Um ataque que drenou cerca de US$ 290 milhões do ecossistema da KelpDAO apareceu como um dos maiores choques do ano no universo DeFi. No incidente, o token rsETH — um ativo de restaking líquido vinculado ao ether em staking — foi usado pelos invasores para movimentar fundos através da ponte do projeto.
A equipe da KelpDAO anunciou que detectou atividades cross-chain suspeitas e imediatamente pausou os contratos do rsETH na mainnet e em diversas L2s, iniciando investigações e medidas de contenção.
Relatórios preliminares da infraestrutura apontam que o episódio teve impacto em métricas-chave do setor: dados do DeFiLlama mostram que o TVL do ecossistema caiu de aproximadamente US$ 99,5 bilhões para cerca de US$ 85,6 bilhões, uma retração em torno de US$ 14 bilhões. Além do efeito direto sobre o rsETH, plataformas que utilizavam esse ativo como colateral sofreram saídas significativas, gerando congelamentos temporários de mercados e processos de avaliação de risco.
Index du contenu:
O que ocorreu na ponte da KelpDAO
A análise técnica preliminar divulgada por LayerZero atribui o ataque, provavelmente, ao grupo conhecido como Lazarus, em particular à sua subunidade TraderTraitor. Segundo o relatório, os exploradores forjaram mensagens que indicavam depósitos de 116.500 rsETH na rede Ethereum e então solicitaram liberações equivalentes na rede Unichain. Essa fraude foi validada porque a ponte dependia de um único verificador na sua DVN (Decentralized Verified Network), criando um ponto único de falha que os atacantes conseguiram manipular.
Vetor técnico: envenenamento de RPC e failover forçado
O método utilizado envolveu o chamado envenenamento de RPC e uma combinação de ataques de negação de serviço (DDoS) sobre as linhas de verificação não comprometidas. Os invasores apresentaram respostas falsificadas em algumas rotas RPC e deixaram as demais offline, forçando o mecanismo de failover a migrar para os nós já corrompidos. De acordo com a investigação, o software malicioso também foi projetado para se autoapagar após a execução, eliminando binários e registros locais para dificultar a rastreabilidade.
Por que a redundância falhou
Especialistas destacaram que, apesar de haver recomendações para múltiplos verificadores, a KelpDAO vinha usando uma única instância da DVN, o que reduziu drasticamente a tolerância a erros. Uma única confirmação forjada foi suficiente para liberar resgates do cofre. Auditores e ferramentas tradicionais teriam dificuldade em mitigar essa falha sem uma revisão arquitetural que removesse a dependência unilateral de confiança dentro do fluxo de mensagens.
Impacto nas plataformas e no mercado
O exploit teve efeito cascata: os invasores usaram protocolos como a Aave para trocar rsETH sem lastro por WETH e retirar fundos. Em resposta, a Aave congelou mercados de rsETH e as reservas de WETH nos mercados afetados, além de anunciar que avalia medidas para cobrir possíveis bad debt. Segundo o DeFiLlama, cerca de US$ 9 bilhões saíram da Aave após o incidente, contribuindo para a queda geral do TVL.
Reação dos tokens e confiança do investidor
O choque também se refletiu em preços: o token nativo da Aave registrou uma queda acentuada (em torno de 21% desde o sábado do evento) e o rsETH da KelpDAO perdeu sua paridade com o Ethereum, sendo negociado com desconto aproximado de 11% na data da apuração. Projetos como Morpho, Ethena, Ether.fi, Sky e Spark mostraram saídas relevantes, sinalizando uma crise de confiança no ecossistema DeFi.
Além das ações técnicas imediatas, as equipes envolvidas e provedores de infraestrutura afirmaram que revisarão práticas de redundância e mecanismos de validação. Investidores e protocolos enfrentam agora o desafio de recompor confiança estrutural — uma tarefa que exigirá mudanças na arquitetura das pontes cross-chain, maior diversidade de verificadores e procedimentos de monitoramento mais robustos.
Relatórios on-chain e investigações em curso tentam seguir o rastro dos fundos, com sinais de uso de mixers como o Tornado Cash em alguns fluxos analisados por investigadores independentes. Enquanto o processo de apuração continua, o episódio serve como lembrete de que a escalabilidade e a interoperabilidade no DeFi dependem tanto de inovações quanto de rigor operacional e de segurança.