LayerZero, atribuído ao Lazarus Group da Coreia do Norte, criou uma exploração de US$ 290 milhões na ponte cross-chain do KelpDAO em 18 de abril que enviou ondas de choque através do DeFi, apagando mais de US$ 13 bilhões em valor total bloqueado no protocolo em menos de 48 horas.
resumo
Em 18 de abril, os invasores exfiltraram 116.500 rsETH no valor de aproximadamente US$ 290 milhões da ponte alimentada por LayerZero da KelpDAO na maior exploração de DeFi até agora em 2026. LayerZero tem confiança preliminar de que este ataque foi obra do grupo Lazarus da Coreia do Norte, especificamente de sua subunidade TraderTraitor. As consequências causaram uma saída de mais de US$ 13 bilhões das plataformas DeFi, incluindo Aave, e congelaram o mercado rsETH em implantações V3 e V4.
Em 18 de abril, um invasor vazou 116.500 rsETH no valor de aproximadamente US$ 290 milhões de uma ponte de cadeia cruzada alimentada pelo LayerZero da KelpDAO. CoinDesk chama isso de a maior exploração de DeFi de 2026 até agora. A Layer Zero, proprietária da infra-estrutura que suporta a ponte, disse num comunicado na segunda-feira que “os indicadores preliminares sugerem que foi o trabalho de um actor estatal altamente sofisticado, muito provavelmente o Grupo Lazarus da Coreia do Norte”.
Hack KelpDAO causa colapso de DeFi de US$ 13 bilhões
O ataque compromete dois nós de chamada de procedimento remoto nos quais o validador do LayerZero depende para verificar transações entre cadeias, inundando o nó de backup com tráfego indesejado e forçando um failover para um endpoint contaminado. Assim que o verificador aprovou a transação fabricada, a ponte liberou US$ 290 milhões em rsETH para um endereço controlado pelo invasor. O malware então se autodestruiu, apagando seus binários e registros e interrompendo as investigações forenses. Conforme relatado por crypto.news, a exploração fez com que mais de US$ 10 bilhões fossem drenados apenas do Aave, e o bloqueio total do protocolo de empréstimo diminuiu de US$ 45,8 bilhões para US$ 35,7 bilhões enquanto os usuários corriam para sair. A UPI informou que nos dois dias seguintes à violação, mais de US$ 13 bilhões desapareceram do valor total bloqueado nas plataformas DeFi.
LayerZero e KelpDAO trocam acusações sobre configurações de segurança
Surgiu uma disputa sobre quem é o responsável pela vulnerabilidade que tornou o ataque possível. LayerZero disse que KelpDAO optou por operar uma configuração de rede de verificação descentralizada de ponto único de falha e anunciou que não assinará mensagens para aplicativos que usam essa configuração. KelpDAO reagiu, dizendo ao CoinDesk que sua configuração seguia os próprios padrões documentados do LayerZero e que os validadores comprometidos faziam parte da própria infraestrutura do LayerZero. Conforme documentado por crypto.news, pesquisadores de segurança independentes, incluindo desenvolvedores da Yearn Finance, descobriram que o código de implantação pública do LayerZero vem com um padrão de validação de fonte única em todas as principais cadeias, minando as alegações da empresa de que KelpDAO se desviou de sua orientação.
O que os hacks significam para a segurança DeFi e a confiança organizacional
A exploração KelpDAO é a segunda grande violação de DeFi associada ao Lazarus, após o ataque de US$ 285 milhões ao Drift Protocol em 1º de abril, elevando as perdas totais de DeFi do grupo no mês para mais de US$ 575 milhões somente em abril. Conforme rastreado por crypto.news, os invasores começaram a lavar os fundos roubados, transferindo os ativos para uma moeda estável baseada em Tron via Arbitrum. Jeffries alertou que um grande hack desta escala poderia diminuir temporariamente o apetite de Wall Street por projetos de tokenização, à medida que as instituições financeiras reavaliam os riscos de segurança incorporados à infraestrutura da ponte DeFi. LayerZero confirmou zero infecções de outros aplicativos executando a configuração de múltiplos verificadores, mas disse que foi forçado a abandonar a configuração de um único verificador em todo o protocolo.
LayerZero disse que está trabalhando com KelpDAO, a Security Alliance e agências de aplicação da lei para rastrear fundos roubados, mas o uso de ferramentas de privacidade por invasores complica muito os esforços de recuperação.
