A LayerZero publicou suas principais descobertas sobre o exploit da Kelp DAO, ligando o incidente a atores cibernéticos norte-coreanos.
Em 18 de abril, a ponte cross-chain Kelp DAO, alimentada por LayerZero, perdeu 116.500 tokens rsETH avaliados em cerca de US$ 292 milhões, tornando-se o maior exploit DeFi deste ano até agora.
"Indicadores preliminares sugerem atribuição a um ator estatal altamente sofisticado, provavelmente o Grupo Lazarus da RPDC, mais especificamente TraderTraitor", escreveu a LayerZero em seu comunicado mais recente.
A LayerZero explicou que o atacante obteve acesso à lista de nós RPC usados pela rede verificada descentralizada (DVN) da LayerZero Labs, que são entidades independentes que verificam as mensagens cross-chain.
O atacante então "envenenou" dois desses nós RPC, fazendo com que eles entregassem uma mensagem cross-chain falsa para a DVN. O atacante lançou um ataque DDoS contra os nós limpos para levar a DVN a depender dos nós comprometidos.
Como a Kelp DAO estava usando uma única configuração DVN 1-de-1 sem redundância, a mensagem falsa foi aceita, permitindo que a ponte desbloqueasse o token. A LayerZero culpou a Kelp DAO por escolher operar com uma configuração DVN única.
"Operar uma configuração de ponto único de falha significava que não havia um verificador independente para detectar e rejeitar uma mensagem forjada", disse o comunicado. "A LayerZero e outras partes externas comunicaram anteriormente as melhores práticas sobre a diversificação da DVN para a KelpDAO. Apesar dessas recomendações, a KelpDAO optou por utilizar uma configuração DVN 1/1."
Enquanto isso, o comunicado garantiu que não há "contágio zero" para qualquer outro ativo ou aplicação.
A LayerZero escreveu que a DVN da LayerZero Labs está operacional e que todas as aplicações sob uma configuração multi-DVN devem sentir-se confiantes para retomar as operações. Daqui para frente, a LayerZero não assinará mensagens de quaisquer aplicativos que usem a configuração DVN 1/1, afirmou o comunicado.
A LayerZero está trabalhando com várias agências de aplicação da lei para investigar o assunto mais a fundo e está ativamente rastreando os fundos roubados, acrescentou.
O ataque de 18 de abril à Kelp DAO desencadeou um efeito cascata em todo o setor, provocando uma onda de saques da Aave e levando a pausas de emergência em vários protocolos.
O ator mal-intencionado moveu os tokens roubados para a Aave V3, onde o atacante usou rsETH como garantia para tomar emprestado quantidades substanciais de WETH, o que supostamente criou dívidas incobráveis (bad debt) na Aave. Em resposta, o protocolo congelou os mercados de rsETH nas V3 e V4 para conter o risco.
"O rsETH foi congelado na Aave V3 e V4, o ativo não tem poder de empréstimo como medida devido ao exploit da ponte KelpDAO que ocorreu fora da Aave", escreveu o fundador da Aave, Stani Kulechov, no X. "Ambas Aave V3 e V4 não têm mais exposição a rsETH."
Apesar das ações rápidas da Aave, a plataforma registrou uma saída significativa de fundos.
De acordo com dados históricos da Aavescan, mais de US$ 10 bilhões em fundos saíram da Aave desde o exploit da Kelp DAO, com seu valor total fornecido caindo para US$ 35,7 bilhões, de US$ 45,8 bilhões antes do ataque.
Marc Zeller, fundador da Aave Chan Initiative e uma figura proeminente no ecossistema Aave, pediu aos usuários da plataforma que retirassem rapidamente WETH do protocolo, escrevendo: "saque agora, faça perguntas depois".
Enquanto isso, a Aave abordou as preocupações contínuas, afirmando que explorará maneiras de compensar o déficit se o protocolo acumular dívidas incobráveis.
O exploit da Kelp DAO levou dezenas de protocolos DeFi a congelar suas pontes LayerZero OFT (token fungível omnichain) por precaução. Isso inclui protocolos importantes como Ethena, ether.fi, Tron DAO, Curve Finance e muitos outros.
Dados da DefiLlama mostram que o valor total bloqueado em DeFi caiu 7% nas últimas 24 horas. O TVL DeFi atualmente está em torno de US$ 86,3 bilhões, caindo de US$ 99,5 bilhões em 18 de abril.
"O exploit da Kelp DAO é outro reflexo das vulnerabilidades estruturais em DeFi, especialmente na infraestrutura cross-chain e a ironia de quão concentradas são as camadas críticas de segurança", disse Min Jung, pesquisador associado da Presto Research. "De uma perspectiva de confiança, o momento, após incidentes como o da Drift, é prejudicial, já que os usuários questionam cada vez mais se os baixos rendimentos justificam o risco de exploits."
O pesquisador disse ao The Block que a série de grandes exploits em DeFi provavelmente acelerará um movimento em direção a um gerenciamento de risco mais rigoroso e um design arquitetônico aprimorado.
Aviso Legal: The Block é um meio de comunicação independente que fornece notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. O Block continua a operar de forma independente para entregar informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas atuais divulgações financeiras.
© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
