Hack de $292M na Kelp DAO congela rsETH na Aave — anatomia do maior exploit DeFi de 2026

Segurança · 20/04/2026 · 10 min de leitura

Hack de $292M na Kelp DAO congela rsETH na Aave — anatomia do maior exploit DeFi de 2026

No fim de semana de 18 a 20 de abril de 2026, a DeFi viveu o pior susto desde o colapso do Terra/Luna. Um atacante explorou a bridge da Kelp DAO (protocolo de restaking líquido em cima do EigenLayer), criou rsETH sem lastro e usou esses tokens como colateral na Aave para drenar aproximadamente $190 milhões em ETH emprestado. O prejuízo total chega a $292 milhões, fragmentados em mais de 20 cadeias.

A Aave reagiu em horas congelando o mercado de rsETH — mas a desconfiança já estava instalada: $6,2 bilhões de TVL saíram do protocolo em 24 horas. Este artigo disseca o que aconteceu, por que aconteceu e o que isso significa para quem usa DeFi.

O vetor: bridge da Kelp DAO + LayerZero

A Kelp DAO permite que usuários depositem ETH (ou LSTs como stETH), recebendo em troca rsETH — um token que representa a posição em restaking. Para expandir multi-chain, a Kelp usa uma arquitetura de bridge baseada em LayerZero: o contrato valida uma mensagem "vi o token saindo da cadeia A" e então cunha um token equivalente na cadeia B.

O problema: o atacante descobriu como forjar uma mensagem de transferência válida sem que o token jamais tivesse saído da cadeia de origem. A bridge, ao receber a mensagem forjada, cumpriu seu trabalho cegamente: cunhou 116.500 rsETH do lado Ethereum sem qualquer colateral real por trás.

A escalada: Aave como alvo secundário

Aqui é onde o exploit ficou brilhante — e devastador. Em vez de vender os 116.500 rsETH fantasma no mercado aberto (o que derrubaria o preço e limitaria o ganho), o atacante fez o seguinte:

Depositou 89.567 rsETH como colateral na Aave (V3 em Ethereum, e também em Arbitrum).
Usou esse colateral para pegar emprestado ~$190 milhões em ETH e ativos correlatos.
Saiu com o empréstimo — deixando para a Aave o "problema" de um colateral sem lastro real.

Em essência: o atacante transformou rsETH inflado em ETH líquido real, usando a Aave como lavanderia de valor. Se a rsETH perder o peg, quem fica com o prejuízo é o fundo de segurança (Safety Module) da Aave — não o atacante.

A resposta da Aave: congelamento em horas

O time de risco da Aave, junto com os service providers Llamarisk e Chaos Labs, agiu rápido:

Congelamento imediato dos mercados de rsETH na V3 e V4 em Ethereum e Arbitrum.
Loan-to-value (LTV) zerado — ninguém mais pode pegar emprestado contra rsETH.
Liquidation threshold reduzido para forçar liquidações ordenadas de posições legítimas.

Stani Kulechov, fundador da Aave, enfatizou em comunicado oficial: "O exploit foi externo. Os contratos da Aave não foram comprometidos. O risco está concentrado no mercado de rsETH, e ele está isolado."

O efeito cascata: $6,2 bi evaporam

Mesmo com os contratos intactos, a reação do mercado foi brutal. Entre a noite de sábado e a manhã de domingo (19/04), a Aave viu:

$6,2 bilhões em TVL sacados — usuários preferiram correr antes de confiar na explicação.
Pico de $300 milhões em empréstimos abertos em pouco tempo, criando liquidity crunch.
Taxa de juros do ETH na Aave subindo momentaneamente para acima de 15% ao ano por escassez.
Preço do token AAVE caindo ~18% em 48h.

Outras bridges e protocolos de restaking (Renzo, EtherFi, Puffer) também sofreram saques preventivos — o mercado aprendeu a duras penas que risco de bridge + risco de restaking + risco de lending se multiplicam, não somam.

O que o hack da Kelp ensina

Este não é um hack isolado — é o sintoma de três problemas estruturais que a DeFi ainda não resolveu:

1. Bridges continuam sendo o elo mais fraco

De Ronin ($625M, 2022) a Nomad ($190M, 2022), Wormhole ($325M, 2022) e agora Kelp DAO ($292M, 2026) — bridges cross-chain acumulam mais de $3 bilhões em prejuízos históricos. A mensagem é clara: mover valor entre cadeias ainda é fundamentalmente arriscado, e nenhuma arquitetura provou ser imune.

2. Colateral em DeFi é frágil a ataques de segunda ordem

A Aave não foi hackeada. Seus contratos funcionaram exatamente como deveriam. Mas ao aceitar rsETH como colateral, a Aave implicitamente confiou na segurança da bridge da Kelp. Quando a bridge falhou, o dano se transmitiu — e os depositantes da Aave viraram vítimas colaterais (literalmente).

3. Restaking empilha riscos invisíveis

O restaking (via EigenLayer e derivados) já era criticado por empilhar compromissos de capital: o mesmo ETH lastreia staking Ethereum + AVS de restaking + derivativos líquidos. Um erro em qualquer camada propaga para todas as outras. A Kelp materializou esse risco em menos de 72 horas.

O que fazer agora, na prática

Se você tem rsETH: aguarde o comunicado oficial da Kelp DAO sobre plano de ressarcimento (se houver). Não tente vender em mercado fino — o preço já derreteu.
Se você deposita em Aave: revise se há exposição indireta a ativos congelados. ETH, USDC e DAI puros continuam seguros.
Se você usa liquid restaking em geral: considere reduzir exposição até que protocolos forneçam post-mortem técnico claro. Restaking puro (sem bridge multi-chain) tem risco menor.
Se você nunca mexeu: este é o lembrete número 1.000 de que rendimento acima de 8% a.a. em cripto não é grátis — é pagamento por assumir risco oculto.

"Todo protocolo DeFi suficientemente complexo contém um vetor de ataque que ninguém previu até ele ser explorado." — lei não escrita do setor, reafirmada a cada ciclo.

Conclusão

O hack Kelp DAO + Aave é um divisor: a tese de que "liquid restaking é o próximo trilhão" sofreu um golpe técnico e reputacional duríssimo. A Aave provou resiliência no design — congelou, isolou, não quebrou —, mas a fuga de capital mostra que confiança leva anos para construir e 72 horas para virar pó.

Para o investidor brasileiro, a lição é ainda mais dura: se você estava em rsETH via exchange local (Mercado Bitcoin, Foxbit listam LSTs/LRTs), a responsabilidade pelo prejuízo fica num limbo contratual que ainda vai gerar discussão jurídica. DeFi não tem CVM — e não tem SAC.

Fontes externas

⚠ Aviso: conteúdo analítico e educacional com base em informações públicas (Aave Governance Forum, CoinDesk, CCN, post-mortem Llamarisk). Situação em desenvolvimento — dados podem mudar. Não constitui recomendação de investimento. DYOR.