Uma ponte cross-chain que detém quase um quinto da oferta circulante de um produto de ether restaked acabou de ser esvaziada, e as consequências estão se espalhando pelo DeFi mais rápido do que a Kelp DAO consegue pausar contratos.
Um atacante drenou 116.500 rsETH (ether restacado) da Kelp DAO’s Ponte alimentada pela LayerZero às 17h35 UTC deste último sábado, no valor aproximado de 292 milhões de dólares aos preços atuais e representando cerca de 18% do fornecimento circulante de 630.000 tokens rsETH, conforme monitorado pela CoinGecko.
LayerZero é uma camada de mensagens cross-chain, ou a infraestrutura que permite que diferentes blockchains enviem instruções verificadas entre si. Kelp DAO é um protocolo de restaking líquido, que utiliza o ETH depositado pelos usuários, o direciona através do EigenLayer para ganhar rendimento adicional além das recompensas padrão do staking do Ethereum, e emite rsETH como um recibo negociável.
A ponte que foi esvaziada mantinha a reserva de rsETH que respaldava versões wrapped do token implantadas em mais de 20 outras blockchains.
O atacante enganou a camada de mensagens cross-chain da LayerZero, fazendo-a acreditar que uma instrução válida havia chegado de outra rede, o que acionou a ponte da Kelp a liberar 116.500 rsETH para um endereço controlado pelo atacante.
O multisig de pausa de emergência da Kelp congelou os contratos principais do protocolo 46 minutos após o esvaziamento bem-sucedido, às 18:21 UTC. Duas tentativas subsequentes, às 18:26 UTC e 18:28 UTC, foram revertidas, cada uma contendo o mesmo pacote LayerZero que tentava um novo esvaziamento de 40.000 rsETH, no valor aproximado de $100 milhões.
rsETH está implementado em mais de 20 redes, incluindo Base, Arbitrum, Linea, Blast, Mantle e Scroll, com o padrão OFT da LayerZero gerenciando o movimento cross-chain.
O rsETH mantido na ponte era a reserva que respaldava as versões envolvidas em cada blockchain Layer 2, ou redes que operam sobre o Ethereum.
Com essa reserva esgotada, os detentores em implementações fora da Ethereum agora enfrentam a questão de saber se seus tokens possuem algum lastro, o que cria um ciclo de retroalimentação onde resgates em pânico nas L2s pressionam a oferta de Ethereum não afetada, potencialmente forçando a Kelp a desfazer posições de restaking para honrar os saques.
A lista de contágio é extensa e continua crescendo.
Aave congelou os mercados de rsETH na V3 e V4 em poucas horas, com o fundador Stani Kulechov afirmando que a exploração foi externa e que os contratos da Aave não foram comprometidos. SparkLend e Fluid congelaram seus mercados de rsETH.
AAVE caiu cerca de 10% à medida que o mercado precificava potencial inadimplência.
Kelp, um produto sob o guarda-chuva da KernelDAO, reconheceu o incidente em sua primeira postagem pública no X às 20:10 UTC, quase três horas após o vazamento. O protocolo afirmou que está investigando o caso com a LayerZero, Unichain, seus auditores e especialistas externos em segurança. Não foi divulgado como a exploração contornou a lógica de validação da ponte.
Se o rsETH manterá a paridade durante o fim de semana depende de quanto do float cross-chain tentará resgatar em ETH na Ethereum e se a Kelp conseguirá recuperar alguma parte dos fundos roubados antes que o rastro da Tornado Cash esfrie.
O ataque ocorre em um período incomumente hostil para o DeFi. O protocolo de contratos perpétuos baseado em Solana, Drift, foi drenado de cerca de US$ 285 milhões em 1º de abril, em um ataque posteriormente ligado a atores afiliados à Coreia do Norte, e pelo menos uma dúzia de protocolos menores foram explorados nas semanas seguintes, incluindo CoW Swap, Zerion, Rhea Finance e Silo Finance.
A perda de US$ 292 milhões da Kelp é agora o maior exploit DeFi de 2026, superando a Drift por alguns milhões de dólares.
