A Nova Fronteira das Explorações DeFi em 2026
Abdul Razzaq2026-05-05
Se você acha que seus ativos DeFi estão seguros porque o contrato inteligente foi auditado, pense novamente. O hack de $293 milhões da KelpDAO não quebrou o código, quebrou a ponte. Aqui está como os hackers mais sofisticados agiram.

O Exploit DeFi de US$ 293 Milhões Que Expor Uma Fraqueza Oculta
Em 18 de abril de 2026, o ecossistema de finanças descentralizadas enfrentou uma das suas mais significativas violações de segurança do ano. Em um ataque altamente coordenado, aproximadamente US$ 290–293 milhões em ativos, cerca de 116.500 rsETH, foram drenados da infraestrutura de bridge da KelpDAO.
À primeira vista, pode parecer semelhante a exploits DeFi anteriores. Mas este incidente se destaca por uma razão crítica: não foi causado por uma falha na lógica do contrato inteligente. Em vez disso, expôs uma vulnerabilidade mais profunda e preocupante: a fragilidade da infraestrutura off-chain da qual muitos protocolos dependem silenciosamente. Esta distinção é importante. Porque, embora os contratos inteligentes tenham se tornado mais seguros com o tempo, os sistemas que os cercam estão agora se tornando a principal superfície de ataque.
O Que é a KelpDAO?
A KelpDAO é um protocolo de restaking líquido construído principalmente na Ethereum, projetado para aumentar a eficiência de capital para usuários que participam de ecossistemas de staking. Através de integrações com estruturas de restaking como a EigenLayer, a KelpDAO permite que os usuários restaquem ETH e recebam um token derivativo líquido, o rsETH. Este token pode então ser utilizado em DeFi para empréstimos, colateralização ou negociação, permitindo efetivamente que os usuários obtenham rendimento enquanto mantêm liquidez.
No início de 2026, o rsETH havia se tornado um ativo significativo no cenário de restaking, profundamente integrado em vários protocolos DeFi. Uma parte fundamental dessa expansão dependia da funcionalidade cross-chain, facilitada por infraestruturas como a LayerZero. Essa dependência, no entanto, tornou-se o elo mais fraco do protocolo.
Cronologia do Ataque
O exploit se desenrolou rapidamente, destacando a velocidade com que os ataques modernos podem escalar. Às 17:35 UTC, os atacantes iniciaram a sequência submetendo uma mensagem cross-chain forjada. A mensagem indicava falsamente que uma grande quantidade de rsETH havia sido queimada na Unichain, um ambiente L2 associado à Uniswap. Como o sistema estava configurado com uma única verificação, a mensagem foi aceita sem verificações de redundância suficientes. Isso desencadeou a liberação de aproximadamente 116.500 rsETH de contratos de custódia baseados em Ethereum para carteiras controladas pelos atacantes.
Em minutos, os fundos desapareceram. Aproximadamente 46 minutos depois, a multisig de emergência da KelpDAO interveio, pausando o protocolo. Duas tentativas subsequentes de drenar mais 80.000 rsETH, avaliados em cerca de US$ 200 milhões, foram bloqueadas com sucesso devido a esta resposta. Apesar da contenção parcial, o dano principal já havia sido feito.
Como o Ataque Funcionou
O que torna este exploit particularmente importante é o método. Em vez de explorar um bug no código do contrato inteligente, os atacantes visaram a camada de infraestrutura que valida a comunicação cross-chain. O ataque envolveu múltiplas etapas coordenadas:
- Primeiro, os nós RPC usados pela rede de verificação da LayerZero foram comprometidos ou manipulados. Isso deu aos atacantes controle sobre como os dados de verificação eram interpretados.
- Segundo, um ataque de negação de serviço distribuído (DDoS) foi lançado contra nós legítimos. Isso forçou o sistema a depender de nós de fallback — alguns dos quais estavam sob influência dos atacantes. Com este controle em vigor, os atacantes geraram uma mensagem forjada que parecia válida dentro do modelo de confiança do sistema.
- Finalmente, devido à configuração de verificação 1-de-1 da KelpDAO, uma única aprovação foi suficiente para autorizar a liberação dos fundos.
Essa escolha de configuração, provavelmente feita para reduzir a latência e os custos, eliminou a redundância. E em sistemas de segurança, a falta de redundância é frequentemente equivalente a um único ponto de falha.
Atribuição: O Papel do Grupo Lazarus
Empresas de segurança, incluindo LayerZero e Chainalysis, atribuíram o ataque com alta confiança ao Grupo Lazarus, uma organização de hacking patrocinada pelo estado ligada à Coreia do Norte. Mais especificamente, acredita-se que o subgrupo conhecido como “TraderTraitor” seja o responsável.
Este não é um incidente isolado. No mesmo mês, o Lazarus também foi conectado a:
- O exploit do Drift Protocol, que resultou em perdas de aproximadamente US$ 285 milhões
- Um ataque menor, mas relacionado, ao Hyperbridge
O que se destaca é o padrão. Estes não são hacks oportunistas que exploram vulnerabilidades simples. São operações de longo prazo e direcionadas, frequentemente envolvendo meses de preparação e múltiplos vetores de ataque. O foco mudou claramente para infraestruturas de alto valor: bridges, sistemas de restaking e protocolos cross-chain.
Impacto Imediato no Ecossistema DeFi
As consequências do ataque foram imediatas e generalizadas. O token rsETH rapidamente perdeu sua paridade, desencadeando instabilidade em plataformas de empréstimo. Protocolos como Aave e outros agiram rapidamente para congelar ou restringir o rsETH como garantia para evitar maiores riscos sistêmicos. Esta reação, embora necessária, contribuiu para um choque de liquidez mais amplo.
Em poucos dias, mais de US$ 13 bilhões em valor total foram retirados das plataformas DeFi — uma das saídas de capital mais rápidas observadas nos últimos anos. O incidente destacou uma realidade fundamental: o DeFi moderno é altamente interconectado. Uma falha em um componente, especialmente uma bridge, pode se espalhar por múltiplos sistemas, afetando simultaneamente a liquidez, a estabilidade das garantias e a confiança do usuário.
Lições para Protocolos e Usuários
O exploit da KelpDAO reforça várias lições críticas para a indústria.
- Primeiro, a redundância não é mais opcional. Sistemas que dependem de verificadores únicos ou modelos de confiança simplificados são inerentemente vulneráveis. Configurações multi-verificador e mecanismos de validação descentralizada devem ser considerados requisitos básicos.
- Segundo, a segurança deve ir além dos contratos inteligentes. A infraestrutura off-chain — nós RPC, oráculos e camadas de verificação — deve ser tratada com o mesmo nível de escrutínio que o código on-chain.
- Terceiro, os mecanismos de resposta importam. Embora a KelpDAO tenha sofrido perdas significativas, seu mecanismo de pausa rápida impediu danos adicionais. Isso demonstra o valor de ter controles de emergência bem definidos.
- Para os usuários, a lição é igualmente clara. A exposição excessiva a um único ativo ou protocolo — especialmente um que dependa de infraestrutura complexa — pode amplificar o risco. A diversificação e a consciência dos mecanismos subjacentes são essenciais.
Um Ponto de Virada para a Segurança DeFi
Este ataque, combinado com outros exploits de alto perfil em 2026, sinaliza uma mudança na forma como o DeFi deve abordar a segurança. A indústria fez progressos significativos na auditoria de contratos inteligentes e na verificação formal. Mas os atacantes se adaptaram. Eles estão agora visando as camadas que ficam fora da própria blockchain — as interfaces, os canais de comunicação e as suposições de confiança que permitem a escalabilidade. Esta evolução exige uma mudança correspondente de mentalidade. A segurança não pode mais ser tratada como um item de checklist a ser concluído antes da implantação. Ela deve ser integrada em todas as camadas do sistema, continuamente testada e projetada com condições adversas em mente. Protocolos que reconhecem esta mudança e investem de acordo estarão mais bem posicionados para manter a confiança do usuário em um ambiente cada vez mais hostil.
Conclusão
O exploit da KelpDAO de US$ 293 milhões não é apenas mais uma entrada na lista de hacks DeFi. É um estudo de caso sobre como os ataques modernos estão evoluindo e onde as próximas vulnerabilidades provavelmente surgirão. A questão central não foi um contrato quebrado, mas uma conexão frágil. À medida que o DeFi continua a escalar e a interconectar, essas conexões tornam-se tanto sua maior força quanto seu maior risco. A lição é clara: velocidade e eficiência não podem vir à custa da resiliência. Porque no ambiente de hoje, as vulnerabilidades mais perigosas nem sempre estão visíveis no código — elas existem nas suposições por trás dele.
Aviso Legal
Este artigo é apenas para fins informativos e educacionais. Não constitui aconselhamento financeiro, de investimento ou de negociação. Criptomoedas e DeFi envolvem um risco significativo de perda. Sempre faça sua própria pesquisa e exerça cautela.







