DeFi enfrenta crise de US$ 14 bilhões após hack de US$ 290 milhões no rsETH

Hack de US$ 290 milhões abala DeFi e expõe vulnerabilidades

A Kelp DAO, uma organização autônoma descentralizada (DAO) especializada em staking líquido, teve seu token rsETH alvo de um ataque que resultou no roubo de US$ 290 milhões. O incidente ocorreu no sábado (18), quando os fundos foram transferidos via Layer Zero, uma ponte interblockchain.

Os invasores depositaram o rsETH roubado na Aave, um dos principais protocolos de empréstimos DeFi, e utilizaram o token como garantia para tomar empréstimos de US$ 236 milhões em WETH. Com a liquidez drenada e os mercados congelados, os usuários começaram a retirar seus ativos em pânico, agravando a crise. Desde o ataque, quase US$ 9 bilhões deixaram a Aave, e o protocolo pode enfrentar centenas de milhões em dívidas incobráveis.

Suspeita de envolvimento da Coreia do Norte

A ponte Layer Zero suspeita que o ataque foi realizado pelo Lazarus Group, um grupo de hackers vinculado ao governo da Coreia do Norte. O método explorado foi uma vulnerabilidade no modelo de segurança da Kelp DAO, que utilizava uma configuração 1-de-N para validação de transações na ponte.

Em comunicado no X (antigo Twitter), a Kelp DAO afirmou ter identificado atividade suspeita envolvendo o rsETH e pausou os contratos do token em várias redes, incluindo Ethereum e L2s. A equipe está investigando o incidente em parceria com a Layer Zero, a Unichain e especialistas em segurança.

«Identificamos atividade suspeita envolvendo o rsETH. Pausamos os contratos do rsETH na mainnet e em várias L2s enquanto investigamos. Estamos trabalhando com a Layer Zero, Unichain, nossos auditores e especialistas em segurança para identificar a causa raiz. Manteremos todos atualizados.»
— Kelp DAO (@KelpDAO), 18 de abril de 2026

Layer Zero culpa ataque sofisticado, mas especialistas questionam versão

A Layer Zero alegou que o ataque foi um RPC-spoofing, uma técnica avançada que manipula nós de leitura de dados blockchain para injetar informações maliciosas apenas em um validador específico (DVN). Além disso, o ataque teria incluído um DDoS em nós não comprometidos para forçar a queda para os nós «infectados».

No entanto, o desenvolvedor DeFi banteg, conhecido por sua experiência no setor, contestou a versão da Layer Zero. Segundo ele, o ataque não foi um simples RPC-spoofing, mas sim um infiltrado interno que operava dentro dos limites de confiança do sistema. «O real problema foi uma violação de infraestrutura dentro do perímetro de confiança», afirmou.

Impacto no ecossistema DeFi

O ataque não se limitou à Kelp DAO e à Aave. O invasor também depositou o rsETH roubado em outros protocolos de empréstimos, como Compound V3 e Euler, para tomar empréstimos adicionais. Segundo a PeckShield, o total emprestado chegou a US$ 236 milhões em WETH.

O setor DeFi, que já enfrenta desafios regulatórios e de confiança, viu seu valor total bloqueado (TVL) encolher drasticamente. A Aave, um dos protocolos mais afetados, perdeu cerca de um terço de seu TVL desde o ataque, refletindo a perda de confiança dos usuários.

Quem arcará com os prejuízos?

Ainda não está claro quem será responsável pelos prejuízos causados pelo ataque. A Kelp DAO e a Layer Zero não se pronunciaram sobre possíveis compensações, e a Aave enfrenta o risco de ter que lidar com dívidas incobráveis. A situação levanta questões sobre a segurança das pontes interblockchain e a necessidade de auditorias mais rigorosas.

Lições e próximos passos

O incidente destaca a importância de modelos de segurança robustos em protocolos DeFi, especialmente em pontes interblockchain, que são alvos frequentes de ataques. Especialistas recomendam:

• Implementação de múltiplos validadores independentes (DVNs) em vez de configurações 1-de-N;
• Realização de auditorias contínuas e testes de penetração;
• Melhoria na monitoração em tempo real de atividades suspeitas;
• Estabelecimento de planos de contingência para incidentes de segurança.

Enquanto o setor DeFi busca se recuperar, a confiança dos investidores permanece abalada. A transparência e a responsabilidade das equipes envolvidas serão cruciais para restaurar a credibilidade do ecossistema.