Risco dos bridges de criptomoedas: Hack de US$ 293 milhões expõe fragilidades estruturais

O setor de criptomoedas volta a chamar atenção — e não pelos motivos desejados. O recente ataque de US$ 293 milhões ao Kelp DAO, protocol de restaking líquido baseado no Ethereum, expôs mais uma vez as fragilidades dos bridges (pontes) cross-chain, estruturas essenciais para a interoperabilidade entre blockchains.

Ari Redbord, chefe global de políticas e assuntos governamentais da TRM Labs, destacou a gravidade do incidente em análise publicada no domingo. Segundo ele,

"Quando o modelo de segurança de um emissor de US$ 300 milhões se reduz a uma única chave de assinatura de um validador, a superfície de ataque deixa de ser técnica e passa a ser estrutural"

Como ocorreu o ataque ao Kelp DAO

O invasor explorou uma falha no sistema de mensagens cross-chain do LayerZero, enviando um sinal falso que indicava a chegada de fundos de outra blockchain. O bridge, acreditando na informação, liberou 116.500 tokens rsETH — cerca de 18% da oferta circulante do ativo.

O Kelp DAO permite que usuários obtenham recompensas de staking padrão e rendimentos adicionais por meio do EigenLayer. Ao depositar tokens elegíveis, os investidores recebem rsETH, um ativo negociável que pode ser utilizado em plataformas DeFi enquanto os fundos originais continuam a garantir múltiplas redes.

Consequências e perdas no DeFi

O prejuízo de US$ 293 milhões soma-se ao ataque sofrido pela Drift em 1º de abril, elevando as perdas do setor em abril para mais de US$ 550 milhões. O incidente reforça os riscos associados às pontes cross-chain, que dependem de validadores para confirmar transações entre blockchains.

No caso do Kelp DAO, o sistema utilizava uma configuração 1/1 DVN (Decentralised Verifier Network), ou seja, um único validador tinha autoridade para aprovar mensagens cross-chain. Com a vulnerabilidade explorada, o invasor conseguiu enganar o sistema e liberar milhões em tokens.

Impacto em outros protocolos

A falha não afetou apenas o Kelp DAO. Protocolos como Aave, SparkLend, Fluid e Upshift suspenderam mercados relacionados ao rsETH para conter o risco de contágio. A Aave registrou saques de mais de US$ 5,4 bilhões em ether, à medida que usuários buscavam reduzir exposições.

Dois outros ataques, que tentavam drenar mais US$ 100 milhões, foram bloqueados após a equipe do Kelp congelar contratos em menos de 46 minutos por meio de uma carteira multisig de emergência.

Soluções e recomendações

Redbord enfatizou a necessidade de melhorar a segurança dos bridges, sugerindo medidas como:

• Conjuntos diversificados de validadores em camadas de mensagens;
• Monitoramento em tempo real de fluxos de mint e burn;
• Multisigs de pausa com ação rápida;
• Protocolos de contingência que assumam possíveis contágios.

"Abril tem sido um mês difícil para os desenvolvedores do DeFi", afirmou o especialista.

O ataque ao Kelp DAO é mais um lembrete dos riscos estruturais do setor, reforçando a necessidade de adoção de práticas de segurança mais robustas para proteger investidores e preservar a confiança no ecossistema.