KelpDAO foi roubado, alertando para os perigos de segurança na DeFi O que isso nos ensina

Shaw.ai, Finanças Douradas

18 de abril, o mundo das criptomoedas enfrentou o mais grave incidente de segurança em finanças descentralizadas (DeFi) desde 2026 — o ataque hacker à ponte cross-chain do rsETH da KelpDAO, que resultou no roubo de aproximadamente 116.500 rsETH em poucas horas, avaliado na altura em cerca de 290 milhões de dólares, o que equivale a 18% da oferta total de rsETH. Este ataque não só colocou a KelpDAO em crise, mas também provocou um pânico de liquidez em todo o setor DeFi, levando até as principais plataformas de empréstimo, como a Aave, a serem diretamente afetadas, com mais de 9 bilhões de dólares em depósitos sendo retirados urgentemente, sendo considerado uma crise de segurança de nível “tsunami financeiro”.

Muitas pessoas podem não estar familiarizadas com termos como “ponte cross-chain”, “rsETH” ou “corrida de liquidez”. Não se preocupe, vamos usar uma linguagem simples, passo a passo, para reconstruir todo o processo do ataque hacker, além de discutir as últimas novidades do incidente e as questões mais importantes para vocês.

1. Primeiro, entenda 3 conceitos-chave para compreender o evento facilmente

Antes de falar do processo de ataque, é importante esclarecer 3 termos centrais, para evitar confusões:

• rsETH: Simplificando, é um “token derivado do ETH”. Sabemos que ETH (Ethereum) pode ser “staked” para ganhar juros, mas ao fazer staking, o capital fica bloqueado e não pode ser usado a qualquer momento. O rsETH é um token que “embala” o ETH staked; possuir rsETH equivale a ter propriedade sobre esses ETH staked, podendo ganhar juros, negociar ou fazer collateral a qualquer momento, como um “cupom de troca de ETH por staking”.

• Ponte cross-chain: Diferentes blockchains (como Ethereum, BSC) são como “bancos” distintos, e a ponte cross-chain é como uma “ponte de transferência” que conecta esses “bancos”, permitindo que tokens como o rsETH sejam transferidos entre diferentes blockchains. Neste caso, o ataque ocorreu na ponte cross-chain de rsETH construída na plataforma LayerZero pela KelpDAO.

• Módulo DVN do LayerZero: Pode ser entendido como o “inspetor de segurança” da ponte cross-chain, responsável por verificar a autenticidade das transações entre blockchains — por exemplo, confirmar que você realmente transferiu tokens na cadeia A antes de liberar os tokens correspondentes na cadeia B. Normalmente, para segurança, há múltiplos “inspetores” (validadores múltiplos), mas a KelpDAO configurou apenas 1 “inspetor” (um único validador), o que deu margem para os hackers explorarem.

2. Processo completo do ataque hacker: 3 passos para roubar 290 milhões de dólares, uma operação “modelo de ensino”

O ataque foi extremamente discreto e eficiente, concluído em menos de uma hora, com passos claros, altamente direcionados, divididos em 3 etapas:

Primeira etapa: explorar vulnerabilidade, “criar dinheiro do nada”

Os hackers identificaram precisamente uma vulnerabilidade fatal na ponte cross-chain da KelpDAO — a dependência de um único validador DVN do LayerZero. Normalmente, a emissão de rsETH na ponte exige uma ETH real como garantia, mas os hackers, usando técnicas específicas, falsificaram as mensagens de validação da transação cross-chain, enganando o único “inspetor”.

Mais especificamente, os hackers invadiram previamente os nós RPC dependentes do DVN do LayerZero, substituindo o software do nó, além de realizar ataques DDoS para derrubar os nós legítimos, forçando o “inspetor” a confiar em nós comprometidos. Assim, eles conseguiram “criar do nada” 116.500 rsETH na rede principal do Ethereum, sem qualquer garantia real — como se tivessem um “cupom de troca de ETH por staking” falso, enganando todos.

Segunda etapa: usar empréstimos, “transformar falso em verdadeiro”

Com esses “rsETH falsificados”, os hackers não venderam imediatamente (para evitar detecção), mas optaram por uma estratégia mais oculta de monetização — colocando esses tokens como garantia em plataformas de empréstimo principais, como Aave e Compound, em 9 protocolos diferentes, principalmente na versão Aave v3. Assim, usaram esses “falsos rsETH” como colateral para emprestar uma grande quantidade de WETH (token embrulhado do ETH, com valor equivalente ao ETH), como se estivessem trocando “falsos tokens” por dinheiro de verdade.

Terceira etapa: gerar pânico, provocar corrida de liquidez

A velocidade do ataque foi impressionante: uma grande quantidade de rsETH falsa foi colocada como garantia, enquanto uma enorme quantidade de WETH foi emprestada, levando a uma liquidez quase zerada no mercado de WETH na Aave v3, com a taxa de utilização atingindo 100% — ou seja, o WETH na Aave foi completamente emprestado, e usuários comuns não conseguiam sacar.

Quando a notícia se espalhou, o mercado entrou em pânico: todos temiam que a Aave enfrentasse uma enorme inadimplência por causa das “garantias falsas”, colocando em risco seus depósitos. Assim, uma grande “corrida de liquidez” começou — não só no mercado de WETH, mas também em stablecoins como USDC e USDT, com investidores retirando fundos freneticamente. Em 48 horas, mais de 9 bilhões de dólares foram retirados da Aave, e o total de fundos no setor DeFi encolheu em 13,2 bilhões de dólares.

Vale destacar que, cerca de 46 minutos após o ataque, a KelpDAO detectou anomalias, pausou emergencialmente as funções relacionadas ao rsETH, impedindo que os hackers continuassem, o que poderia ter causado perdas ainda maiores. A operação também é atribuída ao grupo Lazarus, da Coreia do Norte, com sinais claros de uma operação altamente profissional.

3. Últimas novidades do incidente: ações emergenciais, o problema de inadimplência ainda sem solução

Após o ataque, KelpDAO, LayerZero, Aave e outros envolvidos agiram rapidamente. Até 23 de abril, as atualizações mais recentes são:

1. KelpDAO: pausou emergencialmente os contratos relacionados ao rsETH na mainnet e em várias redes L2, colaborou com LayerZero, auditorias e especialistas em segurança para uma investigação completa, ainda em andamento para entender os detalhes das perdas e buscar soluções para as inadimplências.

2. LayerZero: afirmou que o ataque não foi uma falha do protocolo, mas uma configuração incorreta de “um único DVN”. Eles já desativaram os nós RPC afetados, substituíram por novos, e estão pedindo que projetos que usam “um único validador” atualizem para “múltiplos validadores”, além de colaborar com autoridades globais para rastrear os fundos dos hackers.

3. Aave: congelou imediatamente o mercado de colateral de rsETH para evitar maiores inadimplências. Em 21 de abril, anunciou que o estoque de WETH no mercado Ethereum Core V3 foi desbloqueado, permitindo que usuários forneçam WETH novamente, embora o LTV (relação de empréstimo a valor) continue em 0 — ou seja, não é possível usar WETH como garantia por enquanto. Os estoques de WETH em outras redes, como Ethereum Prime e Arbitrum, permanecem congelados, com planos de reativação gradual.

4. Impacto na indústria: o incidente provocou uma reflexão geral sobre a segurança de pontes cross-chain e riscos de tokens de re-staking (LRT). Muitos protocolos de empréstimo começaram a restringir a entrada de garantias, removendo tokens LRT de baixa utilização, para evitar riscos semelhantes. Além disso, várias agências de segurança de criptomoedas publicaram guias de segurança para pontes, recomendando inspeções completas de “verificação única” e “segurança de nós”, enquanto projetos líderes iniciaram atualizações de segurança, adicionando múltiplos nós de validação e reforçando a proteção contra ataques DDoS e manipulação de nós.

5. Rastreamento dos fundos dos hackers: até 23 de abril, dados na blockchain mostram que cerca de 30% dos 116.500 rsETH roubados foram convertidos em WETH e USDC, parte foi transferida por DEXs (trocas descentralizadas), e cerca de 20% foi enviada para carteiras de privacidade, dificultando o rastreamento. Contudo, autoridades já identificaram alguns endereços relacionados aos hackers, com parte dos fundos sendo transferida para exchanges reguladas, que estão colaborando na congelamento e investigação, com atualizações contínuas.

6. Reparação aos usuários: em 22 de abril, a comunidade da KelpDAO anunciou que priorizará a proteção dos usuários comuns, identificando os detentores de rsETH e perdas, planejando compensar parcialmente por meio de “subsídios do tesouro comunitário + seguros de terceiros”. Ainda não há detalhes sobre proporções ou prazos de pagamento, que serão divulgados após auditoria. A Aave afirmou que os inadimplentes não serão responsabilizados pelos depósitos normais, que serão cobertos por fundos de risco da plataforma e responsáveis envolvidos.

7. As principais dúvidas, esclarecidas de uma vez

Após o incidente, muitos investidores e usuários de criptomoedas têm dúvidas comuns. Aqui estão as 5 perguntas mais frequentes, com respostas simples:

1. Por que os hackers conseguiram sucesso? Qual foi a causa principal?

A causa principal foi a “falha de segurança na configuração” da KelpDAO — eles confiaram toda a segurança da ponte cross-chain a um “inspetor” único (um validador DVN). O LayerZero já havia alertado que esse tipo de configuração é extremamente arriscada, mas a KelpDAO não deu atenção. Os hackers exploraram essa vulnerabilidade, manipulando nós e falsificando mensagens de validação, criando “moedas sem garantia” — uma falha de confiança em ponto único, não uma vulnerabilidade no código em si.

2. Os 290 milhões de dólares roubados podem ser recuperados?

Muito difícil, mas não impossível. LayerZero e autoridades estão tentando rastrear os fundos, mesmo com ferramentas de privacidade usadas pelos hackers. Os rastros na blockchain são permanentes, mas, dado o nível de profissionalismo (suspeita-se de grupo APT), e a possibilidade de fundos terem sido transferidos para outros endereços, a recuperação total ainda é incerta.

3. Os fundos dos usuários comuns serão afetados?

Depende: ① Se você apenas depositou em plataformas como Aave, sem fazer collateral com rsETH, seus fundos estão seguros — Aave já pausou operações e deve retomar gradualmente. ② Se você possui rsETH ou usou como garantia, pode sofrer perdas, dependendo das ações futuras da KelpDAO para lidar com inadimplências.

4. Como esse ataque difere de outros ataques a pontes cross-chain?

A maior diferença é o “efeito dominó”. Ataques anteriores geralmente afetaram apenas um projeto, mas desta vez, por causa do uso de rsETH como garantia em múltiplos protocolos, a operação do hacker provocou uma corrida de liquidez que atingiu toda a indústria, causando maior impacto na confiança. Além disso, a combinação de “configuração incorreta + invasão de infraestrutura” foi mais sofisticada do que apenas roubo de chaves ou vulnerabilidades de código.

5. Quais mudanças o setor DeFi deve esperar no futuro?

A mudança mais óbvia será a “elevação dos padrões de segurança” — pontes cross-chain provavelmente passarão a exigir “múltiplos validadores” obrigatoriamente, para evitar pontos únicos de falha. Protocolos de empréstimo vão reforçar a análise de garantias, especialmente para tokens derivados como LRT. Além disso, pode haver maior adoção de “mecanismos automáticos de interrupção” (circuit breakers) que pausam operações suspeitas, para evitar perdas maiores, tornando a gestão de riscos do DeFi mais robusta.

5. Conclusão: um alerta para toda a indústria

Este ataque de 290 milhões de dólares é uma tragédia causada por “confiança excessiva” e “falhas de segurança” — a KelpDAO negligenciou recomendações de segurança do LayerZero, adotando uma configuração de alto risco com um único validador, o que deu margem para os hackers. A cadeia de eventos também revelou vulnerabilidades na estrutura “lego” do DeFi: um problema em um elo pode afetar toda a cadeia.

Para os usuários comuns, é um lembrete importante: investir em criptomoedas envolve riscos. Ao escolher projetos, não olhe só para os lucros, mas também para a segurança e gestão de riscos, para evitar que negligências de terceiros prejudiquem seus fundos.

As ações de resposta ainda estão em andamento: como dividir as inadimplências, melhorar a segurança das pontes cross-chain, e implementar planos de compensação aos usuários continuam sendo prioridades. Além disso, o incidente está acelerando a atenção regulatória, com alguns países prometendo regulamentar as pontes e tokens de re-staking, para evitar riscos sistêmicos. Seguiremos atentos às novidades e traremos as atualizações mais recentes.