A KelpDAO sofreu um ataque de US$ 290 milhões no último sábado (18). Mais especificamente, o ataque afetou o rsETH, uma criptomoeda de restaking líquido de Ethereum.
Embora a cifra seja a semelhante a do hack do Drift Protocol do início do mês, o rsETH é utilizado em diversas outras plataformas de DeFi, o que acabou contaminando todo o setor.
Dados do DeFiLlama apontam que o TVL, métrica utilizada para medir as criptomoedas de usuários nestas plataformas, caiu de US$ 99,5 bilhões para US$ 85,6 bilhões.
Nas redes sociais, a equipe da KelpDAO soltou uma nota curta sobre o incidente.
“Hoje cedo, identificamos atividades cross-chain suspeitas envolvendo o rsETH. Pausamos os contratos de rsETH na mainnet e em diversas L2s enquanto investigamos.”
Nota da KelpDAO sobre o ataque hacker de US$ 290 milhões. Fonte: X.
LayerZero explica o incidente do rsETH da KelpDAO
Um relatório preliminar publicado pela LayerZero sugere que o ataque à KelpDAO foi realizado por hackers norte-coreanos do Grupo Lazarus, mais especificamente pelo TraderTraitor.
“O alvo deste ataque altamente sofisticado foi o envenenamento da infraestrutura de RPC utilizada pela DVN (Decentralized Verified Network) da LayerZero Labs”, explicaram os desenvolvedores.
O texto aponta que a KelpDAO estava utilizando uma única DVN ao invés de múltiplas para criar redundância, o que acabou servindo como um ponto de vulnerabilidade a ser explorado.
Neste caso, os hackers forjaram uma mensagem afirmando que depositaram 116.500 rsETH na rede Ethereum, solicitando a liberação deste mesmo valor na rede Unichain.
Somado a isso, os nós RPC da única DVN utilizada foram comprometidos para validar essa informação falsa, permitindo o roubo desses tokens.
“Este incidente foi isolado inteiramente à configuração de rsETH da KelpDAO como consequência direta de sua configuração de DVN única.”
“A mensagem só era exibida para a DVN, enquanto o nó dizia a verdade explicitamente para qualquer outro endereço IP que fizesse requisições RPC, incluindo nosso serviço Scan. Isso foi cuidadosamente projetado para evitar que o monitoramento de segurança notasse anomalias. O sistema foi feito para se autodestruir assim que o ataque não pudesse mais ser realizado, desativando os RPCs e deletando o binário malicioso e os logs locais”, explica a LayerZero. “Contudo, mesmo isso foi insuficiente para forjar uma mensagem. Nossa configuração de DVN minimiza a confiança e utiliza RPCs internos e externos para redundância. Para completar o ataque, eles realizaram ataques DDoS nos RPCs não comprometidos. O DDoS acionou o failover (migração automática) para os RPCs envenenados. Como resultado dessa manipulação, a instância da DVN operada pela LayerZero Labs confirmou transações que, na verdade, nunca ocorreram.”
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Diversos projetos do setor DeFi foram afetados indiretamente
A perda de US$ 290 milh