KuCoin
Entrar
language_currency
Inicial
Blog
Crypto Report
Detalhes
img

Exploração do KelpDAO rsETH: Como o ataque de $292M na ponte LayerZero criou $177M em dívida ruim na Aave

2026/04/20 10:30:03

Exploração do KelpDAO rsETH: Como o ataque de $292M na ponte LayerZero criou $177M em dívida ruim na Aave

Introdução

O que acontece quando um único ponto de falha em uma ponte cross-chain se torna um problema de US$ 292 milhões?
 
Em 18 de abril de 2026, a indústria de criptomoedas obteve sua resposta em tempo real. KelpDAO, um protocolo de restaking líquido, foi esvaziado de 116.500 rsETH, avaliados em aproximadamente US$ 292 milhões, por meio de uma vulnerabilidade em sua ponte baseada no LayerZero. O ataque não apenas roubou tokens — criou um débito inadimplente estimado em US$ 177 milhões que agora está nos livros da Aave, deixando os depositantes em pânico e a comunidade DeFi questionando se a era das finanças intercadeias tem um problema fundamental de confiança.
 

O que é KelpDAO e rsETH? Compreendendo o Espaço de Restaking Líquido

KelpDAO é um protocolo de restaking líquido construído sobre EigenLayer, permitindo que os usuários façam staking de seu ETH por meio do protocolo e recebam rsETH (ETH restaked) como um token líquido que representa sua posição de staking. Esse conceito — restaking líquido — permite que os usuários mantenham liquidez enquanto ainda ganham recompensas de staking, combinando o rendimento do staking nativo com a flexibilidade de um token negociável.
 
O token rsETH tornou-se popular porque podia ser usado como garantia em protocolos DeFi. Os usuários fazem staking de ETH por meio do KelpDAO, recebem rsETH e, em seguida, usam esse rsETH para tomar emprestado outros ativos em várias cadeias. O problema? Essa funcionalidade entre cadeias dependia da tecnologia de ponte da LayerZero, especificamente uma configuração 1-de-1 DVN (Data Verification Network) que acabou sendo um ponto único de falha.
 
Para novatos em DeFi, o conceito é simples. O KelpDAO prometeu aos usuários que poderiam ganhar recompensas de staking enquanto seu ETH permanecia utilizável em outros protocolos. A execução dependia da confiança na infraestrutura de ponte — confiança que colapsou em 18 de abril, quando um único validador comprometido permitiu ao atacante cunhar rsETH sem lastro. O atacante não hackeou a blockchain em si — ele manipulou o sistema de verificação de mensagens que informa a uma cadeia que o token existe em outra.
 

O Exploração de 18 de abril de 2026: Como o ataque se desenrolou

A exploração ocorreu em fases ao longo de aproximadamente 46 minutos, segundo relatórios do incidente. Começando às 18:52 UTC em 18 de abril de 2026, o atacante explorou uma falha na configuração da ponte LayerZero da KelpDAO — especificamente, o 1/1 DVN (verificação com assinante único) que validava mensagens entre cadeias.
 
Aqui está o que aconteceu tecnicamente: 
 
 
Fase Ação Impacto
1 Atacante identifica vulnerabilidade 1-de-1 DVN Ponto único de falha exposto
2 Cria 116.500 rsETH não lastreados ~18% da oferta circulante
3 Liga rsETH em mais de 20 cadeias Ativos presos globalmente
4 Deposita rsETH como garantia no Aave V3 Tomou emprestado 126.000 WETH
5 Executa saída antes da pausa de emergência US$292 milhões roubados
 
 
O atacante forneceu o rsETH roubado como garantia no Aave V3 e emprestou aproximadamente 126.000 WETH (valor aproximado de $236 milhões na época). Isso gerou dívida imediata ruim — o Aave agora detém rsETH com valor muito inferior ao WETH que emprestou.
 
Pesquisadores de segurança observaram que existiu uma janela de 46 minutos entre o início da atividade suspeita e a pausa do protocolo. Se a pausa tivesse ocorrido mais cedo, poderiam ter sido evitados mais US$ 200 milhões em ativos pontes potenciais. O atraso mostrou-se custoso.
 

A Crise de Débito Ruim da Aave: US$177 milhões e contando

As consequências do exploit criaram uma crise muito maior do que o roubo inicial. O pool de WETH da Aave agora detém aproximadamente US$ 177 milhões em dívida ruim — o atacante emprestou 126.000 ETH usando rsETH roubado como garantia, e essa dívida está agora fixada em termos de ETH, enquanto a garantia sofreu uma queda de valor.
 
A matemática é clara. Quando o atacante forneceu rsETH como garantia, sabia que ela não era lastreada. Aave a considerou como garantia válida, com valor aproximado de US$ 2.500 por rsETH. O atacante saiu com WETH real. Aave ficou com rsETH que agora é essencialmente sem valor como garantia.
 
A governança da Aave respondeu rapidamente:
 
  • Suspensos todos os novos depósitos de rsETH nos mercados V3
  • Ativou os poderes de emergência do Aave Guardian
  • Iniciou discussões de governança sobre recuperação de dívidas ruins
  • O TVL da Aave caiu de US$ 26,4 bilhões para US$ 20,7 bilhões - uma queda de 25% no valor total bloqueado
 
O TVL da Aave caiu de US$ 26,4 bilhões para US$ 20,7 bilhões após o ataque ao KelpDao - uma queda de 25% no valor total bloqueado
 
Para os depositantes de WETH na Aave, a situação é precária. A dívida ruim significa que os fundos dos depositantes estão em risco caso não ocorra recuperação. A governança da Aave está explorando opções de recuperação por meio do protocolo Umbrella e do tesouro da Aave, mas nenhuma solução clara surgiu até a redação deste texto.
 
O atacante emprestou mais de 82.600 ETH (aproximadamente $195 milhões) da Aave usando o rsETH roubado, criando uma dívida ruim que continua a se acumular à medida que a valorização do ETH torna mais difícil cobrir a dívida por meio das reservas do tesouro.
 
 

Vulnerabilidades em Pontes Cross-Chain: Um Problema Sistêmico

A exploração do KelpDAO não é um incidente isolado — é o maior hack DeFi de 2026 até o momento, seguindo um padrão de vulnerabilidades em pontes que têm afligido a indústria. Da Ronin Bridge de 2022 ($625M) à Multichain de 2023, as pontes cross-chain provaram consistentemente ser o elo mais fraco na infraestrutura DeFi.
 
O problema fundamental é arquitetônico. Pontes cross-chain exigem confiança em sistemas de verificação de mensagens. Quando uma ponte informa a Chain B que um token existe em Chain A, essa mensagem é tão confiável quanto o mecanismo de verificação. O ataque à KelpDAO explorou uma configuração DVN de 1 de 1 — um único ponto de falha que nunca deveria ter sido implantado em um protocolo que gerencia centenas de milhões em fundos de usuários.
 
As respostas da indústria foram mistas, mas o padrão é claro:
 
 
Ano Incidente Perda Causa Raiz
2022 Ronin Bridge $625M Comprometimento da chave privada
2023 Multichain $130M Falha de multi-assinatura
2024 Diversas pontes US$400 milhões+ Múltiplo
2026 KelpDAO US$292 milhões Falha 1 de 1 DVN
 
 
O caso do KelpDAO é particularmente preocupante porque a vulnerabilidade era conhecida na arquitetura da LayerZero, mas não foi corrigida no nível do protocolo até após a ocorrência dos danos.
 

Intervenção e esforços de recuperação de Justin Sun

Em uma movimentação incomum, o fundador do TRON Justin Sun ofereceu publicamente para negociar com o atacante da KelpDAO. Sun postou no X (anteriormente Twitter): “Hacker da KelpDAO, quanto você quer? Vamos apenas conversar. Simplesmente não vale a pena sacrificar tanto a Aave quanto a KelpDAO e deixá-las cair por causa desse hack.”
 
Justin Sun comenta sobre o hack do KelpDao
 
O atacante emprestou aproximadamente 126.000 ETH, criando uma dívida fixa em termos de ETH. À medida que o preço do ETH aumenta, também aumenta a carga da dívida sobre o tesouro da Aave e o protocolo Umbrella. A intervenção de Sun refletiu a preocupação do ecossistema mais amplo — não se tratava apenas do KelpDAO ou da Aave, mas de prevenir uma crise sistêmica que poderia afetar os mercados de empréstimos em todo o DeFi.
 
O rsETH roubado foi marcado e congelado em várias redes. O atacante controla ETH significativo, mas não pode sair facilmente das posições sem acionar congelamentos e investigações. Isso cria um impasse — o atacante tem valor em papel, mas não pode realizá-lo sem cooperação.
 

Devo investir em AAVE na KuCoin após a exploração do rsETH?

Esta é a pergunta na mente de todo investidor em DeFi após o incidente da KelpDAO. Aave é o maior protocolo de empréstimos em DeFi, e essa exploração expôs vulnerabilidades que muitos acreditavam ter sido resolvidas. Aqui está a avaliação honesta.
 

Motivos para cautela

  • Incerteza sobre dívidas ruins: US$ 177 milhões em dívidas ruins estão no pool WETH da Aave, e o prazo de recuperação é incerto
  • Redução do TVL: queda de 25% no TVL sinaliza perda de confiança
  • Risco entre cadeias: Aave usa pontes de terceiros para ativos entre cadeias – qualquer vulnerabilidade na ponte cria exposição
  • Incerteza de governança: as propostas de recuperação ainda estão sendo discutidas, sem resultado garantido
  • Sentimento do mercado: O preço do AAVE caiu aproximadamente 10% à medida que o mercado incorporava perdas potenciais
 

Motivos para considerar AAVE

  • Posição de líder de mercado: Apesar da exploração, a Aave permanece como o principal protocolo de empréstimo
  • Potencial de recuperação: O tesouro da Aave e o protocolo Umbrella têm recursos para cobrir parcialmente as perdas se implementados corretamente
  • Necessidade DeFi: Protocolos de empréstimo são fundamentais — a demanda existe independentemente de problemas individuais dos protocolos
  • Resiliência histórica: Aave sobreviveu a explorações anteriores e crises de mercado
  • Resposta de governança: A pausa rápida e a ativação da governança demonstram capacidade de resposta a crises
 

Resumo da Avaliação de Risco

A exploração da KelpDAO representa uma nova era de risco em DeFi – vulnerabilidades entre cadeias que afetam não apenas o usuário da ponte, mas qualquer um que forneça garantia a protocolos expostos. Para a Aave, o impacto direto é de aproximadamente US$ 177 milhões em dívidas ruins contra US$ 20,7 bilhões em TVL restante, cerca de 0,85% dos depósitos totais em risco.
 
A questão-chave: Você consegue tolerar este nível de risco do protocolo? Se você está depositando na Aave, entenda que está exposto às escolhas de garantia de outros mutuários. O atacante explorou o sistema de garantia da Aave, não uma vulnerabilidade direta de depósito, mas o efeito sobre os depositantes é semelhante — seus fundos agora estão em risco durante as negociações de recuperação.
 

Como negociar AAVE na KuCoin

Para quem está decidindo negociar AAVE na KuCoin após a exploração, aqui está o guia prático.
 

Etapa 1: Entenda o Risco

AAVE está experimentando volatilidade significativa após a exploração. O preço pode se mover 10-20% em qualquer direção com base em notícias de recuperação. Negocie apenas com capital que você possa arcar de perder ou segurar durante volatilidade prolongada.
 

Etapa 2: Execute sua negociação

Na KuCoin, busque “AAVE/USDT” na interface de negociação. Os volumes de negociação estão altos durante este período, proporcionando mercados líquidos para ordens de mercado e ordens limite.
 

Etapa 3: Considere o dimensionamento da posição

Dada a incerteza contínua, considere tamanhos de posição menores que o normal. A queda de 10% no preço já ocorreu, mas o prazo de recuperação permanece incerto. A média de custo em dólares ao longo do tempo reduz o risco de timing.
 
 

Conclusão

A exploração da KelpDAO rsETH é o maior incidente DeFi de 2026 – não apenas pelo roubo de US$292 milhões, mas pelo que revela sobre a infraestrutura cross-chain. Um único validador permitiu que o atacante cunhasse tokens não garantidos em mais de 20 cadeias e depois os utilizasse como garantia na Aave.
 
A dívida ruim de US$ 177M agora em posição na Aave destaca os riscos sistêmicos da DeFi. A composabilidade de protocolos beneficia os usuários, mas também cria modos de falha que atravessam fronteiras entre protocolos. Pontes intercadeias permanecem como o elo mais fraco da indústria até que reformas arquiteturais abordem configurações de ponto único de falha.
 
Para participantes de DeFi, a lição não é abandonar o espaço — é entender os riscos com mais precisão. O atacante detém US$ 292 milhões em ativos marcados que não pode liquidar facilmente. Para o Aave especificamente, a recuperação envolve mecanismos financiados pela governança, sem prazo garantido. O protocolo já superou desafios anteriores, mas este incidente expôs limitações que exigem respostas estruturais contínuas.
 

Perguntas frequentes

P: Meu ETH está seguro na Aave após a exploração da KelpDAO?
A: Existem US$177 milhões em dívidas ruins no pool de WETH da Aave, mas isso representa menos de 1% do TVL total (US$20,7 bilhões). A governança está discutindo ativamente opções de recuperação. Monitore os anúncios da governança da Aave para atualizações sobre prazos e mecanismos de recuperação.
 
Q: O que aconteceu com o rsETH roubado?
A: US$292 milhões em rsETH permanecem marcados em várias cadeias. O atacante não pode liquidar facilmente esses ativos sem acionar congelamentos. Justin Sun ofereceu publicamente negociar com o atacante para a devolução dos fundos.
 
Q: Quem é responsável pelo exploit do KelpDAO?
A: A análise técnica aponta para a exploração da configuração 1-of-1 DVN do LayerZero. Isso permitiu ao atacante forjar mensagens entre cadeias e cunhar rsETH sem lastro. A vulnerabilidade estava na configuração da ponte da KelpDAO, não no protocolo principal do LayerZero.
 
P: A Aave recuperará a dívida ruim de US$ 177 milhões?
A: A governança da Aave está explorando a recuperação por meio do protocolo Umbrella e das reservas do tesouro. Ainda não existe um prazo confirmado. O atacante emprestou 126.000 ETH contra garantia não respaldada — a recuperação exige cooperação do hacker ou cobertura financiada pela governança.
 
P: Devo evitar DeFi após essa exploração?
A: A exploração da KelpDAO revela riscos entre cadeias, mas não indica que todos os protocolos DeFi sejam inseguros. Entenda sua exposição a ativos entre cadeias e audite as configurações das pontes dos protocolos que você utiliza. A diversificação entre protocolos e o dimensionamento cuidadoso de posições permanecem estratégias prudentes.
 
 

Aviso legal: Esta página foi traduzida usando tecnologia de IA (alimentada por GPT) para sua conveniência. Para informações mais precisas, consulte a versão original em inglês.