291 milhões de dólares desaparecidos em 46 minutos, abalando todo o sistema DeFi; Aave não consegue retirar fundos. Na noite de sábado, as telas on-chain de vários analistas piscaram simultaneamente: 116.500 rsETH, com valor aproximado de 291 milhões de dólares (cerca de 9,3 bilhões de baht), desapareceram do bridge da Kelp DAO em apenas 46 minutos. Mas o dano acabava de começar. Nas 24 horas seguintes, o impacto não se limitou à Kelp — espalhou-se até a Aave, a maior plataforma de empréstimos do DeFi, causando saídas líquidas de mais de 6,2 bilhões de dólares (cerca de 210,8 bilhões de baht), tornando-se o "maior hack DeFi de 2026", superando o caso do Drift Protocol, ocorrido no início do mês. 📌 Visão geral do evento 🔹 Autor do ataque: Carteira abastecida por meio do Tornado Cash (ferramenta de mistura de transações para ocultar a origem dos fundos), preparada cerca de 10 horas antes da operação. 🔹 Vítima principal: Kelp DAO, protocolo de Liquid Restaking na ethereum que emite o token rsETH como "recibo" para quem deposita ETH e recebe rendimentos duplos. 🔹 Vítimas secundárias: Aave, Compound e Euler — todos aceitavam rsETH como garantia. Como um bridge construído sobre a infraestrutura global LayerZero, que gerencia reservas de rsETH em mais de 20 cadeias, foi invadido por apenas uma "mensagem falsa"? E por que uma vulnerabilidade em um projeto de Restaking fez com que a Aave — com TVL superior a 26 bilhões de dólares — enfrentasse uma crise total de retiradas? 1) Cerca de 10 horas antes do sábado — Preparação: Depósito realizado na carteira por meio do Tornado Cash para cobrir custos de gás e obscurecer rastreamento. 2) 17:35 UTC no sábado — Ataque ao bridge: O hacker enviou uma "mensagem phantom" para enganar o LayerZero EndpointV2, fazendo-o acreditar que um comando legítimo havia sido enviado de outra cadeia. O bridge da Kelp então liberou 116.500 rsETH na rede Ethereum sem reduzir a quantidade correspondente na cadeia de origem — conforme o protocolo normal — criando um "único ponto de falha". 3) Imediatamente após isso — Transformação em dívida ruim: O hacker não fugiu com os rsETH; em vez disso, os utilizou como garantia no Aave V3, V4, Compound V3 e Euler para emprestar WETH, gerando o que Francesco Andreoli, da Consensys/MetaMask, chamou de "massive bad debt" — dívida ruim total de mais de 236 milhões de dólares. 4) 18:21 UTC — Kelp aciona emergência: 46 minutos após o ataque ao bridge, o Emergency Multisig da Kelp DAO suspendeu todos os contratos inteligentes rsETH na ethereum mainnet e nas Layer-2. 5) Noite de sábado — Investigadores on-chain agem: ZachXBT publicou um alerta público, levando equipes de segurança de todo o ecossistema DeFi a monitorar a situação simultaneamente. 6) Pouco tempo depois — Cercando a Aave: A Aave congelou o mercado rsETH tanto no V3 quanto no V4, seguida por SparkLend, Fluid e Lido Earn, que suspenderam gradualmente produtos relacionados ao rsETH. 7) Domingo pela manhã — A Aave entrou em colapso total: A taxa de utilização (Utilization Rate) do principal Lending Pool da Aave atingiu 100%, significando que os depositantes que haviam depositado ETH e Wrapped ETH anteriormente tinham quase nenhuma liquidez disponível para retirada. 8) Domingo à tarde — O fluxo de retiradas tornou-se uma onda: Depositantes incapazes de sacar recorreram a empréstimos em stablecoins usando seus depósitos como garantia, pressionando ainda mais a liquidez. O 0xngmi, cofundador do DefiLlama, relatou que a Aave sofreu saída líquida de 6,2 bilhões de dólares em um único dia — equivalente a -23% do seu TVL.. 9) O preço do token começou a subir; AAVE caiu 16% para US$ 90,13, ETH caiu 2% para US$ 2.300 (cerca de BRL 73.800). . 10) Justin Sun entrou na cena; o fundador do Tron postou no X, propondo negociações diretas com o hacker, argumentando que "no final, o dinheiro roubado não pode ser usado de qualquer maneira, não vale a pena fazer Aave e Kelp DAO caírem juntos". . 11) A operação contínua foi bloqueada; o hacker tentou extrair rsETH mais duas vezes, totalizando mais de 40.000 tokens (cerca de US$ 100 milhões), mas foi imediatamente bloqueado após o Kelp emitir o comando pause contract. . 12) Declaração conjunta do Kelp DAO e LayerZero: ambas as partes estão realizando uma Análise da Causa Raiz (RCA — Root Cause Analysis) junto com Unichain, auditores e SEAL Org, a equipe de resposta a incidentes de segurança blockchain. . 🔍 Impactos que revelam a estrutura do DeFi . Este caso expôs duas falhas simultaneamente: primeiro, o risco das pontes cross-chain — mesmo que o código em uma única cadeia seja seguro, a comunicação entre cadeias apresenta pontos críticos no sistema de validação de mensagens, um padrão já visto anteriormente em Ronin, Wormhole e Nomad. Segundo, a "dependência de uma única garantia" entre múltiplos protocolos: quando rsETH teve problemas, Aave, Compound e Euler foram imediatamente afetados, mesmo que os contratos inteligentes desses protocolos não tenham sido diretamente comprometidos. . O dano direto ao Kelp DAO é de US$ 292 milhões, dos quais cerca de US$ 250 milhões já foram convertidos em ETH. O inadimplente exclusivamente no lado da Aave é de cerca de US$ 196 milhões, o que pode exceder a cobertura do Umbrella Reserve (fundo de resgate da Aave), significando que os detentores de stkAAVE (AAVE feito staking para garantir o sistema) podem precisar absorver a parte restante das perdas. . Uma pergunta a refletir: se hoje você fosse um depositante de ETH na Aave, incapaz de sacar seus fundos apenas porque alguém colocou ativos falsos no mesmo pool — você ainda confiaria em DeFi cross-chain? . #KelpDAO #Aave #DeFi #rsETH #LayerZero