Analista da Certik: Falha de segurança no KelpDAO revela uma mudança significativa no cibercrime entre cadeias

Principais conclusões:

• O Conselho de Segurança da Arbitrum e a SEAL 911 congelaram 30.766 ETH em 18 de abril para mitigar o roubo à Kelp DAO.
• O analista da Certik, Wenzhao Dong, alerta que os roubos em pontes agora geram dívidas incobráveis sistêmicas para plataformas como a Aave.
• A Kelp DAO tem como objetivo restaurar a indexação do rsETH e recuperar os US$ 220 milhões restantes em ativos digitais desaparecidos.

Segurança x Soberania

A rápida intervenção do Conselho de Segurança da Arbitrum (ASC) para congelar 30.766 ETH reacendeu um dos debates mais fundamentais no blockchain: a tensão entre a descentralização imutável e a governança pragmática.

Embora a recuperação de US$ 71 milhões em ETH seja uma vitória clara para as vítimas, o método dividiu a comunidade em dois campos distintos. Por um lado, os puristas argumentam que a capacidade do ASC de congelar ativos unilateralmente é uma “ladeira escorregadia” em direção aos sistemas financeiros centralizados que a criptomoeda foi projetada para substituir. Eles argumentam que, se um conselho pode censurar um hacker hoje, ele pode ser coagido a censurar um dissidente político ou uma empresa legítima amanhã. Para esse grupo, a intervenção “human-in-the-loop” é uma vulnerabilidade sistêmica que mina a promessa central da ausência de confiança.

Por outro lado, os pragmáticos veem a descentralização absoluta como um estado final almejado, e não como um requisito desde o início. Eles argumentam que, para que as finanças descentralizadas (DeFi) alcancem a adoção generalizada, elas devem ter “disjuntores” para mitigar perdas catastróficas. Dessa perspectiva, o ASC é uma salvaguarda necessária — um “corpo de bombeiros digital” — que fornece a responsabilização necessária para proteger os usuários de atores sofisticados patrocinados pelo Estado, como o Grupo Lazarus.

Conforme relatado pelo Bitcoin.com News e outros veículos de mídia, o ASC agiu com base em informações das autoridades policiais sobre a identidade do explorador. O conselho declarou que ponderou seu compromisso com a segurança e a integridade da comunidade Arbitrum, garantindo ao mesmo tempo que não houvesse impacto sobre os usuários ou aplicativos da Arbitrum.

Embora o congelamento ofereça um alívio temporário, um especialista alertou que o roubo representa uma nova e mais perigosa fase do crime DeFi, na qual vulnerabilidades de pontes são sistematicamente usadas para infectar os mercados de empréstimos.

Ao fazer uma análise pós-incidente da estratégia do invasor, Wenzhao Dong, analista de blockchain da Certik, destacou que o Grupo Lazarus, apoiado pela Coreia do Norte, demonstrou um entendimento sofisticado da liquidez do mercado. Dong observou que, ao contrário do recente incidente com a Hyperbridge — em que os invasores cunharam 1 bilhão de Polkadot, mas conseguiram converter apenas cerca de US$ 240.000 antes da queda do preço —, os invasores da Kelp DAO escolheram uma rota de “saque” mais eficiente.

“A exploração do Kelp DAO mostra um padrão de risco claro na DeFi moderna”, disse Dong. “Uma vulnerabilidade de ponte não permanece isolada; ela se transforma em um problema para os mercados de empréstimos. Ao usar rsETH falsamente cunhados como garantia no Aave para tomar emprestado WETH, o invasor transformou um roubo de ponte em dívida incobrável do Aave.”

Dong observou que os atacantes evitaram deliberadamente os mercados à vista, onde ordens de venda massivas teriam provocado slippage e detecção precoce. Em vez disso, ao usar o Aave como intermediário, eles transferiram o risco para o protocolo de empréstimos.

“A segurança da DeFi está interconectada”, acrescentou Dong. “Os protocolos não podem se concentrar exclusivamente em seus próprios contratos; eles devem considerar os riscos representados por cada dependência em seu sistema e implementar medidas defensivas de acordo com isso.”

Em uma atualização compartilhada horas após o ASC anunciar o congelamento, a Kelp DAO expressou gratidão pela “ação decisiva” tomada pelo conselho. Ela creditou a “coordenação e estruturação de informações” da SEAL 911 como o fator-chave que permitiu que as partes interessadas agissem antes que os hackers pudessem transferir os US$ 71 milhões restantes em ETH para fora da rede Arbitrum.

Apesar do congelamento bem-sucedido, aproximadamente US$ 220 milhões continuam desaparecidos. A Kelp DAO confirmou que seu foco principal agora é trabalhar com a Aave e outros parceiros para lidar com a “dívida incobrável” criada pela exploração. A organização declarou que também buscará todas as vias disponíveis para apoiar os detentores de rsETH e restaurar a paridade do protocolo.