KelpDAO sofre impacto de hacking: Como a Aave bloqueou 80% de 200 milhões de dólares em dívidas incobráveis

18 de abril de 2026 UTC às 17:35, os atacantes aproveitaram a ponte cross-chain rsETH baseada em LayerZero do KelpDAO, roubando cerca de 116.500 rsETH em aproximadamente 46 minutos, avaliada em cerca de 292 milhões de dólares. A falha fatal do ataque foi que os hackers não venderam esses ativos airdropped diretamente no mercado secundário — a liquidez do rsETH não suportava grandes vendas — mas os usaram como garantia em protocolos de empréstimo mainstream como Aave V3, Compound V3 e Euler, emprestando cerca de 236 milhões de dólares em WETH/ETH reais.

A origem do ataque não foi uma vulnerabilidade tradicional de código de contratos inteligentes, mas uma configuração incorreta na camada de parâmetros de implantação. O KelpDAO adotou uma configuração DVN (rede de validação descentralizada) 1/1 na solução cross-chain LayerZero V2 — apenas um nó de validação precisava confirmar para liberar mensagens cross-chain. Quando esse nó DVN foi comprometido, os atacantes obtiveram a capacidade de falsificar qualquer mensagem cross-chain, realizando uma “emissão de moeda do nada”. Ainda mais preocupante, segundo dados do Dune Analytics, 47% das aplicações LayerZero OApp na época utilizavam a mesma configuração DVN 1/1, envolvendo ativos superiores a 4,5 bilhões de dólares. Isso significa que o incidente do KelpDAO não revela um problema isolado de um projeto, mas uma vulnerabilidade estrutural que atravessa toda a infraestrutura cross-chain.

Como funciona a cadeia de transmissão do collateral de empréstimo até a acumulação de inadimplência

Após os atacantes depositarem rsETH falsificado em múltiplos protocolos de empréstimo, o maior risco recaiu sobre o Aave V3. Dados na blockchain mostram que cerca de 89.567 rsETH (aproximadamente 221 milhões de dólares) foram usados como garantia no Aave, com cerca de 82.650 WETH (aproximadamente 191 milhões de dólares emprestados). Como o rsETH envolvido na fraude foi cunhado do nada na origem, esses ativos falsos, ao serem usados como garantia, invalidaram a base legal para a liquidação do empréstimo.

No entanto, estritamente falando, o código do Aave em si não foi comprometido. A lógica de empréstimo permanece operacional, o problema está na base de valor dos ativos de garantia — esses rsETH, cujo suporte subjacente foi rompido após o roubo na ponte cross-chain. O Aave congelou imediatamente todos os mercados relacionados ao rsETH, zerou o LTV (valor de empréstimo em relação ao valor da garantia) e ajustou emergencialmente o modelo de juros. Mas, nesse momento, a inadimplência já era uma realidade. Segundo o relatório de incidentes divulgado pelo provedor do Aave e pela instituição de gestão de risco LlamaRisk, com base em diferentes planos de repartição de perdas, o valor de inadimplência enfrentado pelo Aave varia entre 124 milhões e 230 milhões de dólares. A lacuna amplamente citada de 200 milhões de dólares reflete a perda líquida central causada pelo evento.

Por que a vulnerabilidade de validação de ponto único se tornou uma brecha estrutural na segurança do setor

A diferença principal do incidente do KelpDAO em relação a outras vulnerabilidades de segurança DeFi é que: não há vulnerabilidades auditáveis no código fonte. O problema do KelpDAO não está no arquivo .sol, mas em um parâmetro de configuração na implantação do protocolo — o limite DVN. Essa configuração não é detectada por ferramentas de análise estática como Slither ou Mythril, que detectam vulnerabilidades conhecidas no código (como reentradas), mas praticamente não cobrem riscos na camada de configuração. Quando toda a atenção na “auditoria de contratos inteligentes” se concentra na correção do código, configurações de implantação como o limite DVN se tornam pontos cegos vermelhos na matriz de segurança.

A filosofia de design do LayerZero V2 transfere a decisão de segurança para a camada de aplicação, o que teoricamente respeita a flexibilidade. Mas, na prática, os projetos optaram pelo modo mais extremo de configuração 1/1, por conveniência. Assim que o mecanismo de segurança pode ser “desconfigurado”, os limites da auditoria se expandem. O incidente do KelpDAO revela uma contradição central: protocolos cross-chain oferecem múltiplas camadas de validação, mas os projetos, por motivos de praticidade, frequentemente abandonam essas redundâncias. Ainda falta uma abordagem padronizada de auditoria de segurança de configurações para preencher essa lacuna.

Como o pânico do mercado e a corrida por liquidez se aceleraram

Após a notícia, o pânico se transformou rapidamente em fuga de fundos. Até 27 de abril de 2026, segundo dados do Gate, os preços dos tokens relacionados apresentaram volatilidade significativa, pressionando o setor DeFi como um todo. Nos 48 horas seguintes ao incidente, o Aave registrou uma saída líquida de aproximadamente 8,45 bilhões de dólares em depósitos, com TVL (valor total bloqueado) caindo de cerca de 264 bilhões para aproximadamente 179 bilhões de dólares. O valor total bloqueado na DeFi caiu cerca de 132,1 bilhões de dólares no mesmo período, de aproximadamente 995 bilhões para cerca de 863 bilhões de dólares.

É importante notar que a queda do TVL não equivale a uma perda de ativos na mesma proporção. Algumas análises indicam que uma parte significativa da saída foi resultado de liquidações em posições altamente alavancadas e de uma retirada de fundos por parte de investidores institucionais buscando evitar riscos, e não de uma destruição total dos ativos. Ainda assim, o impacto revela um problema profundo: quando um grande protocolo de empréstimo fica esvaziado, com a taxa de utilização próxima de 100%, muitas solicitações de saque normais dos usuários não podem ser atendidas. Dessa vez, o Aave não foi a fonte do risco, mas, por conter uma alta proporção de rsETH em suas garantias, foi puxado para o centro da crise.

Rastreando a lavagem de dinheiro dos atacantes e detalhes técnicos da ação de congelamento do Arb

Após roubar fundos usando a vulnerabilidade do KelpDAO, os atacantes realizaram operações de camuflagem de fundos em múltiplas camadas. A origem inicial foi Tornado Cash, com os atacantes recebendo cerca de 1 ETH aproximadamente 10 horas antes do ataque. Após o roubo, eles movimentaram os fundos entre vários protocolos de empréstimo e transferiram para canais cross-chain.

Em 20 de abril, o conselho de segurança do Arbitrum usou poderes de emergência para identificar cerca de 30.765 ETH (aproximadamente 71,5 milhões de dólares) pertencentes aos atacantes e executou uma ação técnica para transferi-los para um endereço seguro, congelando-os. Essa ação marca um marco na rastreabilidade de ativos em blockchain: demonstra que o conselho de segurança de uma rede Layer 2 pode intervir na movimentação de fundos sob certas condições. Mas a resposta dos atacantes foi rápida — poucas horas após o congelamento, cerca de 75.700 ETH (aproximadamente 175 milhões de dólares) foram dispersos para duas novas carteiras. Investigações adicionais revelaram que cerca de 1,5 milhão de dólares em fundos foram cruzados do Ethereum para a rede Bitcoin via Thorchain, e outros fundos foram ocultados por ferramentas de privacidade como Umbra. Isso indica que os atacantes tentaram transferir seus fundos de forma a dificultar o rastreamento completo na ecossistema Ethereum.

Caminho de autoajuda da comunidade e estratégias para cobrir os 200 milhões de dólares de inadimplência do Aave

Diante de um déficit de aproximadamente 200 milhões de dólares, os fundadores do Aave lideraram a criação do fundo de recuperação industrial chamado DeFi United. Até 26 de abril, segundo dados da Arkham, o DeFi United arrecadou mais de 160 milhões de dólares, cobrindo cerca de 80% do déficit. Os maiores contribuintes foram as comunidades Mantle e Aave, que doaram juntas 55.000 ETH, avaliado na época em cerca de 127 milhões de dólares.

Stani Kulechov, fundador do Aave, doou pessoalmente 5.000 ETH; instituições como Golem Foundation, Ether.fi, Lido DAO também prometeram aportes variados. Ainda mais importante, o Aave Labs, em parceria com Kelp DAO, LayerZero, Ether.fi, Compound e outros, submeteu uma proposta de nível constitucional à DAO do Arbitrum para desbloquear os 30.765 ETH (cerca de 71,5 milhões de dólares) congelados pelo conselho de segurança do Arbitrum e integrá-los ao fundo de recuperação DeFi United. Se aprovada, a iniciativa totalizaria mais de 236 milhões de dólares, cobrindo completamente o déficit atual.

Esse processo de governança levará aproximadamente 49 dias, e várias promessas de aporte ainda aguardam votação nas DAOs respectivas, portanto, nada está definitivamente resolvido.

O paradoxo da segurança cross-chain e a governança na DeFi

O incidente do KelpDAO provocou uma reflexão mais profunda na indústria: a segurança das pontes cross-chain ainda é uma questão estrutural difícil de resolver. Antes do ataque, 47% das aplicações descentralizadas usando LayerZero adotavam a configuração DVN 1/1, não sendo uma escolha isolada do KelpDAO, mas uma manifestação sistêmica de uma longa negligência na segurança redundante por conveniência. Em cenários cross-chain, a confiança não depende apenas do código do contrato inteligente, mas também da configuração dos nós validadores e da segurança operacional da rede. Essas configurações muitas vezes estão além do escopo de auditorias convencionais.

Ao mesmo tempo, a ação do conselho de segurança do Arbitrum de congelar ativos trouxe à tona uma contradição de longa data: uma rede de segunda camada que se apresenta como “descentralizada” e que, ao mesmo tempo, possui capacidade de intervenção no código — como bloquear fundos na cadeia —, perde sua distinção de uma entidade centralizada de custódia de ativos. Se os fundos dos usuários podem ser bloqueados por um órgão de governança na cadeia, a narrativa de “sem confiança” do DeFi fica fragilizada.

Este evento não é mais uma crise de segurança de um projeto isolado, mas um teste de resistência das bases institucionais da indústria DeFi.

Resumo

O ataque ao KelpDAO é o maior incidente de segurança DeFi de 2026, com perdas de cerca de 292 milhões de dólares, mas suas repercussões vão muito além: o Aave teve uma saída líquida de 8,45 bilhões de dólares em 48 horas, e o TVL total da DeFi caiu mais de 130 bilhões de dólares. A raiz do problema não foi uma vulnerabilidade de código, mas uma configuração de ponto único na implantação da ponte cross-chain — uma vulnerabilidade que ainda está presente em muitos protocolos do setor.

Aave, ao criar o fundo de recuperação DeFi United, arrecadou mais de 160 milhões de dólares, cobrindo cerca de 80% do inadimplemento, e junto com cinco grandes protocolos submeteu uma proposta de governança ao DAO do Arbitrum para desbloquear os fundos congelados. Até 27 de abril de 2026, o fundo ainda aguarda múltiplas votações. Independentemente do desfecho, o incidente do KelpDAO marca uma mudança de paradigma: de “código é lei” para “governança é garantia”.

Perguntas frequentes (FAQ)

Pergunta: Qual foi a vulnerabilidade fundamental do ataque ao KelpDAO?

A vulnerabilidade central não foi um erro no código do contrato inteligente, mas uma configuração do DVN na solução cross-chain LayerZero. O KelpDAO adotou uma configuração DVN 1/1 com um único nó de validação; ao ser comprometido, esse nó permitiu falsificar mensagens cross-chain e criar rsETH do nada. Trata-se de uma falha sistêmica na confiança na modelagem cross-chain, agravada por uma configuração incorreta.

Pergunta: Quanto o Aave realmente perdeu no incidente?

O Aave não foi atacado diretamente, mas, por usar rsETH como garantia, os atacantes conseguiram emprestar uma grande quantidade de WETH. A estimativa de inadimplência do Aave varia entre 124 milhões e 230 milhões de dólares, com uma cifra amplamente citada de 200 milhões. Até 27 de abril, o DeFi United arrecadou mais de 160 milhões de dólares, cobrindo cerca de 80% do déficit.

Pergunta: Os fundos roubados ainda podem ser recuperados?

Parte dos fundos foi congelada. O conselho de segurança do Arbitrum conseguiu bloquear cerca de 30.765 ETH (aproximadamente 71,5 milhões de dólares), mas os atacantes transferiram cerca de 75.700 ETH para novas carteiras e cruzaram fundos para a rede Bitcoin via Thorchain, dificultando a recuperação total.

Pergunta: Outros protocolos usando LayerZero são seguros?

Não necessariamente. Dados do Dune Analytics mostram que, antes do ataque, 47% das aplicações LayerZero OApp utilizavam a configuração DVN 1/1, envolvendo ativos superiores a 4,5 bilhões de dólares. Cada protocolo precisa revisar sua configuração DVN de forma independente. A indústria está se movendo para migrar de configurações de nó único para múltiplos nós de validação, aumentando a segurança.