R$ 292 milhões são roubados em DeFi: prejuízos superam R$ 10 bilhões e abalam ecossistema

Exploração de R$ 292 milhões no KelpDAO desencadeia crise no DeFi

Um ataque massivo de R$ 292 milhões no KelpDAO provocou uma debandada no mercado de finanças descentralizadas (DeFi) no último final de semana. O prejuízo levou à retirada de cerca de R$ 10 bilhões do ecossistema e forçou vários protocolos a congelar operações relacionadas ao rsETH, token vinculado ao sistema de restaking da plataforma.

A invasão começou no sábado à noite, quando um hacker drenou aproximadamente 116,5 mil rsETH da ponte cross-chain do KelpDAO. Na ocasião, os tokens roubados valiam cerca de R$ 292 milhões, conforme dados da CryptoSlate. O KelpDAO emite rsETH para usuários que depositam ETH em seu sistema de restaking líquido, que, por sua vez, redistribui os ativos pela plataforma EigenLayer para gerar rendimentos adicionais além do staking tradicional.

Maior ataque de DeFi em 2026 até agora

O prejuízo no KelpDAO já é considerado o maior ataque de DeFi do ano, superando outras explorações recentes. O token nativo da EigenLayer, por exemplo, tem uma valuation totalmente diluída de US$ 6,5 bilhões, segundo dados do CoinMarketCap.

Como o ataque ocorreu: fraude em ponte cross-chain

O rsETH circula pela rede LayerZero, um protocolo de mensageria cross-chain que movimenta ativos e instruções entre blockchains. Segundo Banteg, desenvolvedor do Yearn Finance, o ataque explorou uma rota específica entre a Unichain e a Ethereum mainnet.

O hacker enviou uma mensagem fraudulenta que o sistema interpretou como válida, fazendo com que o adaptador do lado da Ethereum liberasse reservas pré-fundadas de rsETH. Essa rota era configurada como uma rede de verificadores descentralizados do tipo "one-of-one", ou seja, sem verificadores secundários que pudessem detectar a transação suspeita.

"A transação maliciosa, identificada como nonce 308, foi verificada e executada às 17:35 UTC. Sem um sistema de dupla verificação, o protocolo não conseguiu barrar o ataque a tempo." — Banteg

Após a descoberta, a carteira multisig de emergência do KelpDAO congelou os contratos principais do protocolo, bloqueando duas outras tentativas que, juntas, poderiam ter retirado mais R$ 100 milhões em rsETH. Os fundos inicialmente roubados foram movimentados pela Tornado Cash, dificultando o rastreamento antes que a equipe do protocolo pudesse conter o dano.

Impacto em outros protocolos e redes

Os rsETH drenados circularam por redes secundárias, incluindo Base, Arbitrum, Linea, Blast, Mantle e Scroll. Com a depleção das reservas, usuários que detinham rsETH fora da Ethereum passaram a enfrentar incertezas sobre a capacidade de resgate e lastro dos tokens.

Aave sofre maior impacto: prejuízo de R$ 236 milhões

O protocolo mais atingido foi a Aave, maior plataforma de empréstimos do mercado cripto. Segundo relatos, o hacker teria depositado os rsETH roubados como garantia na Aave. Durante o ataque, os oráculos de preço da plataforma ainda registravam o rsETH próximo ao seu valor normal, permitindo que a Aave emitisse 106.467 ETH contra a garantia comprometida.

Isso gerou uma exposição potencial a crédito ruim de R$ 236 milhões e desencadeou uma corrida dos usuários para sacar seus fundos. Dados da DeFiLlama mostram que o Total Value Locked (TVL) da Aave caiu de mais de US$ 26 bilhões para cerca de US$ 20 bilhões em questão de horas.

"A queda no TVL da Aave foi uma das mais rápidas e intensas já registradas, transformando um ataque a uma ponte em um evento de liquidez para o maior protocolo de empréstimos do DeFi." — Analistas on-chain

Grandes detentores de ETH na plataforma aceleraram a saída, agravando a crise. O episódio reforçou os riscos de depender de tokens vinculados a sistemas de restaking, cujos mecanismos de segurança ainda são pouco testados em cenários extremos.

Consequências e lições para o ecossistema

O ataque ao KelpDAO expôs vulnerabilidades críticas em pontes cross-chain e sistemas de verificação descentralizados. Especialistas destacam a necessidade de:

• Implementar verificadores secundários em rotas de mensageria para detectar transações fraudulentas;
• Revisar modelos de garantia em protocolos de empréstimos para evitar exposição a ativos de alto risco;
• Melhorar a transparência em reservas e lastros de tokens sintéticos e vinculados;
• Desenvolver mecanismos de contenção rápida para conter danos em ataques em tempo real.

Enquanto o ecossistema DeFi busca se recuperar, a comunidade debate como evitar que episódios como esse se repitam. A confiança dos usuários, no entanto, já foi abalada, e o impacto nos mercados pode durar semanas ou meses.