Exploit no Kelp DAO gera maior perda DeFi de 2026
Um exploit no Kelp DAO, em 18 de abril de 2026, causou prejuízos de US$ 293 milhões em apenas 46 minutos. O ataque explorou a ponte cross-chain do protocolo, baseada em LayerZero, e deixou o Aave com mais de US$ 200 milhões em dívida inadimplente.
Às 17h35 UTC, um invasor enviou uma mensagem forjada à ponte do Kelp DAO. O sistema aceitou a mensagem como legítima. Assim, liberou 116.500 rsETH — cerca de 18% de toda a oferta circulante do token — para uma carteira financiada via Tornado Cash dez horas antes.
Nenhum ETH real foi depositado em contrapartida. Portanto, o rsETH foi essencialmente criado do nada.
Como o exploit no Kelp DAO drenou o Aave
O invasor não tentou vender os tokens obtidos. Em vez disso, depositou o rsETH no Aave V3 como garantia e tomou emprestado wrapped ether (WETH) real. Em seguida, repetiu a operação no Aave V4.
Quarenta e seis minutos após o ataque inicial, o multisig de emergência do Kelp congelou os contratos principais. Entretanto, o WETH já havia sido retirado. Duas tentativas adicionais, às 18h26 e 18h28 UTC, foram bloqueadas pelo sistema pausado.
Vinte e quatro horas depois, o Aave registrava entre US$ 177 milhões e US$ 236 milhões em dívida inadimplente. Além disso, seu TVL caiu aproximadamente US$ 6 bilhões, conforme dados do DeFiLlama. O mercado de WETH atingiu 100% de utilização, impedindo saques de depositantes.
Por que o Aave ficou exposto
O Aave havia classificado o rsETH como um dos ativos com maior eficiência de capital em DeFi. Os limites de fornecimento eram amplos o suficiente para acomodar um depósito de US$ 292 milhões inteiro.
Os limites de empréstimo de WETH permitiram que um único invasor retirasse mais de US$ 200 milhões em poucas transações. Os limiares de liquidação assumiam que o rsETH negociaria próximo ao seu valor de paridade com o ETH.
As empresas Chaos Labs, Block Analitica e LlamaRisk realizaram as análises de listagem e parâmetros. Elas trataram o rsETH como um liquid restaking token (LRT) conservadoramente colateralizado, com histórico de preços estável. Dessa forma, o invasor usou uma única mensagem forjada para drenar ativos reais do maior protocolo de empréstimo em DeFi.
Bilhões em WETH deixaram o Aave após o exploit no Kelp DAO
Após o ataque, fornecedores de WETH começaram a retirar seus fundos. A especulação era de que os primeiros a sair sairiam ilesos, enquanto os últimos absorveriam as perdas residuais. Até domingo pela manhã, US$ 5,4 bilhões em ETH e WETH haviam saído do Aave.
A utilização do pool de WETH chegou a 100%. Consequentemente, depositantes de WETH não conseguem mais fazer saques. As posições de empréstimo são efetivamente inliquidáveis, pois a garantia não pode ser resgatada no Kelp.
O Aave Labs declarou no X que os contratos do protocolo não foram comprometidos. No entanto, a ausência de bugs no código não elimina o prejuízo financeiro.
Waterfall de absorção de perdas no Aave
O fundo de seguro Umbrella do Aave detém aproximadamente US$ 50 milhões. A dívida inadimplente específica do Aave gira em torno de US$ 196 milhões, concentrada no par rsETH/WETH na rede Ethereum. A diferença será objeto de governança nas próximas semanas.
A ordem de absorção das perdas é a seguinte:
- Stakers do aWETH Umbrella absorvem a primeira parcela via slashing automático
- Fornecedores de WETH recebem um corte proporcional em seus depósitos
- Detentores de stkAAVE são acionados se a governança ativar um slashing adicional
- O tesouro da DAO pode financiar uma proposta de reembolso
O Guardian do Aave congelou rsETH e wrsETH em todos os deployments. O Security Council do Aave V4 desabilitou fornecimento e empréstimo no Core Hub e no Kelp E-Spoke. Uma proposta do Risk Stewards para reduzir o WETH Slope1 já está ativa.
Contágio se espalha pelo ecossistema DeFi
SparkLend, Fluid e Upshift congelaram o rsETH em poucas horas. O Morpho, por outro lado, apresenta exposição de aproximadamente US$ 1 milhão em dois mercados isolados. O CEO Paul Frambot confirmou que outros vaults do protocolo não foram afetados.
A arquitetura do Morpho isola cada mercado, impedindo que dívidas ruins em um par se propaguem. Além disso, o rsETH enfrenta um problema de lastro em mais de 20 redes até que o Kelp publique uma reconciliação completa de reservas.
A camada de mensagens do LayerZero também passará por escrutínio. O vetor explorado na ponte do Kelp não é exclusivo desse protocolo.
2026 acumula quase meio bilhão em perdas DeFi
O ataque ao Kelp DAO segue o hack de US$ 285 milhões ao Drift em 1º de abril e o exploit de US$ 80 milhões ao Resolv Labs em março. As perdas acumuladas em DeFi em 2026 somam entre US$ 450 milhões e US$ 482 milhões em cerca de 45 protocolos.
O exploit no Kelp DAO é, por volume, o maior incidente DeFi do ano até agora. O episódio reacende o debate sobre parâmetros de risco em protocolos de empréstimo e sobre a segurança de pontes cross-chain baseadas em mensagens.
