Em 19 de abril de 2026, o DeFi sofreu seu maior ataque do ano: a Kelp DAO foi hackeada em US$ 292 milhões via uma vulnerabilidade na bridge LayerZero. O ataque drenOU 116.500 rsETH — cerca de 18% de todo o supply circulante do token — em uma única transação fraudulenta, deixando buracos de dívida em protocolos como Aave, Compound, Silo Finance e Lido. É o maior exploit de DeFi de 2026.
Comprar Bitcoin com Segurança — Sem DeFi, Sem Risco de Hack →
O Que é a Kelp DAO e o rsETH?
A Kelp DAO é um protocolo de liquid restaking construído sobre o EigenLayer no Ethereum. O conceito é simples: você deposita ETH (ou stETH, ETHx) no protocolo e recebe rsETH — um token que representa sua posição de restaking e pode ser usado em outros protocolos DeFi para gerar rendimento adicional.
Antes do ataque, a Kelp DAO tinha mais de US$ 2 bilhões em TVL (Total Value Locked) e o rsETH estava integrado em mais de 40 plataformas DeFi, incluindo Aave, Compound, Silo Finance e Lido. É exatamente essa ampla integração que transformou o ataque em um efeito cascata devastador.
Como o Hack Aconteceu: O Ataque Passo a Passo
O vetor de ataque foi sofisticado e explorou uma falha crítica de design na bridge LayerZero que conectava a Unichain ao Ethereum. Veja a sequência exata:
Cronologia do Ataque
- 17:35 UTC: O atacante chama a função
lzReceiveno contratoEndpointV2da LayerZero - O validador DVN (Decentralized Verifier Network) comprometido — configurado como 1/1 multisig (uma única assinatura) — valida a mensagem fraudulenta
- A bridge libera 116.500 rsETH para a carteira do atacante sem que ele tenha depositado nada
- O atacante deposita o rsETH roubado como colateral no Aave V3
- Com o colateral sem lastro real, toma emprestado WETH (Wrapped Ether) do pool de liquidez
- Funde os fundos e utiliza o Tornado Cash para obscurecer as transações
- 18:21 UTC: Kelp DAO pausa os contratos — 46 minutos após a drenagem
- 18:26 e 18:28 UTC: Duas tentativas de drenagem adicionais de ~40.000 rsETH cada (~$100M) são revertidas pela pausa
“It’s really crazy that LayerZero doesn’t have some redundant sanity check and allows to bridge 116,500 rsETH from a chain with a supply of 49.”
— @banteg (pesquisador de segurança), análise on-chain em tempo real
O ponto crítico levantado pelo pesquisador @banteg é revelador: a Unichain tinha apenas 49 rsETH de supply total, mas o validador aprovou a transferência de 116.500 rsETH para o Ethereum — uma discrepância de 2.377x que qualquer verificação de sanidade básica teria detectado e bloqueado.
O Efeito Cascata: Quem Mais Foi Afetado?
O rsETH estava integrado em dezenas de protocolos como colateral. Com 116.500 rsETH gerados do nada e depositados, os protocolos de empréstimo ficaram com bad debt irrecuperável — dívidas que nunca serão pagas porque o colateral não tem valor real.
Impacto do Hack Kelp DAO
$292M
drenados da Kelp DAO
$177M+
bad debt na Aave
20+
redes com rsETH sem lastro
-10%
queda do token AAVE
| Protocolo | Impacto | Ação Tomada |
|---|---|---|
| Kelp DAO (rsETH) | $292M drenados | Contratos pausados |
| Aave V3 e V4 | ~$177M bad debt | Mercados rsETH congelados |
| SparkLend | Exposição a rsETH | Mercados congelados |
| Fluid | Exposição a rsETH | Mercados congelados |
| Compound | Bad debt potencial | Monitorando |
| Silo Finance | Bad debt potencial | Monitorando |
| Lido (via earnETH) | Exposição indireta | Investigando |
O Problema Central: LayerZero DVN 1/1
A crítica técnica mais grave do ataque é o design do validador. O DVN (Decentralized Verifier Network) da LayerZero que protegia a bridge da Kelp estava configurado como 1/1 multisig — ou seja, apenas uma única assinatura era necessária para validar qualquer transação cross-chain, independente do valor.
Para efeito de comparação: protocolos maduros usam configurações 3/5 ou 5/9, onde múltiplos signatários independentes precisam concordar antes que qualquer transferência seja aprovada. Um único ponto de falha em uma bridge que custodeia centenas de milhões de dólares é uma falha de design elementar — e custou US$ 292 milhões.
Por Que Bridges São o Elo Mais Fraco do DeFi?
Bridges cross-chain são responsáveis por mais de 60% de todos os hacks de DeFi em valor. O motivo técnico é simples: uma bridge precisa confiar em mensagens vindas de outra rede — e verificar a autenticidade dessas mensagens é fundamentalmente difícil. As principais falhas históricas incluem:
- 💀 Ronin Bridge (Axie Infinity) — $625M (2022) — validador comprometido
- 💀 Wormhole — $320M (2022) — falha de verificação de assinatura
- 💀 Nomad — $190M (2022) — mensagem raiz falsa aceita
- 💀 Kelp DAO / LayerZero — $292M (2026) — DVN 1/1 comprometido
Abril de 2026: Mês Catastrófico para o DeFi
O hack da Kelp DAO não é um episódio isolado. Em abril de 2026, o DeFi acumulou perdas históricas:
| Protocolo | Valor Roubado | Vetor | Data |
|---|---|---|---|
| Drift Protocol | ~$208M | Hack contrato | Abril/2026 |
| Kelp DAO | $292M | LayerZero DVN | 19/04/2026 |
| TOTAL ABRIL | ~$500M | — | — |
Apenas dois ataques, em um único mês, somaram meio bilhão de dólares em perdas. O DeFi de abril de 2026 já supera os piores meses de 2022 em valor absoluto.
Bitcoin vs DeFi: O Argumento da Custódia Simples
Eventos como o hack da Kelp DAO reacendem um debate antigo mas sempre relevante: a complexidade do DeFi cria superfícies de ataque gigantes. Bitcoin — com seu design deliberadamente simples, sem smart contracts complexos, sem bridges cross-chain e sem liquidez fragmentada em 20+ redes — nunca sofreu um hack no nível do protocolo.
Isso não significa que Bitcoin é “melhor” do que DeFi para todos os fins. Mas para quem quer preservar valor sem risco de exploit de smart contract, a custódia simples de Bitcoin ainda é a opção de menor risco técnico disponível.
Comprar Bitcoin com PIX — Simples, Seguro, P2P →
O Que Fazer se Você Tem rsETH?
Ações Imediatas Recomendadas
- ⏸️ Não tente retirar rsETH agora — os contratos estão pausados e movimentos apressados podem resultar em perdas adicionais
- 📢 Acompanhe o canal oficial da Kelp DAO no X (@KelpDAO) para atualizações sobre o plano de mitigação
- 🏦 Se você tem rsETH como colateral em Aave: os mercados estão congelados — nenhuma liquidação adicional deve ocorrer por enquanto
- 🔍 Verifique sua exposição indireta: se você usa qualquer protocolo que aceita rsETH, pode ter exposição mesmo sem saber
- 📰 Aguarde análise post-mortem oficial antes de tomar qualquer decisão de saída
Perguntas Frequentes
O que é a Kelp DAO e o rsETH?
Kelp DAO é um protocolo de liquid restaking baseado no EigenLayer. O rsETH é o token emitido aos usuários que depositam ETH no protocolo. Antes do hack, tinha mais de $2 bilhões em TVL e estava integrado em 40+ plataformas DeFi.
Como o hacker roubou $292 milhões da Kelp DAO?
O atacante explorou uma falha na bridge LayerZero (Unichain → Ethereum). O validador DVN estava configurado como 1/1 — uma única assinatura. Comprometido, o validador aprovou uma mensagem falsa liberando 116.500 rsETH sem depósito real. O rsETH foi depositado na Aave como colateral e WETH foi sacado do pool.
A Aave foi hackeada também?
Não diretamente. Os contratos da Aave não foram explorados. O problema é que a Aave aceitou rsETH como colateral — e agora esse colateral não tem lastro real. Os mercados de rsETH foram congelados na Aave V3 e V4, mas a Aave está exposta a ~$177M em bad debt.
Quanto foi roubado no DeFi em abril de 2026?
Somando Drift Protocol (~$208M) e Kelp DAO ($292M), apenas dois ataques em abril de 2026 totalizaram cerca de US$ 500 milhões — tornando este o pior mês para o DeFi em valor absoluto.
O LayerZero é seguro para usar?
O exploit não foi diretamente no protocolo LayerZero em si, mas no validador DVN configurado pela Kelp DAO para sua bridge específica. A questão é que o LayerZero permite configurações inseguras (como DVN 1/1) sem obrigar redundância mínima. A responsabilidade é compartilhada entre o protocolo e quem o configura.
Negociar Bitcoin com Segurança — BitcoinP2P →
Leia também: Drift Protocol Hackeado em US$ 285 Milhões pelo Grupo Lazarus