BCGAME - Bônus diário grátis de 5BTC!- Ataque DeFi Kelp revela falha em ponte blockchain
- rsETH sem lastro usado para drenar liquidez
- Risco sistêmico cresce em protocolos de empréstimo cripto
Um ataque que resultou em perdas de cerca de US$ 292 milhões colocou novamente o setor de finanças descentralizadas (DeFi) sob pressão, ao evidenciar fragilidades na infraestrutura que conecta diferentes blockchains. O episódio teve como foco o token rsETH da Kelp, uma versão de ether que oferece rendimento, além do mecanismo responsável pela movimentação de ativos entre redes.
As análises iniciais indicam que o invasor conseguiu explorar uma falha no sistema para gerar grandes volumes de tokens sem lastro real. Em seguida, esses ativos foram rapidamente utilizados como garantia em plataformas de empréstimo, permitindo a retirada de liquidez genuína, principalmente na Aave, uma das principais aplicações de crédito descentralizado do mercado.
O ataque teve origem em um componente de ponte ligado ao LayerZero, tecnologia amplamente utilizada para transferências entre blockchains. Esse tipo de sistema normalmente bloqueia ativos em uma rede e emite equivalentes em outra, dependendo de validadores para confirmar as transações.
Nesse caso, a validação estava concentrada em uma única entidade. “Parece que o atacante conseguiu assinar uma mensagem… o que lhe permitiu cunhar uma grande quantidade de rsETH”, explicou Charles Guillemet. A forma como esse acesso foi obtido ainda não foi esclarecida.
Michael Egorov também destacou a fragilidade estrutural. “Coisas podem acontecer quando você confia em uma única pessoa — seja ela quem for.” Essa configuração permitiu a criação de tokens sem qualquer ativo correspondente bloqueado, comprometendo a integridade do sistema.
Após a emissão, os tokens foram rapidamente inseridos em protocolos de empréstimo. “Depositou-os imediatamente em protocolos de empréstimo, principalmente Aave, para obter empréstimos em ETH real”, afirmou Guillemet. Esse movimento ampliou o impacto, afetando diretamente a liquidez do mercado.
Com isso, plataformas passaram a reter garantias difíceis de liquidar, enquanto ativos líquidos foram retirados. “A Aave ficou com rsETH, que não pode ser realmente vendido, e com ETH emprestado ao máximo, então ninguém pode sacar ETH”, disse Egorov.
O efeito foi imediato: a Aave registrou uma saída significativa de capital, com bilhões sendo retirados por usuários em um curto período. O token do protocolo também sofreu queda relevante nas últimas sessões.
Persistem dúvidas sobre como o validador foi comprometido. “Será que foi hackeado? Será que foi enganado? Não sabemos”, afirmou Egorov. Já Guillemet destacou o nível de sofisticação do ataque. “Claramente não são uns amadores”.
O episódio reforça preocupações sobre o risco sistêmico no DeFi, especialmente em modelos onde diferentes ativos compartilham exposição. Ao mesmo tempo, reacende o debate sobre critérios de segurança na integração de novos tokens e na validação de operações entre redes.
“Em suma, a confiança nos protocolos DeFi é abalada por esse tipo de evento”, disse Guillemet.
“E 2026 provavelmente será o pior ano em termos de ataques cibernéticos, novamente”, acrescentou.
