#加密市场行情震荡rsETH ATUALIZAÇÃO DO ATAQUE COMO UMA MENSAGEM FALSIFICADA QUE QUEBROU $10 BILHÕES EM DEFI

O ATAQUE QUE MUDOU A DEFI PARA SEMPRE

Exatamente às 17h35 UTC de 18 de abril de 2026, uma única mensagem falsificada entre cadeias desencadeou o maior exploit de DeFi do ano. A ponte rsETH alimentada pelo LayerZero da KelpDAO foi esvaziada de 116.500 rsETH, aproximadamente $292 milhões em questão de minutos. Nenhum contrato inteligente foi quebrado. Nenhum código Solidity foi explorado. Todo o ataque ocorreu na camada invisível entre blockchains, na infraestrutura de verificação off-chain na qual a DeFi confiou silenciosamente sem compreender totalmente sua vulnerabilidade. Quando a poeira assentou 24 horas depois, o valor total bloqueado em DeFi caiu de $99,5 bilhões para $85,21 bilhões, uma destruição de valor de $14 bilhões por um único exploit. Esta é a atualização do ataque ao rsETH que todos os participantes de DeFi precisam entender completamente.

O QUE É KELPDAO E POR QUE ISSO IMPORTA

KelpDAO é um protocolo de restaking líquido construído sobre Ethereum e EigenLayer. Os usuários depositam ETH, o protocolo o encaminha através da infraestrutura de restaking do EigenLayer para ganhar rendimento adicional além das recompensas de staking padrão, e emite rsETH, um token de recibo negociável que representa a posição de restake mais as recompensas acumuladas. Em abril de 2026, o rsETH tinha ultrapassado $1 bilhões em valor total bloqueado e foi integrado como garantia na maioria dos principais mercados de empréstimo e plataformas de rendimento em DeFi. O rsETH estava ativo em mais de 20 redes blockchain, incluindo Arbitrum, Base, Linea, Mantle, Blast e Scroll, usando o padrão OFT do LayerZero para mover-se entre cadeias. A ponte que foi esvaziada continha as reservas que sustentavam todos esses tokens rsETH embrulhados em todas as implantações Layer 2. Quando essa ponte foi esvaziada, 18% de toda a oferta circulante de rsETH tornou-se não garantida simultaneamente em mais de 20 cadeias.

COMO O ATAQUE FOI EXECUTADO A ANÁLISE TÉCNICA

O ataque não foi uma invasão por contrato inteligente. Cada transação na cadeia parecia completamente válida. As assinaturas foram verificadas. As mensagens estavam corretamente formatadas. A exploração foi contra a camada de infraestrutura off-chain — especificamente a Rede de Verificadores Descentralizados do LayerZero, o sistema que confirma se as mensagens entre cadeias são legítimas antes de a cadeia de destino agir sobre elas.

A ponte rsETH da KelpDAO usava uma configuração DVN 1-de-1. Isso significava que apenas uma entidade, o DVN do LayerZero Labs, precisava verificar e aprovar mensagens entre cadeias. Sem segundo verificador, sem confirmação independente, sem redundância. Um verificador. Um ponto de falha.

O Lazarus Group, unidade de hacking patrocinada pelo Estado da Coreia do Norte, identificou essa vulnerabilidade e executou um ataque de infraestrutura em três partes. Primeiro, comprometeram dois nós RPC internos que alimentavam os dados de mercado para o verificador do LayerZero, envenenando o feed de dados com informações falsas. Segundo, lançaram um ataque DDoS contra os nós de backup limpos, forçando o sistema a falhar para a infraestrutura já comprometida. Terceiro, com o verificador agora operando inteiramente em nós envenenados, injetaram uma nonce de mensagem falsificada do LayerZero, nonce 308, que informou ao contrato da ponte Ethereum que uma queima válida havia ocorrido na cadeia de origem, acionando a liberação de 116.500 rsETH para uma carteira controlada pelo atacante. Toda a operação usou carteiras pré-financiadas obtidas via Tornado Cash aproximadamente 10 horas antes do ataque, confirmando que foi uma operação planejada de nível estatal e não uma exploração oportunista.

Em poucos minutos, o atacante depositou o rsETH roubado como garantia na Aave e tomou emprestado mais de $236 milhões em WETH contra ele, usando tokens não garantidos como garantia para um empréstimo real. O roubo de $292 milhões transformou-se em uma extração de $236 milhões em WETH antes que a maioria dos usuários percebesse que algo havia acontecido.

A RESPOSTA DE 46 MINUTOS QUE SALVOU $100 MILHÕES

A equipe de resposta de emergência da KelpDAO identificou o ataque e ativou o multisig de pausa de emergência às 18h21 UTC, exatamente 46 minutos após o esvaziamento inicial. A pausa em todo o protocolo congelou depósitos, retiradas e o token rsETH em toda a mainnet e todas as implantações Layer 2. Às 18h26 e 18h28 UTC, duas tentativas de esvaziamento subsequentes pelo atacante, cada uma visando aproximadamente 40.000 rsETH, ambas foram revertidas contra os contratos congelados. A janela de resposta de 46 minutos é a diferença entre um exploit de $100 milhões e uma catástrofe de $292 milhões. A ação rápida da equipe de emergência da KelpDAO é a única razão pela qual o dano não foi quase o dobro.

A CONTAMINAÇÃO QUE SE ESPALHOU PELA DEFI

Os danos subsequentes avançaram mais rápido do que qualquer pausa de emergência poderia conter. Aave, o maior protocolo de empréstimo em DeFi com mais de $492 bilhões em valor total bloqueado, congelou os mercados de rsETH em V3 e V4 em poucas horas. A utilização de ETH na Aave atingiu brevemente 100% enquanto os usuários tentavam retirar fundos. O token AAVE caiu aproximadamente 10-20% à medida que os traders precificavam uma possível exposição a dívidas ruins. SparkLend e Fluid também congelaram seus mercados de rsETH. A Lido Finance pausou depósitos em seu produto earnETH devido à exposição ao rsETH. A Ethena pausou temporariamente suas pontes LayerZero OFT do Ethereum mainnet como medida de precaução. O TVL total em DeFi caiu de $99,5 bilhões para $85,21 bilhões em um único dia, $20 bilhões apagados de todo o ecossistema por um exploit em uma única ponte.
A análise de incidente da Aave revelou que o exploit criou garantias não garantidas usadas para emprestar aproximadamente $14 milhões, deixando o protocolo vulnerável a dívidas ruins entre $190 milhões e $123 milhões, dependendo de como a KelpDAO aloca a insuficiência entre os detentores de rsETH.

A ATRIBUIÇÃO DO GRUPO LAZARUS

Este não foi um hack aleatório. A LayerZero atribuiu formalmente o ataque ao Lazarus Group, unidade de hacking patrocinada pelo Estado da Coreia do Norte, a mesma vinculada ao exploit Drift de $230 milhões em 1 de abril de 2026, e a dezenas de roubos anteriores de bilhões de dólares ao longo de vários anos. O Lazarus Group é a operação de hacking de criptomoedas mais prolífica e tecnicamente sofisticada do mundo, e sua participação em dois dos três maiores exploits de DeFi de 2026 em 18 dias confirma uma campanha sistemática e coordenada visando a infraestrutura de DeFi na camada de infraestrutura, e não na camada de contratos.

A CONGELAÇÃO DE EMERGÊNCIA DO ARBITRUM UMA INTERVENÇÃO SEM PRECEDENTES

Em 21 de abril de 2026, três dias após o exploit, o Conselho de Segurança do Arbitrum executou a intervenção de emergência mais significativa na história Layer 2. O conselho de 12 membros, operando sob um multisig de 9 de 12, confiscou 30.766 ETH do endereço do atacante no Arbitrum One e transferiu para uma carteira intermediária congelada. A transferência foi concluída às 23h26 ET de 21 de abril. Esses fundos não podem ser movimentados novamente sem uma votação formal de governança do Arbitrum. A intervenção recuperou aproximadamente $71,15 milhões, cerca de 29% do ETH que o atacante havia acumulado no Arbitrum. Os restantes 75.701 ETH, avaliados em aproximadamente $285 milhões na Ethereum mainnet, já haviam sido movidos e estavam sendo lavados através do Thorchain e outras ferramentas de privacidade antes que a extensão do freeze pudesse ocorrer.

O freeze gerou debate imediato sobre descentralização. Se um conselho de 12 pessoas pode congelar ativos no Arbitrum, o que isso significa para a garantia de propriedade permissionless que a Layer 2 promete? Os apoiantes chamaram de defesa do DeFi contra crimes patrocinados pelo Estado. Os críticos disseram que isso prova que o Arbitrum é, no final, uma carteira multisig com poder de sobrepor o controle de ativos pelos usuários.

A GUERRA DE CULPAS ENTRE LAYERZERO E KELPDAO

O período pós-exploit gerou uma disputa pública completa entre LayerZero e KelpDAO sobre quem é responsável. A LayerZero publicou um relatório final afirmando que a KelpDAO escolheu uma configuração DVN 1-de-1, apesar de recomendações explícitas para adotar redundância de múltiplos verificadores, e anunciou que imediatamente deixaria de assinar mensagens para qualquer aplicação com configuração de verificador único, forçando uma migração ampla em todas as integrações LayerZero.

A KelpDAO respondeu, alegando que a configuração 1-de-1 era a configuração padrão fornecida pela LayerZero para novos deployments, que a própria documentação e o código de implantação pública da LayerZero promovem verificação de fonte única, e que a infraestrutura comprometida, os nós RPC e os servidores DVN, foi construída e operada inteiramente pela LayerZero, não pela Kelp. Pesquisadores de segurança apoiaram parcialmente a Kelp, com o desenvolvedor proeminente banteg publicando uma análise técnica confirmando que o código de implantação de referência da LayerZero vem com verificação de fonte única como padrão nas principais cadeias.

O resultado é um impasse de divisão de danos, sem uma resolução clara. Ambas as partes prometeram relatórios completos de causa raiz. A questão mais profunda de se todas as outras aplicações OFT 1-de-1 atualmente em execução na LayerZero estão expostas ao mesmo tipo de ataque permanece sem resposta.

O QUE ISTO SIGNIFICA PARA O DEFI NO FUTURO

O exploit da KelpDAO não é apenas mais um hack. É um evento que define uma categoria, expondo uma vulnerabilidade estrutural em todo o ecossistema cross-chain de DeFi. O ataque pertence à mesma família histórica das falhas das pontes Ronin e Nomad, onde pontos de verificação centralizados se tornaram alvos de alto valor. Mas vai além, porque os contratos na cadeia nunca foram tocados. Cada transação na cadeia era válida. A falha estava na infraestrutura off-chain invisível que a DeFi tratou como um problema resolvido há anos.

As lições são claras e imediatas. Configurações de múltiplos verificadores DVN são agora obrigatórias para qualquer ponte que detenha valor significativo. Auditorias de configuração que revisam as configurações de implantação, não apenas o código do contrato inteligente, devem se tornar prática padrão. Monitoramento de invariantes entre cadeias, que verifica continuamente se os tokens liberados na cadeia de destino correspondem aos tokens queimados na cadeia de origem, é o novo padrão mínimo de segurança para pontes. E a questão de como a DeFi lida com operações de hacking patrocinadas por estados, com os recursos e paciência de um governo nacional, ainda não tem uma resposta clara.

O roubo de $175 milhões. A destruição de $292 bilhões em TVL. Os potenciais dívidas ruins de $14 milhões na Aave. Os 30.766 ETH congelados pelo Arbitrum. A atribuição ao Lazarus Group. Tudo aponta para uma única conclusão: a camada de infraestrutura cross-chain do DeFi é a superfície mais desprotegida de todo o ecossistema, e os hackers mais sofisticados do mundo identificaram esse fato e estão explorando-o sistematicamente.

O ataque ao rsETH não é um aviso. É um veredicto. Corrija a camada de infraestrutura, ou perca tudo o que está acima dela.

$230