#KelpDAOBridgeHacked KelpDAO rsETH Ponte Exploração: A Maior Hack de DeFi de 2026

Em 18 de abril de 2026, a KelpDAO, um proeminente protocolo de restaking líquido com mais de 1,3 mil milhões de dólares em valor total bloqueado (TVL) antes do incidente, sofreu uma exploração catastrófica direcionada à sua infraestrutura de ponte entre cadeias. O ataque resultou no roubo de aproximadamente 116.500 tokens rsETH, avaliados em cerca de 292-294 milhões de dólares na altura da violação, tornando-se a maior exploração de finanças descentralizadas de 2026 até à data.
O Vetor de Ataque
A exploração visou a ponte rsETH da KelpDAO alimentada pelo protocolo de mensagens entre cadeias LayerZero. Os atacantes identificaram e exploraram uma vulnerabilidade crítica na função lzReceive do EndpointV2 do LayerZero. A metodologia envolveu o registo de um peer de testnet usando Unichain EID 30320 e a exploração de uma configuração de Verificador Descentralizado (DVN) de 1-de-1. Isto permitiu ao atacante criar e transmitir uma mensagem fraudulenta entre cadeias que contornou os protocolos de validação padrão, desencadeando a libertação não autorizada de rsETH do cofre sem ativos de respaldo legítimos.
O rsETH roubado representou aproximadamente 18% do fornecimento total em circulação do token, causando preocupações sistémicas imediatas em todo o ecossistema DeFi.
Contágio entre Protocolos e Crise de Dívida Ruim
Em vez de manter os ativos roubados, o atacante rapidamente utilizou o rsETH não respaldado como colateral em múltiplos protocolos de empréstimo, criando um cenário de dívida má em cascata:
- Aave V3 (Ethereum): -52.834 WETH emprestados
- Aave V3 (Arbitrum): -29.782 WETH mais 821 wstETH emprestados
- Compound V3 e Euler: Empréstimos adicionais de 23 a 59 milhões de dólares
A dívida má total nos protocolos afetados ultrapassou $200 milhão, à medida que o colateral rsETH se tornou efetivamente sem valor após a pausa do protocolo. Isto marcou o incidente não apenas como uma exploração de ponte, mas como um evento de contágio entre protocolos que testou a resiliência da arquitetura interligada do DeFi.
Impacto Imediato no Mercado
A exploração provocou reações de mercado significativas e respostas de emergência a nível de protocolo:
- O TVL da Aave caiu mais de $7 bilhão devido a retiradas massivas de ETH, com taxas de utilização atingindo 100% nos mercados afetados
- Quedas no token nativo: $AAVE caiu aproximadamente 20%, enquanto $ZRO (LayerZero) caiu cerca de 30%
- Congelamentos de emergência no mercado implementados na Aave V3, V4, SparkLend, Fluid e Upshift para colateral rsETH
- A Lido Earn suspendeu depósitos earnETH devido a preocupações com exposição a rsETH
- Vários projetos que utilizam pontes LayerZero iniciaram pausas de precaução
Riscos secundários emergiram, incluindo possíveis falhas na liquidação de ETH, complicações nos incentivos de empréstimo USDT e exposição concentrada de dívida má na implementação da Aave no Arbitrum, que pode não possuir uma cobertura abrangente de proteção Umbrella.
Resposta de Emergência e Estado Atual
A equipa de segurança da KelpDAO respondeu em aproximadamente uma hora após a deteção, implementando uma pausa em todo o protocolo às 18:21 UTC de 18 de abril. Esta resposta rápida conseguiu bloquear duas tentativas subsequentes de ataque. A equipa emitiu declarações oficiais confirmando a sua abertura a negociações de white-hat e está a realizar uma análise abrangente da causa raiz em colaboração com LayerZero, Unichain e auditores externos.
A governança da Aave iniciou discussões sobre o deployment de tesouraria e possíveis empréstimos para cobrir défices identificados, com propostas incluindo aumentos na taxa de ETH slope2 para gerir o stress do protocolo. Segundo a análise da Chaos Labs, aproximadamente $177 milhão de dívida má foi liquidado, embora a exposição no Arbitrum permaneça por resolver.
Investigadores de blockchain, incluindo ZachXBT, rastrearam os fundos roubados até Tornado Cash, sem relatos de recuperação bem-sucedida até ao momento. Os analistas projetam cortes de 15-20% para os detentores de rsETH bridged, com a KelpDAO a considerar mecanismos de socialização de perdas ou estratégias de priorização de detentores na mainnet.
Implicações para a Indústria
Este incidente representa um ponto de inflexão crítico para a segurança de pontes entre cadeias e a composabilidade do token de restaking líquido (LRT). O exploit destaca vulnerabilidades fundamentais nos parâmetros de segurança configuráveis das pontes, particularmente os riscos associados às configurações simplificadas de DVN. O evento intensificou o escrutínio sobre os padrões de segurança da arquitetura de pontes e os riscos sistémicos colocados por protocolos DeFi altamente interligados.
A violação da KelpDAO supera o recorde anterior de 2026, detido pelo exploit de $280-285 milhões do Drift Protocol em 1 de abril, sublinhando uma tendência alarmante de ataques cada vez mais sofisticados direcionados a infraestruturas complexas entre cadeias. Com mais de 1,2 mil milhões de dólares em perdas de criptomoedas registadas em abril de 2026, incluindo o ataque de sequestro de domínio CoW Swap, a indústria enfrenta uma crescente pressão para reforçar a infraestrutura de segurança e implementar quadros de gestão de risco entre protocolos mais robustos.
Os utilizadores afetados e participantes do mercado são aconselhados a monitorizar os canais oficiais da KelpDAO e Aave para atualizações contínuas sobre os esforços de recuperação de fundos, quadros de compensação e prazos de reabertura do protocolo.
#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit