Kelp DAO sofre o maior golpe de 2026 com drenagem de US$ 292 milhões

O setor de finanças descentralizadas (DeFi) enfrentou o seu maior revés de 2026, ontem (18). Um invasor drenou 116.500 rsETH da ponte da Kelp DAO, o que equivale a aproximadamente US$ 292 milhões. O montante representa cerca de 18% de todo o fornecimento em circulação do token rsETH. Consequentemente, o ataque provocou congelamentos imediatos nas plataformas Aave, SparkLend, Fluid e Upshift.

O incidente ocorreu às 17h35 UTC de sábado. O explorador utilizou uma vulnerabilidade na tecnologia de mensagens entre cadeias da LayerZero. A Kelp DAO funciona como um protocolo de re-staking líquido. Ela recebe depósitos em ETH e os encaminha ao EigenLayer para gerar rendimentos extras. Posteriormente, o protocolo emite o rsETH como um recibo negociável para o usuário.

Contudo, a ponte drenada guardava a reserva que dava suporte às versões encapsuladas do token em mais de 20 blockchains. O atacante enganou o sistema da LayerZero com instruções falsas. Ele fez a infraestrutura acreditar que uma ordem válida chegava de outra rede. Assim, a ponte liberou os fundos diretamente para o endereço do criminoso.

A resposta de emergência e o efeito dominó

O mecanismo de pausa da Kelp agiu 46 minutos após o início da drenagem. Às 18h21 UTC, o protocolo congelou seus contratos principais. Entretanto, o hacker tentou roubar mais US$ 100 milhões em duas tentativas seguintes. Felizmente, o sistema reverteu essas transações adicionais.

O rsETH opera em redes como Base, Arbitrum, Linea, Blast, Mantle e Scroll. Como a reserva central desapareceu, os detentores de tokens nessas camadas de nível 2 (L2) enfrentam incertezas sobre o lastro dos ativos. Esse cenário pode gerar resgates em pânico. Se isso acontecer, a Kelp terá que desfazer posições de reestruturação para honrar os saques na rede principal.

A lista de protocolos afetados cresce rapidamente. A Aave congelou os mercados de rsETH em suas versões V3 e V4 poucas horas após o crime. Stani Kulechov, fundador da plataforma, garantiu que a falha foi externa e não comprometeu os contratos da Aave. Mesmo assim, o token AAVE caiu cerca de 10% devido ao risco de inadimplência.

Além disso, a Lido Finance suspendeu novos depósitos no produto earnETH. A empresa esclareceu que seus protocolos principais, como stETH e wstETH, permanecem seguros. Por precaução, a Ethena também suspendeu suas pontes por seis horas enquanto identifica a causa raiz do problema.

Um período hostil para o ecossistema DeFi

A equipe da Kelp reconheceu o incidente publicamente apenas três horas após o ataque. Atualmente, o protocolo investiga a falha em conjunto com a LayerZero, a Unichain e auditores externos. A paridade do token rsETH depende agora da recuperação dos fundos antes que eles passem pelo Tornado Cash.

Infelizmente, este ataque ocorre em um momento difícil para o setor. Em abril, o protocolo Drift sofreu um prejuízo de US$ 285 milhões em um ataque ligado à Coreia do Norte. Além disso, protocolos menores como CoW Swap e Zerion também sofreram explorações recentes.

Portanto, o prejuízo da Kelp agora detém o título de maior exploração comercial de 2026. O valor supera o caso da Drift por alguns milhões de dólares. O mercado aguarda agora novas informações sobre a lógica de validação da ponte para evitar novos desastres.