Um exploit de US$ 290 milhões na ponte cross-chain da KelpDAO em 18 de abril, atribuído pela LayerZero ao Lazarus Group da Coreia do Norte, chocou o DeFi e eliminou mais de US$ 13 bilhões em valor total bloqueado em protocolos em 48 horas.
Atacantes drenaram 116.500 rsETH, no valor aproximado de US$ 290 milhões, da ponte cross-chain da KelpDAO alimentada por LayerZero em 18 de abril, no que a CoinDesk chamou do maior exploit DeFi de 2026 até o momento. A LayerZero, cuja infraestrutura sustentava a ponte, afirmou em um comunicado na segunda-feira que “indicadores preliminares sugerem atribuição a um ator estatal altamente sofisticado, provavelmente o Lazarus Group da RPDC”.
O ataque funcionou comprometendo dois nós de chamada de procedimento remoto nos quais o verificador da LayerZero confiava para confirmar transações cross-chain, e então inundando os nós de backup com tráfego indesejado para forçar o failover para os endpoints comprometidos. Assim que o verificador aprovou uma transação fabricada, a ponte liberou US$ 290 milhões em rsETH para um endereço controlado pelo atacante. O malware então se autodestruiu, apagando binários e logs para frustrar a investigação forense. Como relatado pelo crypto.news, o exploit desencadeou saídas de mais de US$ 10 bilhões apenas da Aave, com o valor total bloqueado do protocolo de empréstimo caindo de US$ 45,8 bilhões para US$ 35,7 bilhões enquanto os usuários se apressavam para sair. A UPI relatou que mais de US$ 13 bilhões foram eliminados do valor total bloqueado em plataformas DeFi nos dois dias seguintes à violação.
Uma disputa surgiu sobre quem é o responsável pela vulnerabilidade que tornou o ataque possível. A LayerZero disse que a KelpDAO havia escolhido operar uma configuração de rede de verificador descentralizada 1-de-1, um único ponto de falha contra o qual havia alertado repetidamente, e anunciou que não assinaria mais mensagens para qualquer aplicação usando essa configuração. A KelpDAO rebateu, dizendo à CoinDesk que sua configuração seguia os padrões documentados da própria LayerZero e que o validador comprometido fazia parte da infraestrutura da própria LayerZero. Conforme documentado pelo crypto.news, pesquisadores de segurança independentes, incluindo um desenvolvedor da Yearn Finance, descobriram que o código de implantação público da LayerZero vem com padrões de verificação de fonte única em todas as principais cadeias, minando a alegação da empresa de que a KelpDAO havia se desviado das orientações.
O exploit da KelpDAO é a segunda grande violação DeFi ligada ao Lazarus apenas em abril, após o ataque de US$ 285 milhões ao Drift Protocol em 1º de abril, elevando o total arrecadado pelo grupo em DeFi para mais de US$ 575 milhões no mês. O atacante desde então começou a lavar os fundos roubados, roteando ativos através da Arbitrum e para stablecoins baseadas em Tron, como o crypto.news tem rastreado. A Jefferies alertou que hacks de destaque dessa escala poderiam temporariamente desacelerar o apetite de Wall Street por projetos de tokenização, à medida que as instituições reavaliam os riscos de segurança incorporados na infraestrutura de pontes DeFi. A LayerZero disse ter confirmado zero contágio para outras aplicações executando configurações de múltiplos verificadores, mas forçou uma migração em todo o protocolo para longe de configurações de validador único.
A LayerZero disse que está trabalhando com a KelpDAO, a Security Alliance e agências de aplicação da lei para rastrear os fundos roubados, embora o uso de ferramentas de privacidade pelo atacante tenha complicado significativamente os esforços de recuperação.
