Segundo relatos, um invasor explorou uma falha no processo de cunhagem do token de restaking líquido rsETH da KelpDAO em 18 de abril de 2026, desviando cerca de US$ 280 milhões ou mais nas redes Ethereum e Arbitrum.
ZachXBT alerta para uma vulnerabilidade no KelpDAO que já causou prejuízos de mais de US$ 280 milhões nos mercados de empréstimos DeFi da Ethereum
ESCRITO POR
PARTILHAR
Pontos principais:
- ZachXBT alertou sobre um roubo de mais de US$ 280 milhões nos protocolos DeFi da Ethereum e da Arbitrum em 18 de abril de 2026.
- A falha de cunhagem do rsETH da KelpDAO gerou dívidas incobráveis no Aave V3, com o token AAVE caindo cerca de 10% a 13%.
- A KelpDAO não confirmou a exploração; analistas estão monitorando seis carteiras de invasores identificadas em busca de pistas para recuperação.
Exploração no DeFi da Ethereum: Ataque ao rsETH da KelpDAO drena mais de US$ 280 milhões
O investigador on-chain ZachXBT postou o alerta inicial em seu canal público no Telegram pouco antes das 15h (horário da costa leste dos EUA), listando seis endereços de carteiras ligados ao roubo e observando que as carteiras dos invasores foram financiadas por meio do Tornado Cash antes do início da drenagem. Sua postagem citou perdas superiores a US$ 280 milhões em vários protocolos DeFi sem nomear a KelpDAO diretamente, mas analistas on-chain conectaram os endereços em poucas horas.
“A KelpDAO parece ter sofrido um roubo de mais de US$ 280 milhões há uma hora na Ethereum e na Arbitrum”, escreveu ZachXBT. “Os endereços do ataque foram financiados via Tornado Cash.”
O ataque seguiu um roteiro bastante conhecido. Relatos indicam que os atacantes parecem ter explorado uma falha na lógica de cunhagem do rsETH, criando um grande volume do token de restaking líquido sem fornecer garantias adequadas. Esse rsETH inflacionado foi então depositado nos mercados de empréstimo do Aave V3 tanto na Ethereum quanto na Arbitrum, onde o atacante tomou emprestadas quantias significativas de ETH e outros ativos usando-o como garantia.
Assim que a garantia foi reconhecida como sem valor, essas posições deixaram a Aave com dívidas incobráveis. As estimativas da comunidade sobre as perdas totais variaram de US$ 100 milhões a cerca de US$ 293 milhões, o equivalente a aproximadamente 116.500 ETH aos preços atuais.
A AAVE caiu drasticamente com a notícia. Dados de mercado mostram uma queda entre 10% e 13% poucas horas após o alerta inicial, à medida que o mercado avaliava a exposição potencial a dívidas incobráveis nos pools de empréstimo do protocolo.
Tokens de restaking líquidos, como o rsETH, estão profundamente integrados à composibilidade da DeFi. Eles são aceitos como garantia em vários mercados de empréstimo simultaneamente, o que significa que uma exploração de cunhagem pode espalhar perdas rapidamente entre plataformas. O incidente da KelpDAO ilustra esse risco diretamente.
As carteiras dos atacantes listadas por ZachXBT apresentavam grandes posições de ETH mantidas na Aave e na Compound. Um único endereço, segundo relatos, detinha aproximadamente US$ 120 milhões em ETH na Aave no momento da detecção. Os fundos foram transferidos rapidamente após a drenagem.
O uso do Tornado Cash para pré-financiar carteiras operacionais antes do ataque é uma tática padrão para invasores que tentam ocultar suas origens. Isso não indica uma nova técnica, mas confirma que a operação foi deliberada e planejada.
Por volta das 15h (horário da costa leste dos EUA) do dia 18 de abril, a KelpDAO ainda não havia publicado uma declaração oficial ou análise pós-incidente. A comunidade acompanhava a conta do projeto no X e o site em busca de uma resposta, bem como os canais de governança da Aave para quaisquer ações de emergência.
Empresas de segurança DeFi, incluindo Peckshield, Slowmist e outras, ainda não haviam publicado análises detalhadas até o momento da redação deste artigo, refletindo a rapidez com que a situação se desenvolveu. ZachXBT não havia postado um acompanhamento mencionando especificamente a KelpDAO em canais públicos, mas a sobreposição de endereços traçou uma linha clara.
Hack do Drift Protocol em 2026: o que aconteceu, quem perdeu dinheiro e o que vem a seguir
O Drift Protocol sofreu uma perda de US$ 286 milhões em 1º de abril de 2026, em um ataque de 12 minutos à rede DeFi da Solana, atribuído a agentes da Coreia do Norte que utilizaram garantias falsas e engenharia… read more.
Leia agora
Hack do Drift Protocol em 2026: o que aconteceu, quem perdeu dinheiro e o que vem a seguir
O Drift Protocol sofreu uma perda de US$ 286 milhões em 1º de abril de 2026, em um ataque de 12 minutos à rede DeFi da Solana, atribuído a agentes da Coreia do Norte que utilizaram garantias falsas e engenharia… read more.
Leia agoraHack do Drift Protocol em 2026: o que aconteceu, quem perdeu dinheiro e o que vem a seguir
Leia agoraO Drift Protocol sofreu uma perda de US$ 286 milhões em 1º de abril de 2026, em um ataque de 12 minutos à rede DeFi da Solana, atribuído a agentes da Coreia do Norte que utilizaram garantias falsas e engenharia… read more.
Este incidente é distinto da exploração do Drift Protocol relatada pela primeira vez pelo Bitcoin.com News em 1º de abril de 2026, que envolveu cerca de US$ 280 milhões drenados principalmente na Solana antes que o USDC fosse transferido para a Ethereum via CCTP. Os mecanismos, as cadeias e os cronogramas são distintos.
Qualquer pessoa que detivesse rsETH ou posições relacionadas no Aave, Compound ou outros mercados de empréstimos estava sendo aconselhada por membros da comunidade a revisar sua exposição enquanto a situação permanecesse sem solução.
As seis carteiras dos invasores identificadas por ZachXBT continuam sendo alvos ativos para rastreamento na cadeia, enquanto analistas trabalham para mapear para onde os fundos foram transferidos após deixarem o Aave.
