A KelpDAO enfrentou um golpe enorme de US$ 290 milhões no último sábado (18). Esse ataque impactou diretamente o rsETH, uma criptomoeda associada ao restaking líquido de Ethereum.
Embora o valor perdido seja semelhante ao do ataque recente ao Drift Protocol, o que torna essa situação ainda mais preocupante é que o rsETH é utilizado em várias outras plataformas de finanças descentralizadas (DeFi). Isso acabou “contaminando” uma parte significativa do setor.
Conforme dados do DeFiLlama, o Total Value Locked (TVL), que mede a quantia de criptomoedas depositadas em plataformas DeFi, caiu de US$ 99,5 bilhões para US$ 85,6 bilhões em um curto espaço de tempo. Nas redes sociais, a equipe da KelpDAO se manifestou com um comunicado rápido sobre o incidente, informando:
“Hoje cedo, identificamos atividades suspeitas cross-chain envolvendo o rsETH. Decidimos pausar os contratos de rsETH na mainnet e em várias Layer 2 enquanto investigamos.”
LayerZero traz detalhes sobre o ataque à KelpDAO
Um relatório preliminar da LayerZero informou que o ataque à KelpDAO foi provavelmente realizado por hackers norte-coreanos do Grupo Lazarus, especificamente por um grupo chamado TraderTraitor. De acordo com os desenvolvedores, o objetivo desse ataque complexo foi envenenar a infraestrutura da RPC (Remote Procedure Call) usada pela DVN (Decentralized Verified Network) da LayerZero Labs.
Os desenvolvedores apontaram que a KelpDAO estava operando com uma única DVN em vez de várias, o que tornou a estrutura vulnerável. Nesse caso, os hackers falsificaram uma mensagem dizendo que tinham depositado 116.500 rsETH na rede Ethereum e solicitaram a liberação desse valor na rede Unichain.
A situação piorou pois a única DVN usada teve seus nós RPC comprometidos, validando essa informação falsa e permitindo o roubo das moedas. Explicaram que:
“Este incidente foi totalmente isolado à configuração do rsETH da KelpDAO devido a sua escolha de ter uma DVN única.”
Riscaram que a mensagem enganosa só era visível para a DVN comprometedora. Qualquer outra solicitação de IP legítima mostrava a verdade. Os hackers projetaram o golpe para que o sistema se autodestruísse assim que o ataque fosse impedido, apagando os logs e eliminando rastros.
Entretanto, mesmo essa medida não foi suficiente para impedir a falsificação da transferência de valores. Os hackers lançaram ataques DDoS nos nós RPC não comprometidos, fazendo com que o sistema migrasse automaticamente para os nós envenenados, resultando em confirmações de transações que nunca ocorreram.
Impacto em vários projetos DeFi
A perda de US$ 290 milhões pela KelpDAO é a maior deste ano no universo DeFi. O ataque também provocou efeitos cascata em outros projetos, dada a utilização do rsETH em várias plataformas.
A Aave, por exemplo, foi uma das afetadas, com hackers utilizando o rsETH sem valor real para trocas por WETH (wrapped Ethereum). Após o ataque, a Aave optou por congelar os mercados relacionados ao rsETH, evitando novos depósitos e empréstimos que utilizassem essa moeda como garantia. Os desenvolvedores da Aave afirmaram:
“Estamos analisando as operações de empréstimos de rsETH na Aave que ocorreram após o ataque e traremos mais detalhes em breve. Se houver dívidas incobráveis devido a este incidente, trabalharemos em soluções para isso.”
Após o golpe, o setor viu uma queda drástica, com cerca de US$ 14 bilhões em TVL perdidos, sendo que US$ 9 bilhões foram da própria Aave, refletindo o pânico gerado. Vários projetos, como Morpho, Ethena e Ether.fi, também enfrentaram grandes saídas de capital.
Atualmente, o token da Aave está em queda de 21,3%, enquanto o rsETH da KelpDAO perdeu sua paridade com o Ethereum, sendo negociado a aproximadamente 11% de desconto.
As consequências desse ataque colocam a KelpDAO em uma posição crítica e representam uma das maiores crises do setor DeFi nos últimos tempos, impactando não apenas o valor das criptomoedas, mas também a confiança dos investidores em projetos de finanças descentralizadas.
