Acabou de entender o que aconteceu com o Kelp DAO há uma semana, e honestamente, esta é uma das histórias mais brutais do DeFi em todo 2026. Em 46 minutos, 293 milhões de dólares evaporaram da ecossistema. Não foi um erro de código, nem uma vulnerabilidade de contrato inteligente — foi um erro de configuração que se tornou uma crise sistêmica.

Aqui está o que aconteceu: um atacante usou a ponte cross-chain Kelp na LayerZero com uma configuração DVN 1 de 1. Basicamente, toda a validação de mensagens entre cadeias dependia de um único nó. Ao comprometer ou enganar esse nó, o atacante enviou uma mensagem falsificada, alegando confirmar o bloqueio de ativos. A ponte emitiu 116.500 rsETH ( aproximadamente 18% de toda a oferta circulante) para o endereço do atacante — sem bloquear o ETH real na cadeia de origem. Os tokens foram literalmente criados do nada.

Depois, a situação piorou ainda mais. Em vez de vender os tokens no mercado, o atacante depositou rsETH não garantido na Aave V3 como garantia, tomou emprestado 236 milhões de dólares em WETH real, e depois repetiu a manobra na Aave V4. Quando o Kelp DAO congelou os contratos (18:21 UTC), os ativos reais já estavam sendo drenados. Duas tentativas de sacar mais 100 milhões — ambas bloqueadas, mas o primeiro golpe já causou um efeito cascata no DeFi.

Aave ficou presa. Quando o Kelp parou o rsETH, todas as posições de empréstimo garantidas por esse ativo tornaram-se impossíveis de liquidar. Aave ficou com 196 milhões de dólares em dívida sem esperança. O pool de WETH atingiu 100% de utilização — alguns usuários temporariamente não puderam retirar seus fundos. O pânico se espalhou instantaneamente: saques na Aave totalizaram 5,4 bilhões de dólares em poucas horas. O TVL caiu de mais de 26 bilhões para 22 bilhões — uma perda de 6,6 bilhões em um dia. O token AAVE caiu 20% em 24 horas (agora é negociado por cerca de $95,54).

O mais assustador é que não foi uma falha do LayerZero. Foi uma escolha do Kelp DAO usar uma configuração centralizada, que o protocolo permite, mas que cria um ponto único de falha perigoso. Mikhail Egorov, fundador do Curve Finance, disse diretamente: quando você confia em uma única parte, tudo é possível.

A infecção se espalhou para pelo menos nove plataformas: SparkLend, Fluid, Lido (parou seu produto EarnETH), Compound V3, Euler e outros. Até a Ethena temporariamente suspendeu suas pontes LayerZero como medida de precaução, embora sem impacto direto.

Dinheiro? Quase certamente perdido. O atacante já lavou os fundos via Tornado Cash, distribuindo ETH por várias carteiras. Justin Sun, da Tron, ofereceu-se para "conversar" com o atacante, mas parece mais uma encenação — a investigação já está fria.

O que isso significa para o setor? rsETH era considerado um ativo confiável, correlacionado com ETH. Uma suposição implícita: tokens de staking líquidos eram tão seguros quanto o ativo base. Essa suposição caiu por terra. O Kelp DAO fica com um ativo que não pode ser realmente vendido, e a Aave com ETH emprestado ao máximo que ninguém consegue retirar.

Espera-se que a indústria responda com requisitos obrigatórios de múltiplos DVN para pontes e padrões mais rígidos para protocolos de crédito. Mas, por enquanto, o rsETH em mais de 20 cadeias permanece em um estado de suporte incerto, até que o Kelp publique uma verificação de reservas confiável.

Este não é o primeiro grande hack do ano. Em março, a Resolv Labs perdeu 80 milhões, em 1 de abril, o Drift Protocol perdeu 285 milhões (posteriormente relacionado a atores norte-coreanos). CoW Swap, Zerion, Rhea Finance — tudo em abril. As perdas totais do DeFi em 2026 já ultrapassam 450 milhões de dólares, envolvendo cerca de 45 protocolos. O chefe de segurança da Ledger afirma que este provavelmente será o pior ano para invasões.

Para os investidores, a lição principal: a composabilidade do DeFi funciona de duas formas. O que torna o ecossistema poderoso — a interconectividade — também o torna o canal mais rápido de infecção. Uma vulnerabilidade em um protocolo se torna um evento sistêmico em minutos. Se você possui rsETH ou posições em protocolos de empréstimo, acompanhe atentamente os anúncios oficiais. Evite decisões de pânico com informações incompletas, mas também não ignore o risco de liquidez, mesmo em plataformas "seguras".

Este é um lembrete severo: no DeFi, confiança não é apenas tecnologia, é arquitetura. E a arquitetura do Kelp DAO mostrou-se vulnerável não por causa do código, mas por causa da escolha de configuração.