#Gate13周年现场直击

A MAIOR EXPLOIT DEFI DE 2026 ACABOU DE ACONTECER E AS CONSEQUÊNCIAS AINDA SE ESPALHAM.

Em 18 de abril de 2026, às 17h35 UTC, um atacante drenou 116.500 tokens rsETH, no valor de aproximadamente $292 milhões, da ponte cross-chain alimentada pelo LayerZero do Kelp DAO. O valor roubado representa cerca de 18 por cento de todo o fornecimento circulante de rsETH, que é de 630.000 tokens, e o exploit foi agora oficialmente confirmado como o maior hack DeFi de 2026. Isso não foi um ataque aleatório de destruição e roubo. Foi um ataque de infraestrutura de precisão, planejado por meses, executado em menos de 46 minutos.

Como o ataque funcionou:
Os atacantes pré-financiaram seis carteiras através do Tornado Cash aproximadamente 10 horas antes do drenamento. Depois, comprometeram dois dos nós RPC que o verificador do LayerZero dependia para confirmar transações cross-chain, substituindo o software do nó por versões maliciosas que reportavam dados falsos de transação ao verificador. Um ataque DDoS simultâneo forçou uma troca de failover que colocou os nós comprometidos na rota de verificação. Com o verificador enganado, a ponte do Kelp liberou 116.500 rsETH para um endereço controlado pelo atacante.
A assinatura múltipla de emergência do Kelp pausou os contratos principais 46 minutos após o drenamento. Duas tentativas subsequentes às 18:26 e 18:28 UTC, cada uma visando outros 40.000 rsETH, no valor de aproximadamente $100 milhões, foram bloqueadas. Os contratos de restaking principais não foram tocados. O exploit foi totalmente isolado à camada da ponte.

A causa raiz: um ponto único de falha
O ataque só funcionou porque o Kelp operava uma configuração de verificador 1-de-1, ou seja, o LayerZero Labs era a única entidade verificando mensagens para e do ponte rsETH. Em uma configuração multi-DVN devidamente reforçada, é necessário consenso entre vários verificadores independentes para aprovar qualquer mensagem cross-chain. Comprometer um nó não seria suficiente para forjar uma instrução válida. A LayerZero afirmou que sua lista de verificação de integração pública e comunicações diretas com o Kelp recomendavam uma configuração multi-verificador com redundância, mas o Kelp optou por manter a configuração 1-de-1.

O Kelp está contestando essa versão. Uma fonte familiarizada com a posição do Kelp disse à CoinDesk que, através de um canal de comunicação direto com a LayerZero aberto desde julho de 2024, nenhuma recomendação específica para alterar a configuração DVN do rsETH foi produzida. O guia de início rápido da LayerZero e a configuração padrão no GitHub indicam uma configuração DVN 1-de-1, e aproximadamente 40 por cento dos protocolos na LayerZero atualmente usam a mesma configuração. A disputa pública entre dois grandes provedores de infraestrutura DeFi já virou uma história por si só.

Ator patrocinado pelo Estado: grupo Lazarus
A declaração do incidente da LayerZero diz: "Indicadores preliminares sugerem atribuição a um ator estatal altamente sofisticado, provavelmente o Grupo Lazarus da DPRK, mais especificamente o TraderTraitor." O Grupo Lazarus foi agora vinculado tanto ao exploit do Drift Protocol em 1º de abril quanto ao ataque ao Kelp em 18 de abril, ou seja, a mesma unidade norte-coreana drenou mais de $575 milhões do DeFi em 18 dias por meio de dois vetores de ataque estruturalmente diferentes: engenharia social para governança no Drift, e envenenamento de RPCs de infraestrutura no Kelp. A LayerZero entrou em contato com várias agências de aplicação da lei globalmente e está colaborando com a Seal911 para rastrear os fundos roubados.

A contaminação: aave, TVL e dívida ruim
O atacante depositou os rsETH roubados na Aave V3 como garantia e tomou emprestado ether embrulhado contra ela, deixando aproximadamente $196 milhões em dívida ruim concentrada no par rsETH-WETH na Ethereum. O relatório de incidente da Aave descreve dois possíveis resultados: aproximadamente $123 milhões em perdas se o dano for compartilhado entre todos os rsETH, ou até $230 milhões se for confinado às redes Layer 2, dependendo de como o DAO do Kelp aloca a insuficiência.

O valor total bloqueado na Aave caiu para US$ 17,5 bilhões, uma redução de US$ 8,8 bilhões em dois dias. O setor DeFi mais amplo também viu saídas significativas, com o valor total bloqueado em todas as cadeias caindo de mais de $99 bilhões para cerca de $86 bilhões. A SparkLend, Fluid e Lido Finance pausaram seus mercados relacionados ao rsETH. A Ethena desativou suas próprias pontes OFT LayerZero na rede principal Ethereum como precaução, apesar de não ter exposição direta ao rsETH.

O rsETH é implantado em mais de 20 redes, incluindo Arbitrum, Base, Linea, Blast, Mantle e Scroll. Com a reserva da ponte drenada, os detentores de todas as implantações L2 agora enfrentam a incerteza sobre se seus tokens rsETH embrulhados têm respaldo total, criando um ciclo de pressão de resgate que ameaça forçar o Kelp a desfazer posições de restaking no EigenLayer para honrar saques.

O que isso significa para o defi:
Este exploit não é apenas uma história do Kelp DAO. É um aviso estrutural. As pontes cross-chain continuam sendo a superfície mais explorada de forma consistente no DeFi, e esse ataque demonstra que até infraestrutura de mensagens testada em batalha, como a LayerZero, pode ser usada como arma por falhas de configuração na integração. O exploit do Kelp mostra que o Grupo Lazarus da Coreia do Norte está evoluindo além de hacks isolados, mudando rapidamente de engenharia social para explorar fraquezas estruturais na infraestrutura cripto, sugerindo uma campanha sustentada, impulsionada pelo Estado, e não incidentes isolados. Arquitetura multi-verificador, configurações redundantes de RPC e auditorias de segurança independentes das configurações de ponte não são mais boas práticas. Após 18 de abril de 2026, elas se tornam requisitos de sobrevivência.

#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked