#KelpDAOBridgeHacked

Exploração da Ponte KelpDAO: Análise Técnica & Impacto na Indústria

Em 18 de abril de 2026, a ponte cross-chain rsETH da KelpDAO sofreu a maior exploração DeFi de 2026, com atacantes drenando aproximadamente 116.500 rsETH avaliados em cerca de $292 milhões. O incidente representa aproximadamente 18% do fornecimento circulante total de rsETH e desencadeou efeitos em cascata em todo o ecossistema DeFi.

Análise do Vetor de Ataque

A exploração foi executada através de um ataque sofisticado em várias etapas direcionado à infraestrutura LayerZero. Os atacantes comprometeram inicialmente dois nós RPC independentes operados pela LayerZero Labs, substituindo binários legítimos do op-geth por versões maliciosas. Esses nós envenenados foram configurados especificamente para enganar a Rede de Verificadores Descentralizados (DVN) da LayerZero enquanto mantinham respostas verdadeiras para outros sistemas de monitoramento, evitando detecção.

A sequência do ataque envolveu um ataque coordenado de DDoS contra um terceiro nó RPC limpo, forçando a DVN a fazer failover para a infraestrutura comprometida. A configuração da ponte da KelpDAO utilizava uma configuração de 1-de-1 na DVN, ou seja, apenas a DVN da LayerZero era necessária para validar mensagens cross-chain. Os nós envenenados confirmaram com sucesso uma transação de queima fabricada na Unichain, que o sistema de retransmissão EndpointV2 propagou para o Adaptador OFT da KelpDAO, acionando a liberação não autorizada de reservas na mainnet.

Após a exploração, o atacante lavou sistematicamente o rsETH roubado através de várias carteiras, depositando fundos como garantia nos mercados Aave V3 na Ethereum e Arbitrum. O atacante garantiu aproximadamente 75.700 WETH na Ethereum e 30.800 WETH na Arbitrum, atingindo rácios de empréstimo-valor próximos de 99% antes que congelamentos a nível de protocolo impedissem novos empréstimos.

Atribuição & Perfil do Atacante

Pesquisadores de segurança e empresas de análise blockchain atribuíram o ataque ao Grupo Lazarus da Coreia do Norte, especificamente ao cluster TraderTraitor. As características operacionais alinham-se com as metodologias documentadas do Lazarus: táticas de intrusão paciente, manipulação de infraestrutura confiável e mecanismos sofisticados de supressão de detecção. O malware utilizado autodestruiu-se após a exploração, apagando sistematicamente evidências forenses dos sistemas comprometidos.

Resposta do Protocolo & Contenção

Aave respondeu em horas congelando os mercados rsETH nas implantações V3 e V4, incluindo a integração SparkLend. O protocolo atualmente enfrenta aproximadamente $177 milhões em dívidas ruins, concentradas principalmente na Arbitrum. O Valor Total Bloqueado no ecossistema Aave caiu de $26 bilhões para $18 bilhões, representando saídas de $8 a $14 bilhões à medida que provedores de liquidez retiraram capital.

A contaminação estendeu-se além da Aave, com mais de 15 protocolos implementando pausas emergenciais na ponte. Pools de empréstimo WETH atingiram taxas de utilização de 100%, criando riscos de liquidação secundária para posições alavancadas. A KelpDAO colocou endereços exploradores na lista negra e afirma ter evitado tentativas adicionais de ataque no valor de $95 milhões.

Análise da Causa Raiz em Disputa

Existe uma disputa significativa entre a KelpDAO e a LayerZero quanto à responsabilidade fundamental. A LayerZero sustenta que a configuração de 1-de-1 na DVN da KelpDAO divergiu das práticas de segurança recomendadas, enfatizando que o próprio protocolo não continha vulnerabilidades e que o incidente foi isolado à infraestrutura rsETH. A LayerZero subsequentemente corrigiu os sistemas DVN e RPC afetados.

A KelpDAO contra-argumenta que a documentação padrão e as configurações de início rápido da LayerZero recomendavam a configuração 1-de-1, defendendo que o provedor de infraestrutura é responsável pela segurança dos nós RPC. Ambas as partes concordam que nenhum bug em contratos inteligentes foi explorado; a causa raiz centra-se nas suposições de confiança dentro de configurações de ponto único de falha.

Implicações para a Segurança DeFi

O incidente expõe vulnerabilidades críticas nas arquiteturas de pontes cross-chain, especialmente no que diz respeito à segurança da infraestrutura RPC. Os nós RPC emergiram como um elo fraco sistêmico, com a maioria dos protocolos dependendo de um conjunto limitado de provedores sem diversificação adequada de failover. A exploração demonstra que mesmo sistemas sofisticados de múltiplos assinantes e verificação podem ser comprometidos quando as fontes de dados subjacentes são envenenadas.

Analistas da indústria recomendam a implementação imediata de configurações multi-DVN, redes diversificadas de provedores RPC e sistemas de auditoria de configuração em tempo real. A arquitetura modular de segurança do LayerZero limitou o raio de impacto especificamente ao rsETH, sem afetar outros contratos OFT ou OApp, sugerindo que frameworks de mensagens cross-chain podem manter resiliência mesmo durante ataques direcionados à infraestrutura.

Status Atual & Esforços de Recuperação

A governança da Aave está atualmente debatendo mecanismos de socialização de dívidas para lidar com a situação de dívidas ruins. A KelpDAO, LayerZero e Aave estabeleceram canais de coordenação para operações de recuperação. O coletivo de segurança blockchain Seal-911 está monitorando ativamente os movimentos de fundos, com partes dos ativos roubados identificados passando por Tornado Cash e outros protocolos de ofuscação. Canais de negociação com whitehats permanecem abertos, embora nenhuma recuperação tenha sido confirmada até o momento.

O ataque estabelece um novo recorde para hacks DeFi de 2026, superando o incidente do $285 milhões do Drift Protocol de 1 de abril. O incidente reforça as preocupações contínuas sobre a segurança das pontes como principal vetor de ataque em DeFi, com a infraestrutura cross-chain permanecendo a fronteira de segurança mais contestada do ecossistema.

#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews