#KelpDAOBridgeHacked Kelp DAO Ponte Hackeada: $292 Milhão de Exploração Sacode DeFi até o Seu Núcleo

Uma falha catastrófica na segurança entre cadeias levou ao maior hack de DeFi de 2026, provocando uma amarga disputa de responsabilidades entre Kelp DAO e LayerZero enquanto ameaça paralisar protocolos de empréstimo importantes como Aave.

Em o que rapidamente se tornou a exploração (DeFi) mais devastadora do ano, Kelp DAO sofreu uma perda de $292 milhão( durante o fim de semana. O ataque visou a ponte entre cadeias alimentada pelo LayerZero do protocolo, resultando no roubo de 116.500 tokens rsETH.

O incidente, ocorrido em 18 de abril, não apenas drenou uma parte significativa da liquidez do Kelp, mas também desencadeou uma crise em cascata por todo o ecossistema, envolvendo o gigante de empréstimos Aave e provocando uma disputa acalorada sobre quem é o responsável final pela falha de segurança.

O Vetor de Ataque: Como Hackers Bypassaram a Segurança

O atacante financiou sua carteira via Tornado Cash aproximadamente 10 horas antes da exploração, uma técnica clássica de obfuscação usada por grupos de hackers sofisticados. Investigações preliminares, incluindo as do detetive de blockchain ZachXBT, apontam para o grupo Lazarus da Coreia do Norte como provável perpetrador.

O mecanismo do ataque foi altamente técnico. Segundo relatos, hackers comprometeram uma lista de nós RPC usados pela Rede Verificada Descentralizada )DVN( da LayerZero Labs. Ao envenenar dois nós e lançar um ataque DDoS nos demais, os atacantes forçaram a rede a aceitar uma mensagem fraudulenta entre cadeias.

Essa mensagem falsa enganou o contrato da ponte do Kelp DAO para "liberar" 116.500 rsETH na rede principal do Ethereum que deveria ter permanecido bloqueada.

O Jogo de Responsabilidades: Kelp DAO vs. LayerZero

Após o incidente, uma disputa pública surgiu entre Kelp DAO e LayerZero sobre a causa raiz da vulnerabilidade.

· Posição da LayerZero: O protocolo de mensagens culpou diretamente o Kelp DAO por usar uma configuração de "1 de 1 DVN" )Rede Verificada Descentralizada(. Argumentam que essa configuração criou um ponto único de falha catastrófico, pois não havia um segundo validador independente para sinalizar a transação maliciosa. A LayerZero afirma que comunicou as melhores práticas de diversificação, mas o Kelp optou por não adotá-las.
· Defesa do Kelp DAO: Em uma resposta firme, o Kelp DAO rejeitou essas alegações, afirmando que o modelo 1 de 1 DVN era a configuração padrão descrita na própria documentação da LayerZero para novas implantações de OFT )Token Fungível Omnichaín$230M . O Kelp mantém que operou nessa infraestrutura desde janeiro de 2024 e que a configuração foi previamente confirmada como adequada por representantes da LayerZero.

Contágio se Espalha: Aave Enfrenta $190 Buraco

A consequência mais severa do hack é o risco sistêmico representado pelo Aave, o principal protocolo de empréstimos DeFi.

Em vez de vender os rsETH roubados, o atacante depositou 89.567 desses tokens como garantia e tomou emprestado aproximadamente (milhão$124 em WETH e wstETH. Isso deixou o Aave com garantias cujo valor está fundamentalmente comprometido.

Segundo um relatório de incidente da Aave Labs, as perdas potenciais para o Aave variam bastante dependendo de como o Kelp DAO decide alocar o déficit:

1. Perda Compartilhada )(milhão): Se as perdas forem distribuídas entre todos os detentores de rsETH (um evento de despegagem de 15%$230 .
2. Isolamento de Layer 2 )(milhão): Se as perdas forem isoladas apenas às redes Layer 2, deixando as participações na mainnet do Aave parcialmente sem respaldo.

Em resposta, o Aave congelou os mercados de rsETH nas versões V3 e V4, ajustando as taxas de Empréstimo para Valor a zero para evitar novos empréstimos. O token Aave $10 AAVE( caiu 10% após a notícia, e mais de )bilhão$71 em Valor Total Bloqueado $292 TVL( fugiu do protocolo enquanto os usuários corriam para retirar fundos.

Freios de Emergência: Arbitrum Congela $181 Milhão

Em uma intervenção rápida de governança, o Conselho de Segurança do Arbitrum entrou em ação para congelar 30.766 ETH — avaliado em aproximadamente $71,1 milhões — ligados ao exploit na rede Arbitrum One.

Os fundos foram transferidos para uma carteira intermediária congelada. O Arbitrum afirmou que esses ativos permanecerão imóveis até uma decisão formal de governança, o que pode resultar no reembolso aos usuários. O conselho observou que agiu com a orientação das autoridades policiais quanto à identidade do explorador.

O Que Acontece a Seguir?

Até o momento, a situação permanece fluida, mas grave. O Kelp DAO pausou seus contratos de rsETH na mainnet e em várias redes Layer-2. O principal problema para as tentativas de resolução é que o Kelp DAO provavelmente não possui o tamanho do tesouro suficiente para cobrir a perda de )milhão de forma unilateral.

Observadores do setor sugerem que a LayerZero pode ser forçada a intervir para salvar a reputação de seu ecossistema OFT, ou que o Aave pode precisar usar seu tesouro DAO milhão para cobrir dívidas ruins. No entanto, ambas as partes atualmente negam responsabilidade direta.