsETH nas L2s como sem valor. Com base nos preços atuais, o valor de garantias de rsETH nas L2s é de aproximadamente 359 milhões de dólares. Se operarem com alavancagem máxima, o potencial de inadimplência pode chegar a cerca de 341 milhões de dólares, sem cobertura pelo Umbrella. Nessa abordagem, o Aave teria que tentar salvar parte do mercado por meio do tesouro ou de empréstimos, possivelmente abandonando as redes mais afetadas — Arbitrum, Mantle e Base — levando ao colapso dessas plataformas. Essa estratégia reduz o impacto direto na rede principal do Aave, mas prejudica a reputação geral das L2s.

A terceira é restaurar a distribuição de ativos com base em um snapshot anterior ao ataque, reembolsando integralmente os endereços que possuíam rsETH na hora do incidente, enquanto quem comprar ou transferir após o evento assume a perda. Essa abordagem resultaria em uma perda de cerca de 91 milhões de dólares mesmo após cobertura pelo Umbrella, mas enfrenta dificuldades técnicas, pois os fundos movimentados após o ataque dificultam distinguir diferentes lotes de depósitos, tornando sua implementação complexa.

Por que abril de 2026 se tornou um divisor de águas na segurança do DeFi

O incidente da KelpDAO não foi um evento isolado. Em apenas 20 dias de abril de 2026, protocolos de criptomoedas sofreram perdas superiores a 606 milhões de dólares devido a ataques, marcando o mês mais severo desde fevereiro de 2025. Em 1º de abril, a maior exchange de contratos perpétuos na Solana, Drift Protocol, foi roubada em 285 milhões de dólares em apenas 12 minutos. Juntos, os incidentes da KelpDAO e do Drift representaram cerca de 95% das perdas do mês.

Dados do relatório de segurança de 2025 do SlowMist fornecem uma perspectiva de longo prazo: ao longo do ano, ocorreram 200 incidentes de segurança, com perdas de aproximadamente 2,935 bilhões de dólares. Apesar de uma redução de 51% no número de incidentes em relação a 2024, o valor total das perdas aumentou cerca de 46%. Os projetos de DeFi foram os mais atacados, respondendo por cerca de 63% dos incidentes e 649 milhões de dólares em perdas.

Ao conectar esses dados, uma tendência clara emerge: os atacantes estão mudando de “quantidade” para “qualidade” — menos incidentes, mas com perdas maiores por evento, além de ataques mais sofisticados. No caso da KelpDAO, o invasor não explorou vulnerabilidades de código, mas uma falha na configuração de confiança, indicando uma evolução no vetor de ataque que desafia a cobertura de auditorias tradicionais de segurança.

Resumo

O incidente de vulnerabilidade cross-chain da KelpDAO é um marco na segurança do DeFi em 2026. Ele revelou a vulnerabilidade fundamental de arquiteturas de validação de ponto único na confiança entre blockchains, mostrou como uma crise de ativos pode se propagar rapidamente na ecologia DeFi, e transferiu o risco para o mercado de empréstimos via inadimplência na Aave. A intervenção emergencial do Conselho de Segurança do Arbitrum, embora limitada na recuperação dos fundos roubados, provocou uma discussão mais profunda sobre os limites da governança descentralizada.

A advertência de Egorov sobre o modelo de empréstimo não isolado e o apelo por padrões de segurança unificados refletem um momento de reflexão estrutural no DeFi. A tensão entre eficiência de capital e segurança do sistema nunca foi tão aguda — os anos recentes de crescimento acelerado do DeFi, sustentados por uma lógica de “lego de composição”, estão sendo testados sob a pressão de uma confiança em colapso. O evento de abril de 2026 envia um sinal claro: sem mecanismos de isolamento de risco no protocolo, cada vulnerabilidade “evitável” continuará corroendo a confiança de longo prazo na indústria.