BCGAME - Bônus diário grátis de 5BTC!- Exploit no Kelp DAO via LayerZero drena US$ 292 mi em rsETH
- Aave congela mercados rsETH após risco de dívida ruim de US$ 236 mi
- Maior hack DeFi de 2026 expõe vulnerabilidades em bridges cross-chain
O protocolo de liquid restaking Kelp DAO foi alvo de um ataque massivo no dia 19 de abril, resultando em prejuízos de aproximadamente US$ 292 milhões e desencadeando uma onda de reações emergenciais em diversos protocolos DeFi. O exploit foi detectado pelo investigador on-chain ZachXBT por volta das 17h35 UTC, quando movimentações suspeitas envolvendo o token rsETH começaram a aparecer nos dados da blockchain.
O vetor de ataque explorou a camada de mensagens cross-chain do LayerZero, responsável por verificar e autenticar instruções entre redes distintas. O invasor forjou uma mensagem válida proveniente de outra rede, enganando o sistema de verificação e induzindo a bridge do Kelp DAO a liberar 116.500 rsETH — o Liquid Restaking Token do protocolo — para um endereço sob seu controle. O volume roubado representa cerca de 18% do total de tokens rsETH em circulação, estimado em aproximadamente 630 mil unidades.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Em resposta ao incidente, o Kelp DAO confirmou publicamente a ativação de salvaguardas de emergência e suspendeu os depósitos e saques do rsETH enquanto coordena esforços com LayerZero e Unichain para identificar a causa raiz do problema.
Neste artigo, vamos discutir:
Fundos migram para protocolos de empréstimo, gerando dívidas milionárias
Após a drenagem inicial, os ativos roubados foram direcionados para plataformas de crédito descentralizado, incluindo Aave V3, Compound V3 e Euler. O invasor utilizou o rsETH comprometido como garantia para tomar emprestado grandes quantias em ETH encapsulado (WETH), acumulando posições de dívida superiores a US$ 236 milhões. Dados on-chain apontam que o atacante consolidou cerca de 74 mil ETH após o exploit, gerando mais de US$ 280 milhões em dívidas ruins espalhadas pelos protocolos.
Diante da situação, a Aave congelou os mercados de rsETH tanto no V3 quanto no V4, impedindo novos depósitos e operações de crédito lastreadas no token. O protocolo esclareceu que seus contratos inteligentes não foram comprometidos e que a origem do problema está no rsETH. A equipe também iniciou a revisão dos empréstimos lastreados em rsETH abertos após o ataque, avaliando a exposição total e possíveis medidas para cobrir eventuais perdas.
SparkLend e Fluid adotaram medidas idênticas. O SparkLend informou não ter nenhuma exposição ao rsETH, atribuindo isso à sua postura conservadora de gestão de riscos. A Lido Finance pausou depósitos no produto earnETH, que carrega exposição ao rsETH, ressaltando que seu protocolo principal de staking e o token stETH não foram afetados. A Ethena, emissora do stablecoin USDe, também desligou temporariamente suas bridges LayerZero a partir da mainnet Ethereum como medida de precaução, mesmo sem ter qualquer exposição ao rsETH e mantendo colateralização acima de 101%.
O token AAVE registrou queda de aproximadamente 10% nas negociações após a divulgação do ataque.
Pior fase para o DeFi em 2026
O ataque ao Kelp DAO se tornou o maior exploit DeFi do ano, superando o caso do protocolo Drift, baseado na Solana, que perdeu cerca de US$ 285 milhões em 1º de abril em uma violação administrativa posteriormente vinculada a agentes ligados à Coreia do Norte. Desde então, pelo menos uma dezena de protocolos menores também foi comprometida, incluindo CoW Swap, Zerion, Rhea Finance e Silo Finance — um período excepcionalmente turbulento para a segurança das finanças descentralizadas.
