Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
#KelpDAOBridgeHacked
Exploração da Ponte KelpDAO - 18 de abril de 2026: O que aconteceu e estado atual
Em 18 de abril de 2026, a KelpDAO, um protocolo de restaking líquido, sofreu uma das maiores explorações DeFi do ano quando sua ponte cross-chain foi comprometida. O atacante conseguiu drenar aproximadamente 116.500 tokens rsETH, avaliados em cerca de $292 milhões na altura do incidente. Este marca o maior hack de criptomoedas de 2026 até agora, superando a exploração do Drift Protocol ocorrida anteriormente em abril.
Como ocorreu a Exploração
O ataque explorou uma vulnerabilidade crítica na infraestrutura da ponte alimentada pelo LayerZero da KelpDAO. O atacante enviou uma mensagem cross-chain falsificada para o OFT Adapter da KelpDAO na rede principal Ethereum, alegando falsamente originar-se da Unichain. A causa raiz foi uma configuração severa incorreta na segurança da ponte. A KelpDAO tinha implementado uma configuração de Rede de Verificadores Descentralizados (DVN) de 1 de 1, confiando em um único verificador do LayerZero Labs sem redundância ou verificadores secundários opcionais. Essa abordagem de segurança mínima permitiu que a mensagem falsa passasse na validação sem contestação, acionando o lançamento de tokens rsETH não garantidos na carteira do atacante.
É importante notar que isso não foi um bug no próprio protocolo LayerZero. O LayerZero V2 foi projetado para ser modular, permitindo que projetos escolham sua própria pilha de verificadores. A KelpDAO optou pela configuração de segurança mais mínima possível, o que se revelou catastrófico.
A Jogada DeFi dos Atacantes
Assim que o atacante obteve o rsETH não garantido, ele imediatamente o utilizou como garantia em vários protocolos DeFi para extrair o máximo de valor. Nas plataformas Aave V3 e V4 na rede principal Ethereum e Arbitrum, o atacante tomou emprestado aproximadamente 52.834 WETH na Ethereum e 29.782 WETH mais 821 wstETH no Arbitrum. Houve atividades adicionais de empréstimo nos protocolos Compound e Euler, elevando o valor total extraído para mais de $200 milhões. Os fundos roubados foram posteriormente lavados através do Tornado Cash.
Resposta Imediata e Controle de Danos
A KelpDAO detectou a exploração em aproximadamente uma hora, graças ao monitoramento on-chain por pesquisadores de segurança, incluindo ZachXBT. O protocolo imediatamente pausou as pontes na Ethereum e em outras cadeias suportadas, bloqueando com sucesso duas tentativas de ataque subsequentes. A KelpDAO divulgou uma declaração pública indicando abertura para negociações com o atacante.
Aave respondeu congelando os mercados rsETH tanto na V3 quanto na V4 na Ethereum e Arbitrum. Outros protocolos, incluindo SparkLend, Fluid e Upshift, também tomaram ações preventivas. O incidente deixou a Aave com aproximadamente $177 milhões em dívidas ruins, principalmente no Arbitrum, embora os mercados na rede principal Ethereum permaneçam colateralizados, mas com risco de efeitos de spillover. A Lido pausou depósitos de earnETH como medida de precaução, enquanto a Ethena e o USDT0 pausaram seus bridges preventivamente, apesar de não terem exposição direta.
Riscos secundários surgiram à medida que a utilização de ETH atingiu 100% na Aave, potencialmente atrasando liquidações e criando desequilíbrios nos incentivos de empréstimo.
Estado Atual e Implicações
Em 19-20 de abril de 2026, os detentores de rsETH bridged enfrentam potenciais cortes de 15-20%, pendentes de quaisquer esforços de recuperação. A comunidade Aave está discutindo ativamente propostas de governança para resolução de dívidas ruins, com debates em andamento sobre se devem tratar as posições na Arbitrum e na Ethereum mainnet separadamente.
O incidente serve como um lembrete severo para projetos DeFi auditarem suas configurações de OApp e implementarem configurações de múltiplos DVN com 3-4 verificadores necessários, em vez de depender de pontos únicos de falha. Felizmente, nenhum outro projeto OFT do LayerZero foi afetado por essa vulnerabilidade específica.
Pesquisadores de segurança esperam que análises completas da causa raiz sejam publicadas nos próximos dias. Os usuários são aconselhados a monitorar canais oficiais da KelpDAO, Aave e analistas de segurança como ZachXBT para atualizações em tempo real sobre a situação.