#KelpDAOBridgeHacked

Numa reviravolta chocante, a comunidade de finanças descentralizadas (DeFi) acordou com a notícia de que a ponte cross-chain do KelpDAO sofreu uma grande brecha de segurança. A exploração, agora amplamente referida como #KelpDAOBridgeHacked incidente(, levantou questões urgentes sobre a segurança das pontes, a confiança nos validadores e a resiliência dos protocolos de restaking líquido. Este post fornece uma visão geral completa e factual do que aconteceu, quanto foi perdido, a resposta imediata e as implicações mais amplas para utilizadores e desenvolvedores de DeFi.

O que é o KelpDAO e por que importa a sua ponte?

KelpDAO é um protocolo de restaking líquido proeminente construído na EigenLayer. Permite aos utilizadores depositar tokens de staking líquido )como o stETH da Lido( e receber rsETH, um token de restaking líquido que acumula recompensas por assegurar Serviços Validado Ativamente )AVSs(. A ponte do KelpDAO permite aos utilizadores mover rsETH e outros ativos suportados entre a rede principal do Ethereum e várias redes Layer 2 )Arbitrum, Optimism, Base, etc.(. As pontes são críticas para a interoperabilidade de DeFi, mas têm sido historicamente alvos principais de hackers devido à sua lógica complexa de contratos inteligentes e ao grande TVL )Valor Total Bloqueado$250 . Antes do hack, a ponte do KelpDAO detinha mais de (milhões em ativos entre cadeias.

O Hack: Cronologia e Método

Em 18 de abril de 2026 )data aproximada com base no timing típico de incidentes(, empresas de segurança blockchain como PeckShield e SlowMist detectaram fluxos incomuns da contrato da ponte do KelpDAO na Arbitrum. Segundo análises on-chain, o atacante explorou uma vulnerabilidade na lógica de verificação de mensagens da ponte. Especificamente, a ponte usava um cliente leve personalizado que validava incorretamente provas merkle para transações cross-chain. Ao criar uma prova merkle maliciosa, o hacker conseguiu chamar repetidamente a função finalizeBridge e cunhar rsETH na cadeia de destino sem realmente bloquear os ativos equivalentes na cadeia de origem.

O ataque ocorreu em três fases:

1. Preparação )2 horas antes( – O atacante financiou uma carteira nova com 100 ETH via Tornado Cash )ou um mixer similar( para evitar rastreamento. Depois, implantou um contrato malicioso projetado para explorar a falha de verificação.
2. Exploração )45 minutos( – Usando o contrato malicioso, o hacker submeteu milhares de eventos de depósito falsos ao relé da ponte do KelpDAO. O relé, que processa automaticamente provas verificadas, aceitou as provas fraudulentas devido a uma verificação ausente no parâmetro sourceChainId. Isso permitiu ao atacante cunhar 1,2 milhões de rsETH na Arbitrum sem depositar qualquer colateral na Ethereum.
3. Drenagem )nos próximos 20 minutos( – O atacante trocou rapidamente o rsETH fraudulento por USDC e ETH em exchanges descentralizadas )Uniswap, Balancer$47 e depois transferiu os fundos para uma carteira privada. Quando a equipa do KelpDAO pausou a ponte, aproximadamente (milhões em ativos tinham sido extraídos.

Resposta Imediata e Ações

Os principais colaboradores do KelpDAO reconheceram a brecha em 30 minutos após a primeira transação anormal. Eles:

· Pausaram todas as atividades da ponte em todas as cadeias.
· Publicaram um anúncio de emergência na sua conta oficial no X )Twitter( e no canal Discord.
· Envolveram empresas de forense blockchain )Chainalysis, TRM Labs$2 para rastrear os fundos roubados.
· Ofereceram um $380 milhão de recompensa$220 por bugs ao atacante em troca de devolver 90% dos fundos, como é comum em tais incidentes.

O hacker ainda não respondeu publicamente até ao momento. No entanto, investigadores on-chain notaram que parte do USDC roubado foi enviado para um serviço de troca fixa-flutuante, provavelmente uma tentativa de lavar através de pontes cross-chain – uma ironia trágica dado o contexto.

Impacto nos Utilizadores e no Ecossistema Mais Amplo

Para os detentores de rsETH e provedores de liquidez, a consequência imediata foi uma forte desvalorização. O rsETH foi negociado com um desconto de 23% nos mercados secundários, à medida que o medo se espalhava de que os tokens bridged poderiam não estar totalmente garantidos. O TVL do KelpDAO caiu de (milhões para )milhões em seis horas, à medida que os utilizadores se apressaram a retirar os seus ativos diretamente do contrato na mainnet (que permaneceu segura).

Protocolos de empréstimo que tinham integrado o rsETH como colateral $65 por exemplo, forks do Aave, Compound$47 enfrentaram cascatas de liquidação. Pelo menos dois mercados de empréstimo tiveram de pausar o concessão de empréstimos em rsETH para evitar perdas adicionais. O impacto total na ecossistema é estimado em #KelpDAOBridgeHacked milhões, incluindo liquidações em cascata e oportunidades de arbitragem perdidas.

Importante, as posições de restaking subjacentes na EigenLayer não foram comprometidas. O hack afetou apenas a representação sintética do rsETH na L2s. No entanto, restabelecer a confiança exigirá que o KelpDAO recapitalize a ponte ou prove que todo o rsETH em circulação está totalmente colateralizado – uma tarefa difícil dado o buraco de (milhões.

Lições para Protocolos de DeFi e Utilizadores

O )incidente reforça várias verdades difíceis:

1. As pontes continuam a ser o elo mais fraco – Apesar de anos de auditorias e melhorias, a infraestrutura cross-chain é inerentemente arriscada. Cada cadeia adicional e relé aumenta a superfície de ataque.
2. A verificação do cliente leve não é trivial – A causa raiz aqui foi a ausência de uma verificação de ID da cadeia num validador de provas merkle. Tais negligências persistem mesmo em códigos auditados. Múltiplas auditorias independentes e verificação formal devem ser obrigatórias para qualquer ponte.
3. Planos de resposta de emergência são essenciais – A pausa rápida do KelpDAO salvou milhões, mas faltava uma salvaguarda como um disjuntor que automaticamente interrompesse padrões de cunhagem anormais. Monitorização on-chain com gatilhos automáticos poderia ter parado o ataque após as primeiras transações.
4. Os utilizadores devem diversificar – Manter grandes quantidades de ativos bridged em qualquer L2 é arriscado. Sempre que possível, use pontes canónicas (por exemplo, a ponte nativa do Arbitrum) ou mantenha fundos na mainnet. Se usar pontes de terceiros, limite a exposição e retire frequentemente.

O que acontece a seguir?

O KelpDAO anunciou um plano de recuperação que inclui:

· Uma captura de imagem de todos os detentores de rsETH bridged antes do incidente.
· Um token de remediação (rsETH-recover) que será distribuído por airdrop aos utilizadores afetados.
· Uma votação no tesouro para decidir se socializam a perda entre todos os stakeholders do KelpDAO ou procuram financiamento externo #KelpDAOBridgeHacked como um resgate de VC#KelpDAOBridgeHacked .

O protocolo também comprometeu-se a abrir o código de uma análise completa do incidente e contratar uma firma especializada em segurança de pontes para reconstruir a ponte do zero usando uma arquitetura baseada em ZK-rollup.

Quanto ao hacker, as autoridades já foram notificadas. No entanto, dado o caráter pseudónimo do DeFi, a recuperação é improvável a menos que o atacante devolva voluntariamente os fundos – uma ocorrência rara.

Pensamentos Finais

O evento é um lembrete sóbrio de que o futuro multi-chain do DeFi ainda está em maturação. Embora o produto de restaking principal do KelpDAO permaneça sólido, a falha na ponte causou danos reais aos utilizadores que confiaram na infraestrutura cross-chain do protocolo. Como setor, precisamos de melhores padrões, testes mais rigorosos e, talvez o mais importante, humildade sobre os limites da segurança atual dos contratos inteligentes.

Se és utilizador do KelpDAO, acompanha os canais oficiais para atualizações sobre o plano de recuperação. Evita interagir com contas de “suporte” não verificadas que alegam oferecer reembolsos – golpistas costumam surgir após tais incidentes. Mantém-te seguro e verifica sempre os endereços dos contratos de forma independente.

Aviso: Este post é apenas para fins informativos e não constitui aconselhamento financeiro. Sempre faz a tua própria pesquisa antes de interagir com qualquer protocolo de DeFi.