Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Depois de 300 milhões, mais 300 milhões. Ainda se atreve a guardar o dinheiro no mundo DeFi?
Autor: Jae, PANews
A indústria de criptomoedas de abril foi marcada por turbulências, logo após o roubo de 285 milhões de dólares na Drift, líder do DEX Perp na ecologia Solana, devido ao ataque do “Dia da Mentira”, o mercado mergulhou numa corrida de alta estilo bungee jump na moeda RAVE.
E justamente quando a RAVE começava a esfriar, o mercado DeFi enfrentou um golpe duro com o ataque hacker ao principal protocolo de LRT (recolocação de liquidez) na Ethereum, o KelpDAO.
Em 18 de abril, o KelpDAO foi vítima de um ataque explorando uma vulnerabilidade na ponte cross-chain baseada em LayerZero, com aproximadamente 116.500 rsETH sendo extraídos ilegalmente, resultando numa perda de até 292 milhões de dólares, maior que o incidente na Drift, tornando-se o maior evento de segurança on-chain de 2026 até agora.
Os hackers não comprometeram o contrato de staking principal, nem tiveram vazamento de chaves privadas, mas uma pequena fissura na validação cross-chain foi suficiente para desencadear um risco sistêmico no DeFi.
Quando o efeito de re-staking alavancado se soma à ambição de expansão multi-chain, após três anos de corrida por “retornos”, o DeFi enfrenta novamente a questão de “lucro acima de tudo” ou “segurança acima de tudo”.
A vulnerabilidade na validação de ponto único desencadeou a crise do LRT, com o roubo de quase 3 bilhões de dólares do KelpDAO
O protagonista do roubo, o KelpDAO, foi uma estrela no setor de LRT.
Sua lógica de negócio atingiu precisamente uma dor de mercado, criando um modelo “um peixe, três usos”. Os usuários encapsulam ativos como stETH, rETH e outros LST (tokens de staking líquido) em rsETH, mantendo os rendimentos básicos do ETH, além de ganhar recompensas de re-staking via EigenLayer, e podem usar rsETH para navegar por diversos cenários de empréstimos e mineração em DeFi.
Para conquistar participação de mercado, o KelpDAO expandiu agressivamente para 16 blockchains, e o rsETH, com alta rentabilidade e liquidez, tornou-se um ativo de garantia padrão em Layer 2 e Aave, integrando-se profundamente ao ecossistema DeFi da Ethereum.
Essa arquitetura multi-chain depende fortemente do protocolo de comunicação cross-chain fornecido pelo LayerZero, que se tornou o epicentro do desastre.
Em 20 de abril, o LayerZero publicou uma análise do incidente, afirmando que o KelpDAO foi atacado, com uma perda de cerca de 290 milhões de dólares. Indícios preliminares sugerem que o ataque pode ter sido realizado por um ator estatal altamente sofisticado, possivelmente o grupo Lazarus da Coreia do Norte, mais especificamente o TraderTraitor. Como o KelpDAO usa uma configuração de assinatura única, o incidente afetou apenas sua configuração de rsETH, sem impactar outros ativos ou aplicações cross-chain.
Ao mesmo tempo, o LayerZero admitiu que o KelpDAO utilizou apenas uma configuração de DVN 1/1, apresentando um “risco de ponto único”, e está entrando em contato com todas as aplicações que usam essa configuração para migrar para uma configuração multi-assinatura com redundância. Contudo, o LayerZero não havia exigido anteriormente que o KelpDAO fizesse essa mudança, o que também coloca a responsabilidade sobre eles.
Os hackers direcionaram uma sabotagem específica na infraestrutura downstream do LayerZero, invadindo dois nós independentes, fazendo com que o DVN confirmasse transações que nunca ocorreram.
De acordo com o LayerZero, os hackers obtiveram a lista de RPCs usados pelo DVN da LayerZero Labs, invadiram dois nós independentes e substituíram o arquivo binário op-geth, além de lançar ataques DDoS nos RPCs não infectados, acionando uma transferência de falhas que fez o DVN confirmar transações inexistentes.
Resumindo, os hackers “ativaram do nada” a permissão de retirada do rsETH.
Mais assustador ainda, se o mecanismo de blacklist de emergência não tivesse sido acionado nos últimos 3 minutos, os hackers poderiam ter levado mais 100 milhões de dólares, fazendo a perda total ultrapassar 400 milhões de dólares.
Este incidente tinha sinais prévios.
A rota de ataque dos hackers aponta para uma vulnerabilidade comum na indústria: a fragilidade do mecanismo de validação do protocolo.
Na busca frenética por eficiência cross-chain, o KelpDAO ignorou o problema de validação de ponto único, que acabou se tornando a brecha para os hackers.
Este não foi o primeiro problema de segurança do KelpDAO. Em maio do ano passado, uma atualização de contrato com erro de escala de unidades criou 31,2 quintilhões (cinquenta milhões de bilhões) de rsETH. Embora tenham destruído esses tokens a tempo, a falha já tinha exposto vulnerabilidades na segurança.
A competição na corrida de re-staking intensificou a pressão por segurança. Para expandir continuamente, o KelpDAO adicionou novos ativos LST e novas redes L2, mas cada nova cadeia ou ativo aumenta exponencialmente a superfície de ataque.
Especialistas de DeFi apontam que o custo de aquisição de TVL em L2 deve subir ainda mais, com grande parte do TVL retornando ao L1.
A “double-edged sword” da expansão multi-chain, que no final se transforma numa lâmina que perfura tanto o protocolo quanto todo o ecossistema DeFi.
Aave sofre com rsETH envenenado, com 200 milhões de dólares em inadimplência e uma fuga de capital de 6,6 bilhões
DeFi é como blocos de Lego: uma peça quebrada, o todo desmorona.
Após obter rsETH ilegal, os hackers não venderam imediatamente na DEX, mas adotaram uma estratégia de “envenenamento de ativos”: depositaram rsETH como garantia de alta qualidade na Aave, para obter ativos líquidos de alta liquidez.
Aave V3/V4 aceita rsETH como garantia qualificada na Ethereum e Arbitrum. Os hackers depositaram rsETH, emprestando grandes quantidades de WETH, USDC e USDT, transformando ativos ilegais em inadimplência do protocolo.
Segundo estimativas da Chaos Labs, o valor de inadimplência enfrentado pela Aave pode ultrapassar 200 milhões de dólares, muito além do esperado.
Após a notícia, o token AAVE caiu cerca de 18%.
Desde o final do ano passado, a Aave parece estar em uma fase de “reversão severa”. Depois de uma série de crises de governança e de uma fuga de provedores de serviços, agora, por estar ligada ao mercado de rsETH, tornou-se uma das principais saídas de liquidez para hackers.
Uma cena revelada por dados on-chain agrav