A KelpDAO sofreu um ataque de US$ 290 milhões no último sábado (18). Mais especificamente, o ataque afetou o rsETH, uma criptomoeda de restaking líquido de Ethereum.
Embora a cifra seja a semelhante a do hack do Drift Protocol do início do mês, o rsETH é utilizado em diversas outras plataformas de DeFi, o que acabou contaminando todo o setor.
Dados do DeFiLlama apontam que o TVL, métrica utilizada para medir as criptomoedas de usuários nestas plataformas, caiu de US$ 99,5 bilhões para US$ 85,6 bilhões.
Nas redes sociais, a equipe da KelpDAO soltou uma nota curta sobre o incidente.
“Hoje cedo, identificamos atividades cross-chain suspeitas envolvendo o rsETH. Pausamos os contratos de rsETH na mainnet e em diversas L2s enquanto investigamos.”
LayerZero explica o incidente do rsETH da KelpDAO
Um relatório preliminar publicado pela LayerZero sugere que o ataque à KelpDAO foi realizado por hackers norte-coreanos do Grupo Lazarus, mais especificamente pelo TraderTraitor.
“O alvo deste ataque altamente sofisticado foi o envenenamento da infraestrutura de RPC utilizada pela DVN (Decentralized Verified Network) da LayerZero Labs”, explicaram os desenvolvedores.
O texto aponta que a KelpDAO estava utilizando uma única DVN ao invés de múltiplas para criar redundância, o que acabou servindo como um ponto de vulnerabilidade a ser explorado.
Neste caso, os hackers forjaram uma mensagem afirmando que depositaram 116.500 rsETH na rede Ethereum, solicitando a liberação deste mesmo valor na rede Unichain.
Somado a isso, os nós RPC da única DVN utilizada foram comprometidos para validar essa informação falsa, permitindo o roubo desses tokens.
“Este incidente foi isolado inteiramente à configuração de rsETH da KelpDAO como consequência direta de sua configuração de DVN única.”
“A mensagem só era exibida para a DVN, enquanto o nó dizia a verdade explicitamente para qualquer outro endereço IP que fizesse requisições RPC, incluindo nosso serviço Scan. Isso foi cuidadosamente projetado para evitar que o monitoramento de segurança notasse anomalias. O sistema foi feito para se autodestruir assim que o ataque não pudesse mais ser realizado, desativando os RPCs e deletando o binário malicioso e os logs locais”, explica a LayerZero. “Contudo, mesmo isso foi insuficiente para forjar uma mensagem. Nossa configuração de DVN minimiza a confiança e utiliza RPCs internos e externos para redundância. Para completar o ataque, eles realizaram ataques DDoS nos RPCs não comprometidos. O DDoS acionou o failover (migração automática) para os RPCs envenenados. Como resultado dessa manipulação, a instância da DVN operada pela LayerZero Labs confirmou transações que, na verdade, nunca ocorreram.”
— LayerZero (@LayerZero_Core) April 20, 2026
Diversos projetos do setor DeFi foram afetados indiretamente
A perda de US$ 290 milhões pela KelpDAO é a maior do ano no setor DeFi. Somado a isso, o ataque também afetou diversos projetos indiretamente, já que muitos deles utilizam o rsETH.
A Aave, por exemplo, foi utilizada pelos hackers para trocar esses rsETH sem lastro em WETH (wrapped Ethereum). Após isso, os fundos foram retirados da plataforma.
Como consequência, a Aave congelou os mercados de rsETH logo após o incidente, explicando que isso impediria novos depósitos e empréstimos utilizando essa criptomoeda como colateral.
“Estamos revisando informações sobre empréstimos de rsETH na Aave que ocorreram após o exploit e compartilharemos mais detalhes assim que possível”, escreveram os desenvolvedores. “Caso o protocolo acumule dívidas incobráveis (bad debt) devido a este incidente, exploraremos caminhos para compensar o déficit.”
Em outro tuíte, a Aave aponta que as reservas de WETH também continuam congeladas em todos os mercados afetados e que está avaliando possíveis resoluções.
Segundo o DeFiLlama, o setor perdeu cerca de US$ 14 bilhões em TVL (Total Value Locked) desde o incidente, sendo US$ 9 bilhões da própria Aave, refletindo o pânico do mercado.
Somado a isso, o token homônimo da Aave opera em queda de 21,3% em relação ao último sábado.
Já o rsETH da KelpDAO perdeu sua paridade com o Ethereum, negociado com um desconto de ~11% no momento desta redação.
Por fim, essa é uma das maiores crises do setor DeFi nos últimos anos. Isso porque, além das moedas, os projetos também perderam parte da confiança dos investidores.
