Aqui está uma análise completa da exploração do KelpDAO e do congelamento do Arbitrum: A Exploração (18 de abril de 2026)

#KelpDAOExploitFreeze Aqui está uma análise completa da exploração do KelpDAO e do congelamento do Arbitrum:
A Exploração (18 de abril de 2026)
Em 18 de abril, por volta das 17:35 UTC, atacantes exploraram uma vulnerabilidade na ponte cross-chain alimentada pelo LayerZero do Kelp DAO, drenando 116.500 rsETH no valor aproximado de $292 milhões — cerca de 18% da oferta circulante do token. O hack envolveu a falsificação de uma mensagem cross-chain através do contrato EndpointV2 do LayerZero, enganando a ponte para liberar rsETH não lastreado sem uma queima correspondente na cadeia de origem. Isso foi possibilitado por uma configuração fraca de 1-de-1 DVN (Rede de Verificação de Dados), criando um único ponto de falha.  (Crypto Times)
A Kelp usou sua multisig de emergência para congelar contratos principais de rsETH cerca de 46 minutos após o dreno, bloqueando mais de US$ 100M adicionais de serem retirados.  (CoinDesk)
Contágio DeFi
O atacante depositou os tokens rsETH falsos e sem lastro em protocolos de empréstimo — principalmente Aave — para pegar ETH real e outros ativos contra eles. Nas 24 horas após o hack, as baleias retiraram mais de US$ 6 bilhões do Aave, empurrando grandes pools como ETH, USDT e USDC para 100% de utilização e efetivamente prendendo os fundos dos depositantes restantes.  (CoinDesk) O Aave congelou os mercados de rsETH no V3 e V4, o SparkLend e o Fluid congelaram seus mercados de rsETH, e a Lido Finance pausou novos depósitos em seu produto earnETH devido à exposição ao rsETH.  (CoinDesk)
O Congelamento do Arbitrum
O Conselho de Segurança do Arbitrum congelou 30.766 ETH no valor de aproximadamente US$ 71 milhões, movendo fundos ligados ao exploit para uma wallet intermediária acessível apenas por meio de mais ações de governança do Arbitrum. A ação de emergência foi tomada com a contribuição da lei e sem afetar outros usuários ou aplicações do Arbitrum.  (CoinDesk)
Resposta do Hacker & Atribuição
Após o congelamento do Arbitrum, o explorador moveu os 75.701 ETH restantes (US$ 175M) para a mainnet do Ethereum e começou a lavar os fundos — fazendo a ponte de ativos roubados em pequenos lotes para bitcoin via Thorchain, Umbra Cash e Chainflip. A LayerZero atribuiu o ataque ao Lazarus Group da Coreia do Norte e sua subunidade Trader Traitor, citando táticas onchain e operacionais consistentes com campanhas patrocinadas pelo estado anteriores.  (Bitcoin News)
O Debate sobre Centralização
A intervenção do Arbitrum gerou um debate na comunidade DeFi, com críticos argumentando que expõe o Arbitrum como efetivamente uma carteira multisig capaz de congelar fundos unilateralmente — indo contra a ética de descentralização do DeFi.  (Crypto Times)
Contexto Mais Amplo
O hack do KelpDAO empurrou as perdas totais do DeFi acima de US$ 600 milhões em três semanas, enquanto o valor total bloqueado do ecossistema caiu 25% para US$ 82,4 bilhões.  (Bitcoin News) A disputa Kelp/LayerZero sobre quem arca com a responsabilidade pelo hack — e como as perdas restantes serão socializadas — está em andamento.