Ataque à KelpDAO desencadeia corrida por liquidez no DeFi e apaga US$ 14 bilhões do TVL

Exploit no rsETH expõe ponto único de falha em infraestrutura cross-chain, força congelamentos na Aave e amplia desconto do token frente ao ETH

O fim de semana trouxe um choque de confiança para as finanças descentralizadas. A KelpDAO sofreu um ataque de US$ 290 milhões no sábado (18), atingindo o rsETH, seu ativo de restaking líquido lastreado em Ethereum. Diferentemente de incidentes contidos a um único protocolo, o rsETH é amplamente aceito como colateral e meio de liquidez em diversas aplicações DeFi, o que transformou um exploit pontual em um evento sistêmico. O mercado reagiu em bloco: saques, congelamentos e um desconto relevante do rsETH frente ao ETH consolidaram a percepção de risco.

Os dados espelham a gravidade. Segundo métricas de TVL, o valor bloqueado em DeFi caiu de US$ 99,5 bilhões para US$ 85,6 bilhões, uma contração de US$ 14 bilhões em poucos dias. Em nota pública, a equipe da KelpDAO afirmou ter identificado atividade cross-chain suspeita envolvendo o rsETH e pausado os contratos na mainnet e em múltiplas L2s durante a investigação. A decisão, apesar de necessária, amplificou a busca por liquidez, ao mesmo tempo em que o desconto do rsETH se abriu, refletindo incerteza sobre a paridade com o ETH e a qualidade do lastro circulante.

Como o ataque aconteceu

Um relatório preliminar da LayerZero atribuiu a autoria a agentes norte-coreanos do Grupo Lazarus, em operação associada ao cluster TraderTraitor. O alvo, segundo a equipe, foi o envenenamento da infraestrutura de RPC utilizada pela DVN (Decentralized Verified Network) que validava mensagens cross-chain do rsETH. A KelpDAO operava com uma única DVN — e não um conjunto redundante —, o que criou um ponto de falha central explorável. Os atacantes forjaram uma mensagem afirmando o depósito de 116.500 rsETH na Ethereum e solicitaram a liberação desse montante na Unichain; para validar a fraude, comprometeram nós de RPC que alimentavam a DVN. Em paralelo, ataques DDoS derrubaram RPCs íntegros e acionaram o failover para endpoints já envenenados, permitindo que a DVN confirmasse transações que, na prática, nunca ocorreram.

Detalhes técnicos tornam o caso emblemático. A mensagem forjada era apresentada apenas à DVN, enquanto os nós reportavam o estado correto a outros endereços IP e serviços de monitoramento, reduzindo a chance de detecção em tempo real. O pacote malicioso incluía rotinas de autodestruição para desativar RPCs e apagar binários e logs após a janela do exploit. Em suma, uma cadeia modular — DVN, RPCs e mecanismos de failover — foi reorquestrada para produzir confiança onde não havia evento on-chain, transformando um desenho pensado para minimizar confiança em um atalho para o consenso de mentira. Quando um ativo de restaking líquido permeia múltiplas redes e dApps, essa superfície de ataque se torna, por definição, um multiplicador de risco.

Contágio no DeFi

O efeito dominó foi imediato. Os invasores utilizaram a Aave para trocar rsETH sem lastro por WETH (wrapped ETH) e retirar fundos, o que levou o protocolo a congelar mercados de rsETH logo após o incidente. Em nova medida de contenção, reservas de WETH também foram congeladas em mercados afetados, enquanto desenvolvedores revisam operações envolvendo rsETH executadas após o exploit e avaliam caminhos para cobrir eventual bad debt. A corrida por liquidez transbordou para o setor: estima-se uma perda de US$ 14 bilhões no TVL agregado, sendo US$ 9 bilhões associados à própria Aave, e saídas relevantes em Morpho, Ethena, Ether.fi, Sky e Spark, entre outros. No preço, o token AAVE recuou 21,3% desde sábado, e o rsETH passou a negociar com desconto de cerca de 11% contra o ETH.

Por que tamanha pressão? Em DeFi, TVL não é só “dinheiro estacionado”, mas colateral que sustenta empréstimos, derivativos e estratégias de restaking. Quando um ativo amplamente aceito sofre questionamentos sobre a integridade do lastro e sobre a robustez do seu roteamento cross-chain, o risco de base se expande e os agentes reprecificam rapidamente: reduzem exposição, elevam haircuts e migram para ativos mais líquidos. O resultado, como visto, é uma espiral de desalavancagem que corrói liquidez e amplia spreads, enquanto governanças e equipes técnicas correm para isolar riscos e recompor garantias.

O que fica para os próximos meses

O incidente expõe um ponto sensível do stack modular que sustenta o DeFi contemporâneo: a confiança deslocada para infraestruturas de mensageria, RPCs e camadas de verificação que, se não forem redundantes e diversificadas, viram pontos únicos de falha. A lição operacional é direta: múltiplas DVNs, fontes independentes de RPC, monitoramento fora de banda e testes de caos em cenários de DDoS precisam sair do paper e entrar no runbook de produção. Do lado da gestão de risco, políticas de colateral mais conservadoras para ativos cross-chain e de restaking, além de limites dinâmicos de exposição, tendem a ganhar protagonismo. Em paralelo, a recuperação de confiança dependerá da transparência das post-mortems e da clareza sobre passivos e eventuais mecanismos de cobertura de déficits, sob pena de o desconto estrutural em LSDs e LRTs se consolidar por mais tempo do que os desenvolvedores gostariam.

Para quem deseja compreender melhor como protocolos de empréstimo, pools de liquidez, mecanismos de colateral e mensageria cross-chain se conectam — e onde surgem riscos como os vistos neste episódio —, o BlockTrends oferece o curso Dominando Protocolos DeFi, que explora as bases do DeFi, suas aplicações e as implicações técnicas que orientam desenho de produto e gestão de risco.