Kelp devido à controvérsia de responsabilização pelo ataque DeFi de 292 milhões de dólares, vira-se para Chainlink

Escrever artigo: Murugaverl Mahasenan, CATENAA

12 de maio de 2026, terça-feira — KelpDAO acusa a infraestrutura do LayerZero de ter contribuído para um ataque de 292 milhões de dólares e afirma que, durante a reconstrução do seu quadro de tokens de staking de liquidez, migrará o sistema cross-chain para a Chainlink. Este incidente é um dos maiores acidentes de segurança em DeFi deste ano.

O cerne da controvérsia é um ataque ocorrido em abril, que resultou no roubo de aproximadamente 116.500 rsETH. O rsETH é um token de staking de liquidez baseado na Ethereum, utilizado para transferências entre cadeias.

Este ataque visou um sistema de ponte que permite a transferência de rsETH entre várias redes blockchain. Pesquisadores de segurança relacionaram o incidente ao grupo de hackers norte-coreano Lazarus Group, envolvido em múltimos roubos de alto valor de criptomoedas.

Responsabilidade central

KelpDAO afirma que a infraestrutura do LayerZero desempenhou um papel central nesta vulnerabilidade. O protocolo afirma que, devido à configuração do sistema com um único validante, o atacante conseguiu manipular o processo de validação de transações após comprometer parte da infraestrutura de roteamento.

KelpDAO afirma que essa vulnerabilidade permitiu que transações cross-chain falsificadas fossem aprovadas sem validação adequada.

LayerZero nega essa alegação. A empresa afirma que o ataque foi limitado à implementação específica do Kelp e que este utilizava uma configuração de validante único, que diverge da arquitetura de múltiplos validantes recomendada pelo LayerZero.

A divergência entre as partes evoluiu para um debate público, centrado em como definir responsabilidades em sistemas descentralizados cross-chain.

KelpDAO afirma que várias empresas de segurança, incluindo Chainalysis e SEAL 911, apoiam sua avaliação de que a vulnerabilidade decorreu de problemas na configuração da infraestrutura do LayerZero.

KelpDAO também afirma que o modelo de validante único explorado não é exclusivo do Kelp, sendo amplamente utilizado em outras aplicações dentro do ecossistema.

O protocolo indica que o atacante conseguiu invadir os nós RPC (Remote Procedure Call) relacionados à rede de validantes, permitindo a injeção de dados de transação falsificados.

Esses dados foram posteriormente aceitos pelo sistema, possibilitando ao atacante transferir fundos entre várias redes blockchain sem autorização.

KelpDAO afirma que, após o incidente, o LayerZero atualizou suas políticas, deixando de suportar configurações de validante único. Acredita que essa mudança evidencia que o design anterior apresentava riscos sistêmicos que não foram devidamente tratados antes do ataque.

LayerZero mantém que seus documentos sempre recomendaram configurações de múltiplos validantes para maior segurança, e que cada protocolo deve ser responsável por sua implementação e configuração.

Até o momento, o LayerZero não publicou uma explicação técnica detalhada sobre as últimas acusações do KelpDAO.

Congelamento de ativos e procedimentos legais

O impacto do ataque ultrapassou a disputa técnica. Aproximadamente 71 milhões de dólares em ativos relacionados ao ataque foram congelados na rede Arbitrum, levando a procedimentos legais na Corte Federal de Nova York. O foco atual do caso é se esses ativos congelados devem ser devolvidos ou se o congelamento deve continuar enquanto a investigação prossegue.

KelpDAO afirma que o incidente levantou questões mais amplas, incluindo a responsabilidade na infraestrutura cross-chain e os riscos associados à dependência de validação de ponto único. O protocolo afirma que essa experiência revelou vulnerabilidades estruturais e reforçou a necessidade de uma mudança para mecanismos de validação mais descentralizados.

Migração para Chainlink

Como parte das medidas de resposta, o KelpDAO anunciou que migrará seu sistema rsETH para o protocolo de interoperabilidade cross-chain da Chainlink (CCIP). O novo sistema usará múltiplos validantes independentes para aprovar transações, reduzindo a dependência de uma única entidade.

A Chainlink confirmou sua participação na migração e afirmou estar colaborando com o KelpDAO para melhorar a segurança cross-chain. A empresa afirma que, para que as finanças descentralizadas tenham adoção em larga escala, é necessário uma infraestrutura mais robusta para reduzir riscos sistêmicos.

Johann Eid, diretor comercial da Chainlink, afirmou que um sistema de interoperabilidade seguro é crucial para o desenvolvimento de longo prazo das finanças baseadas em blockchain. Ele disse que os protocolos devem garantir que as atividades cross-chain não falhem devido a pontos únicos de falha.

Este movimento marca uma mudança significativa para o KelpDAO. Anteriormente, as operações cross-chain dependiam da infraestrutura do LayerZero. O KelpDAO afirma que, após o incidente, está redesenhando seu sistema, priorizando segurança e transparência.

Impacto na indústria

Este ataque é um dos maiores incidentes de vulnerabilidade de segurança em DeFi divulgados em 2026, reforçando as preocupações do setor sobre a fragilidade das pontes cross-chain. Essas pontes continuam sendo uma das partes mais vulneráveis da infraestrutura blockchain.

Especialistas do setor apontam que os sistemas cross-chain, por precisarem coordenar validações entre múltiplas redes, introduzem riscos de segurança complexos. Mesmo pequenas falhas de configuração podem criar superfícies de ataque difíceis de detectar rapidamente.

O incidente também intensificou o debate sobre se os sistemas descentralizados devem usar modelos de validação leves ou estruturas de múltiplos validantes mais robustas, que consomem mais recursos. Os defensores de sistemas simples valorizam a eficiência, enquanto críticos argumentam que esses modelos aumentam o risco sistêmico.

Até a publicação deste artigo, o LayerZero não respondeu publicamente às últimas declarações do KelpDAO.

À medida que as investigações continuam e os procedimentos legais se desenrolam, espera-se que este caso influencie o futuro do design de sistemas de validação em protocolos cross-chain e a forma como responsabilidades serão atribuídas em futuros incidentes de DeFi. O KelpDAO afirma que seu foco atual é garantir a segurança do rsETH e recuperar a confiança dos usuários durante a migração para a infraestrutura da Chainlink.