Kelp DAO $290M Hack agita $145B Ecossistema DeFi que merece confiança

Um roubo de criptoativos recorde desestabilizou o ecossistema de finanças descentralizadas (DeFi), avaliado em aproximadamente 980 mil milhões de dólares. Em 18 de abril de 2024 (hora da Coreia), o projeto DeFi Kelp DAO sofreu uma intrusão que resultou na apropriação de rsETH no valor de 290 milhões de dólares (Kelp DAO Restaked Ethereum), ultrapassando o hack do Drift DEX de 280 milhões de dólares em 2 de abril, tornando-se o maior roubo de criptoativos do ano em termos de volume de saídas, segundo o material de origem.

Mecanismo do ataque e exploração da ponte

Embora o incidente tenha começado no Kelp DAO, propagou-se por todo o ecossistema DeFi, afetando projetos de ponte que ligam diferentes redes blockchain e plataformas de empréstimo descentralizado. O Kelp DAO opera como um emissor de tokens de restaking líquido no ecossistema de restaking do Ethereum, permitindo aos utilizadores depositar ETH e receber rsETH para uso como colateral ou liquidez noutros serviços DeFi.

O atacante explorou a ponte baseada em LayerZero usada pelo Kelp DAO para emitir de forma fraudulenta cerca de 116,500 tokens rsETH e desviar fundos para fora. Em 20 de abril, a LayerZero explicou no X (anteriormente Twitter) que o atacante, suspeito de ser o grupo norte-coreano de hackers Lazarus, manipulou a infraestrutura RPC da camada inferior usada pela sua rede de verificação descentralizada (DVN) para confirmar transações. O atacante, em seguida, realizou ataques DDoS em endpoints RPC legítimos, forçando a alternância (failover) para a infraestrutura comprometida, o que fez com que transações não verificadas fossem processadas como válidas.

Disputa de responsabilidades: LayerZero vs. Kelp DAO

Um ponto crítico de contestação surgiu em torno do uso, por parte do Kelp DAO, de uma estrutura única de DVN. A LayerZero afirmou em 20 de abril que recomendou que os projetos integrados adotassem uma arquitetura multi-DVN, combinando múltiplos validadores independentes. No entanto, o Kelp DAO utilizava uma configuração “1-of-1”, dependendo apenas do DVN único da LayerZero, no momento da violação. Um único validador cria um único ponto de falha, com mecanismos de filtragem independentes insuficientes.

O Kelp DAO contrapôs em 21 de abril via X, afirmando que a configuração DVN “1-of-1” em disputa não era uma escolha excecional, mas sim apresentada como estrutura por defeito na documentação e nos exemplos de implementação da LayerZero. As duas partes acabaram por atribuir eficazmente a culpa uma à outra pela ocorrência do incidente.

Danos em cascata: Aave e exposição a risco sistémico

A violação estendeu-se para além dos sistemas internos do Kelp DAO. O atacante depositou o rsETH emitido fraudulentamente como colateral em principais plataformas de empréstimo DeFi, incluindo a Aave, contraindo ativos líquidos como ETH. Isso resultou em mais de 200 milhões de dólares em dívida incobrável acumulada na Aave. Embora os contratos inteligentes da Aave não tenham sido atacados diretamente, a plataforma sofreu perdas à medida que o ativo colateral externo (rsETH) colapsou em valor.

Este incidente expôs vulnerabilidades estruturais inerentes às plataformas de empréstimo DeFi. Estas plataformas operam com base na suposição de que os valores do colateral e os sistemas de liquidação funcionam normalmente. Quando o colateral provém de hacks de pontes que criam ativos sem valor, a economia subjacente falha — o que parece ser um empréstimo devidamente colateralizado torna-se uma perda da plataforma. A violação demonstrou que as principais plataformas de empréstimo precisam de gerir em conjunto as estruturas de emissão de ativos externos, as arquiteturas de ponte e os riscos dos validadores.

Fundo de recuperação DeFi United supera o prejuízo

Para lidar com as consequências, a indústria DeFi, liderada pela Aave, criou uma iniciativa coletiva de recuperação chamada “DeFi United”. Este fundo recorre a contribuições em Ethereum de múltiplos protocolos e participantes para restaurar o colateral em rsETH e permitir que os utilizadores afetados recuperem os seus ativos.

Até 30 de abril, o fundo de recuperação tinha ultrapassado o valor da perda. De acordo com o site do DeFi United, foram angariados aproximadamente 137,610 ETH, equivalentes a 307,15 milhões de dólares — cerca de 6% acima do valor do roubo de 290 milhões de dólares. Entre os principais contribuintes estiveram a rede Ethereum Layer 2 Arbitrum, a empresa de infraestrutura Ethereum Consensys e o fundador Joseph Lubin, o projeto Layer 2 Mantle, a Aave e o fundador Stani Kulechov, o protocolo de restaking EtherFi, a LayerZero, o projeto de staking líquido do Ethereum Lido e o projeto de armazenamento descentralizado Golem. No entanto, parte dos fundos angariados continua sujeita a votação em DAO e a procedimentos de desbloqueio do fundo congelado da Arbitrum, indicando que a compensação será distribuída por fases. As principais partes interessadas do ecossistema estão, na prática, a selar a violação através de contribuições coordenadas.

Desafios na recuperação da confiança: governação e ameaças reforçadas por IA

Especialistas alertam que reconstruir a confiança no DeFi vai exigir tempo, apesar da recuperação bem-sucedida do fundo. Durante a contenção do incidente, a Aave congelou o rsETH, e o Comité de Segurança da Arbitrum congelou cerca de 30,766 ETH em fundos do hacker. Embora estas medidas de emergência tenham impedido mais danos, levantaram simultaneamente questões sobre a descentralização que o DeFi salienta. Mong Seo-woo, cofundador da Undefined Labs, afirmou em 30 de abril à Digital Asset: “Este incidente aumentou o ceticismo sobre o que diferencia o DeFi das finanças tradicionais, se comités específicos ou estruturas de governação conseguem congelar fundos durante crises. Para a frente, as comunidades precisam de discutir com mais seriedade estruturas de governação descentralizada para situações excecionais como incidentes de hacking.”

A análise de especialistas também destaca a sofisticação de ataques DeFi reforçados por IA. Os investigadores observam que a inteligência artificial está a acelerar a descoberta de vulnerabilidades, a criação de código malicioso, ataques de phishing e engenharia social. Verena Ross, presidente da Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA), alertou em 24 de abril que a IA pode aumentar o risco e a velocidade de ciberataques no setor financeiro. A publicação de segurança dos EUA Wired reportou em 22 de abril que grupos norte-coreanos de hackers recorreram à IA para escrever código malicioso e criar websites fraudulentos de empresas para roubo de criptoativos.

Song Chang-seok, Diretor Web3 na Blob, disse à Digital Asset: “No fim de contas, o DeFi não pode restaurar a confiança apenas recorrendo a donativos pós-incidente ou a medidas de congelamento. A indústria tem de reduzir estruturas de validador único, monitorizar continuamente infraestruturas críticas como pontes, RPCs e oráculos, e implementar sistemas de deteção de anomalias com IA e bloqueio em tempo real para contrariar ataques automatizados.”

FAQ

P: Qual foi o valor total da violação do Kelp DAO?
R: O roubo envolveu rsETH no valor de 290 milhões de dólares, tornando-o o maior roubo de criptoativos do ano em termos de volume de saídas até abril de 2024.

P: Como é que o atacante explorou a ponte LayerZero?
R: De acordo com a declaração da LayerZero de 20 de abril, o atacante manipulou a infraestrutura RPC da camada inferior usada pelo single DVN do Kelp DAO e, em seguida, realizou ataques DDoS em endpoints legítimos para forçar o failover para a infraestrutura comprometida, permitindo que transações não verificadas fossem processadas como válidas.

P: O fundo de recuperação DeFi United conseguiu igualar a perda?
R: Sim, até 30 de abril, o fundo tinha angariado aproximadamente 137,610 ETH (307,15 milhões de dólares), ultrapassando a perda de 290 milhões de dólares em cerca de 6%, embora a distribuição total continue sujeita a procedimentos de governação.