#KelpDAOBridgeHacked

HACK DA PONTE KELPDAO: A CATÁSTROFE DE $292 MILHÕES ENTRE CADENAS QUE EXPÔS A TALHANTE DEFI

Imagine acordar numa tarde de sábado e descobrir que quase $300 milhões desapareceram no ar — não por uma vulnerabilidade complexa de contrato inteligente, mas por uma mensagem simples que mentiu. Isso foi exatamente o que aconteceu em 18 de abril de 2026, quando a ponte entre cadeias do KelpDAO foi vítima do maior hack DeFi do ano, com atacantes drenando 116.500 rsETH, avaliado em aproximadamente $292 milhões, em apenas 46 minutos, enviando ondas de choque por todo o ecossistema de finanças descentralizadas e deixando ether encapsulado preso em 20 blockchains diferentes. O ataque não foi apenas sofisticado — foi cirúrgico. Os perpetradores, posteriormente atribuídos ao infame Grupo Lazarus da Coreia do Norte, passaram de 8 a 10 horas preparando sete carteiras novas financiadas através do Tornado Cash, preparando o palco para o que se tornaria uma aula magistral de exploração entre cadeias. Por volta das 17h35 UTC, eles atacaram a ponte do KelpDAO, alimentada pelo LayerZero, que dependia de uma configuração perigosamente centralizada de uma rede de verificação descentralizada de 1 de 1 (Rede de Verificadores Descentralizada) — um ponto único de falha que os atacantes claramente identificaram como seu ponto de entrada. Ao comprometer dois nós RPC do LayerZero e DDoS de um terceiro para forçar a troca para sua infraestrutura envenenada, os hackers injetaram mensagens falsificadas entre cadeias que enganaram a ponte, fazendo-a acreditar que queimas legítimas tinham ocorrido nas cadeias de origem, levando o contrato a liberar rsETH não lastreado das reservas do Ethereum diretamente para carteiras controladas pelos atacantes. A genialidade da exploração não residiu em quebrar o código, mas em manipular as suposições de confiança das quais toda a arquitetura entre cadeias dependia — em seis minutos após o início do roubo, o rsETH roubado já estava sendo lavado pelo ecossistema DeFi, depositado como garantia no Aave V3 e V4, Compound, Euler e Morpho para emprestar aproximadamente $236 milhões em ETH e WETH antes que alguém pudesse reagir. A contaminação foi imediata e brutal: o Aave congelou seus mercados de rsETH em poucas horas, revelando estimativas de dívidas ruins entre $123 milhões e $230 milhões, enquanto o token AAVE despencou 23% e os mercados principais atingiram 100% de utilização, com usuários em pânico correndo para retirar fundos. Mas a verdadeira história aqui não é apenas o roubo — é o jogo de culpas que se seguiu, com o LayerZero insistindo que seu protocolo não tinha bugs e apontando o dedo à configuração de DVN de 1 de 1 do KelpDAO como culpada, enquanto o KelpDAO retrucava que 1 de 1 era a configuração padrão documentada do LayerZero desde janeiro de 2024 e que sua infraestrutura RPC havia sido comprometida, observando que aproximadamente 40% dos protocolos usam configurações semelhantes sem alertas prévios sobre vulnerabilidades. Os dados contam uma história assustadora: a análise do Dune revelou que 47% de aproximadamente 2.665 aplicativos do LayerZero atualmente usam configurações de 1 de 1, significando que milhares de protocolos podem estar sentados em bombas-relógio semelhantes. As consequências se estenderam muito além do KelpDAO, com o TVL de DeFi sangrando mais de $600 milhões em duas semanas e de $8 a $10 bilhões fugindo do Ethereum e das L2s nas 48 horas seguintes ao incidente, enquanto a comunidade cripto confrontava uma verdade desconfortável — as pontes entre cadeias continuam sendo o elo mais fraco do DeFi, não por bugs em contratos inteligentes, mas por riscos de infraestrutura como envenenamento de RPC que a maioria dos usuários nunca considera. Este ataque representa uma mudança de paradigma na forma como devemos pensar sobre segurança de pontes: não foi uma exploração de código, mas uma falha de segurança operacional, um lembrete de que, no mundo da interoperabilidade entre cadeias, a camada de verificação de mensagens é tão forte quanto seu componente mais centralizado. A metodologia do Grupo Lazarus aqui espelha seus roubos anteriores, combinando intrusão paciente, manipulação de confiança e supressão de detecção em um pacote devastador que contornou todas as suposições tradicionais de segurança. Para usuários comuns de DeFi, as lições são claras e imediatas: ao fazer pontes de ativos entre cadeias, você não está apenas confiando no contrato inteligente — está confiando em toda a infraestrutura de verificação, nos nós RPC, nas configurações de DVN e na segurança operacional de cada componente dessa cadeia. A resposta do KelpDAO incluiu pausar contratos, colocar na lista negra exploradores e bloquear mais $95 milhões em drenagens adicionais, mas o dano à confiança já tinha sido feito. Enquanto a indústria lida com esse alerta, a pressão por configurações multi-DVN e redes de verificação diversificadas acelerou, com o LayerZero anunciando que deixará de suportar configurações de 1 de 1 completamente. Ainda assim, a questão mais ampla permanece sem resposta: se quase metade de todas as aplicações do LayerZero usam configurações vulneráveis, quantos outros KelpDAOs estão à espera de serem explorados? A questão de $292 milhões não é apenas sobre recuperar fundos roubados — trata-se de se o DeFi pode amadurecer além de sua adolescência de infraestrutura antes que o próximo Grupo Lazarus bata à porta.