#rsETH攻击事件后续进展 O evento de roubo da ponte cross-chain rsETH da Kelp DAO é o maior incidente de segurança DeFi desde 2026, causando uma perda de aproximadamente 292 milhões de dólares em ativos.

O ataque ocorreu por volta das 17h35 UTC de 18 de abril de 2026, quando hackers exploraram uma vulnerabilidade na configuração da ponte cross-chain baseada em LayerZero da Kelp DAO (que utiliza uma configuração de nó de validação descentralizado 1/1), falsificando mensagens cross-chain e criando do nada cerca de 116.500 tokens rsETH sem respaldo de ativos reais na rede principal do Ethereum.

Esses “ativos de ar” foram rapidamente depositados em protocolos de empréstimo mainstream como Aave, Compound, Euler, como garantia, emprestando cerca de 236 milhões de dólares em WETH/ETH reais, sendo que a Aave enfrenta um risco potencial de inadimplência de até 177 a 196 milhões de dólares.

A Kelp DAO, aproximadamente 46 minutos após o incidente, suspendeu emergencialmente os contratos de rsETH na rede principal e em várias redes Layer2, impedindo tentativas adicionais de ataque. Mas o pânico no mercado se espalhou rapidamente, com o TVL da Aave caindo de 26,4 bilhões de dólares para 18 bilhões em 24 horas, uma queda de 32%, e o preço do token AAVE caiu cerca de 18%.

Este incidente revelou o risco sistêmico no ecossistema DeFi de “ponte cross-chain + derivativos de re-pledge”: uma vulnerabilidade em um elo pode se propagar por meio da composabilidade para múltiplos protocolos, causando um efeito dominó. Apesar do LayerZero recomendar o uso de uma configuração de DVN de pelo menos 2-de-3, a Kelp DAO optou por um modo de validação de ponto único de risco extremo 1-de-1, sendo criticada como “usar uma trava para proteger um cofre bancário”.

Atualmente, a Kelp DAO e o LayerZero estão em disputa sobre a responsabilidade, enquanto o hacker ainda mantém aproximadamente 175 milhões de dólares em ETH na cadeia Ethereum.