Hackers exploraram uma ponte cross-chain conectada ao Kelp DAO, resultando no roubo de quase 300 milhões de dólares em ativos digitais, no que foi relatado como o maior exploit financeiro descentralizado de 2026.
O ataque teve como alvo uma ponte construída com tecnologia LayerZero, que permite transferências entre diferentes redes blockchain. Segundo relatos, os atacantes drenaram aproximadamente 116.500 tokens rsETH, avaliados em cerca de $292 milhões na época do incidente.
A violação ocorreu em 18 de abril de 2026, quando os atacantes executaram transações não autorizadas através da infraestrutura da ponte. Tentativas adicionais de extrair fundos foram identificadas, mas não tiveram sucesso, o que limitou as perdas totais.
A DAO de kelp pausou os contratos afetados logo após detectar a atividade, numa tentativa de evitar novas transferências não autorizadas.
As pontes cross-chain são projetadas para facilitar a transferência de ativos entre ecossistemas blockchain separados. Esses sistemas dependem de mecanismos de validação que confirmam transações entre redes. Neste caso, o exploit envolveu manipular esses mecanismos para autorizar saques que não eram legítimos.
Os ativos roubados representam uma parte significativa do fornecimento do protocolo. Estimativas indicam que os fundos drenados representavam cerca de 18% do total de rsETH na época.
O incidente afetou múltiplas plataformas financeiras descentralizadas que dependem da mesma infraestrutura, já que pontes cross-chain frequentemente funcionam como componentes compartilhados entre diferentes serviços.
Nenhuma atribuição confirmada foi feita quanto à identidade dos atacantes. Investigações continuam em andamento, com analistas de blockchain rastreando o movimento de fundos roubados em diferentes redes e serviços.
Pontes cross-chain foram repetidamente alvo em incidentes anteriores devido ao grande conjunto de ativos que possuem e à complexidade de seus sistemas de validação. Pesquisas em segurança identificaram esses mecanismos como um ponto comum de falha em arquiteturas financeiras descentralizadas.
Os detalhes técnicos completos do exploit não foram divulgados. A DAO de kelp e provedores de infraestrutura associados afirmaram que a análise do incidente está em andamento.