A Kelp DAO emitiu um comunicado na segunda-feira minimizando sua responsabilidade direta pelo exploit de US$ 292 milhões que ocorreu no fim de semana.
Em 18 de abril, a bridge cross-chain Kelp DAO, alimentada por LayerZero, perdeu 116.500 tokens rsETH avaliados em cerca de US$ 292 milhões, tornando-se o maior exploit DeFi até agora este ano.
A LayerZero relatou no domingo que o atacante, provavelmente o Grupo Lazarus da Coreia do Norte, obteve acesso à lista de nós RPC usados pela rede verificada descentralizada (DVN) da LayerZero Labs. O atacante então envenenou dois nós RPC e lançou um ataque DDoS para fazer com que a DVN aceitasse uma mensagem cross-chain falsa, levando-a a assinar uma transação ilegítima.
Em seu relatório, a LayerZero criticou a configuração DVN 1-de-1 da Kelp DAO, observando que ela criou um ponto único de falha por não possuir a verificação independente necessária para detectar a mensagem cross-chain fraudulenta.
"A LayerZero e outras partes externas comunicaram anteriormente as melhores práticas sobre a diversificação de DVN à Kelp DAO", disse o relatório. "Apesar dessas recomendações, a Kelp DAO optou por utilizar uma configuração DVN 1/1."
A última declaração da Kelp DAO respondeu à acusação da LayerZero, transferindo a responsabilidade pela configuração DVN 1-de-1 para a LayerZero.
"A configuração DVN 1-de-1 é a configuração documentada na documentação da LayerZero e enviada como padrão para qualquer nova implantação OFT", escreveu a Kelp em seu comunicado no X. "A Kelp operou na infraestrutura LayerZero desde janeiro de 2024 e manteve um canal de comunicação aberto com a equipe LayerZero durante todo o período."
A Kelp acrescentou que o tópico da configuração DVN surgiu durante sua expansão para L2, e a configuração padrão foi "afirmadamente confirmada como apropriada" na época.
"Estabelecer um relato compartilhado e preciso do que aconteceu é a base para fazer as correções certas juntos", disse a Kelp.
A bridge cross-chain também disse que sua resposta inicial — incluindo a pausa de contratos relevantes e o banimento de carteiras ligadas ao atacante — ajudou a conter a situação. Acrescentou que está avaliando os próximos passos para retomar o protocolo.
Enquanto isso, o impacto do ataque rapidamente se espalhou para o protocolo Aave, já que o explorador depositou uma parte significativa dos ativos roubados no Aave V3. O atacante usou rsETH como garantia para emprestar quantidades substanciais de WETH, aumentando o risco de dívidas incobráveis no protocolo.
O último relatório de incidentes da Aave disse que o atacante forneceu 89.567 rsETH (avaliados em cerca de US$ 221 milhões) como garantia e pegou emprestado 82.650 WETH e 821 wstETH, deixando as posições com fatores de saúde muito baixos.
O protocolo delineou dois cenários hipotéticos de dívida incobrável com base nos dados disponíveis, considerando que a Kelp não anunciou oficialmente um plano de alocação de perdas ou recuperação.
O primeiro cenário detalha uma socialização uniforme das perdas, assumindo que cerca de 112.204 rsETH diluem o suprimento igualmente em todas as cadeias. Isso resultaria em um descolamento de 15,12% e levaria a aproximadamente US$ 123,7 milhões em dívida incobrável para a Aave.
"O Ethereum Core absorve a maior perda absoluta (US$ 91,8 milhões), mas sua reserva de WETH é profunda o suficiente para que a deficiência permaneça em 1,54%", escreveu a Aave. "Mantle, com a menor reserva de WETH em relação à sua exposição a rsETH, sofre uma deficiência de 9,54%, o maior impacto proporcional neste cenário."
O segundo cenário assume que as perdas são isoladas para rsETH de L2, deixando o rsETH da mainnet Ethereum totalmente lastreado. Neste caso, um "haircut" de 73,54% seria imposto à garantia de L2. Isso levaria a uma dívida incobrável maior de US$ 230,1 milhões em mercados de L2 como Mantle, Arbitrum e os mercados de WETH da Base.
No primeiro cenário, o WETH Umbrella da Aave, que possui US$ 54 milhões, poderia servir como um suporte inicial. O umbrella não seria acionado no segundo cenário.
"Qual cenário se materializa depende de decisões fora do controle da Aave, principalmente como a contabilidade do rsETH e a taxa de câmbio do LRTOracle são atualizadas", disse a Aave.
Além disso, a Aave disse que a Aave DAO mantém um balanço patrimonial forte com US$ 181 milhões em ativos, e que recebeu vários compromissos de participantes do ecossistema para apoiar o protocolo em caso de dívida incobrável.
Aviso: The Block é um veículo de mídia independente que fornece notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é a principal investidora do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. O Block continua a operar independentemente para fornecer informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou pretende ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
