Um invasor drenou 116.500 rsETH da ponte LayerZero do Kelp DAO, desencadeando congelamentos de emergência em nove protocolos e uma queda de US$ 6 bilhões no TVL do Aave.
O Kelp DAO, um protocolo de liquid restaking com US$ 1,57 bilhão em TVL, perdeu aproximadamente US$ 293 milhões em 18 de abril após um invasor explorar uma falha em sua ponte cross-chain alimentada por LayerZero, tornando-o o maior exploit DeFi de 2026.
O invasor forjou uma mensagem cross-chain através da camada de mensagens do LayerZero, enganando a ponte do Kelp para acreditar que uma instrução válida havia chegado de outra rede. A ponte então liberou 116.500 rsETH, aproximadamente 18% da oferta circulante total do token, para um endereço controlado pelo invasor.
Em poucos minutos, os rsETH roubados foram depositados como garantia no protocolo de empréstimos do Aave, onde o invasor tomou emprestado mais de US$ 200 milhões em wrapped ether antes que a comunidade detectasse a garantia sem lastro. O Kelp ativou os controles de emergência aproximadamente 46 minutos após o exploit inicial, congelando depósitos, saques, funções de oracle e o próprio token rsETH.
Os danos se estenderam muito além do Kelp. Pelo menos nove protocolos DeFi correram para congelar mercados ou implementar medidas de controle de danos. O Aave registrou uma queda de US$ 6 bilhões no valor total bloqueado, e seu token AAVE caiu 16% enquanto os traders precificavam o risco de garantias sem lastro nos pools de empréstimos do protocolo.
O exploit destaca vulnerabilidades persistentes na infraestrutura de pontes cross-chain. Apesar de anos de hacks de pontes de alto perfil, a camada de mensagens do LayerZero, que sustenta a interoperabilidade de dezenas de protocolos, provou ser suscetível a instruções forjadas. O incidente levanta novas questões sobre como os protocolos de liquid restaking gerenciam a segurança das pontes à medida que expandem para múltiplas chains.
Analistas sugerem que o caminho de recuperação mais realista envolve negociar uma recompensa de 10-15% com o hacker para devolver a maior parte dos fundos roubados. O Kelp DAO afirma estar trabalhando com LayerZero, auditores e empresas de segurança para investigar a causa raiz. O fundador do Aave, Stani Kulechov, confirmou que os contratos inteligentes do Aave não foram comprometidos, mas os mercados de rsETH no V3 permanecem congelados até a resolução.
Esta é uma história em desenvolvimento. O Kelp DAO pediu aos usuários que sigam apenas os canais oficiais para atualizações enquanto os esforços de recuperação continuam.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Aviso Legal: O conteúdo de notícias é apenas para fins informativos e não deve ser considerado aconselhamento financeiro. As condições de mercado podem mudar rapidamente. Sempre conduza sua própria pesquisa.
