A rede Arbitrum adotou medidas emergenciais para conter os efeitos do ataque à Kelp DAO e bloqueou 30.766 ETH, avaliados em cerca de US$ 70,9 milhões. Os fundos estavam na Arbitrum One e, assim que o incidente foi identificado, migraram para uma carteira intermediária congelada, o que impediu o acesso dos invasores.

Conforme a Arbitrum, os ativos seguem sob controle de mecanismos de governança. Dessa forma, qualquer movimentação dependerá de decisões coordenadas entre as partes envolvidas. Além disso, a medida busca preservar a integridade do ecossistema e limitar riscos adicionais.

Resposta rápida reduz impacto do ataque

O Conselho de Segurança da Arbitrum informou que a operação contou com apoio de autoridades policiais, uma vez que havia indícios sobre a identidade do explorador. Ao mesmo tempo, a equipe conduziu uma análise técnica detalhada antes de agir. Como resultado, conseguiu transferir os fundos de forma direcionada, sem afetar outros usuários ou aplicações.

A movimentação ocorreu em 20 de abril, às 23h26 (horário do leste dos Estados Unidos). Dados da Arkham Intelligence indicam que o montante bloqueado gira em torno de US$ 70,9 milhões. Ainda assim, o ataque à KelpDAO foi significativamente maior.

As perdas totais foram estimadas entre US$ 290 milhões e US$ 292 milhões. Os invasores drenaram tokens rsETH por meio de uma ponte cross-chain operada pela LayerZero. Em seguida, utilizaram esses ativos como garantia em protocolos de finanças descentralizadas, o que ampliou os riscos no sistema.

Esse movimento elevou o risco sistêmico, já que o uso de colateral comprometido pode gerar prejuízos diretos a credores. Portanto, o congelamento parcial dos fundos representa um esforço relevante para conter efeitos em cadeia no mercado de criptomoedas.

Colateral comprometido amplia risco no DeFi

Após o ataque, os invasores tentaram maximizar ganhos ao integrar os ativos roubados em protocolos de empréstimos. Por outro lado, essa estratégia aumentou a exposição de diversas plataformas. Ainda assim, a ação rápida da Arbitrum ajudou a reduzir parte desse risco.

Além disso, especialistas alertam que esse tipo de operação pode gerar instabilidade prolongada. Isso ocorre porque o sistema depende da confiança no valor do colateral. Assim, quando esse valor é artificial ou fraudulento, todo o ecossistema tende a sofrer impactos.

Investigação aponta grupo da Coreia do Norte

A LayerZero indicou, em análise preliminar, que o ataque pode estar ligado ao Lazarus Group, organização associada à Coreia do Norte, possivelmente por meio da unidade TraderTraitor. Segundo a empresa, a falha não ocorreu no protocolo principal, mas em componentes externos usados na validação de transações.

O ataque comprometeu dois nós RPC dentro de uma rede descentralizada de verificadores. Ao mesmo tempo, outros nós sofreram ataques DDoS. Dessa maneira, os invasores conseguiram validar transações fraudulentas durante a execução da exploração.

A LayerZero também relatou que arquivos maliciosos utilizados na operação foram programados para se autodestruir após o ataque. Esse fator indica alto nível de sofisticação técnica e reforça a hipótese de atuação de grupos organizados.

Estrutura da KelpDAO facilitou exploração

Outro ponto crítico envolve a configuração da KelpDAO. O protocolo operava com um único verificador, em vez de múltiplos validadores independentes. Como resultado, a ausência de redundância facilitou a exploração da vulnerabilidade.

David Schwartz observou que muitas pontes parecem seguras em teoria. No entanto, equipes frequentemente evitam implementar proteções mais robustas devido ao custo e à complexidade. Assim, decisões de arquitetura acabam influenciando diretamente o nível de segurança.

Em conclusão, o caso mostra como falhas em camadas auxiliares podem ser exploradas mesmo quando o protocolo principal permanece intacto. Nesse contexto, o bloqueio de 30.766 ETH pela Arbitrum reduz parte dos danos, enquanto as investigações seguem em andamento com foco no possível envolvimento de agentes ligados à Coreia do Norte.

Ao mesmo tempo, o episódio reforça a necessidade de evolução contínua em segurança no mercado cripto, especialmente em estruturas cross-chain e protocolos DeFi, que permanecem alvos frequentes de ataques sofisticados.