Uma ponte entre cadeias que contém quase um quinto do suprimento circulante de um token de éter reestacado acabou de ser drenada, e as consequências estão se movendo através do DeFi mais rápido do que o Kelp DAO pode pausar os contratos.
Um invasor drenou 116.500 rsETH (éter recomposto) da ponte alimentada por LayerZero da Kelp DAO às 17h35 UTC de sábado, no valor de cerca de US$ 292 milhões a preços atuais e representando cerca de 18% do fornecimento circulante de 630.000 tokens de rsETH rastreado pela CoinGecko.
LayerZero é uma camada de mensagens entre cadeias ou a infraestrutura que permite que diferentes blockchains enviem instruções verificadas entre si. Kelp DAO é um protocolo de reestabelecimento líquido, que pega o ETH depositado pelo usuário, o encaminha através do EigenLayer para obter rendimento adicional além das recompensas de piquetagem padrão do Ethereum e emite rsETH como um recibo negociável.
A ponte que foi drenada continha a reserva rsETH apoiando versões embrulhadas do token implantadas em mais de 20 outras blockchains.
O invasor enganou a camada de mensagens cross-chain do LayerZero fazendo-a acreditar que uma instrução válida havia chegado de outra rede, o que acionou a ponte de Kelp para liberar 116.500 rsETH para um endereço controlado pelo invasor.
O multisig do pausador de emergência do Kelp congelou os contratos principais do protocolo 46 minutos após a drenagem bem-sucedida, às 18h21 UTC. Duas tentativas subsequentes às 18h26 UTC e 18h28 UTC foram revertidas, cada uma carregando o mesmo pacote LayerZero tentando outro dreno de 40.000 rsETH no valor de aproximadamente US$ 100 milhões.
O rsETH é implantado em mais de 20 redes, incluindo Base, Arbitrum, Linea, Blast, Mantle e Scroll, com o padrão OFT da LayerZero lidando com o movimento entre cadeias.
O rsETH mantido na ponte era a reserva que apoiava as versões embaladas em cada blockchain da camada 2, ou redes que rodam sobre o Ethereum.
Com essa reserva esgotada, os detentores de implantações não-Ethereum agora enfrentam a questão de saber se seus tokens têm algo abaixo deles, o que cria um ciclo de feedback onde resgates de pânico em L2s pressionam o fornecimento não afetado de Ethereum, potencialmente forçando Kelp a desfazer posições de reestabelecimento para honrar retiradas.
A lista de contágios é longa e continua a crescer.
Aave congelou os mercados rsETH em V3 e V4 em poucas horas, com o fundador Stani Kulechov afirmando que a exploração era externa e os contratos da Aave não foram comprometidos. SparkLend e Fluid congelaram seus mercados rsETH.
AAVE caiu cerca de 10% à medida que o mercado avaliava possíveis dívidas incobráveis.
A Lido Finance pausou mais depósitos em seu produto EarnETH, que carrega exposição rsETH, ao mesmo tempo em que esclareceu que stETH e wstETH não são afetados e que o protocolo principal de staking do Lido não tem envolvimento no incidente.
Ethena pausou temporariamente suas pontes LayerZero OFT da rede principal Ethereum como precaução, dizendo que não tem exposição rsETH e permanece com mais de 101% de garantia excessiva. O emissor da stablecoin disse que a pausa duraria cerca de seis horas enquanto a causa raiz fosse identificada.
Kelp, um produto sob a égide do KernelDAO, reconheceu o incidente em sua primeira postagem pública X às 20h10 UTC, quase três horas após a drenagem. O protocolo disse que estava investigando com LayerZero, Unichain, seus auditores e especialistas externos em segurança. Não foi divulgado como a exploração contornou a lógica de validação da ponte.
Se o rsETH se manterá atrelado durante o fim de semana depende de quanto do float cross-chain tenta resgatar em ETH no Ethereum e se Kelp pode recuperar qualquer parte dos fundos roubados antes que a trilha do Tornado Cash esfrie.
O hack chega a uma situação incomumente hostil para o DeFi. O protocolo perpétuo baseado em Solana, Drift, foi drenado em cerca de US$ 285 milhões em 1º de abril, em um ataque posteriormente vinculado a atores afiliados à Coreia do Norte, e pelo menos uma dúzia de protocolos menores foram explorados nas semanas seguintes, incluindo CoW Swap, Zerion, Rhea Finance e Silo Finance.
A perda de US$ 292 milhões do Kelp é agora a maior exploração de DeFi de 2026, ultrapassando o Drift em alguns milhões de dólares.
Fonte: Folha SP
