O hack do @KelpDAO é um dos maiores ataques DeFi de 2026, com perdas estimadas em US$ 292–294 milhões (aproximadamente 116.500 rsETH, representando ~18% do total da oferta circulante). Eventos Principais Horário: Por volta das 17:35 UTC em 18 de abril de 2026. O atacante explorou a ponte rsETH do KelpDAO, que depende das mensagens cross-chain do LayerZero. O hacker chamou a função lzReceive no LayerZero EndpointV2 e falsificou mensagens cross-chain para cunhar rsETH não lastreado (rsETH sem ativos subjacentes reais). O rsETH falso foi então depositado em principais protocolos de empréstimo, como Aave V3, Compound, Euler e outros, para tomar emprestado aproximadamente US$ 106–236 milhões em ETH/WETH. Grande parte da ETH roubada foi transferida e potencialmente lavada (o Tornado Cash foi usado anteriormente para financiar a carteira do atacante). O KelpDAO pausou rapidamente o contrato rsETH no mainnet Ethereum e em múltiplas redes Layer-2. Vários outros protocolos (Aave, SparkLend, Fluid, Upshift, Lido, Ethena, etc.) ativaram congelamentos de emergência para limitar danos adicionais. Causa Raiz A causa principal foi uma falha crítica de segurança na configuração da ponte LayerZero: LayerZero suporta limiares seguros para Redes de Verificadores Descentralizadas (DVN), como 2/2 ou 3/3 (exigindo que múltiplos verificadores sejam comprometidos). O KelpDAO o configurou como 1/1 (apenas um verificador necessário), permitindo que o hacker falsificasse mensagens facilmente. O adaptador da ponte $rsETH foi diretamente explorado, permitindo a cunhagem ilimitada de rsETH falso. Consequências Para o KelpDAO: Perda de ~US$ 292 milhões em valor de rsETH, contratos pausados, sério dano reputacional e perda da paridade do rsETH. Efeitos de contágio: O @aave V3 enfrentou dívida ruim massiva (~US$ 200–290 milhões nos pools de WETH) porque rsETH falso foi usado como garantia para tomar emprestado ETH real. Os prestadores de WETH no Aave foram incentivados a sacar os fundos imediatamente. Pelo menos outros 9 protocolos (Aave, Compound, Morpho, SparkLend, etc.) foram impactados. O WETH enroscou-se em mais de 20 cadeias. Impacto no mercado: A token $AAVE caiu acentuadamente (~10–15%). O token $ZRO do @LayerZero_Core também sofreu queda significativa. Sentimento negativo no DeFi, com muitos usuários retirando liquidez dos protocolos de empréstimo. O atacante transferiu grande parte da ETH, mas alguns mercados permanecem congelados para conter os danos. O incidente ainda está sob investigação (analistas on-chain como ZachXBT estão rastreando ativamente). Serve como um grande lembrete dos riscos associados a pontes cross-chain e tokens de restaking líquido quando integrados a protocolos de empréstimo sem controles robustos. Se você possui posições relacionadas a rsETH, pools de WETH do Aave ou vaults de empréstimo relacionados ao ETH, é aconselhável verificar e considerar sacar para evitar dívida ruim ou congelamentos prolongados. A situação pode continuar a se desenvolver nas próximas horas.