Acabou de entender o que aconteceu com o Kelp DAO há uma semana, e, honestamente, essa é uma das histórias mais brutais do DeFi em todo 2026. Em 46 minutos, 293 milhões de dólares evaporaram da ecossistema. Não foi um erro de código, nem uma vulnerabilidade de contrato inteligente — foi um erro de configuração comum que se transformou em uma crise sistêmica.

Aqui está o que aconteceu: um atacante usou a ponte cross-chain Kelp na LayerZero com uma configuração DVN 1 de 1. Basicamente, toda validação de mensagens entre as cadeias dependia de um único nó. Ao comprometer ou enganar esse nó, o atacante enviou uma mensagem falsa, alegando confirmar o bloqueio de ativos. A ponte emitiu 116.500 rsETH ( aproximadamente 18% de toda a oferta circulante) para o endereço do atacante — sem bloquear o ETH real na cadeia de origem. Os tokens foram literalmente criados do nada.

Depois, a situação piorou ainda mais. Em vez de vender os tokens no mercado, o atacante depositou rsETH sem lastro no Aave V3 como garantia, tomou emprestado 236 milhões de dólares em WETH real, e depois repetiu a manobra no Aave V4. Quando o Kelp DAO congelou os contratos (18:21 UTC), os ativos reais já estavam sendo drenados. Duas tentativas de sacar mais 100 milhões — ambas bloqueadas, mas o primeiro golpe já causou um efeito cascata no DeFi.

O Aave ficou preso. Quando o Kelp parou o rsETH, todas as posições de empréstimo garantidas por esse ativo se tornaram impossíveis de liquidar. O Aave ficou com 196 milhões de dólares em dívida sem esperança. O pool de WETH atingiu 100% de utilização — alguns usuários ficaram temporariamente impossibilitados de retirar seus fundos. O pânico se espalhou instantaneamente: saques do Aave totalizaram 5,4 bilhões de dólares em poucas horas. O TVL caiu de mais de 26 bilhões para 22 bilhões — uma perda de 6,6 bilhões em um dia. O token AAVE caiu 20% em 24 horas (agora é negociado por cerca de $95,54).

O mais assustador é que não foi um erro do LayerZero. Foi uma escolha do Kelp DAO de usar uma configuração centralizada, que o protocolo permite, mas que cria um ponto único de falha perigoso. O fundador do Curve Finance, Mikhail Egorov, disse diretamente: quando você confia em uma única parte, tudo é possível.

A infecção se espalhou para pelo menos nove plataformas: SparkLend, Fluid, Lido (parou seu produto EarnETH), Compound V3, Euler e outros. Até a Ethena temporariamente suspendeu suas pontes LayerZero como medida de precaução, embora sem impacto direto.

Dinheiro? Quase certamente perdido. O atacante já lavou os fundos pelo Tornado Cash, distribuindo ETH por várias carteiras. Justin Sun, da Tron, ofereceu-se para "conversar" com o atacante, mas parece mais uma encenação — a trilha já está fria.

O que isso significa para o setor? rsETH era considerado um ativo confiável, correlacionado com ETH. Supunha-se implicitamente que tokens de staking líquidos eram tão seguros quanto o ativo base. Essa suposição caiu por terra. O Kelp DAO fica com um ativo que não pode ser realmente vendido, e o Aave com ETH emprestado ao máximo que ninguém consegue retirar.

Espera-se que a indústria responda com requisitos obrigatórios de múltiplos DVN para pontes e padrões mais rígidos para protocolos de crédito. Mas, por enquanto, o rsETH em mais de 20 cadeias permanece em um estado de suporte incerto, até que o Kelp publique uma verificação de reservas confiável.

Este não é o primeiro grande hack do ano. Em março, a Resolv Labs perdeu 80 milhões, em 1º de abril, o Drift Protocol perdeu 285 milhões (posteriormente relacionado a atores norte-coreanos). CoW Swap, Zerion, Rhea Finance — tudo em abril. As perdas totais do DeFi em 2026 já ultrapassam 450 milhões de dólares, envolvendo cerca de 45 protocolos. O chefe de segurança da Ledger afirma que este será "provavelmente, o pior ano para hacks".

Para os investidores, a lição principal: a composabilidade do DeFi corta dos dois lados. O que torna o ecossistema poderoso — a interconectividade — também o torna o canal mais rápido de infecção. Uma vulnerabilidade em um protocolo se torna um evento sistêmico em minutos. Se você possui rsETH ou posições em protocolos de empréstimo, acompanhe atentamente os anúncios oficiais. Evite decisões de pânico com informações incompletas, mas também não ignore o risco de liquidez, mesmo em plataformas "seguras".

Este é um lembrete duro: no DeFi, confiança não é só tecnologia, é arquitetura. E a arquitetura do Kelp DAO mostrou-se vulnerável não por causa do código, mas por causa da escolha de configuração.