No sábado, um hacker financiou sua carteira digital através do Tornado Cash , esperou 10 horas e então executou uma transação que desviou US$ 292 milhões da KelpDAO.
Quando alguém percebeu, o dinheiro já tinha sumido. E quando a KelpDAO parou de funcionar, mais duas tentativas falharam em questão de minutos.
Hacker da KelpDAO tentou desviar US$ 391 milhões
A carteira que realizou o ataque foi financiada através do pool de 1 ETH do Tornado Cash. Esta é uma etapa padrão de ofuscação que forneceu fundos limpos para o endereço.
A carteira chamada lzReceive, notracEndpointV2 da LayerZero e na ponte OFT da KelpDAO, liberou 116.500 rETH para um endereço de atacante separado. O esvaziamento foi concluído em uma única transação.
O que se seguiu mostrou quão apertadas eram as margens de erro. O atacante retornou duas vezes. Mais dois pacotes LayerZero atingiram a ponte, cada um visando 40.000 rsETH, totalizando cerca de US$ 100 milhões. Ambos foram revertidos.
Cinco minutos antes, o multisig de pausa de emergência da Kelp havia executado o comando pauseAll. A chamada congelou o pool de depósitos da LRT, o contrato detrac, o oráculo da LRT e também o token rsETH. O intervalo entre o esvaziamento bem-sucedido e a pausa foi de 46 minutos. E o intervalo entre a pausa e a próxima tentativa de ataque foi de cinco minutos.
O prejuízo total da KelpDAO teria sido de cerca de 391 milhões de dólares se a segunda e a terceira tentativas do atacante tivessem sido bem-sucedidas.
O atacante desencadeia a inadimplência Aave
Os 116.500 tokens rsETH valiam cerca de US$ 292 milhões aos preços atuais. Esse montante representa aproximadamente 18% da oferta circulante de rsETH, que é de cerca de 630.000 tokens.
rsETH é um token de renegociação líquida construído na plataforma EigenLayer e implantado em mais de 20 redes, incluindo Base, Arbitrum, Linea, Blast, Mantle e Scroll.
O atacante não apenas detinha os tokens rsETH roubados. De acordo com dados on-chain, os tokens foram depositados na Aave V3 como garantia para empréstimos de grandes quantidades de Ether e Wrapped Ether. Os fundos foram redirecionados através da Tornado Cash para ocultar o rastro.
Essa medida transformou uma vulnerabilidade em um potencial problema de inadimplência para Aave, uma das maiores plataformas de empréstimo DeFi. Como resultado, Aave V3 pode enfrentar uma exposição a até US$ 177 milhões em dívidas incobráveis.
O investigador de blockchain ZachXBT alertou sobre o incidente dent Telegram em menos de uma hora. "Aparentemente, a KelpDAO teve mais de US$ 280 milhões roubados há uma hora no Ethereum e no Arbitrum", escreveu ele, confirmando que as carteiras dos hackers foram financiadas via Tornado Cash .
declaração pública da Kelp foi feita na X, mais de duas horas e meia após o esgotamento dos recursos. "Hoje cedo, identificamos dent suspeitas entre cadeias envolvendo rsETH", escreveu o protocolo. "Suspendemos os contratos de rsETH trac rede principal e em várias camadas 2 enquanto investigamos. Estamos trabalhando com a LayerZero, a Unichain, nossos auditores e os principais especialistas em segurança para realizar a análise da causa raiz."
Aave congelou todos os mercados de rsETH nas Aave 3 e 4. O protocolo confirmou no servidor X que a vulnerabilidade estava no rsETH, e não nostracda própria Aave. "Estamos analisando informações sobre empréstimos de rsETH na Aave que ocorreram após a exploração e compartilharemos mais detalhes assim que possível", escreveu Aave . A equipe Aave também está explorando maneiras de cobrir as perdas.
Aave caiu 10,65% no dia, para US$ 103,86. Ethereum caiu cerca de 3% e atualmente está cotado a US$ 2.358,24.
O ataque à KeplerDAO também ocorreu menos de duas semanas após o roubo de US$ 286 milhões do Drift Protocol, o maior roubo de criptomoedas de 2026 até o momento. De acordo com uma reportagem Cryptopolitan ao Drift Protocol está ligado ao mesmo grupo que roubou US$ 1,4 bilhão da Bybit.
A KelpDAO agora ocupa o segundo lugar na lista dos maiores ataques de criptomoedas em 2026.
