#KelpDAOBridgeHacked

‍#Gate13thAnniversaryLive
A ponte apoiada em ZRO da KelpDAO foi hackeada em 18 de abril de 2026, resultando no roubo de aproximadamente $292–294 milhões em moedas em mais de 20 cadeias; este tornou-se o maior ataque DeFi de 2026. O ataque, usando um único validador ZRO comprometido, causou congelamentos imediatos na Aave, Arbitrum e outros protocolos.

Informações Básicas

Data do ataque: 18 de abril de 2026, ~17:35 UTC

Fundos roubados: ~116.500 moedas (~$292–294 milhões), ~18% do fornecimento circulante

Vetores de ataque: Mensagem falsa ZRO entre cadeias via rede de validadores descentralizados comprometida de 1 para 1 (DVN) configuração

Protocolos afetados: Aave, SparkLend, Fluid, Arbitrum, Lido, Ethena, Compound, Euler

Consequências imediatas:

Aave congelou V3 e V4 e enfrentou um risco de ~$177–196 milhões em dívidas ruins.

Arbitrum congelou 30.766 ETH (~$100 milhão) ligado à carteira do hacker.

ZRO caiu mais de 22% em 24 horas.

O preço do token AAVE caiu aproximadamente 20% para $92,06.

Impacto no mercado

Ethereum (ETH): O preço caiu para $2.300 imediatamente após o ataque e foi totalmente precificado pelos mercados de previsão.

Bitcoin (BTC): A aversão ao risco aumentou a probabilidade de contratos de previsão para BTC atingirem $60.000 até o final de abril para 22%.

Liquidez DeFi: Aproximadamente $9 bilhão foi retirado da Aave em pânico; isso indica um medo sistêmico quanto à segurança do colateral da ponte.

Responsabilidade e Atribuição

Suspeito de ataque: O Grupo Lazarus da Coreia do Norte, que usou técnicas sofisticadas de falsificação.

Posição da KelpDAO: Culpa a infraestrutura do ZRO, especificamente os nós RPC comprometidos e a configuração insegura do DVN de 1 para 1. A Kelp insiste que seus próprios contratos não foram explorados diretamente.

Resposta do ZRO: Reconhecendo falhas na configuração do validador, trabalhando ativamente em ações corretivas com a KelpDAO.

Medidas e Próximos Passos

Congelamentos de emergência: A KelpDAO interrompeu as transferências de moedas roubadas entre Ethereum e L2s em 46 minutos.
Carteiras bloqueadas: A KelpDAO colocou na lista negra os endereços abusivos e implementou o SEAL 911, uma linha direta para ameaças de segurança.

Ação de governança: A DAO da Arbitrum votará sobre o destino de $100 milhão em ETH congelado.

Correções futuras: Estão sendo feitas chamadas para configurações de múltiplos validadores DVN para evitar pontos únicos de falha na comunicação entre cadeias.

Riscos e Lições

As vulnerabilidades das pontes continuam sendo o maior risco sistêmico no DeFi.

Configurações de validadores únicos são inaceitáveis para protocolos de alto valor; a redundância é fundamental.

Dispersão de colateral: Usar ativos comprometidos como colateral (por exemplo, na Aave) pode causar danos que se espalham por várias plataformas.

Confiança da comunidade: A KelpDAO, que tinha um valor total bloqueado de $1,57 bilhão antes do ataque, sofreu um golpe em sua credibilidade, e a recuperação dependerá das correções implementadas de forma transparente.
‍$ZRO $AAVE $ARB