#rsETH攻击事件后续进展 A invasão na ponte cross-chain rsETH do Kelp DAO é o maior evento de segurança DeFi desde 2026, causando uma perda de aproximadamente 292 milhões de dólares em ativos.

O ataque ocorreu por volta das 17h35 UTC de 18 de abril de 2026, quando hackers exploraram uma vulnerabilidade na configuração da ponte cross-chain baseada em LayerZero do Kelp DAO (que utiliza uma configuração de nó de validação descentralizado 1/1), falsificando mensagens cross-chain e criando do nada cerca de 116.500 tokens rsETH sem respaldo de ativos reais na rede principal do Ethereum.

Esses “ativos de ar” foram rapidamente depositados em protocolos de empréstimo mainstream como Aave, Compound, Euler, como garantia, emprestando cerca de 236 milhões de dólares em WETH/ETH reais, sendo que a Aave enfrenta um risco potencial de inadimplência de até 196 milhões de dólares.

O Kelp DAO pausou emergencialmente o contrato do rsETH na rede principal e em várias redes Layer2 cerca de 46 minutos após o incidente, impedindo tentativas adicionais de ataque. Mas o pânico no mercado se espalhou rapidamente, com o TVL da Aave caindo de 26,4 bilhões de dólares para 18 bilhões em 24 horas, uma queda de 32%, e o preço do token AAVE caiu cerca de 18%.

Este evento revelou o risco sistêmico na ecologia DeFi de “ponte cross-chain + derivativos de re-pledge”: uma falha de segurança em um elo pode se propagar por meio da composibilidade para múltiplos protocolos, causando um efeito dominó. Apesar do LayerZero recomendar uma configuração de DVN de pelo menos 2-de-3, o Kelp DAO optou por um modo de validação de ponto único de altíssimo risco, 1-de-1, sendo criticado como “usar uma trava para proteger um cofre bancário”.

Atualmente, o Kelp DAO e o LayerZero estão em disputa sobre a responsabilidade, enquanto o hacker ainda mantém aproximadamente 175 milhões de dólares em ETH na cadeia Ethereum. $BTC