David Schwartz, CTO Emérito da Ripple, identificou um padrão em vulnerabilidades de segurança de bridges após a ponte rsETH do Kelp DAO ter sido explorada por aproximadamente $292 milhões. Durante sua avaliação de sistemas de bridging DeFi para uso do RLUSD, Schwartz observou que os provedores de ponte consistentemente colocavam em segundo plano seus mecanismos de segurança mais robustos em favor da conveniência, um padrão que ele acredita que pode ter contribuído para o incidente do Kelp DAO.
O Discurso de Venda dos Recursos de Segurança
Na análise que ele compartilhou no X, Schwartz descreveu como os provedores de bridge faziam pitches de recursos avançados de segurança com destaque, e então imediatamente sugeriam que esses recursos seriam opcionais. “Em geral, eles efetivamente recomendaram não se dar ao trabalho de usar os mecanismos de segurança mais importantes porque há custos de conveniência e de complexidade operacional”, escreveu ele.
Schwartz observou que, durante discussões de avaliação do RLUSD, os provedores enfatizavam simplicidade e facilidade para adicionar múltiplas cadeias “com a suposição implícita de que não iríamos usar as melhores características de segurança que eles tinham”. Ele resumiu a contradição: “O discurso de venda deles era que eles têm os melhores recursos de segurança, mas são fáceis de usar e de escalar, assumindo que você não usa os recursos de segurança.”
O que Aconteceu com o Kelp DAO
Em 19 de abril, o Kelp DAO identificou uma atividade transchain suspeita envolvendo rsETH e pausou contratos na mainnet e em várias redes de camada 2. Aproximadamente 116.500 rsETH foram drenados por meio de chamadas de contratos relacionadas ao LayerZero, no valor de cerca de $292 milhões aos preços atuais.
A análise on-chain da D2 Finance apontou a causa raiz para um vazamento de chave privada na cadeia de origem, que criou um problema de confiança com nós OApp que o atacante explorou para manipular a ponte.
Configuração de Segurança do LayerZero
O próprio LayerZero oferece mecanismos robustos de segurança, incluindo redes descentralizadas de verificação. Schwartz levantou a hipótese de que parte do problema pode decorrer de o Kelp DAO ter decidido não usar recursos-chave de segurança do LayerZero “por conveniência”.
Investigadores estão examinando se o Kelp DAO configurou sua implementação do LayerZero usando uma configuração mínima de segurança — especificamente, um único ponto de falha com o LayerZero Labs como o único verificador — em vez de utilizar as opções mais complexas, porém significativamente mais seguras, disponíveis por meio do protocolo.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Aave Suspende Operações da Reserva rsETH em Ethereum, Arbitrum e Outras Redes para Mitigar Risco Sistêmico
Mensagem do Gate News, 23 de abril — Aave anunciou que suspendeu as operações relacionadas à reserva de rsETH em toda a rede Ethereum mainnet, Arbitrum, Base, Mantle e Linea para mitigar o risco sistêmico durante o processo de recuperação do ativo.
A medida tem como objetivo preservar fundos adicionais enquanto o plano de recuperação é
GateNews46m atrás
JPMorgan: Hackers de DeFi são frequentes e a TVL estagnada desperta interesse em mecanismos de compressão, com recursos migrando para o USDT
O relatório do JPMorgan afirma que o DeFi continua vulnerável, com ataques frequentes envolvendo pontes cross-chain e oráculos, o que está levando à estagnação do TVL e enfraquecendo a disposição das instituições em investir; os fundos estão migrando para o USDT, que pode ser rastreado e congelado. Os ataques à KelpDAO e à Rhea Finance revelam riscos de gestão e controle; moedas estáveis centralizadas e custódia são ainda mais preferidas. A longo prazo, para melhorar, será necessário ir além de seguros e governança; o DeFi dificilmente voltará aos altos de TVL de 2021, e as stablecoins ficarão ainda mais concentradas.
ChainNewsAbmedia53m atrás
Economista-chefe da Circle propõe aumentar as taxas do USDC no Aave diante do impacto do KelpDAO
Mensagem do Gate News, 23 de abril — Gordon Liao, economista-chefe da Circle, propôs aumentar os parâmetros de empréstimo do USDC no Aave v3 Ethereum Core esta semana após um exploit de $292 milhões do KelpDAO em rsETH que desencadeou uma crise de liquidez em todo o protocolo. A Solicitação de Comentários de Liao sugere aumentar "S
GateNews1h atrás
Principal CEX atualiza sistema de detecção de fraude com aprendizado de máquina e motor de regras, reduz tempo de resposta para horas
Mensagem da Gate News, 23 de abril — Uma grande exchange centralizada anunciou uma reformulação de seu sistema de antifraude ao integrar modelos de aprendizado de máquina com mecanismos baseados em regras, implementando uma estratégia de dupla via em que os modelos lidam com a defesa de longo prazo e as regras habilitam respostas rápidas. A estrutura unificada
GateNews2h atrás
Meta Pool alerta sobre contrato fraudulento que se passa pelo pool de staking e token oficiais
Mensagem do Gate News, 23 de abril — A Meta Pool identificou um contrato inteligente suspeito que tenta se passar por seu pool de staking e token legítimos. A plataforma enfatizou que o contrato fraudulento não tem nenhuma associação com a Meta Pool nem com qualquer provedor oficial de staking líquido da NEAR
GateNews2h atrás
JPMorgan: Exploits no DeFi e TVL Estagnado Continuam a Limitar a Adoção Institucional
Mensagem do Gate News, 23 de abril — Analistas do JPMorgan afirmam que exploits persistentes em finanças descentralizadas e um crescimento fraco continuam limitando o interesse institucional no setor. O recente ataque ao Kelp DAO apagou aproximadamente $20 bilhões do valor total bloqueado (TVL) da DeFi (TVL) em apenas dias, de acordo com um relatório liderado pelo diretor administrativo do JPMorgan, Nikolaos Panigirtzoglou.
O exploit envolveu uma vulnerabilidade em uma ponte entre cadeias (cross-chain bridge), na qual um atacante cunhou milhões em tokens rsETH não lastreados e os usou como garantia no Aave para contrair empréstimos em ETH real, criando um prejuízo estimado de milhões em dívidas inadimplidas. Pesquisadores de segurança da LayerZero e de blockchain associaram o ataque ao Grupo Lazarus, da Coreia do Norte. Alguns dos fundos roubados foram congelados, enquanto o restante continua sendo movimentado entre carteiras e roteado por protocolos de privacidade. O incidente provocou saídas de recursos de pools sem exposição direta ao ativo comprometido, demonstrando como a interconectividade da DeFi pode se tornar uma fraqueza durante eventos adversos.
Em termos de ETH, o TVL da DeFi permaneceu amplamente estável, apesar de ter subido em termos de dólares ao longo de 2021, caído em 2022 e se recuperado lentamente depois disso. Analistas do JPMorgan observaram que as perdas de cripto com hacks e exploits em 2026 estão acompanhando um ritmo semelhante ao de 2025, embora a indústria tenha melhorado as auditorias de contratos inteligentes. "Vulnerabilidades persistentes de segurança e um TVL estagnado continuam a limitar a atratividade institucional da DeFi", disseram.
Os analistas também notaram um padrão de migração para a segurança que favorece stablecoins, especialmente o USDT, durante períodos de estresse on-chain. A CryptoQuant informou separadamente que o exploit do Kelp DAO desencadeou uma forte crise de liquidez em toda a DeFi, com as taxas de empréstimo disparando.
GateNews2h atrás
