Análise do ataque ao Kelp DAO: uma notícia falsa enganou 292 milhões de dólares, riscos sistêmicos em DeFi voltam a preocupar

Um, visão geral do evento

18 de abril, 17h35 UTC, o segundo maior protocolo de staking de liquidez, Kelp DAO, sofreu um ataque em grande escala. O hacker aproveitou uma vulnerabilidade na ponte cross-chain rsETH baseada em LayerZero, falsificando mensagens entre cadeias para roubar 116.500 rsETH na rede principal do Ethereum, avaliado em cerca de 292 milhões de dólares, representando aproximadamente 18% do total de circulação de rsETH. Cerca de 46 minutos após o incidente, o Kelp DAO suspendeu emergencialmente a multiassinatura, interceptando com sucesso duas tentativas subsequentes de atacar com mais 40 mil rsETH (cerca de 100 milhões de dólares).

O atacante obteve fundos iniciais via Tornado Cash e construiu pacotes de dados entre cadeias com precisão, chamando a função lzReceive no contrato LayerZero EndpointV2, acionando a liberação de ativos pelo contrato de ponte do Kelp — no entanto, na cadeia origem, ninguém havia depositado esses rsETH, a instrução foi completamente forjada do nada.

Dois, origem da vulnerabilidade: falha fatal na configuração cross-chain

A causa raiz foi a adoção pelo Kelp DAO de uma configuração excessivamente simplificada de DVN (nó de validação único) 1/1, ao invés da recomendação oficial do LayerZero de validação múltipla 2/2, permitindo que um único validador confirmasse mensagens entre cadeias. Após a validação ser burlada, o adaptador de ponte não verificou rigorosamente a origem da mensagem, assumindo erroneamente que ativos equivalentes estavam bloqueados na cadeia de origem, levando à execução de comandos de liberação — essencialmente, uma criação de ativos "sem garantia" do nada.

Três, impacto em cadeia: inadimplência na Aave e pânico no mercado

O hacker rapidamente colocou os rsETH roubados como garantia em protocolos de empréstimo como Aave V3, Compound, Euler, emprestando cerca de 236 milhões de dólares em WETH/ETH reais. Como rsETH é uma emissão falsa, essas posições de empréstimo tornaram-se inadimplentes irrecuperáveis, com a Aave assumindo aproximadamente 177 a 196 milhões de dólares, a Compound cerca de 39,4 milhões de dólares, e Euler aproximadamente 84 mil dólares.

A Aave imediatamente congelou o mercado de rsETH, mas isso ainda provocou uma fuga maciça de fundos, com mais de 5,4 bilhões de dólares saindo da plataforma, e a utilização de ETH atingiu 100% por um tempo. O TVL da Aave caiu de cerca de 264 bilhões de dólares para 207 bilhões, e o token AAVE caiu mais de 10%.

Quatro, reflexão do setor: riscos sistêmicos na estrutura de blocos de construção do DeFi

Este ataque não foi uma vulnerabilidade tradicional de contratos inteligentes, mas revelou a dupla fragilidade na segurança da configuração de pontes cross-chain e na lógica de garantia de tokens de staking líquido (LRT). O incidente do Kelp DAO é o segundo grande evento de segurança em abril, após o Drift Protocol (285 milhões de dólares), sem contar a perda de 284 milhões de dólares por um único phishing em janeiro, evidenciando os desafios crescentes de segurança complexa no DeFi. Como rsETH, um ativo de embalagem do tipo LRT, depende da segurança da ponte cross-chain, protocolos de empréstimo como Aave que incluem esses ativos de alto risco na lista de garantias propagam o risco de forma assimétrica na cadeia de protocolos. Uma vulnerabilidade na base pode se espalhar instantaneamente por toda a ecologia de empréstimos.

O evento também gerou uma reação em cadeia: projetos como Solv anunciaram pausas nas pontes relacionadas ao LayerZero, e a Curve Finance suspendeu temporariamente a infraestrutura LayerZero. A LayerZero afirmou estar investigando as causas e publicará um relatório completo de análise em conjunto.

Charlie, fundador do Kelp DAO, postou na plataforma X admitindo que a equipe cometeu um erro ao usar a configuração DVN 1/1, e afirmou que criará um plano de compensação integral para todos os usuários afetados, sem adotar a abordagem de "compartilhamento social de perdas" que preocupa a comunidade. O fundador destacou que, embora seja difícil recuperar os ativos, a prioridade é proteger os direitos dos usuários, e os detalhes da compensação serão divulgados em breve.

Este incidente reforça o alerta ao setor DeFi: à medida que os ativos se tornam cada vez mais embutidos em múltiplos protocolos, cada ponto fraco na estrutura de blocos de construção pode desencadear uma crise sistêmica. O mercado precisa de padrões de controle de risco mais rigorosos, estruturas de segurança mais conservadoras e estratégias de configuração cross-chain mais cautelosas — caso contrário, a próxima perda pode ser muito maior que 292 milhões de dólares. #Gate13周年现场直击