Um atacante drenou 116.500 rsETH da bridge LayerZero do Kelp DAO, no maior exploit de DeFi de 2026, acionando congelamentos de emergência em Aave, SparkLend e Fluid.
Kelp DAO perdeu $292 milhões em rsETH após um atacante explorar uma vulnerabilidade na bridge cross-chain alimentada por LayerZero do protocolo, tornando-se o maior exploit de DeFi de 2026.
Em 18 de abril, um atacante manipulou a camada de mensagens cross-chain do LayerZero para enganar a bridge do Kelp DAO e liberar 116.500 rsETH, aproximadamente 18% da oferta circulante do token. A drenagem ocorreu às 17:35 UTC através de uma chamada à função lzReceive no contrato EndpointV2 do LayerZero, que acionou a bridge para liberar fundos para um endereço controlado pelo atacante.
O multisig de pausa de emergência do Kelp congelou os contratos principais do protocolo 46 minutos depois, às 18:21 UTC. Duas tentativas subsequentes às 18:26 e 18:28 UTC, cada uma carregando pacotes do LayerZero para outros 40.000 rsETH no valor de aproximadamente $100 milhões, foram bloqueadas pelo congelamento. O atacante usou Tornado Cash para financiar a carteira inicial e depois colateralizou o rsETH roubado no Aave V3 para emprestar ETH e WETH antes de rotear os fundos novamente através do Tornado Cash.
O exploit é o maior incidente de segurança em DeFi este ano, superando o hack do protocolo Drift por vários milhões de dólares. Mais criticamente, a drenagem afetou as reservas de rsETH apoiando o token em mais de 20 redes, levantando questões sobre a solvência do rsETH em cadeias de camada 2.
Aave, SparkLend, Fluid e Upshift congelaram mercados relacionados a rsETH dentro de horas como precaução. O preço do token AAVE caiu aproximadamente 10% após o incidente. O episódio adiciona pressão fresca ao debate de segurança de bridges cross-chain, que tem sido um ponto fraco recorrente para DeFi desde os exploits do Wormhole e Ronin de anos anteriores. O investigador on-chain ZachXBT sinalizou o exploit cedo e rastreou os movimentos do atacante em todos os mercados de empréstimo de DeFi no Ethereum.
Kelp DAO ainda não divulgou um post-mortem ou revelou se um plano de recuperação está em andamento. As questões-chave agora são se o protocolo pode negociar uma devolução de fundos, como alguns exploradores fizeram no passado, e como Aave e outros protocolos de empréstimo lidarão com a possível inadimplência criada pelas posições de empréstimo do atacante. O modelo de segurança do LayerZero também está sob escrutínio, pois o ataque explorou a camada de mensagens em vez dos próprios contratos inteligentes do Kelp.
Esta é uma história em desenvolvimento. O exploit de $292 milhões do Kelp DAO destaca riscos persistentes na infraestrutura de bridges cross-chain, enquanto o ecossistema de DeFi mais amplo continua crescendo. Os usuários afetados devem monitorar os canais oficiais do Kelp DAO para atualizações sobre os esforços de recuperação de fundos.
Aviso Legal: O conteúdo de notícias é apenas para fins informativos e não deve ser considerado aconselhamento financeiro. As condições de mercado podem mudar rapidamente. Sempre conduza sua própria pesquisa.
