A re-pledge (re-staking) do Kelp DAO sofreu um ataque em 19 de abril, na madrugada pelo horário de Taiwan. De acordo com reportagem da CoinDesk e com o acompanhamento da empresa de segurança on-chain Cybers, os atacantes, por meio do bridge (conector de ponte) cross-chain implantado pelo Kelp no LayerZero, falsificaram mensagens cross-chain para acionar contratos, liberando 116.500 tokens de rsETH, o que equivale a aproximadamente 292 milhões de dólares, representando quase 18% do volume em circulação de rsETH. A perda desta vez superou o incidente de 285 milhões de dólares do Drift Protocol no início de abril, tornando-se o maior evento de segurança DeFi de 2026.
Falsificação de mensagens cross-chain contorna a validação do bridge
O rsETH nativo do Kelp DAO se origina na mainnet do Ethereum e, por meio da camada de mensagens cross-chain do LayerZero, foi implantado em mais de 20 outras redes. Os atacantes lançaram o ataque por volta das 14:50 do dia 18 de abril, horário do leste dos EUA, fazendo com que pacotes cross-chain falsificados levassem o contrato adapter da mainnet a acreditar que “instruções válidas vêm de outra rede”, liberando assim os 116.500 rsETH para o endereço controlado pelos atacantes.
Depois de obter o rsETH, os atacantes avançaram para depositar os tokens como garantia no Aave V3, contrair WETH e transferir os ativos em lotes via cross-chain para Arbitrum. Por fim, eles lavaram os ativos através do mixer Tornado Cash. O Kelp acionou o multisig de pausa de emergência cerca de 46 minutos após o ataque. Duas tentativas subsequentes de ataque com 40 mil rsETH cada (total de aproximadamente 100 milhões de dólares) fizeram revert, devido ao congelamento do contrato.
Congelamento de emergência do mercado de rsETH no Aave
Stani Kulechov, fundador do Aave, afirmou na comunidade que, “o mercado de rsETH no Aave V3 e no Aave V4 já foi congelado. O próprio contrato do Aave não foi atacado; esta é uma vulnerabilidade na ponta do rsETH”, e enfatizou que o rsETH tem poder de empréstimo igual a zero no Aave, de modo que o Aave não teve perda direta. Mas, como o rsETH, como colateral, ainda oferece suporte para posições de empréstimo de WETH, permanece um risco de inadimplência de cerca de 177 milhões de dólares, o que força os provedores a se retirarem com urgência.
A reação do mercado foi intensa. Após a notícia, o token AAVE caiu 10,27% no mesmo dia e chegou a cair para 105,73 dólares. Os acordos de empréstimo relacionados SparkLend e Fluid também congelaram, em sequência, posições que envolviam rsETH, ampliando o risco em cadeia no fim de semana, quando a liquidez fica mais escassa.
rsETH wrapped distribuído em 20 redes vira um problema de liquidação
O efeito de encadeamento deste incidente é maior do que o de um ataque comum em uma única rede. As reservas de adapter drenadas são justamente os ativos lastro que sustentam a emissão do wrapped rsETH em mais de 20 redes. Isso significa que usuários que ainda usam wrapped rsETH para fazer empréstimos, staking ou transações em outras redes terão suas posições sujeitas a um risco passivo de desacoplamento. O comunicado oficial do Kelp declarou apenas que identificou “atividades cross-chain suspeitas” e pausou o contrato de rsETH, sem divulgar ainda um plano de compensação.
A ponte cross-chain vira uma nova superfície de ataque para DeFi
O incidente do Kelp segue uma tendência em que, desde 2026, a camada de mensagens cross-chain vem se tornando o foco dos ataques. Do início do mês, quando o Drift Protocol aproveitou o Solana durable nonce para contornar multisig, até a falsificação de mensagens do LayerZero neste caso do Kelp, os pontos vulneráveis não estão no próprio protocolo de empréstimos, e sim no mecanismo de validação de mensagens que conecta as diferentes redes. A equipe de gerenciamento de riscos Chaos Labs já havia deixado o Aave de controle de risco devido a divergências sobre orçamento. Somado a isso, o surgimento da superfície de ataque concentrada das pontes cross-chain eleva continuamente os desafios de segurança estrutural na governança dos protocolos DeFi.
Este artigo Kelp DAO é hackeado em 292 milhões de dólares: Ataque de falsificação de mensagens na ponte cross-chain do LayerZero, tornando-se o maior evento DeFi de 2026. A primeira aparição foi em 鏈新聞 ABMedia.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
O sargento-mor das Forças Especiais dos EUA foi preso: usando informações confidenciais para apostar na Polymarket que Maduro seria preso, lucrando 400 mil dólares
O Departamento de Justiça dos EUA no Distrito Sul de Nova York indiciou o oficial-chefe das Forças Especiais militares dos EUA Gannon Ken Van Dyke, acusando-o de usar informações confidenciais para apostar no resultado da prisão de Maduro no Polymarket, obtendo cerca de US$ 409.881 (13 transações, de 2025-12-27 a 2026-01-26). As acusações incluem uso ilegal de informações confidenciais, roubo de informações não públicas, fraude em negociações de commodities, fraude por transferência eletrônica e transações ilegais de dinheiro, entre outras. Trata-se do primeiro caso de acusação federal com foco em arbitragem entre insider e mercado de previsões, ou que pode afetar o rumo da regulamentação no futuro.
ChainNewsAbmedia54m atrás
Polícia espanhola apreende €400 mil em cripto de plataforma ilegal de pirataria de mangá, 3 detidos
Mensagem do Gate News, 24 de abril — A polícia espanhola em Almería apreendeu duas carteiras frias de criptomoedas contendo aproximadamente €400.000 durante uma operação de busca na maior plataforma ilegal de distribuição de mangás do país. Três indivíduos foram presos em conexão com a operação, que foi iniciada
GateNews2h atrás
Sanções da OFAC ao senador cambojano por rede de golpe de criptomoedas
Sanções da OFAC ao senador cambojano por rede de golpe com criptomoedas
O Departamento do Tesouro dos EUA, o Escritório de Controle de Ativos Estrangeiros (OFAC), sancionou o senador cambojano Kok An, que é acusado de controlar “complexos de golpes” por todo o Camboja que fraudaram americanos. A OFAC designou An e 28 outros
CryptoFrontier2h atrás
EUA sancionam autoridades do Camboja por um mega complexo de golpes de bilhões! A Tether congela mais de US$ 344 milhões em USDT
O Departamento do Tesouro e o Departamento de Justiça dos EUA recentemente realizaram uma ação conjunta de aplicação da lei contra os crescentes golpes de “Pig Butchering” de relacionamento com criptomoedas, cada vez mais desenfreados no Sudeste Asiático. A autoridade oficial anunciou formalmente sanções ao senador do Camboja, Loang (Kok An), e a 28 indivíduos e entidades em sua rede criminosa, acusando-os de usar influência política e os parques de cassinos sob seu comando para proteger atividades em larga escala de golpes e tráfico de pessoas. Estima-se que essas atividades fraudulentas, por si só, causem perdas de até 10 bilhões de dólares para cidadãos dos EUA em um único ano. Em apoio a esta ofensiva, o emissor de stablecoins Rether também já congelou mais de 344 milhões de dólares em ativos digitais envolvidos no caso.
Golpes românticos “Pig Butchering”: prejuízo anual dos americanos ultrapassa 10 bilhões de dólares
Nos últimos anos, organizações criminosas internacionais com base no Sudeste Asiático têm adotado em grande escala a tática de golpe de “criar relacionamento para depois matar” conhecida como “Pig Butchering”. Os fraudadores gastam meses
ChainNewsAbmedia2h atrás
Soldado do Exército dos EUA é preso por usar inteligência classificada para apostar na captura de Maduro na Polymarket
Mensagem do Gate News, 24 de abril — O Departamento de Justiça dos EUA prendeu o soldado Gannon Ken Van Dyke, 38, do Exército, atualmente em serviço ativo, sob acusações de uso de informações confidenciais para fazer apostas na Polymarket, um mercado de previsões, sobre a captura do ex-presidente venezuelano Nicolás Maduro. Van Dyke participou
GateNews2h atrás
