Ainda se lembra daquele roubo de 292 milhões de dólares que abalou o mundo das criptomoedas no ano passado? Até agora, as partes continuam a trocar acusações, o que torna a situação um pouco constrangedora.

A situação é a seguinte. Em abril do ano passado, a Kelp DAO foi alvo de um ataque de hackers, que roubaram 116.500 rsETH, estabelecendo o maior roubo de DeFi daquele ano. Posteriormente, as investigações descobriram que o cérebro por trás do ataque provavelmente foi o grupo de hackers norte-coreano Lazarus. Este grupo já esteve envolvido em vários grandes casos, e desta vez atuaram de forma bastante profissional — primeiro invadiram o nó de validação DVN do LayerZero, envenenaram dois desses nós RPC, depois lançaram um ataque DDoS a outros nós, e por fim enganaram o sistema para assinar a transação de roubo de tokens.

O LayerZero posteriormente publicou um relatório de investigação, apontando diretamente que a Kelp DAO utilizou uma configuração vulnerável chamada "1-de-1 DVN", dizendo que isso era basicamente uma bomba-relógio embutida no sistema. Eles também enfatizaram que já haviam recomendado várias vezes à Kelp que dispersasse a configuração dos nós, mas a equipe simplesmente não ouviu.

Após serem acusados, a Kelp DAO respondeu com força total. Eles emitiram uma declaração no X dizendo que essa configuração de validação de ponto único é uma opção padrão descrita na documentação oficial do LayerZero, e que eles não a configuraram de forma aleatória. A Kelp também afirmou que desde janeiro de 2024 usam a infraestrutura do LayerZero, e que a comunicação entre as partes sempre foi fluida. Quando expandiram para Layer 2, também discutiram a configuração do DVN, e o próprio LayerZero confirmou na época que essa configuração era adequada.

O mais interessante é que ambas as partes estão se acusando mutuamente na questão da vulnerabilidade de segurança. A Kelp DAO finalizou destacando que tomou medidas emergenciais imediatamente, pausou os contratos relacionados e colocou a carteira do hacker na lista negra, controlando assim a situação. Quanto às futuras melhorias de segurança, a equipe da Kelp disse que ainda está avaliando.

De certa forma, esse episódio levanta uma questão clássica: quem é responsável por garantir que os usuários escolham a configuração correta — o provedor de ferramentas ou os próprios usuários? A ação do Lazarus por si só não tem muito o que comentar, mas essa disputa de responsabilidades reflete alguns problemas mais profundos na ecologia do DeFi.