#KelpDAOBridgeHacked KelpDAO rsETH Ponte Exploit: A Maior Hack DeFi de 2026

Em 18 de abril de 2026, a KelpDAO, um proeminente protocolo de restaking líquido com mais de $1,3 bilhões em valor total bloqueado (TVL) antes do incidente, sofreu um exploit catastrófico direcionado à sua infraestrutura de ponte cross-chain. O ataque resultou no roubo de aproximadamente 116.500 tokens rsETH, avaliados em cerca de $292-294 milhões na altura da violação, tornando-se o maior exploit de finanças descentralizadas de 2026 até então.

O Vetor de Ataque

O exploit visou a ponte rsETH da KelpDAO, alimentada pelo protocolo de mensagens cross-chain LayerZero. Os atacantes identificaram e exploraram uma vulnerabilidade crítica na função lzReceive do EndpointV2 do LayerZero. A metodologia envolveu registrar um peer de testnet usando Unichain EID 30320 e explorar uma configuração de Verificador Descentralizado (DVN) de 1-de-1. Isso permitiu ao atacante criar e transmitir uma mensagem cross-chain fraudulenta que bypassava os protocolos de validação padrão, acionando a liberação não autorizada de rsETH do cofre sem ativos de respaldo legítimos.

O rsETH roubado representou aproximadamente 18% do fornecimento total em circulação do token, causando preocupações sistêmicas imediatas em todo o ecossistema DeFi.

Contágio entre Protocolos e Crise de Dívida Ruim

Em vez de manter os ativos roubados, o atacante rapidamente utilizou o rsETH não respaldado como garantia em múltiplos protocolos de empréstimo, criando um cenário de dívida ruim em cascata:

- Aave V3 (Ethereum): -52.834 WETH emprestados
- Aave V3 (Arbitrum): -29.782 WETH mais 821 wstETH emprestados
- Compound V3 e Euler: Empréstimos adicionais de $23-59 milhões

A dívida ruim total nos protocolos afetados ultrapassou $200 milhão, à medida que a garantia de rsETH se tornou efetivamente sem valor após a pausa do protocolo. Isso marcou o incidente não apenas como um exploit de ponte, mas como um evento de contágio entre protocolos que testou a resiliência da arquitetura interconectada do DeFi.

Impacto Imediato no Mercado

O exploit provocou reações de mercado significativas e respostas de emergência a nível de protocolo:

- O TVL do Aave caiu mais de $7 bilhão devido a saques massivos de ETH, com taxas de utilização atingindo 100% nos mercados afetados
- Quedas no token nativo: $AAVE caiu aproximadamente 20%, enquanto $ZRO (LayerZero) caiu cerca de 30%
- Congelamentos de mercado de emergência implementados no Aave V3, V4, SparkLend, Fluid e Upshift para garantia de rsETH
- Lido Earn suspendeu depósitos de earnETH devido a preocupações com exposição a rsETH
- Vários projetos usando pontes LayerZero iniciaram pausas de precaução

Riscos secundários emergiram, incluindo possíveis falhas na liquidação de ETH, complicações nos incentivos de empréstimo USDT e exposição concentrada de dívida ruim na implantação do Aave no Arbitrum, que pode não possuir uma cobertura abrangente de proteção Umbrella.

Resposta de Emergência e Estado Atual

A equipe de segurança da KelpDAO respondeu em aproximadamente uma hora após a detecção, implementando uma pausa geral no protocolo às 18:21 UTC de 18 de abril. Essa resposta rápida conseguiu bloquear duas tentativas subsequentes de ataque. A equipe emitiu declarações oficiais confirmando sua abertura a negociações de white-hat e está conduzindo uma análise abrangente da causa raiz em colaboração com LayerZero, Unichain e auditores terceirizados.

A governança do Aave iniciou discussões sobre implantação de tesouraria e possíveis empréstimos para cobrir déficits identificados, com propostas incluindo aumentos na taxa slope2 de ETH para gerenciar o estresse do protocolo. Segundo análise da Chaos Labs, aproximadamente $177 milhão de dívida ruim foi liquidado, embora a exposição no Arbitrum permaneça sem resolução.

Investigações de blockchain, incluindo ZachXBT, rastrearam os fundos roubados até Tornado Cash, sem relatos de recuperação bem-sucedida até o momento. Analistas projetam cortes de 15-20% para os detentores de rsETH bridged, com a KelpDAO considerando mecanismos de socialização de perdas ou estratégias de priorização de detentores na mainnet.

Implicações para a Indústria

Este incidente representa um ponto de inflexão crítico para a segurança de pontes cross-chain e a composabilidade do token de restaking líquido (LRT). O exploit destaca vulnerabilidades fundamentais nos parâmetros de segurança configuráveis das pontes, especialmente os riscos associados às configurações simplificadas de DVN. O evento intensificou o escrutínio sobre os padrões de segurança da arquitetura de pontes e os riscos sistêmicos apresentados por protocolos DeFi altamente interconectados.

A violação da KelpDAO supera o recorde anterior de 2026, detido pelo exploit de $280-285 milhões do Drift Protocol em 1 de abril, evidenciando uma tendência alarmante de ataques cada vez mais sofisticados direcionados a infraestruturas cross-chain complexas. Com perdas de mais de $1,2 bilhões em cripto em abril de 2026, incluindo ataques como o sequestro de domínio CoW Swap, a indústria enfrenta uma crescente pressão para fortalecer a infraestrutura de segurança e implementar frameworks de gestão de risco cross-protocol mais robustos.

Usuários afetados e participantes do mercado devem monitorar canais oficiais da KelpDAO e Aave para atualizações contínuas sobre esforços de recuperação de fundos, frameworks de compensação e cronogramas de reabertura do protocolo.

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit