No sábado passado, a comunidade cripto acordou com uma notícia que volta a colocar sobre a mesa um problema recorrente: as carteiras de KelpDAO foram vaciadas em uma operação que, segundo as primeiras pesquisas, aponta para um ator com amplos recursos e experiência estatal. As equipes de KelpDAO e LayerZero detectaram atividade anômala relacionada com rsETH, o token que representa posições restakeadas, e poucos dias depois ficou claro que mais de 100.000 unidades de rsETH saíram do ecossistema, por um valor próximo aos 290 milhões de dólares.
KelpDAO é um projeto de finanças descentralizadas (DeFi) focado no restaking líquido: os usuários depositam ETH, a plataforma re-stakea esses ativos e emite rsETH para que os titulares continuem participando na economia DeFi sem perder liquidez. Esse token também se movia entre cadeias usando a camada de mensagens de LayerZero, que permite comunicar eventos entre diferentes blockchains.
A primeira reação pública do projeto foi pausar os contratos relacionados com rsETH na rede principal de Ethereum e nas soluções de segunda camada. KelpDAO informou de uma “actividade cross-chain suspeita” e anunciou que trabalharia com parceiros como LayerZero e Unichain para esclarecer o que aconteceu; podem ler-se seus comunicados iniciais em seu canal público em seu canal público X/Twitter.
O rastro na cadeia mostrou que aproximadamente 116.500 rsETH foram movidos para misturadores para esconder a origem, incluindo passes por Tornado Cash, e que as transações não correspondiam a operações legítimas registradas na cadeia. Um pesquisador independente compartilhou em X/Twitter o contagem de tokens e o valor estimado em dólares.
LayerZero, que gere a infraestrutura de mensagens cross-chain, publicou indicadores técnicos sobre o método do ataque. De acordo com o seu comunicado, os atacantes não quebraram diretamente a criptografia do token, mas prometeram componentes críticos da camada de verificação de mensagens: alguns nós da RPC usados pelo validador foram envenenados com dados falsos, enquanto ao mesmo tempo se realizava um ataque de recusa de serviço (DDoS) contra nós saudáveis para forçar a dependência nas fontes manipuladas.
O resultado foi que o sistema aceitou mensagens cross-chain falsas, confirmando operações que não existiram realmente na cadeia de origem e permitindo transferir rsETH sem a autorização real das contas afetadas. Essa combinação de manipulação de dados e saturação de serviços mostra que nem sempre é necessário violar contratos inteligentes: atacar a infraestrutura periférica pode ser igualmente devastadora.
Em sua avaliação preliminar, LayerZero apontou a participação de um ator muito sofisticado e com capacidade de planejamento prolongado, mencionando explicitamente indícios que lembram o grupo Lazarus, ligado à Coreia do Norte. Na sua declaração pública, podem ser consultadas as suas palavras e a análise inicial em sua conta em X/Twitter.
A atribuição a Lazarus não é uma surpresa para aqueles que seguem a história recente de cibercrime em grande escala: esse coletivo tem sido relacionado com múltiplas sustrações milionárias no ecossistema cripto nos últimos anos, incluindo outra operação massiva contra Drift que ficou valorizada em números comparáveis. Assinaturas de análise e governos têm documentado como estes atores combinam recursos técnicos e humanos para executar campanhas complexas.
O impacto prática também alcançou protocolos que haviam aceito rsETH como colateral. Aave, por exemplo, informou que bloqueou depósitos e empréstimos que utilizaram rsETH até que a situação seja esclarecida; seu anúncio oficial está disponível em X/Twitter. Essa reação ilustra a cascata de precauções que podem ser ativadas quando um ativo de referência perde confiabilidade: não só o projeto atacado sofre, mas aqueles que o tinham integrado nos seus mercados.
Além do choque económico imediato, este incidente sublinha duas fraquezas estruturais: a dependência de nodos RPC externos e a fragilidade de alguns mecanismos de verificação cross-chain. Quando uma camada que centraliza a validação fica comprometida, toda a confiança que se tinha delegado nela se desfaz. A comunidade técnica tem tempo a discutir soluções: maior descentralização de oráculos, sistemas de verificação redundantes e testes criptográficos que permitam verificar a autenticidade de mensagens sem depender de um pequeno conjunto de nós confiáveis.
Também reaparece a tensão entre rastreabilidade e privacidade: a operação utilizou misturadores como Tornado Cash para tentar esconder o rastro dos fundos. Embora todos os movimentos ocorram em blockchains públicas, a combinação de técnicas de ofuscação e a velocidade das conversões complica o trabalho de rastreamento, embora os laboratórios forenses em blockchain e as forças de segurança tenham conseguido por vezes seguir o dinheiro e recuperar ativos quando há erros operacionais do atacante.
Para usuários e administradores de protocolos isso traz lições claras: a segurança não termina no contrato inteligente. Auditorias de contratos continuam a ser necessárias, mas não suficientes; há que pensar a segurança como uma cadeia em que cada elo - nodos RPC, mensagens entre cadeias, serviços de indexação e oráculos - deve ser resistente a ataques combinados e a sabotagens de disponibilidade.
Aqueles que se interessam pela análise do fenômeno e por relatórios sobre atores estatais podem consultar recursos de assinaturas especializadas e meios tecnológicos. LayerZero e KelpDAO publicaram atualizações em seus canais oficiais, e organizações como Elliptic ou Chainalysis Eles costumam publicar pesquisas sobre fluxos ilícitos em cadeias. Para contexto jornalístico mais amplo, mídia como Reuters e CoinDesk Eles cobrem regularmente esses incidentes e sua transmissão geopolítica.
Em suma, o assalto ao KelpDAO é um lembrete cru de que a inovação DeFi e a interoperabilidade entre cadeias trazem benefícios reais, mas também ampliam a superfície de ataque. A resposta técnica e regulamentar a adoptar nos próximos meses será fundamental para reforçar a confiança dos utilizadores e dos investidores: sem controlos e arquitectura resiliente, o risco de incidentes em larga escala continuará a ser uma ameaça latente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...