- O hack no protocolo DeFi KelpDAO drenou 292 milhões de dólares e é considerado o maior ataque do ano no setor DeFi.
- Investigadores apontam que o grupo Lazarus, da Coreia do Norte, por meio da subunidade TraderTraitor, foi o provável responsável pelo ataque.
- Os atacantes roubaram 116.500 rsETH da ponte KelpDAO, desencadeando saques que somaram mais de 10 bilhões de dólares no setor DeFi, especialmente no protocolo Aave.
- A LayerZero informou que houve uma falha de verificador único na ponte, e recomendou que a KelpDAO adotasse múltiplos verificadores; a empresa disse que deixará de aprovar mensagens para apps que mantiverem essa configuração.
- Observadores destacam que o incidente expõe um único ponto de falha na arquitetura da ponte e que, embora haja indícios, não houve confirmação oficial de qual grupo operou o ataque.
O protocolo de finanças descentralizadas KelpDAO foi alvo de um hack no fim de semana que drenou aproximadamente US$ 292 milhões. A ação ocorreu após a retirada de 116.500 rsETH, token lastreado em ether via staking, da ponte da KelpDAO, o que desencadeou saques bilionários em diversos protocolos DeFi, incluindo o Aave, que registrou movimentos significativos no ecossistema.
Autoridades de segurança apontaram que o grupo Lazarus, ligado à Coreia do Norte, possivelmente por meio da subunidade TraderTraitor, conduziu o ataque. A avaliação inicial foi feita pela LayerZero, que sugeriu que o ataque seguiu um padrão de atuação de atores estatais com alta sofisticação. As operações ocorreram entre o sábado e o domingo, segundo as análises disponíveis.
O episódio evidencia falhas na arquitetura da ponte, com a LayerZero identificando o uso de um único verificador para aprovar transferências. A firma informou que não aprovará mensagens de aplicativos que utilizem essa configuração. Observadores destacam que um único ponto de falha permitiu a drenagem de fundos, mesmo com mecanismos de verificação em funcionamento.
Contexto técnico e desdobramentos
Especialistas em segurança ressaltaram que o protocolo dependia de um único checkpoint, o que facilitou o desvio. A Cyvers analisou que os atacantes chegaram a drenar outros US$ 100 milhões antes de serem contidos por listas negras, após enganar o verificador central. Funcionários ressaltaram que os invasores utilizaram canais de comunicação comprometidos para induzir o sistema a aprovar retiradas falsas.
A Cyvers não vinculou formalmente o ataque ao Lazarus, mas apontou padrões de sofisticação, escala e coordenação que lembram operações associadas ao grupo norte-coreano. A investigação também indicou que o software malicioso foi desenhado para se autoapagar após o ataque, dificultando rastreamentos.
No início do mês, ataque semelhante foi registrado contra o protocolo Drift, da Solana, com perdas reportadas em aproximadamente US$ 285 milhões. A relação entre os incidentes é objeto de análise entre especialistas, que destacam a complexidade e o longos prazos necessários para esse tipo de operação.
Segundo levantamentos, os fundos subtraídos podem ter sido transferidos para um endereço de Ethereum, com indícios do uso de misturadores para ocultar a origem dos ativos. Em aberto permanece a confirmação de todos os caminhos usados pelos atacantes e de como foram distribuídos os recursos recuperados ou bloqueados pela comunidade.
Entre na conversa da comunidade