# KelpDAO

#LayerZeroCEOAdmitsProtocolFlaws
Num uma reviravolta significativa, o CEO da LayerZero Labs, Bryan Pellegrino, admitiu publicamente falhas no protocolo após o hack de 292 milhões de dólares na Kelp DAO em 18 de abril de 2026, onde um atacante explorou uma configuração de segurança 1/1 para roubar tokens rsETH.
Publicando sua declaração no X (antigo Twitter) em 4 de maio de 2026, Pellegrino confessou que o protocolo LayerZero falhou em prevenir ou sinalizar a perigosa configuração 1/1. Ele reconheceu que "assumi erroneamente que nenhuma aplicação garantiria bilhões em TVL com uma configuração dessas". Além disso, Pellegrino admitiu que a LayerZero agravou ainda mais a crise ao impor mudanças no quórum RPC sem notificar os clientes afetados, chamando sua comunicação de "um fracasso completo". Ele concluiu prometendo que a empresa se reorientaria totalmente para atender emissores de ativos e o lançamento iminente do Zero.
Essa admissão marcou uma reversão dramática em relação à resposta inicial da LayerZero, que colocava a culpa inteiramente na camada de aplicação e nas próprias escolhas de configuração da Kelp DAO. A desculpa pública seguiu-se a críticas extensas da comunidade cripto, especialmente após desenvolvedores de terceiros demonstrarem como a perigosa configuração 1/1 era destacada de forma proeminente na documentação oficial da LayerZero como um ponto de partida. A mudança de sentimento eventualmente forçou Pellegrino a assumir a responsabilidade pelo que críticos chamaram de "arrogância sistêmica".
No entanto, a Kelp DAO permanece inconvinte. Em 5 de maio, eles publicaram uma refutação detalhada argumentando que a configuração comprometida era o padrão da plataforma, alegando que aproximadamente 47% dos 2.665 contratos ativos da LayerZero operavam em configurações 1/1 no momento do exploit. A Kelp também divulgou capturas de tela do Telegram supostamente mostrando um funcionário da LayerZero aprovando a configuração 1/1 antes do incidente. A Kelp questionou ainda por que a monitorização da LayerZero não detectou o comprometimento do nó RPC antes que as mensagens forjadas fossem assinadas, uma violação que eles vinculam diretamente ao Grupo Lazarus da Coreia do Norte.
Consequentemente, a Kelp DAO confirmou sua migração do rsETH da LayerZero para o padrão CCIP da Chainlink em todas as cadeias suportadas, reforçando a perda permanente de confiança na arquitetura do protocolo.

#KelpDAOBridgeHacked
Exploração da Ponte KelpDAO: Análise Técnica & Impacto na Indústria
Em 18 de abril de 2026, a ponte cross-chain rsETH da KelpDAO sofreu a maior exploração DeFi de 2026, com atacantes drenando aproximadamente 116.500 rsETH avaliados em cerca de $292 milhões. O incidente representa aproximadamente 18% do fornecimento circulante total de rsETH e desencadeou efeitos em cascata em todo o ecossistema DeFi.
Análise do Vetor de Ataque
A exploração foi executada através de um ataque sofisticado em várias etapas direcionado à infraestrutura LayerZero. Os atacantes comprometeram inicialmente dois nós RPC independentes operados pela LayerZero Labs, substituindo binários legítimos do op-geth por versões maliciosas. Esses nós envenenados foram configurados especificamente para enganar a Rede de Verificadores Descentralizados (DVN) da LayerZero enquanto mantinham respostas verdadeiras para outros sistemas de monitoramento, evitando detecção.
A sequência do ataque envolveu um ataque coordenado de DDoS contra um terceiro nó RPC limpo, forçando a DVN a fazer failover para a infraestrutura comprometida. A configuração da ponte da KelpDAO utilizava uma configuração de 1-de-1 na DVN, ou seja, apenas a DVN da LayerZero era necessária para validar mensagens cross-chain. Os nós envenenados confirmaram com sucesso uma transação de queima fabricada na Unichain, que o sistema de retransmissão EndpointV2 propagou para o Adaptador OFT da KelpDAO, acionando a liberação não autorizada de reservas na mainnet.
Após a exploração, o atacante lavou sistematicamente o rsETH roubado através de várias carteiras, depositando fundos como garantia nos mercados Aave V3 na Ethereum e Arbitrum. O atacante garantiu aproximadamente 75.700 WETH na Ethereum e 30.800 WETH na Arbitrum, atingindo rácios de empréstimo-valor próximos de 99% antes que congelamentos a nível de protocolo impedissem novos empréstimos.
Atribuição & Perfil do Atacante
Pesquisadores de segurança e empresas de análise blockchain atribuíram o ataque ao Grupo Lazarus da Coreia do Norte, especificamente ao cluster TraderTraitor. As características operacionais alinham-se com as metodologias documentadas do Lazarus: táticas de intrusão paciente, manipulação de infraestrutura confiável e mecanismos sofisticados de supressão de detecção. O malware utilizado autodestruiu-se após a exploração, apagando sistematicamente evidências forenses dos sistemas comprometidos.
Resposta do Protocolo & Contenção
Aave respondeu em horas congelando os mercados rsETH nas implantações V3 e V4, incluindo a integração SparkLend. O protocolo atualmente enfrenta aproximadamente $177 milhões em dívidas ruins, concentradas principalmente na Arbitrum. O Valor Total Bloqueado no ecossistema Aave caiu de $26 bilhões para $18 bilhões, representando saídas de $8 a $14 bilhões à medida que provedores de liquidez retiraram capital.
A contaminação estendeu-se além da Aave, com mais de 15 protocolos implementando pausas emergenciais na ponte. Pools de empréstimo WETH atingiram taxas de utilização de 100%, criando riscos de liquidação secundária para posições alavancadas. A KelpDAO colocou endereços exploradores na lista negra e afirma ter evitado tentativas adicionais de ataque no valor de $95 milhões.
Análise da Causa Raiz em Disputa
Existe uma disputa significativa entre a KelpDAO e a LayerZero quanto à responsabilidade fundamental. A LayerZero sustenta que a configuração de 1-de-1 na DVN da KelpDAO divergiu das práticas de segurança recomendadas, enfatizando que o próprio protocolo não continha vulnerabilidades e que o incidente foi isolado à infraestrutura rsETH. A LayerZero subsequentemente corrigiu os sistemas DVN e RPC afetados.
A KelpDAO contra-argumenta que a documentação padrão e as configurações de início rápido da LayerZero recomendavam a configuração 1-de-1, defendendo que o provedor de infraestrutura é responsável pela segurança dos nós RPC. Ambas as partes concordam que nenhum bug em contratos inteligentes foi explorado; a causa raiz centra-se nas suposições de confiança dentro de configurações de ponto único de falha.
Implicações para a Segurança DeFi
O incidente expõe vulnerabilidades críticas nas arquiteturas de pontes cross-chain, especialmente no que diz respeito à segurança da infraestrutura RPC. Os nós RPC emergiram como um elo fraco sistêmico, com a maioria dos protocolos dependendo de um conjunto limitado de provedores sem diversificação adequada de failover. A exploração demonstra que mesmo sistemas sofisticados de múltiplos assinantes e verificação podem ser comprometidos quando as fontes de dados subjacentes são envenenadas.
Analistas da indústria recomendam a implementação imediata de configurações multi-DVN, redes diversificadas de provedores RPC e sistemas de auditoria de configuração em tempo real. A arquitetura modular de segurança do LayerZero limitou o raio de impacto especificamente ao rsETH, sem afetar outros contratos OFT ou OApp, sugerindo que frameworks de mensagens cross-chain podem manter resiliência mesmo durante ataques direcionados à infraestrutura.
Status Atual & Esforços de Recuperação
A governança da Aave está atualmente debatendo mecanismos de socialização de dívidas para lidar com a situação de dívidas ruins. A KelpDAO, LayerZero e Aave estabeleceram canais de coordenação para operações de recuperação. O coletivo de segurança blockchain Seal-911 está monitorando ativamente os movimentos de fundos, com partes dos ativos roubados identificados passando por Tornado Cash e outros protocolos de ofuscação. Canais de negociação com whitehats permanecem abertos, embora nenhuma recuperação tenha sido confirmada até o momento.
O ataque estabelece um novo recorde para hacks DeFi de 2026, superando o incidente do $285 milhões do Drift Protocol de 1 de abril. O incidente reforça as preocupações contínuas sobre a segurança das pontes como principal vetor de ataque em DeFi, com a infraestrutura cross-chain permanecendo a fronteira de segurança mais contestada do ecossistema.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews