O acordo de re-staking do Kelp DAO foi comprometido por piratas na madrugada de 19 de abril, hora de Taiwan; segundo a reportagem da CoinDesk e o acompanhamento da empresa de cibersegurança Cybers, os atacantes exploraram o conector de ponte cross-chain implantado pelo Kelp em LayerZero para falsificar mensagens cross-chain, desencadeando a liberação de 116.500 rsETH, o que equivale a cerca de 292 milhões de dólares, representando quase 18% do volume de circulação de rsETH. Esta perda excede o incidente de 285 milhões de dólares do Drift Protocol no início de abril e torna-se no maior evento de segurança DeFi de 2026.
Falsificação de mensagens cross-chain contornou a validação do conector
O rsETH nativo do Kelp DAO provém da mainnet Ethereum e é implantado na camada de mensagens cross-chain da LayerZero, abrangendo mais de 20 outras cadeias. O atacante iniciou o ataque por volta das 2:50 da tarde (horário da Costa Leste dos EUA) de 18 de abril, fazendo com que o adaptador da mainnet acreditasse em “instruções válidas provenientes de outra cadeia” através de pacotes cross-chain falsificados, libertando assim os 116.500 rsETH para um endereço controlado pelo atacante.
Depois de obter o rsETH, o atacante, em seguida, colocou os tokens em colateral no Aave V3, contraiu WETH e transferiu os activos em lotes através de cross-chain para Arbitrum; por fim, lavou os activos através do mixer Tornado Cash. Cerca de 46 minutos após o ataque, a Kelp acionou uma paragem de emergência por multi-assinatura; dois ataques subsequentes de 40.000 rsETH (totalizando cerca de 100 milhões de dólares) falharam com revert devido ao congelamento do contrato.
Aave congela de emergência o mercado de rsETH
O fundador da Aave, Stani Kulechov, afirmou na comunidade que, “o mercado de rsETH na Aave V3 e na Aave V4 já foi congelado; o próprio contrato da Aave não foi atacado; este é um problema de vulnerabilidade do lado do rsETH”, e sublinhou que o rsETH tem poder de empréstimo igual a zero na Aave, pelo que a Aave não teve perdas directas. No entanto, como o rsETH, enquanto colateral, suporta posições de empréstimo em WETH, ainda fica um risco de dívida incobrável de cerca de 177 milhões de dólares, obrigando os fornecedores a retirar-se de forma urgente.
A reacção do mercado foi intensa. Depois da notícia, o token AAVE caiu 10,27% num único dia, tendo chegado momentaneamente aos 105,73 dólares. Os protocolos de empréstimo relacionados SparkLend e Fluid também congelaram sucessivamente posições que envolvem rsETH, amplificando o risco em cadeia num fim-de-semana com liquidez escassa.
wrapped rsETH distribuído por 20 cadeias cria um problema de liquidação
O efeito em cadeia deste incidente foi maior do que um ataque típico numa única cadeia. As reservas do adaptador esvaziadas eram precisamente os activos de suporte emitidos para o wrapped rsETH em mais de 20 cadeias, o que significa que, para os utilizadores que ainda efectuam empréstimos, colocação em colateral ou negociação noutras cadeias com wrapped rsETH, as suas posições enfrentam o risco passivo de se desligarem. O comunicado oficial do Kelp apenas indicou que identificaram “actividade cross-chain suspeita” e puseram em pausa o contrato de rsETH, sem divulgar ainda uma solução de compensação.
A ponte cross-chain torna-se numa nova superfície de ataque para a DeFi
O incidente do Kelp deu continuidade à tendência, desde 2026, de a camada de mensagens cross-chain se tornar o principal alvo de ataques. Do uso, no início do mês, do Drift Protocol de um nonce durável da Solana para contornar multi-assinaturas, até ao presente caso do Kelp falsificar mensagens do LayerZero, os pontos de vulnerabilidade não residem no próprio protocolo de empréstimo, mas sim no mecanismo de validação de mensagens que liga as várias cadeias. A equipa de gestão de riscos Chaos Labs já tinha saído do controlo de riscos da Aave devido a disputas sobre orçamento; além disso, com o surgimento da superfície de ataque concentrada das pontes cross-chain, o desafio para a segurança estrutural e a governação dos protocolos DeFi continua a aumentar.
Este artigo Kelp DAO comprometido: 292 milhões de dólares — ataque de mensagens falsificadas à ponte cross-chain do LayerZero, tornando-se no maior evento DeFi de 2026 — apareceu pela primeira vez em 鏈新聞 ABMedia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Especialistas Afirmam que as Métricas das Altcoins Estão a ser «Manipuladas» para Enganar os Investidores
O investigador de criptomoedas Orbion levanta preocupações quanto à possível manipulação de indicadores-chave do mercado, incluindo o Altseason Index e o Crypto Fear and Greed Index, sugerindo que métricas inflacionadas criam uma falsa sensação de optimismo e induzem os investidores em erro sobre o início da época das altcoins.
Coinpedia58m atrás
A Curve Finance suspende a infraestrutura do LayerZero na sequência de um ataque ao rsETH
A Curve Finance suspendeu temporariamente a sua infraestrutura do LayerZero devido a um incidente de segurança envolvendo rsETH. O protocolo está a investigar o problema, afectando certas operações de ponte entre cadeias, enquanto outras continuam normalmente.
GateNews2h atrás
Explorador do KelpDAO contrai empréstimo de $195M ETH na Aave; TVL cai $6.28B à medida que whales retiram fundos
Mensagem de Gate News: o explorador do KelpDAO contraiu empréstimo de mais de 82.600 ETH ($195M) na Aave, usando RSETH como colateral, o que resultou em dívidas incobráveis a aparecer na Aave. Após este incidente, inúmeros whales retiraram fundos da Aave, fazendo com que o seu TVL descesse de $26.396B para $20.114B, uma queda de $6.28B.
GateNews4h atrás
Cofundador da Monad Sugere Limites Dinâmicos nos Depósitos de Colateral para Mitigar Riscos de Ataques
Keone Hon sugere que os protocolos de empréstimos agregados devem implementar limites de taxa graduais sobre o aumento de activos colateralizados para mitigar riscos durante ataques. Ele argumenta que isso poderia ter evitado perdas significativas, como se viu com os depositantes de rsETH.
GateNews8h atrás
Polícia de Hong Kong alerta para burla em criptomoedas de “trading quantitativo de IA”; mulher perde 7,7 milhões de HKD
A polícia de Hong Kong revelou um caso de fraude em criptomoedas em que uma mulher perdeu 7,7 milhões de HKD para burlões que se faziam passar por especialistas em investimento via Telegram, prometendo retornos elevados através de negociação por IA. A polícia alertou o público para os riscos associados aos investimentos em criptomoedas.
GateNews8h atrás
A Morpho suspende a ponte cross-chain MORPHO OFT na Arbitrum após acontecimentos da Kelp DAO e da LayerZero
A Morpho Association suspendeu temporariamente a ponte cross-chain OFT para tokens MORPHO na Arbitrum devido a problemas recentes com a Kelp DAO e a LayerZero Bridge, aguardando a confirmação da causa do incidente de rsETH.
GateNews9h atrás
