No dia 20 de abril, o protocolo descentralizado Kelp DAO foi alvo de um grande ataque hacker, com perdas que ultrapassaram 300 milhões de dólares. Já nas primeiras horas após o incidente, ficou claro que este era um dos maiores roubos no setor DeFi dos últimos anos. Neste artigo, vamos analisar o que se sabe até hoje e examinar detalhadamente o andamento da investigação durante os primeiros 18 dias após o hack.
Se nas primeiras horas após o incidente o quadro de eventos era fragmentado, nas dez dias seguintes a investigação se enriqueceu com uma quantidade significativa de detalhes técnicos e fatos.
Ataque 1
Fase 1
Ataque inicial
Continuou por um minuto.
O ponto de entrada escolhido foi o adaptador cross-chain rsETH baseado na infraestrutura LayerZero. A invasão ocorreu devido à compromissão da infraestrutura dos nós RPC. Para isso, foi utilizada uma falha arquitetônica. A infecção de todo o sistema começou com um único identificador comprometido.
Fase 2
Área dos principais eventos
Após a invasão do sistema, os malfeitores utilizaram um esquema astuto: enviaram uma mensagem falsificada sobre o 'bloqueio' bem-sucedido de fundos.
Para aqueles que não estão familiarizados com a arquitetura DeFi, neste contexto, 'bloqueio' não funciona como um congelamento de conta, mas como uma confirmação de depósito. Em condições normais, o processo se parece com isto:
Etapa 1
Você deposita um ativo (por exemplo, $100). O sistema registra o recebimento dos fundos e 'bloqueia' eles em seu armazenamento como garantia.
Etapa 2
Somente após o bem-sucedido primeiro estágio, um processo automático de emissão de novos tokens é iniciado, que o usuário recebe.
Foi exatamente essa lógica que os hackers usaram. Eles fizeram o sistema acreditar que a primeira etapa foi concluída com sucesso, embora ativos reais não tenham sido depositados. Ao aceitar a mensagem falsificada como legítima, o protocolo emitiu erroneamente 116.500 rsETH sem qualquer colateral real. Graças à integração com a tecnologia LayerZero, os malfeitores conseguiram espalhar esse impacto instantaneamente em várias blockchains. Isso permitiu que eles retirassem fundos de mais de 20 redes, incluindo Arbitrum, Base, Linea e outros, transformando o erro de um protocolo em uma perda massiva de liquidez em todo o ecossistema.
Fase 3
Saída e legalização
Recebendo milhares de tokens ilíquidos rsETH (que na verdade não tinham colateral real), os hackers os utilizaram como garantia em protocolos de crédito, incluindo Aave.
Como isso funciona (em palavras simples):
Imagine um penhor convencional. Se você levar uma pintura lá, o avaliador a examina cuidadosamente em tempo real antes de liberar o dinheiro. No entanto, os protocolos de crédito em criptomoeda são sistemas automáticos que funcionam com algoritmos predefinidos. Os hackers 'trouxeram' para esse penhor digital obras de arte falsificadas (rsETH ilíquidos). Como o sistema aceitou esses tokens como legítimos, ele automaticamente liberou em troca deles fundos líquidos reais — Ethereum (WETH). Os malfeitores obtiveram criptomoeda real, deixando para o protocolo nada mais que 'papel pintado' sem valor. Para apagar completamente os rastros, os fundos obtidos foram rapidamente dispersos entre centenas de endereços anônimos. Isso tornou o processo de rastreamento e recuperação de ativos uma tarefa extremamente difícil para os analistas.
Contramedidas
Os administradores do Kelp DAO ativaram a 'parada de emergência' para todos os contratos inteligentes, a fim de evitar mais retiradas de fundos. O ataque afetou pelo menos 9 protocolos adjacentes, e a equipe começou uma sincronização urgente com outras plataformas DeFi para isolar os pools de liquidez danificados.
Nos primeiros minutos, equipes de cibersegurança foram ativadas, incluindo:
Cyvers:
Um dos primeiros a identificar atividade anômala e confirmar o fato da invasão.
Halborn
Publicou um relatório técnico detalhado, explicando a razão da invasão — uma vulnerabilidade na configuração do verificador da ponte cross-chain.
PeckShield
Direcionaram forças para a análise de transações.
Chainalysis e Elliptic
Rastreamento de ativos roubados.
Após as primeiras contramedidas, parecia que essa história seguiria um caminho lógico de investigação, comunicação, etc. No entanto, 20 minutos depois, ocorreu algo que poderia elevar esse roubo a um nível ainda mais alto de categorização das consequências.
Ataque 2
Apesar das contradições após os eventos mencionados, o sistema foi comprometido e os hackers desferiram um novo golpe.
O ponto de entrada foram os mesmos nós RPC comprometidos.
Nesse momento, os principais contratos inteligentes já estavam congelados pelas equipes de defesa, e um novo caminho foi escolhido para o ataque. Um novo pacote de dados foi enviado com uma confirmação falsa de 'queima' de tokens em uma das redes. A ideia principal era tentar fazer a ponte emitir um novo lote de rsETH não garantido em outra rede.
Conceito em palavras simples:
Ao enviar 100 moedas de uma rede para outra, é possível destacar várias fases.
Fase 1
A rede de onde as moedas foram enviadas registra sua queima condicional, formando essencialmente um bloco de dados que atua, de certa forma, como um recibo. Ela diz diretamente: solicitação gerada para transferência de uma certa quantidade de moedas.
Fase 2
Se essas forem redes conectadas, de acordo com os algoritmos de verificação, a outra rede começa a aceitar dados. Se a verificação já foi realizada em outra rede, a emissão das mesmas 100 moedas é iniciada. Os hackers enviaram uma mensagem falsa sobre a conclusão bem-sucedida da fase 1, que na verdade nunca ocorreu. Em caso de sucesso, teríamos recebido entre 95 a 105 milhões de dólares na forma de rsETH.
Contramedidas das equipes de segurança
Além de concentrar esforços nas consequências do ataque anterior, parte das equipes protegeu o 'perímetro'. Como resultado da divisão bem-sucedida de forças, o conselho de segurança da Arbitrum bloqueou a tentativa de retirada de fundos ao nível dos contratos inteligentes, e o ataque falhou.
Quem está por trás do ataque
Nenhuma acusação formal foi feita a indivíduos ou grupos estatais. O principal suspeito no ataque em larga escala ao Kelp DAO, que ocorreu em abril de 2026, é o grupo de hackers norte-coreano Lazarus Group (especialmente sua divisão TraderTraitor). Relatórios anteriores da LayerZero Labs, bem como análises de empresas como Chainalysis, Halborn e do detetive de blockchain ZachXBT, apontam para o Lazarus Group como o executor mais provável.
A investigação da invasão do Kelp DAO, que ocorreu em abril de 2026, uniu equipes internacionais de cibersegurança, autoridades policiais e grupos de resposta rápida especializados em blockchain. Como o ataque está associado ao grupo norte-coreano Lazarus Group (incluindo a subgrupo TraderTraitor), a investigação possui um caráter global.
Principais equipes de investigação
Equipe do Kelp DAO e auditores
Estão trabalhando para eliminar vulnerabilidades e recuperar dados dos logs dos nós infectados.
LayerZero Labs
Realizei uma análise da minha própria infraestrutura (nós RPC), que foi usada como ponto de entrada.
Conselho de Segurança da Arbitrum
Órgão de gestão da rede Arbitrum, que coordenou o congelamento de ativos.
EUA
Chainalysis
Forneceu um relatório detalhado, confirmando que o ataque foi direcionado à infraestrutura off-chain, e não aos contratos inteligentes.
TRM Labs
Estão ativamente rastreando carteiras de malfeitores em tempo real.
China/Singapura
PeckShield
Ajuda a rastrear rotas de transferência de ativos roubados através de diferentes protocolos de privacidade.
Israel
Cyvers
Um dos primeiros a registrar a invasão e fornecer uma análise técnica de como os hackers lavaram fundos através do THORChain e BitTorrent.
Coreia do Sul
Colabora ativamente através de dados de inteligência sobre a atividade dos hackers norte-coreanos.
Comunidade internacional
Grupo de resposta rápida e segurança SEAL. Participou da investigação preliminar e ajudou a minimizar perdas adicionais.
Compensação
Fontes de recursos para compensação:
Fundos congelados ($71 milhões)
Esses são os mesmos ativos na Arbitrum, que foram bloqueados pelo Conselho de Segurança da rede. Eles foram devolvidos ao Kelp DAO através de uma votação especial de governança.
Fundo próprio do tesouro
A equipe Kelp utilizou as taxas acumuladas e parte de suas reservas para cobrir.
Venda de tokens KELP
Uma rodada de financiamento de emergência foi realizada através da venda de tokens do projeto para fundos de capital de risco com um grande desconto, para obter liquidez rapidamente.
Plano de recuperação
Prioridade para investidores de varejo
Usuários comuns que mantinham pequenas quantias em rsETH foram os primeiros a ter acesso à retirada de fundos.
Notas de 'dívida' técnicas
Para aqueles que não queriam esperar 6 meses pelo reembolso total, o Kelp lançou tokens especiais kLoss. Eles representavam o direito a uma futura participação nos lucros do protocolo. Os usuários podiam ou mantê-los até o pagamento total, ou vendê-los no mercado secundário para quem estava disposto a esperar.
Papel da LayerZero
Uma vez que a invasão ocorreu através da infraestrutura LayerZero, a empresa desenvolvedora (LayerZero Labs) alocou um subsídio de $10 milhões como um gesto de boa vontade para apoiar os usuários afetados, embora legalmente não tenham reconhecido sua total responsabilidade.
Em 6 de abril, a equipe Kelp DAO anunciou oficialmente a descontinuação do uso dos sistemas LayerZero e a migração para a infraestrutura Chainlink.
Status até hoje
A maioria dos usuários (mais de 98%) recuperou completamente suas posições. No entanto, grandes investidores institucionais ainda estão no processo de receber suas últimas parcelas de acordo com o cronograma de desbloqueio.
Conclusão
A invasão do Kelp DAO oficialmente se tornou um dos maiores roubos dos últimos anos. No entanto, a investigação revelou que após o ataque inicial, uma segunda onda se seguiu. Graças ao profissionalismo das equipes de cibersegurança, este ataque de resposta foi completamente repelido, reduzindo perdas potenciais em cerca de 40%. Apesar disso, a situação continua complexa. A questão da proteção de dados se torna crítica, considerando o aumento rápido no número de projetos e a perspectiva de transformação dos sistemas cripto em uma base financeira completa para estados inteiros.