O protocolo KelpDAO desencadeou um alerta no ecossistema de finanças descentralizadas após um incidente em 18 de abril de 2026. A emissão indevida de 116.500 rsETH sem lastro provocou perdas superiores a US$ 600 milhões. Além disso, o impacto agregado se aproxima de US$ 1 bilhão, refletindo um efeito dominó entre plataformas do mercado de criptomoedas.

Dados on-chain indicam que, como resultado imediato, o valor total bloqueado (TVL) despencou para o menor nível em um ano, conforme métricas do DefiLlama. Nesse contexto, a saída de capital se intensificou rapidamente, sobretudo em protocolos de restaking, empréstimos e pontes cross-chain.

Falha operacional expõe risco estrutural

Diferentemente de ataques clássicos, o episódio do KelpDAO não explorou diretamente contratos inteligentes. Em vez disso, ocorreu uma falha crítica de configuração. O protocolo dependia de um único nó verificador da LayerZero, criando um ponto único de falha.

Especialistas já apontavam esse risco. Ainda assim, a arquitetura permaneceu ativa. Como consequência, invasores comprometeram dois nós RPC que alimentavam o verificador. Em seguida, ataques DDoS sobrecarregaram sistemas de backup, abrindo espaço para a inserção de mensagens fraudulentas.

Assim, os agentes conseguiram gerar rsETH sem qualquer garantia real. Logo depois, os ativos foram movimentados rapidamente. Registros mostram conversões para ETH e ativos na rede Arbitrum, com uso de protocolos como Aave, SparkLend e Fluid.

Além disso, os responsáveis recorreram a ferramentas de anonimização para dificultar o rastreamento. Posteriormente, removeram malwares instalados nos sistemas comprometidos. A LayerZero atribuiu o ataque ao grupo Lazarus, ligado à Coreia do Norte, especificamente à unidade TraderTraitor. No entanto, essa atribuição ainda não foi oficialmente confirmada.

Saída de capital amplia efeito no mercado

O impacto foi imediato. Em cerca de 48 horas, estimativas on-chain apontam retiradas próximas de US$ 13 bilhões no DeFi. Dessa forma, a rápida fuga de capital evidenciou a perda de confiança dos investidores.

Mesmo protocolos sem exposição direta ao rsETH sofreram pressão. O Compound, por exemplo, registrou saídas relevantes devido ao contágio. Ao mesmo tempo, o mercado cripto reagiu negativamente, reforçando a interdependência entre protocolos.

Queda no TVL pressiona grandes protocolos

Entre os mais afetados, o Aave registrou forte retração. O TVL caiu de US$ 26,4 bilhões para cerca de US$ 18 bilhões. Essa queda ocorreu após o congelamento de mercados ligados ao rsETH, medida adotada para conter riscos de inadimplência.

Além disso, SparkLend e Fluid suspenderam operações com o ativo comprometido. Nesse sentido, o episódio evidencia como ativos contaminados podem se propagar rapidamente pelo ecossistema, criando um efeito cascata entre plataformas integradas.

Analistas destacam que o problema não está nas ferramentas em si. Pelo contrário, a falha decorre da forma como a infraestrutura foi configurada. Em outras palavras, tratou-se da exploração de um risco conhecido, sem necessidade de técnicas sofisticadas.

Riscos sistêmicos e próximos passos

O caso levanta preocupações sobre infraestruturas cross-chain, especialmente aquelas com pontos únicos de falha. Esse modelo passa a ser visto como um vetor crítico de risco no DeFi.

Dois fatores devem guiar os próximos desdobramentos. Em primeiro lugar, o relatório forense prometido pelo KelpDAO tende a esclarecer a dinâmica do ataque e possíveis formas de compensação. Em segundo lugar, o mercado observa como o Aave lidará com eventuais dívidas associadas ao uso do rsETH como colateral.

Enquanto isso, o token AAVE acumula queda superior a 20% desde o incidente. Esse movimento reflete a incerteza sobre a recuperação do setor. Em suma, a combinação entre falha estrutural e emissão sem lastro foi suficiente para gerar perdas expressivas, pressionar o TVL e abalar a confiança no DeFi.