O ataque de aproximadamente US$ 290 milhões envolvendo o rsETH da KelpDAO entrou em uma nova fase após a LayerZero e a Aave divulgarem análises técnicas detalhadas sobre o incidente. O caso ganhou relevância no mercado de criptomoedas, sobretudo por envolver operações cross-chain e possíveis ligações com agentes da Coreia do Norte.

Segundo a LayerZero, o episódio não decorreu de falha direta em seu protocolo. Em vez disso, a empresa afirma que o problema surgiu da decisão da KelpDAO de operar o rsETH com um único DVN. Dessa forma, a configuração concentrou riscos em um único ponto e elevou a vulnerabilidade do sistema.

Além disso, a empresa ressaltou que a arquitetura adotada evitou contágio sistêmico. Ou seja, outros ativos integrados ao ecossistema da LayerZero não foram impactados. Ainda assim, o caso reacendeu discussões sobre padrões de segurança no mercado cripto.

Ataque sofisticado expõe fragilidade operacional

Em comunicado publicado em 20 de abril, a LayerZero informou que o ataque ocorreu em 18 de abril e permaneceu isolado à configuração do rsETH. A empresa revisou todas as integrações ativas e não identificou impactos adicionais.

A análise técnica aponta características de um ataque altamente sofisticado. Nesse sentido, indicadores preliminares sugerem ligação com o grupo Lazarus, associado à Coreia do Norte, mais especificamente à operação conhecida como TraderTraitor.

Apesar disso, o protocolo da LayerZero não foi diretamente comprometido. Também não houve violação de chaves nem das instâncias de DVN. Em contrapartida, os invasores exploraram a infraestrutura RPC utilizada pelo sistema.

Os atacantes manipularam binários em nós comprometidos e, além disso, utilizaram ataques DDoS para forçar redirecionamentos a fontes maliciosas. Como resultado, executaram um ataque de falsificação de RPC.

Um nó malicioso passou a enviar dados falsos ao DVN enquanto mantinha respostas legítimas para outros sistemas, incluindo ferramentas de monitoramento. Dessa maneira, os invasores evitaram detecção durante a operação.

“Devido ao nosso princípio de menor privilégio, não foi possível comprometer diretamente as instâncias de DVN, mas os invasores usaram esse ponto para executar um ataque de spoofing de RPC”, afirmou a LayerZero.

Modelo de validação foi fator crítico

A LayerZero reforçou que o impacto poderia ter sido evitado caso a KelpDAO adotasse múltiplos verificadores independentes. Nesse modelo, seria necessário consenso entre diferentes DVNs, o que impediria a validação de dados falsificados.

Assim sendo, mesmo com um componente comprometido, o ataque não teria sucesso. A empresa passou a desaconselhar fortemente configurações 1/1 e anunciou que deixará de oferecer suporte a esse tipo de implementação.

Após o incidente, o DVN da LayerZero voltou a operar normalmente. Os nós comprometidos foram substituídos e novas medidas de segurança foram implementadas. Paralelamente, a empresa colabora com autoridades e parceiros para rastrear os fundos desviados.

Aave congela rsETH e reforça medidas preventivas

A Aave também se pronunciou sobre o caso. A plataforma afirmou que o rsETH na rede principal do Ethereum segue totalmente lastreado. Ainda assim, como medida preventiva, o ativo permanece congelado nas versões V3 e V4 do protocolo.

Além disso, reservas de WETH foram temporariamente bloqueadas em mercados afetados, incluindo Ethereum, Arbitrum, Base, Mantle e Linea. As medidas permanecem enquanto as análises continuam.

Ao mesmo tempo, o episódio reforça a necessidade de práticas mais robustas de segurança. Em aplicações que movimentam grandes volumes em ambientes cross-chain, falhas operacionais podem gerar impactos relevantes.

No momento da publicação, o valor total do mercado de criptomoedas estava em cerca de US$ 2,5 trilhões. Mesmo diante da magnitude do ataque, o mercado manteve relativa estabilidade, embora eventos desse tipo influenciem a percepção de risco.

Em conclusão, as análises indicam que o ataque resultou da combinação de falhas operacionais e exploração de infraestrutura externa, e não de uma vulnerabilidade estrutural da LayerZero. Ainda assim, o episódio reforça a importância de modelos com múltiplos verificadores para mitigar riscos em operações cross-chain.