Quando uma única assinatura mal configurada é tudo que é necessário para criar $292 milhões em tokens do nada, a premissa inteira das finanças sem confiança parece muito mais instável do que o nome sugere.
Como o Ataque Funcionou
No dia 18 de abril de 2026, um atacante explorou uma vulnerabilidade na ponte cross-chain da KelpDAO - alimentada pelo LayerZero - para drenar 116.500 tokens rsETH avaliados em aproximadamente $292 milhões. Isso representa cerca de 18% do suprimento circulante total de rsETH, conjurado a partir de uma falha que não estava no próprio protocolo do LayerZero, mas em como a Kelp o configurou.
A configuração dependia de um único ponto de verificação para autorizar mensagens cross-chain. O atacante o encontrou, explorou-o, e uma mensagem passou que não deveria. "Uma assinatura e 116.500 rsETH apareceram do nada na Ethereum," como os pesquisadores descreveram mais tarde. Esses tokens foram então usados como colateral para pegar ativos reais - principalmente da Aave - e drenados antes que o protocolo pudesse pausar.
Impressões do Grupo Lazarus
Dentro de três dias da violação, a empresa de análise de blockchain Chainalysis atribuiu o ataque ao Grupo Lazarus da Coreia do Norte, com base em padrões de uso de mixer e métodos de dispersão de fundos que combinam com o estilo operacional conhecido do grupo. A atribuição é consistente com o histórico do Lazarus de atacar protocolos DeFi - eles têm sido os ladrões on-chain mais prolíficos por vários anos.
A escala da perda torna isso o maior exploit DeFi de 2026, superando o hack da Drift por alguns milhões de dólares. As perdas cumulativas do DeFi este ano agora ultrapassaram $770 milhões em mais de 30 incidentes - um número difícil de contornar como a dor de crescimento de uma indústria em amadurecimento.
DeFi Monta um Resgate
O que se seguiu foi, dependendo da sua perspectiva, uma impressionante demonstração de coordenação ou um lembrete de que a rede de segurança no DeFi é totalmente informal.
A Aave convocou uma coalizão chamada "DeFi United," reunindo Lido Finance, EtherFi e outros protocolos principais para apresentar ETH para cobrir a falta deixada nas pools de empréstimos da Aave. Em 21 de abril, o Conselho de Segurança da Rede Arbitrum congelou 30.766 ETH - cerca de $71 milhões - pertencentes ao atacante, recuperando cerca de 25% dos ativos roubados. O Standard Chartered publicou uma nota chamando a resposta do setor de sinal de resiliência. A comunidade cripto mais ampla foi menos moderada, com alguns declarando o DeFi morto de forma absoluta.
O Que Precisa Mudar
A análise pós-morte da CoinDesk publicada no sábado aponta as bridges cross-chain como o elo mais fraco e persistente do DeFi - um problema que a indústria está ciente desde os exploits das bridges Wormhole e Ronin anos atrás. O padrão é consistente: a complexidade das bridges cria superfícies de ataque, e os incentivos para lançar rapidamente tendem a superar os incentivos para auditar cuidadosamente.
A parte mais desconfortável deste incidente é que não foi um zero-day sofisticado. Foi um erro de configuração. A infraestrutura da LayerZero funcionou como projetada - o problema foi como a Kelp a implementou. Essa é uma questão muito mais difícil de resolver apenas com auditorias, porque significa que qualquer protocolo que utilize infraestrutura compartilhada precisa verificar não apenas o código, mas cada parâmetro que governa como as mensagens cross-chain são confiáveis e validadas.
KelpDAO e Aave ainda estão trabalhando na recuperação. O Grupo Lazarus, por sua vez, tem aproximadamente $292 milhões em ativos para lavar. Algumas coisas no cripto se movem mais rápido que outras.
---------------
Autor: Ryan Gardner, Escritório de Notícias do Vale do Silício
Assine o GCP em um leitor