Kelp DAO $290M Hack Sacode $145B Ecossistema DeFi Confiança

Um roubo de ativos digitais sem precedentes desestabilizou o ecossistema de finanças descentralizadas (DeFi), avaliado em aproximadamente 980 mil milhões de dólares. Em 18 de abril de 2024 (hora da Coreia), o projeto DeFi Kelp DAO sofreu uma violação que resultou na apropriação indevida de rsETH no valor de 290 milhões de dólares (Kelp DAO Restaked Ethereum), ultrapassando o hack do Drift DEX, de 280 milhões de dólares, a 2 de abril, tornando-se o maior roubo de ativos digitais do ano em volume de saídas, de acordo com o material de origem.

Mecanismo de ataque e exploração da ponte

Embora o incidente tenha tido origem no Kelp DAO, espalhou-se por todo o ecossistema DeFi, afetando projetos de ponte que ligam diferentes redes blockchain e plataformas de empréstimos descentralizados. O Kelp DAO funciona como emissor de tokens de re-staking líquido no ecossistema de restaking do Ethereum, permitindo que os utilizadores depositem ETH e recebam rsETH para uso como colateral ou liquidez noutros serviços DeFi.

O atacante explorou a ponte baseada em LayerZero usada pelo Kelp DAO para emitir fraudulentamente aproximadamente 116.500 tokens rsETH e desviar fundos para fora. A 20 de abril, o LayerZero explicou no X (antigo Twitter) que o atacante, suspeito de ser o grupo norte-coreano de hackers Lazarus, manipulou a infraestrutura RPC da camada inferior usada pela sua rede descentralizada de verificadores (DVN) para confirmar transações. Em seguida, o atacante realizou ataques DDoS em endpoints RPC legítimos, forçando o failover para a infraestrutura comprometida, o que fez com que transações não verificadas fossem processadas como legítimas.

Disputa de responsabilidade: LayerZero vs. Kelp DAO

Um ponto crítico de contestação surgiu em torno do uso de uma única estrutura DVN por parte do Kelp DAO. O LayerZero afirmou a 20 de abril que recomendou que os projetos integrados adotassem uma arquitetura multi-DVN, combinando múltiplos validadores independentes. No entanto, o Kelp DAO utilizava uma configuração “1-of-1”, dependente apenas do único DVN da LayerZero, na altura da violação. Um único validador cria um único ponto de falha, com mecanismos insuficientes de filtragem independente.

O Kelp DAO contra-atacou a 21 de abril via X, afirmando que a configuração DVN “1-of-1” em disputa não era uma escolha excecional, mas antes apresentada como estrutura predefinida na documentação e nos exemplos de implementação da LayerZero. As duas partes acabaram por culpar-se mutuamente pela ocorrência do incidente.

Danos em cascata: Aave e exposição a risco sistémico

A violação estendeu-se para além dos sistemas internos do Kelp DAO. O atacante depositou o rsETH emitido fraudulentamente como colateral em grandes plataformas de empréstimos DeFi, incluindo a Aave, contraindo ativos líquidos como ETH. Isso resultou em mais de 200 milhões de dólares em dívida incobrável acumulada na Aave. Embora os contratos inteligentes da Aave não tenham sido pirateados diretamente, a plataforma sofreu perdas, uma vez que o ativo de colateral externo (rsETH) colapsou em valor.

Este incidente expôs vulnerabilidades estruturais inerentes às plataformas de empréstimos DeFi. Estas plataformas operam com a suposição de que os valores do colateral e os sistemas de liquidação funcionam normalmente. Quando o colateral provém de hacks de ponte que criam ativos sem valor, a economia subjacente falha — o que parece ser um empréstimo devidamente colateralizado torna-se uma perda para a plataforma. A violação demonstrou que as principais plataformas de empréstimos precisam de gerir em conjunto as estruturas de emissão de ativos externos, as arquiteturas de pontes e os riscos dos validadores.

Fundo de recuperação unificada do DeFi ultrapassa perdas

Para lidar com as consequências, a indústria DeFi, liderada pela Aave, criou uma iniciativa coletiva de recuperação chamada “DeFi United”. Este fundo aproveita contribuições em Ethereum de múltiplos protocolos e participantes para restaurar o colateral em rsETH e permitir que os utilizadores afetados recuperem os seus ativos.

A 30 de abril, o fundo de recuperação já tinha excedido o montante da perda. De acordo com o site do DeFi United, tinham sido angariados aproximadamente 137.610 ETH, equivalentes a 307,15 milhões de dólares — cerca de 6% acima do valor do roubo de 290 milhões de dólares. Entre os principais contribuintes estavam a rede Ethereum Layer 2 Arbitrum, a empresa de infraestrutura Ethereum Consensys e o fundador Joseph Lubin, o projeto Layer 2 Mantle, a Aave e o fundador Stani Kulechov, o protocolo de restaking EtherFi, a LayerZero, o projeto de liquid staking do Ethereum Lido e o projeto de armazenamento descentralizado Golem. No entanto, partes dos fundos angariados continuam sujeitas a votação em DAO e aos procedimentos de libertação congelada da Arbitrum, o que indica que a compensação será distribuída por fases. As principais partes interessadas do ecossistema estão, na prática, a selar a violação através de contribuições coordenadas.

Desafios de recuperação da confiança: governação e ameaças reforçadas por IA

Especialistas alertam que reconstruir a confiança no DeFi exigirá tempo, apesar da recuperação bem-sucedida do fundo. Durante a contenção do incidente, a Aave congelou rsETH, e o Comité de Segurança da Arbitrum congelou aproximadamente 30.766 ETH em fundos do hacker. Embora estas medidas de emergência tenham evitado danos adicionais, também levantaram questões sobre a descentralização que o DeFi enfatiza. Mong Seo-woo, cofundador da Undefined Labs, afirmou a 30 de abril à Digital Asset: “Este incidente aumentou o cepticismo sobre o que distingue o DeFi das finanças tradicionais, caso comités específicos ou estruturas de governação possam congelar fundos durante crises. No futuro, as comunidades precisam de discutir de forma mais séria enquadramentos de governação descentralizada para situações excecionais como incidentes de hacking.”

A análise de peritos também destaca a sofisticação dos ataques ao DeFi reforçados por IA. Os investigadores observam que a inteligência artificial está a acelerar a descoberta de vulnerabilidades, a criação de código malicioso, ataques de phishing e de engenharia social. Verena Ross, Presidente da Autoridade Europeia dos Mercados de Valores Mobiliários (ESMA), alertou a 24 de abril que a IA pode aumentar o risco e a velocidade dos ciberataques na área financeira. A publicação de segurança dos EUA Wired reportou a 22 de abril que grupos norte-coreanos de hackers recorreram à IA para escrever código malicioso e criar websites fraudulentos de empresas para roubo de ativos digitais.

Song Chang-seok, Diretor de Web3 na Blob, disse à Digital Asset: “No fim de contas, o DeFi não consegue restaurar a confiança confiando apenas em doações pós-incidente ou em medidas de congelamento. A indústria deve reduzir estruturas com validadores únicos, monitorizar continuamente infraestruturas críticas como pontes, RPCs e oráculos, e implementar sistemas de deteção de anomalias com IA e bloqueio em tempo real para contrariar ataques automatizados.”

FAQ

P: Qual foi o valor total da violação do Kelp DAO?
R: O roubo envolveu tokens rsETH no valor de 290 milhões de dólares, tornando-se o maior roubo de ativos digitais do ano em volume de saídas até abril de 2024.

P: Como é que o atacante explorou a ponte LayerZero?
R: De acordo com a declaração de 20 de abril da LayerZero, o atacante manipulou a infraestrutura RPC da camada inferior usada pelo único DVN do Kelp DAO e, em seguida, conduziu ataques DDoS em endpoints legítimos para forçar o failover para a infraestrutura comprometida, permitindo que transações não verificadas fossem processadas como válidas.

P: O fundo de recuperação do DeFi United conseguiu igualar a perda?
R: Sim, em 30 de abril, o fundo tinha angariado aproximadamente 137.610 ETH (307,15 milhões de dólares), excedendo a perda de 290 milhões de dólares em cerca de 6%, embora a distribuição total continue sujeita a procedimentos de governação.