Um exploit de aproximadamente $292 milhões no fim de semana abalou a indústria de criptomoedas, expondo vulnerabilidades na infraestrutura de finanças descentralizadas (DeFi) e gerando preocupações sobre efeitos colaterais em protocolos de empréstimo.
Enquanto as investigações ainda estão em andamento, análises iniciais sugerem que o ataque se concentrou no token rsETH da Kelp — uma versão com rendimento do ether (ETH) — e no mecanismo usado para mover ativos entre blockchains.
O atacante parece ter manipulado esse sistema para criar grandes quantias de tokens sem respaldo adequado, e depois os utilizou rapidamente como garantia para tomar emprestado e esvaziar ativos reais dos mercados de empréstimo, principalmente da Aave AAVE$90.11, o maior prestador descentralizado de criptomoedas.
O incidente é o mais recente golpe para o DeFi, ocorrendo apenas algumas semanas após a exploração de $285 milhões do protocolo baseado em Solana, Drift, prejudicando ainda mais a confiança dos investidores no setor de criptomoedas de quase $90 bilhões.
Em um nível geral, a exploração visou um componente da ponte LayerZero — um componente de infraestrutura que permite a transferência de ativos entre diferentes blockchains, disse Charles Guillemet, CTO da fabricante de carteiras de hardware Ledger, em nota ao CoinDesk.
As pontes normalmente funcionam bloqueando ativos em uma cadeia e cunhando tokens equivalentes em outra. Esse processo depende de uma entidade confiável — frequentemente chamada de oracle ou validador — para confirmar depósitos.
Neste caso, o Kelp atuou efetivamente como esse verificador. De acordo com Guillemet, o sistema dependia de uma configuração de assinante único, o que significa que apenas uma entidade poderia aprovar quaisquer transações.
"Parece que o atacante conseguiu assinar uma mensagem ... permitindo-lhe cunhar uma grande quantia de rsETH," disse ele. Ele acrescentou que ainda não está claro como esse acesso foi obtido.
Michael Egorov, fundador da Curve Finance, apontou para a mesma fraqueza na configuração do sistema.
Coisas podem acontecer quando você confia em uma única parte — quem quer que seja.
Essa configuração permitiu que o atacante criasse efetivamente tokens não lastreados, embora nenhum ativo correspondente tivesse sido bloqueado na cadeia de origem.
Após a cunhagem, os tokens foram rapidamente implementados. O atacante "imediatamente os depositou em protocolos de empréstimo, principalmente Aave, para tomar emprestado ETH real contra eles", explicou Guillemet.
Essa manobra deslocou o problema de uma única exploração para uma questão mais ampla do mercado. As plataformas de empréstimo DeFi agora ficaram com garantias que podem ser difíceis de desfazer, enquanto ativos valiosos e líquidos já foram esgotados.
"Aave ficou com rsETH, que não pode ser realmente vendido, e ETH maxborrowed [sic], então ninguém pode sacar ETH," disse Egorov da Curve.
Como resultado, Aave e outros protocolos de empréstimo podem estar detendo centenas de milhões de dólares em garantias questionáveis e dívidas ruins, ele alertou, levantando preocupações sobre um possível dinâmica de "corrida aos bancos" à medida que os usuários correm para sacar fundos.
Aave registrou uma queda de aproximadamente $6 bilhões em ativos no protocolo, à medida que os usuários retiraram seus ativos após o incidente. O token associado ao protocolo caiu cerca de 15% durante os últimos 24 horas de negociação.
Questões importantes permanecem sobre como o validador foi comprometido. O sistema dependia do nó oficial da LayerZero, gerando incerteza sobre se foi hackeado, mal configurado ou enganado.
"Foi hackeado? Foi enganado? Não sabemos", disse Egorov.
A identidade do atacante também é desconhecida, embora Guillemet tenha dito que a escala do ataque sugere um actor sofisticado.
“Claramente não são alguns script kiddies,” ele disse.
Além das perdas imediatas, o incidente serve como mais um lembrete de que, à medida que o DeFi se torna mais interconectado, falhas em uma camada podem rapidamente se propagar por todo o sistema.
Egorov argumentou que modelos de empréstimo não isolados, nos quais os ativos compartilham risco entre pools, amplificam o impacto de tais eventos.
Ele também apontou deficiências na forma como novos ativos são integrados às plataformas de empréstimo, dizendo que configurações como a estrutura de verificador 1-de-1 da Kelp deveriam ter sido sinalizadas antes.
No entanto, Egorov disse que há um ponto positivo. "O cripto é um ambiente difícil que nenhum banco teria sobrevivido — ainda assim, estamos trabalhando com isso", disse ele. "Acho que o DeFi aprenderá com este incidente e se tornará mais forte do que antes."
Mesmo assim, mesmo que incidentes como este levem a atualizações e redesenho de protocolos, eles também minam a confiança dos investidores no setor DeFi como um todo.
“No geral, a confiança nos protocolos DeFi é erosionada por esse tipo de evento,” disse Guillemet.
"E 2026 provavelmente será o pior ano em termos de ataques, novamente," ele acrescentou.