Autor: Xiao Bing, Shenchao TechFlow
Em 18 de abril, às 17:35 (UTC), uma carteira lavada com o Tornado Cash enviou uma mensagem intercadeia para o contrato EndpointV2 da LayerZero.
O significado desta mensagem é simples: usuários em uma determinada cadeia desejam transferir rsETH de volta para a rede principal da Ethereum. O LayerZero, conforme projetado no protocolo, transmitiu fielmente a instrução. O contrato de ponte implantado pelo Kelp DAO na rede principal também executou fielmente a liberação, conforme projetado.
116.500 unidades de rsETH, equivalentes a aproximadamente US$ 292 milhões ao preço da época, foram transferidas em uma única transação para um endereço controlado pelo atacante.
O problema é que ninguém jamais depositou esse rsETH em outra cadeia. Esse "pedido de transferência entre cadeias" foi totalmente fabricado, e tanto o LayerZero quanto a ponte do Kelp acreditaram nele.
46 minutos depois, o multisig de emergência do Kelp pressionou o botão de pausa. Nesse momento, o atacante já havia concluído a segunda metade da ação,抵押ando o rsETH roubado, que essencialmente estava desancorado, no Aave V3 e emprestou cerca de US$ 236 milhões em wETH.
Este é o maior roubo de DeFi desde 2026, superando em vários milhões de dólares o ataque ao protocolo Drift por hackers com ligação à Coreia do Norte em 1º de abril, mas o que realmente deixou a indústria em alerta não é apenas o valor.
Como o ataque ocorreu: três apostas entre 17:35 e 18:28
Reconstrua a linha do tempo.
17:35 UTC, primeira captura. O atacante chamou a função lzReceive no contrato LayerZero EndpointV2, um endereço financiado por Tornado Cash, que enviou um pacote de dados transfronteiriço falsificado para o contrato de ponte do Kelp. A validação do contrato foi aprovada, liberando 116.500 rsETH para o endereço do atacante. Uma única transação. Limpa.
18:21 UTC, a assinatura múltipla de emergência do Kelp congelou os contratos principais do rsETH na mainnet e em várias L2. 46 minutos após o ataque.
Em 18:26 e 18:28 UTC, o atacante realizou duas tentativas adicionais, cada uma com um pacote de dados LayerZero tentando retirar mais 40.000 rsETH (cerca de US$ 100 milhões). Ambas foram revertidas, o contrato já foi congelado, mas o atacante claramente ainda está tentando levar todo o restante da liquidez.
Entre o primeiro sucesso e o pronunciamento público do Kelp, passaram-se quase três horas.
O primeiro post do Kelp no X foi publicado apenas às 20:10 UTC, com uma redação contida: detectada atividade cruzada suspeita envolvendo rsETH; os contratos rsETH na mainnet e em várias L2 foram suspensos, e estamos colaborando com LayerZero, Unichain, auditores e especialistas de segurança externos para análise da causa raiz.
Mas antes do comunicado oficial, ZachXBT, o detetive blockchain, emitiu um alerta em seu canal do Telegram antes das 15:00 (horário da costa leste dos EUA), listando seis endereços de carteiras relacionadas ao roubo e apontando que as carteiras de ataque haviam preparado os fundos por meio do Tornado Cash antes de iniciar a ação. Ele não mencionou o Kelp DAO, mas analistas blockchain conseguiram conectar os endereços em poucas horas.
Esta foi uma operação planejada, executada em minutos. Carteiras pré-carregadas com dinheiro lavado, pacotes de dados cross-chain cuidadosamente construídos, ações consecutivas de ataque e empréstimos garantidos no Aave — cada passo foi dado ao ritmo de um metrônomo.
Roubar e ainda tentar enganar depois
Se fosse apenas uma vulnerabilidade de ponte, roubando 116.500 rsETH e fugindo, isso seria apenas um grande incidente em 2026. A Kelp assume o prejuízo, a comunidade absorve por alguns dias e a indústria continua em frente.
Mas os atacantes claramente fizeram as contas. A liquidez secundária do rsETH em si não é abundante; jogar diretamente 292 milhões de dólares no DEX para vender causaria um slippage que consumiria uma parte significativa dos lucros. Uma maneira mais elegante de sair seria embalar esses "rsETH obtidos do nada" como garantias aparentemente sólidas e emprestar ativos verdadeiramente líquidos por meio de protocolos de empréstimo.
Então o atacante realizou o segundo passo: depositou o rsETH roubado no Aave V3 como garantia e emprestou uma grande quantidade de wETH.
Por que este passo é fatal? Porque o contrato Aave, naquele momento, ainda estava calculando o valor da garantia com base no preço do oráculo rsETH, enquanto as reservas na ponte já haviam sido esvaziadas — a base econômica desses rsETH, na verdade, já não existia mais. O protocolo de empréstimo ainda estava concedendo empréstimos com base no padrão de "pureza de 100%", mas a garantia já era um cheque em branco.
O resultado foi que o atacante transferiu o risco de conversão dos fundos para o pool de reserva wETH da Aave.
O reserve de wETH no Aave V3 está atualmente absorvendo inadimplências; o desenvolvedor e auditor Solidity 0xQuit alertou depositantes no X de que o pool de wETH está efetivamente danificado, e parte dos saques só poderá ser restaurada após o módulo de resgate Umbrella da Aave liquidar o déficit.
A estimativa mais recente do volume de inadimplência está na faixa de US$ 177 milhões, e isso é apenas do lado da rede principal da Ethereum.
Um primeiro grande exame profetizado
Para investidores experientes em DeFi, este trecho tem uma sensação familiar — quando o Luna desmoronou em 2022, o Safety Module do Aave V2 também desempenhou um papel semelhante.
Mas desta vez, o protagonista é o Umbrella, o novo sistema de reserva lançado pela Aave no final de 2025 para substituir o antigo Safety Module; este evento é o primeiro grande teste prático do mecanismo automático de cobertura de inadimplência do Umbrella.
A lógica do Umbrella é bem direta: stake os aTokens, como aWETH, aUSDC e GHO, nos cofres correspondentes do Umbrella, ganhando incentivos adicionais no dia a dia, mas, quando houver déficit no pool de ativos correspondente, esses stakes serão reduzidos proporcionalmente para compensar o buraco.
Este design está muito bem apresentado nas contas: no primeiro mês de operação do Aave v3.3, o déficit acumulado de todo o pool foi de aproximadamente 400 dólares, correspondendo a quase 95 bilhões de dólares em empréstimos não pagos, uma proporção tão pequena que pode ser praticamente ignorada.
Mas os US$177 milhões em inadimplência são de uma outra ordem de grandeza. Para os usuários que质押aram aWETH no Umbrella, isso será a primeira vez que sentirão realmente o peso das palavras "assumir o risco de slashing". A declaração oficial da Aave foi cautelosa: se ocorrerem inadimplências, a Aave planeja utilizar os ativos do Umbrella para compensar quaisquer déficits financeiros. Mas se será possível cobrir totalmente, qual será a proporção de slashing e quanto dos capitais dos质押adores serão perdidos — todas essas questões só poderão ser respondidas após a conclusão do processo de liquidação.
O pecado original das pontes intercadeias
Mais preocupante ainda é a identidade desses rsETH roubados.
rsETH foi implantado em mais de 20 redes, incluindo Base, Arbitrum, Linea, Blast, Mantle e Scroll, com a transferência entre cadeias realizada pelo padrão OFT da LayerZero. O rsETH retirado da ponte é exatamente a reserva que sustenta todas as versões "wrapped" de rsETH nessas redes.
Este design parece, à primeira vista, bastante convencional: o cofre da mainnet detém reservas 1:1, e os detentores de rsETH na L2 podem, teoricamente, resgatar a qualquer momento na mainnet. Mas esse mecanismo pressupõe que o cofre realmente tenha dinheiro.
O cofre está agora 18% vazio. Cerca de 18% da oferta circulante de rsETH do Kelp perderam sua reserva correspondente overnight.
Isso criou um ciclo de feedback: os detentores no L2, ao realizarem resgates pânico, transmitem pressão para o lado da oferta do Ethereum não afetado, podendo forçar o Kelp a desfazer posições de re-staking para atender aos pedidos de saque.
Desfazer o re-staking não é algo que se faz com um único clique. A retirada do EigenLayer possui um período de atraso, e a saída dos validadores subjacentes tem uma fila. Se os detentores de rsETH na L2 se dirigirem coletivamente à janela de resgate, o Kelp pode simplesmente não ter tempo suficiente para preparar os recursos necessários para o pagamento na mainnet.
Este é um risco fundamental do modelo de reserva de ponte: se houver um problema apenas no pool principal, a pressão da água em todos os canais secundários entrará em colapso. Cada detentor de rsETH em cada L2 está agora enfrentando a mesma pergunta: fugir primeiro ou confiar que o Kelp dará suporte?
O pânico realizou um ataque abrangente ao setor de empréstimos DeFi em poucas horas.
O mercado rsETH no Aave V3 e V4 foi congelado; novos depósitos e canais de empréstimo baseados em rsETH foram desativados.
SparkLend e Fluid seguem congelando o mercado rsETH.
Ethena, embora tenha declarado não ter exposição ao rsETH e manter uma cobertura superior a 101%, suspendeu como medida preventiva sua ponte LayerZero OFT a partir da rede principal da Ethereum, com suspensão prevista por cerca de seis horas; essa reação é muito significativa: jogadores sem exposição direta também estão suspendendo pontes relacionadas ao LayerZero.
Lido Finance suspendeu depósitos adicionais em seu produto earnETH (devido à exposição ao rsETH), enfatizando que stETH e wstETH não são afetados, e o protocolo principal de staking da Lido não está relacionado a este evento.
Upshift suspendeu depósitos e saques para os cofres High Growth ETH e Kelp Gain.
Esta lista continua a crescer.
Shenchao comentário: O caminho para a segurança do DeFi é longo
Até a redação deste artigo, a análise da causa raiz da Kelp DAO ainda está em andamento. Quanto do rsETH roubado poderá ser recuperado por meio da equipe de segurança ou negociações com white hats? O Umbrella da Aave conseguirá suportar este inadimplemento? Os detentores de rsETH na L2 desencadearão uma corrida aos bancos? Os preços da AAVE e do rsETH conseguirão se estabilizar antes do fim de semana?
Mas alguns problemas já se tornaram evidentes.
Por exemplo, o LRT pode continuar sendo um ativo garantidor qualificado para protocolos de empréstimo?
Token de Restaking de Liquidez (LRT) foi a estrela do ecossistema Ethereum no ciclo anterior. O EigenLayer iniciou a narrativa de “uma única ETH gerando múltiplas camadas de rendimento”, e protocolos como Kelp, ether.fi e Puffer industrializaram essa narrativa. O resultado final foi: os LRTs foram incorporados à lista de ativos aceitos como garantia por diversos protocolos de empréstimo.
Esta decisão baseia-se na suposição de que o mecanismo de ancoragem do LRT é suficientemente robusto e que os riscos aninhados em múltiplas camadas dos ativos subjacentes podem ser adequadamente modelados e isolados no nível dos contratos inteligentes.
O evento Kelp desfez essa hipótese em apenas uma tarde. O risco do LRT não vem apenas do contrato inteligente subjacente, mas também de sua arquitetura de distribuição cross-chain; não vem apenas de um único protocolo, mas de cada uma das dependências entre ele e EigenLayer, LayerZero e Aave. Cada peça do DeFi Lego parece segura quando analisada isoladamente, mas o quebra-cabeça formado por elas apresenta riscos multiplicativos, não aditivos.
Nos próximos meses, todos os protocolos de empréstimo que ainda listam LRT como ativo de garantia de alto nível devem reavaliar seus parâmetros de risco. Os limites de oferta serão reduzidos, as margens de liquidação serão ampliadas, e alguns protocolos podem remover diretamente os ativos.
O moat do DeFi sempre foi chamado de "componibilidade", mas este evento lembra a todos: a componibilidade é uma arma de dois gumes. O efeito de rede do qual você se orgulha, nas mãos de um atacante, se torna um amplificador.
Os atacantes planejaram antecipadamente sua rota de saída; não se tratava apenas de roubo, mas de usar a composibilidade DeFi como arma. Quanto maisestreitas forem as dependências entre os protocolos e mais rica for a composibilidade, maior será a superfície de ataque dos invasores e mais blocos financeiros eles poderão manipular.
Segurança em DeFi ainda é um longo caminho a percorrer.