#rsETHAttackUpdate

Atualização do Ataque rsETH: 26 de abril de 2026

Em 18 de abril de 2026, aproximadamente às 17h35 UTC, atacantes exploraram uma vulnerabilidade crítica na ponte cross-chain LayerZero V2 do Kelp DAO para rsETH. Este incidente é considerado o maior ataque DeFi de 2026 até o momento, com aproximadamente 116.500 rsETH não garantidos cunhados e drenados—avaliados em cerca de 292-293 milhões de dólares na altura do ataque, representando cerca de 18% do fornecimento circulante de rsETH.

Como Funcionou o Ataque

A exploração visou o mecanismo de ponte rsETH do Kelp, que utiliza um sistema de bloqueio e cunhagem LayerZero. Em operação normal, os fundos são bloqueados na cadeia de origem e cunhados na cadeia de destino, com verificação gerenciada por uma Rede de Verificadores Descentralizada. A vulnerabilidade residia na rota Unichain para Ethereum, que foi configurada com um único nó verificadores em vez de um quórum de múltiplos assinantes.

Os atacantes, atribuídos ao Grupo Lazarus da Coreia do Norte e ao seu subgrupo TraderTraitor, comprometeram dois nós RPC da LayerZero Labs. Inseriram dados falsificados simulando uma queima de rsETH na Unichain enquanto lançavam ataques DDoS nos RPCs externos para forçar a troca para sua infraestrutura comprometida. Essa manipulação enganou o verificadores único a aprovar um pacote LayerZero fraudulento, liberando fundos sem que uma transação de queima real tivesse ocorrido na cadeia de origem.

Importa notar que não se tratou de uma falha em contrato inteligente, mas sim de um ataque à infraestrutura off-chain envolvendo envenenamento de RPC. O malware utilizado foi autoexcluído após a exploração. Uma segunda tentativa de ataque, visando aproximadamente 40.000 rsETH avaliados em 95-100 milhões de dólares, foi bloqueada com sucesso pelo mecanismo de pausa de emergência do Kelp.

**Resposta Imediata e Impacto no Mercado**

Dentro de uma a duas horas após a detecção, múltiplos protocolos implementaram medidas de emergência. O Kelp DAO pausou os contratos de rsETH na Ethereum e em todas as redes Layer 2, além de colocar na lista negra os endereços dos atacantes. Aave V3 e V4 congelaram os mercados de rsETH e wrsETH, ajustando as taxas de empréstimo para zero, e posteriormente congelaram WETH em várias cadeias antes de reabrir parcialmente os mercados na Ethereum até 21 de abril. Outros protocolos afetados, incluindo SparkLend, Fluid, Upshift, Compound, Euler e Lido, também pausaram mercados expostos ao rsETH.

O atacante depositou 89.567 rsETH, avaliado em aproximadamente $221 milhões, como garantia na Aave V3 na Ethereum e Arbitrum, emprestando cerca de 82.650 WETH avaliados em 190,9 milhões de dólares, além de 821 wstETH no valor de 2,3 milhões de dólares. Os fatores de saúde dessas posições variaram entre 1,01 e 1,03, indicando colaterais altamente alavancados e de alto risco. Depósitos menores adicionais foram feitos na Compound V3 e Euler.

O mercado mais amplo sentiu ondas de choque significativas. Aproximadamente $13 bilhões em valor total bloqueado saiu das plataformas DeFi em dois dias. As taxas de utilização de WETH atingiram 100% nas principais cadeias, e o rsETH despegou nas redes Layer 2. As perdas totais de hack de abril de 2026 atingiram aproximadamente $606 milhões, tornando-se um dos meses mais caros na história do DeFi.

**Status Atual de Recuperação**

Até 26 de abril, surgiram vários desenvolvimentos positivos. O Conselho de Segurança do Arbitrum conseguiu congelar 30.766 ETH, avaliado em aproximadamente $71 milhões, de um endereço de atacante em 21 de abril. Esses fundos estão agora sob controle de uma carteira gerenciada pela governança, com coordenação em andamento entre o conselho e as agências de aplicação da lei.

Os protocolos DeFi comprometeram aproximadamente 43.500 ETH para restaurar as reservas de rsETH. A DAO do Aave propôs contribuir com 25.000 ETH, aproximadamente $58 milhões, através de um fundo DeFi United, que agora totaliza cerca de $161 milhões. Kelp e LayerZero estão coordenando os esforços de recuperação, com o módulo Umbrella do Aave mantendo cerca de $54 milhões em aWETH, considerado como um possível mecanismo de compensação.

O relatório de incidente de 20 de abril do Aave delineou dois cenários principais para lidar com possíveis dívidas ruins. O primeiro envolve a socialização de perdas uniforme em toda a oferta de rsETH, resultando em uma despegagem de 15,12% e aproximadamente $124 milhões em dívidas ruins totais. O segundo cenário prevê cortes de 73,54% apenas nas posições de rsETH em Layer 2, o que criaria cerca de $230 milhões em dívidas ruins, com impactos severos em cadeias como Mantle, que enfrentariam déficits de 71%.

A LayerZero descontinuou a configuração vulnerável de 1-de-1 DVN e substituiu a infraestrutura RPC comprometida. Confirmaram que nenhuma outra aplicação foi afetada por essa vulnerabilidade específica.

**Principais Conclusões**

O ataque ao rsETH destaca riscos críticos em arquiteturas de pontes cross-chain, especialmente aquelas que dependem de mecanismos de verificação de ponto único de falha e infraestrutura RPC centralizada. O ataque demonstra como componentes off-chain podem ser comprometidos mesmo quando os contratos inteligentes estão seguros.

O rsETH na mainnet Ethereum permanece totalmente garantido pelas depósitos de staking do Kelp. A questão central reside no adaptador de ponte Layer 2, onde 40.373 rsETH suportam 152.577 reivindicações, criando um déficit de aproximadamente 112.000 rsETH.

A recuperação completa do $292 milhões inicial permanece improvável a curto prazo. Chainalysis e Certik continuam monitorando os fluxos de fundos. O tesouro do Aave, com aproximadamente $181 milhões, mais receitas contínuas, oferece uma margem de segurança contra perdas realizadas. Tanto as propostas de governança do Kelp quanto do Aave permanecem ativas enquanto a comunidade debate os mecanismos de alocação de perdas.

No futuro, a indústria enfrenta pressão para implementar quóruns multi-DVN, sistemas de monitoramento de invariantes e auditorias abrangentes de infraestrutura off-chain. Embora o TVL de restaking tenha sido abalado, o staking na mainnet Ethereum permanece intacto. Todos os stakeholders devem acompanhar os fóruns de governança do Aave e do Kelp, além dos relatórios de pós-morte do LayerZero, para evoluções futuras.