O ataque que levou embora uns US$ 292 milhões (mais ou menos R$ 1,4 bilhão) do projeto DeFi KelpDAO no fim de semana foi, “tudo indica”, coisa do famoso Grupo Lazarus, da Coreia do Norte, mais precisamente da divisão TraderTraitor. Isso foi o que a LayerZero comentou numa análise preliminar divulgada nessa segunda (20).

Os hackers surrupiaram cerca de 116.500 rsETH — um tipo de token de restaking que é lastreado em ether — direto da ponte do KelpDAO no sábado. Isso acabou causando um efeito dominó no mercado DeFi, puxando saques gigantescos que passaram de US$ 10 bilhões no protocolo de empréstimos Aave.

Segundo os especialistas, esse ataque teve cara de operação bem organizada, quase como se fosse coisa de “Estado grande” por trás, e tudo aponta mesmo pro grupo Lazarus, com a subunidade TraderTraitor sendo a mais suspeita. Esse grupo já é conhecido por meter a mão em várias treta grande de cripto, tipo Axie Infinity, Ronin Bridge e WazirX.

O pessoal que estuda esses ataques lembra que as operações cibernéticas da Coreia do Norte ficam dentro de um órgão chamado Escritório Geral de Reconhecimento, que ainda tem outras divisões além do TraderTraitor.

A LayerZero também apontou que o problema da KelpDAO foi estrutural: a ponte usava só um verificador pra autorizar as transferências. Eles até já tinham avisado que isso era arriscado, mas não mudaram.

Na visão de especialistas em segurança, isso foi basicamente um “ponto único de falha”. Ou seja, bastou comprometer uma peça só pra abrir a porteira do sistema.

Teve até momento crítico: os atacantes quase levaram mais US$ 100 milhões, mas foram travados a tempo por uma lista negra emergencial.

E mesmo com suspeitas fortes apontando pro Lazarus, nem todo mundo confirma oficialmente essa autoria. Alguns analistas dizem que ainda não dá pra cravar 100%.

No fim das contas, o ataque mostrou mais uma vez como, no DeFi, se a estrutura tiver um elo fraco, o estrago pode ser grande demais — igual porteira aberta no meio do pasto.$ETH ,$RONIN ,$AAVE