#Gate13周年现场直击

A MAIOR EXPLOTAÇÃO DEFI DE 2026 ACABOU DE ACONTECER E AS CONSEQUÊNCIAS AINDA SE ESTÃO APROPAGAR.

Em 18 de abril de 2026, às 17h35 UTC, um atacante esvaziou 116.500 tokens rsETH, no valor aproximado de $292 milhões, da ponte cross-chain alimentada pelo LayerZero do Kelp DAO. O valor roubado representa cerca de 18 por cento de todo o fornecimento circulante de rsETH, de 630.000 tokens, e a exploração foi agora oficialmente confirmada como o maior hack DeFi de 2026. Isto não foi um roubo aleatório. Foi um ataque de infraestrutura de precisão, meses em planejamento, executado em menos de 46 minutos.

Como funcionou o ataque:
Os atacantes pré-financiaram seis carteiras através do Tornado Cash cerca de 10 horas antes do esvaziamento. Depois, comprometeram dois dos nós RPC que o verificador do LayerZero dependia para confirmar transações cross-chain, substituindo o software do nó por versões maliciosas que reportaram dados falsos de transação ao verificador. Um ataque DDoS simultâneo forçou uma mudança de failover que colocou os nós comprometidos na rota de verificação. Com o verificador enganado, a ponte do Kelp liberou 116.500 rsETH para um endereço controlado pelo atacante.
A assinatura multisig de emergência do Kelp pausou os contratos principais 46 minutos após o esvaziamento. Duas tentativas subsequentes às 18:26 e 18:28 UTC, cada uma visando outros 40.000 rsETH, no valor aproximado de $100 milhões, foram bloqueadas. Os contratos de restaking principais não foram tocados. A exploração foi totalmente isolada à camada da ponte.

A causa raiz: um ponto único de falha
O ataque só funcionou porque o Kelp operava uma configuração de verificador 1-de-1, ou seja, o LayerZero Labs era a única entidade a verificar mensagens enviadas para e do ponte rsETH. Em uma configuração multi-DVN devidamente reforçada, é necessário consenso entre vários verificadores independentes para aprovar qualquer mensagem cross-chain. Comprometer um nó não seria suficiente para forjar uma instrução válida. A LayerZero afirmou que sua lista de verificação de integração pública e comunicações diretas com o Kelp recomendavam uma configuração multi-verificador com redundância, mas o Kelp optou por manter a configuração 1-de-1.

O Kelp discorda desta versão. Uma fonte familiarizada com a posição do Kelp disse à CoinDesk que, através de um canal de comunicação direto com a LayerZero aberto desde julho de 2024, nenhuma recomendação específica para alterar a configuração DVN do rsETH foi produzida. O guia de início rápido da LayerZero e a configuração padrão no GitHub indicam uma configuração DVN 1-de-1, e aproximadamente 40 por cento dos protocolos na LayerZero usam atualmente a mesma configuração. A disputa pública entre dois grandes provedores de infraestrutura DeFi já virou uma história por si só.

Ator patrocinado pelo Estado: grupo Lazarus
A declaração do incidente da LayerZero afirma: "Indicadores preliminares sugerem atribuição a um ator estatal altamente sofisticado, provavelmente o Grupo Lazarus da DPRK, mais especificamente o TraderTraitor." O Grupo Lazarus foi agora ligado tanto ao exploit do Drift Protocol em 1 de abril quanto ao ataque ao Kelp em 18 de abril, ou seja, a mesma unidade norte-coreana esvaziou mais de $575 milhões do DeFi em 18 dias através de dois vetores de ataque estruturalmente diferentes: engenharia social para governança no Drift, e envenenamento de RPCs de infraestrutura no Kelp. A LayerZero entrou em contato com várias agências de aplicação da lei globalmente e está colaborando com a Seal911 para rastrear os fundos roubados.

A contaminação: aave, TVL e dívida ruim
O atacante depositou os rsETH roubados na Aave V3 como garantia e tomou emprestado ether embrulhado contra ela, deixando aproximadamente $196 milhões em dívida ruim concentrada no par rsETH-WETH na Ethereum. O relatório de incidente da Aave descreve dois possíveis resultados: aproximadamente $123 milhões em perdas se o dano for compartilhado por todos os rsETH, ou até $230 milhões se limitado às redes Layer 2, dependendo de como o DAO do Kelp aloca a insuficiência.

O valor total bloqueado na Aave caiu para US$ 17,5 bilhões, uma redução de US$ 8,8 bilhões em dois dias. O setor DeFi mais amplo também viu saídas significativas, com o valor total bloqueado em todas as cadeias caindo de mais de $99 bilhões para cerca de $86 bilhões. A SparkLend, Fluid e Lido Finance pausaram seus mercados relacionados ao rsETH. A Ethena desativou suas próprias pontes OFT LayerZero na rede principal Ethereum como precaução, apesar de não ter exposição direta ao rsETH.

O rsETH está implantado em mais de 20 redes, incluindo Arbitrum, Base, Linea, Blast, Mantle e Scroll. Com a reserva da ponte esgotada, os detentores de todas as implantações L2 agora enfrentam incerteza sobre se seus tokens rsETH embrulhados têm respaldo total, criando um ciclo de pressão de resgate que ameaça forçar o Kelp a desfazer posições de restaking no EigenLayer para honrar retiradas.

O que isso significa para o defi:
Este exploit não é apenas uma história do Kelp DAO. É um aviso estrutural. As pontes cross-chain continuam sendo a superfície mais explorada no DeFi, e este ataque demonstra que até infraestrutura de mensagens testada em batalha, como a LayerZero, pode ser usada como arma através de falhas de configuração na integração. O exploit do Kelp mostra que o Grupo Lazarus da Coreia do Norte está evoluindo além de hacks isolados, mudando rapidamente de engenharia social para explorar fraquezas estruturais na infraestrutura cripto, sugerindo uma campanha sustentada, impulsionada pelo Estado, e não incidentes isolados. Arquitetura multi-verificador, configurações redundantes de RPC e auditorias de segurança independentes das configurações de ponte não são mais boas práticas — após 18 de abril de 2026, tornaram-se requisitos de sobrevivência.

#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked