#KelpDAOBridgeHacked

**Exploração da Ponte KelpDAO: Uma Análise Abrangente do Hack de $292 Milhões em DeFi**

Em 18 de abril de 2026, o ecossistema de finanças descentralizadas testemunhou uma de suas maiores brechas de segurança quando a ponte rsETH alimentada pelo LayerZero da KelpDAO foi explorada, resultando em perdas de aproximadamente $292 milhões. Este incidente enviou ondas de choque pelo cenário DeFi, desencadeando uma cascata de respostas emergenciais em múltiplos protocolos de empréstimo e expondo vulnerabilidades críticas na infraestrutura de pontes entre blockchains.

**O Mecanismo da Exploração**

Por volta das 17h35 UTC de 18 de abril, um atacante executou uma exploração sofisticada direcionada à ponte rsETH da KelpDAO, que utiliza a tecnologia de adaptador de Token Fungível Omnichain (OFT) do LayerZero. O atacante conseguiu forjar uma mensagem cross-chain através da função lzReceive, efetivamente burlando os mecanismos de validação na rede principal do Ethereum. Ao falsificar a cadeia de origem como Unichain (EID 30320), o atacante conseguiu liberar 116.500 tokens rsETH não garantidos do escrow da ponte sem qualquer depósito correspondente na cadeia de origem.

A causa raiz dessa exploração foi rastreada até uma configuração frágil de rede de Verificadores Descentralizados (DVN) (DVN), que dependia de endpoints RPC limitados. Esses endpoints parecem ter sido comprometidos, alimentando dados falsos de verificação ao contrato da ponte. Notavelmente, nenhum token foi queimado na cadeia de origem, mas a ponte erroneamente cunhou o equivalente de rsETH na rede principal do Ethereum. O hash da transação principal dessa exploração é 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222, que pode ser rastreado em exploradores de blockchain como Routescan.

**Consequências Imediatas e Contágio no DeFi**

Em vez de simplesmente manter o rsETH roubado, o atacante imediatamente utilizou esses tokens não garantidos como garantia em múltiplos protocolos de empréstimo, transformando uma vulnerabilidade na ponte em um evento de contágio sistêmico no DeFi. O rsETH roubado foi depositado em mercados Aave V3 e V4 tanto na rede principal do Ethereum quanto na Arbitrum, além de Compound V3, Euler e cerca de 30 outras plataformas de empréstimo. A partir dessas posições, o atacante tomou empréstimos de aproximadamente 83.427 WETH e wstETH, com detalhes específicos mostrando 52.834 WETH emprestados na rede principal do Ethereum e 29.782 WETH mais 821 wstETH na Arbitrum.

Essa estratégia agressiva de alavancagem criou uma exposição significativa a dívidas ruins em todo o ecossistema DeFi. Estimativas atuais colocam as perdas potenciais entre $120 milhões e $236 milhões nas plataformas de empréstimo afetadas, com a Aave enfrentando a maior exposição, potencialmente de $230 milhões em dívidas ruins. A situação colocou uma pressão imensa sobre o token de governança AAVE e levantou questões sérias sobre as práticas de gerenciamento de risco das principais plataformas de empréstimo.

**Protocolos de Resposta de Emergência**

A resposta a essa exploração foi rápida, porém reativa. Por volta das 18h21 UTC de 18 de abril, a multisig de pausa de emergência da KelpDAO executou um congelamento nos contratos principais de rsETH na rede principal e em todas as redes Layer 2. Logo depois, a Aave passou a congelar os mercados de rsETH nas versões V3 e V4, uma decisão rapidamente seguida por Spark, Fluid, Ethena, Upshift, Morpho e diversos outros protocolos.

Stani Kulechov, fundador e CEO da Aave, confirmou via X que o rsETH foi congelado tanto na Aave V3 quanto na V4, com o ativo sendo despojado de todo poder de empréstimo como resposta direta à exploração da ponte da KelpDAO. A conta oficial da Aave indicou que a comunidade precisaria discutir se o rsETH deveria ser removido permanentemente de todos os mercados da Aave após a crise imediata, seguindo um padrão estabelecido após eventos anteriores de dívidas ruins.

**Atribuição e Análise Técnica**

Pesquisadores de segurança e empresas de análise de blockchain atribuíram esse ataque ao Grupo Lazarus, de Coreia do Norte, uma coletividade de hackers patrocinada pelo Estado, conhecida por atacar plataformas de criptomoedas. A metodologia do ataque está alinhada às táticas estabelecidas do Lazarus, incluindo intrusão paciente, manipulação de mecanismos de confiança e supressão de capacidades de detecção.

A LayerZero Labs forneceu detalhes técnicos adicionais sobre o vetor de ataque. Segundo sua análise, o atacante obteve acesso à lista de endpoints RPC usados pela infraestrutura DVN, comprometendo posteriormente dois nós independentes operando em clusters separados, sem conexão direta entre si. O atacante então substituiu os binários que executam os nós op-geth, controlando efetivamente os dados de verificação alimentados aos contratos da ponte.

A KelpDAO alegou que a culpa pela brecha de segurança foi da infraestrutura da LayerZero, enquanto a LayerZero contrapôs que o problema originou-se na configuração específica do DVN da KelpDAO. A LayerZero mantém que eles e outros terceiros externos já haviam comunicado boas práticas de diversificação do DVN à KelpDAO, sugerindo que uma configuração adequada poderia ter evitado a exploração.

**Impacto no Mercado e Desvinculação do rsETH**

A exploração teve consequências severas para a posição de mercado do rsETH. O token experimentou uma desvinculação significativa de sua proporção de respaldo em ETH, criando incerteza para os detentores em mais de 20 redes blockchain onde o rsETH encapsulado é implantado. Com aproximadamente 18% do fornecimento circulante de rsETH agora representando tokens não garantidos, a confiança no derivado de staking líquido foi gravemente abalada.

O ecossistema DeFi mais amplo também sentiu o impacto, com perdas totais por hacks em 2026 agora ultrapassando $750 milhões até meados de abril. Essa exploração da KelpDAO superou o recorde anterior de 2026, que era de $285 milhões no hack do Drift Protocol em 1º de abril, por vários milhões de dólares. A concentração de explorações de ponte em 2026 destacou os desafios contínuos de segurança enfrentados pela infraestrutura cross-chain.

**Status Atual e Esforços de Recuperação**

Em 21 de abril de 2026, tanto a KelpDAO quanto a LayerZero estão colaborando ativamente na análise das causas raízes e na elaboração de um relatório de pós-morte. A KelpDAO confirmou via sua conta oficial no X que está trabalhando com a LayerZero, Unichain, auditores de segurança e especialistas em blockchain para investigar o incidente e desenvolver uma estrutura de recuperação.

A LayerZero afirmou que estava ciente do incidente desde que ocorreu e está remediando ativamente a situação com a equipe da KelpDAO. Enfatizaram que outros aplicativos que utilizam a infraestrutura da LayerZero permanecem seguros e que um relatório detalhado de pós-morte será divulgado em colaboração com a KelpDAO e a equipe de resposta de segurança SEAL 911.

Os endereços dos atacantes, incluindo 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF, foram marcados em exploradores de blockchain principais e estão sendo monitorados ativamente para qualquer movimentação dos fundos roubados. No entanto, dada a sofisticação do ataque e a participação de atores patrocinados pelo Estado, as perspectivas de recuperação permanecem incertas.

**Principais Lições**

Este exploit representa um momento decisivo para a segurança do DeFi, demonstrando como vulnerabilidades em pontes podem desencadear riscos sistêmicos em todo o ecossistema. O incidente reforça a importância de configurações robustas de DVN, mecanismos de verificação diversificados e gerenciamento de risco proativo em protocolos cross-chain. Para os usuários, o evento serve como um lembrete severo dos riscos associados a ativos encapsulados e à natureza interconectada dos mercados de empréstimos DeFi modernos.

A situação continua evoluindo, com os protocolos afetados trabalhando para quantificar perdas e desenvolver estratégias de remediação. Os usuários são aconselhados a monitorar canais oficiais da KelpDAO, LayerZero e plataformas de empréstimo afetadas para atualizações sobre possíveis planos de reembolso ou mecanismos de recuperação.