Ainda se lembra do roubo de 292 milhões de dólares que abalou o mundo das criptomoedas no ano passado? Até agora, as partes continuam se acusando mutuamente, a situação está realmente um pouco constrangedora.

A questão é a seguinte. Em abril do ano passado, a Kelp DAO foi alvo de um ataque de hackers, que roubaram 116.500 rsETH, estabelecendo o maior roubo de DeFi daquele ano. Depois de uma investigação, descobriu-se que o cérebro por trás do ataque provavelmente foi o grupo de hackers norte-coreano Lazarus. Esse grupo já realizou vários grandes crimes antes, e desta vez agiu de forma bastante profissional — eles primeiro invadiram o nó de verificação DVN do LayerZero, colocaram malware em dois dos seus nós RPC, e depois lançaram um ataque DDoS em outros nós, enganando o sistema para assinar a transação de roubo de tokens.

O LayerZero posteriormente publicou um relatório de investigação, apontando diretamente que a Kelp DAO utilizou uma configuração vulnerável chamada "1-de-1 DVN", dizendo que isso era basicamente uma bomba-relógio embutida no sistema. Eles também enfatizaram que já haviam sugerido várias vezes à Kelp que dispersasse a configuração dos nós, mas a equipe simplesmente não ouviu.

Após as acusações, a Kelp DAO respondeu com força total. Eles emitiram uma declaração no X dizendo que essa configuração de verificação de ponto único é uma opção padrão descrita na documentação oficial do LayerZero, e que não foi algo que eles configuraram de forma aleatória. A Kelp também afirmou que já utilizava a infraestrutura do LayerZero desde janeiro de 2024, e que a comunicação entre as partes sempre foi fluida. Quando expandiram para Layer 2, também discutiram a configuração do DVN, e o próprio LayerZero confirmou na época que essa configuração era adequada.

O mais interessante é que ambos os lados estão se acusando mutuamente pelo vazamento de segurança. A Kelp DAO finalizou destacando que tomou medidas emergenciais imediatamente, pausou os contratos relacionados e colocou a carteira do hacker na lista negra, controlando a situação. Quanto às futuras melhorias de segurança, a equipe da Kelp disse que ainda está avaliando.

De certa forma, esse episódio levanta uma questão clássica: é responsabilidade do provedor de ferramentas garantir que os usuários escolham a configuração correta, ou os usuários devem ser responsáveis pelas decisões de segurança? A ação do Lazarus por si só não tem muito o que comentar, mas essa disputa de responsabilidades reflete alguns problemas mais profundos na ecologia do DeFi.