A LayerZero concluiu sua investigação forense sobre o exploit sofrido pela Kelp DAO em 18 de abril de 2026 e atribuiu formalmente o ataque ao Grupo Lazarus – a unidade de hackers patrocinada pelo Estado norte-coreano – revelando que a extração de 116.500 rsETH, avaliados em aproximadamente US$ 292 milhões (cerca de R$ 1,7 bilhão na cotação atual), foi viabilizada por uma vulnerabilidade de ponto único de falha na configuração de verificadores do protocolo, combinada a um ataque DDoS de precisão cirúrgica entre 10h20 e 11h40 do horário do Pacífico que forçou o failover para nós comprometidos – levando o valor total bloqueado em toda a indústria DeFi a recuar 7% em 24 horas, de US$ 92 bilhões para US$ 86 bilhões (de aproximadamente R$ 534 bilhões para R$ 499 bilhões), segundo dados da DefiLlama.
A pergunta que domina as mesas de operação é clara: este ataque representa um incidente isolado de má configuração ou a prova definitiva de que a infraestrutura de verificação cross-chain é o elo mais fraco do ecossistema DeFi – e o Lazarus já sabe disso melhor do que qualquer auditor?
Contexto do mercado
O Grupo Lazarus não é um ator novo no cenário de exploits cripto – é o principal vetor de financiamento estatal da Coreia do Norte, responsável pelo roubo do Ronin Bridge em março de 2022 (US$ 625 milhões, ou aproximadamente R$ 3,6 bilhões), pelo exploit da Wormhole (US$ 320 milhões, cerca de R$ 1,8 bilhão) e por dezenas de operações menores que, somadas, ultrapassam US$ 3 bilhões em criptoativos subtraídos nos últimos quatro anos. A novidade do ataque à Kelp DAO não está no valor absoluto – está no vetor técnico: pela primeira vez em escala bilionária, o Lazarus abandonou a exploração de contratos inteligentes e atacou diretamente a camada de infraestrutura de verificação.
Este mesmo grupo foi identificado pela LayerZero como responsável pelo exploit do Drift Protocol em 1º de abril de 2026 – apenas 18 dias antes do ataque à Kelp DAO. Os dois ataques, juntos, drenaram mais de US$ 575 milhões (aproximadamente R$ 3,3 bilhões) em menos de três semanas, utilizando vetores estruturalmente distintos, o que indica uma campanha sistemática e coordenada contra a infraestrutura de interoperabilidade DeFi, não um oportunismo pontual. Como analisamos anteriormente no CriptoFácil ao cobrir o exploit que abalou a ponte Polkadot-Ethereum e resultou na cunhagem de 1 bilhão de tokens cross-chain, as vulnerabilidades arquiteturais de bridges e protocolos de interoperabilidade não são bugs individuais – são características estruturais de sistemas que privilegiaram velocidade de lançamento sobre redundância de verificação.
O que eleva o caso Kelp DAO além de um exploit rotineiro é a natureza da falha identificada: um single point setup, configuração em que um único verificador descentralizado (DVN) controlava a validação das mensagens cross-chain do protocolo. A LayerZero havia publicado, antes do ataque, recomendações explícitas para que os protocolos construídos sobre sua infraestrutura adotassem múltiplos verificadores independentes como camada de segurança. A Kelp DAO não seguiu essa recomendação – e a consequência foi que comprometer um único nó RPC foi suficiente para iniciar a cadeia de falhas que culminou na extração de US$ 292 milhões (R$ 1,7 bilhão). Como analisamos anteriormente no CriptoFácil ao cobrir a revisão de perdas do exploit do Hyperbridge, a mesma lógica de infraestrutura vulnerável já havia se manifestado em escala menor naquele protocolo de interoperabilidade – o alerta estava dado, mas não foi suficientemente incorporado pelos gestores de risco do setor.
Confira nossas sugestões de Pre-Sales para investir agora
Em termos simples, imagine
Imagine um condomínio de alto padrão na Faria Lima com 200 apartamentos. Para simplificar a gestão, os moradores decidiram que existe apenas uma cópia mestra da chave do portão principal – e ela fica guardada com um único zelador. Se esse zelador adoecer, for subornado ou tiver a chave roubada, absolutamente todo o condomínio fica vulnerável. Não importa quantas fechaduras individuais cada apartamento tenha por dentro: o ponto de entrada foi comprometido.
O exploit da Kelp DAO funcionou exatamente assim. O protocolo operava com um único verificador – equivalente ao zelador com a chave mestra – para validar todas as transações cross-chain de rsETH. O Lazarus não precisou quebrar nenhum “apartamento” individualmente: bastou identificar e comprometer esse ponto único de controle. Pior ainda: os atacantes simularam uma emergência falsa (o DDoS equivale a incendiar o hall de entrada) para forçar o zelador a chamar um substituto que, sem que ninguém percebesse, já estava sob controle dos invasores.
O que o investidor brasileiro precisa entender com essa analogia é direto: qualquer protocolo DeFi que opere com um único ponto de validação – seja um único oráculo, um único relayer, um único DVN – carrega um risco arquitetural que nenhuma auditoria de contrato inteligente consegue mitigar. Antes de alocar capital em protocolos de restaking ou bridges cross-chain, verifique publicamente quantos verificadores independentes o protocolo utiliza. Essa informação, quando não está na documentação técnica, deve ser tratada como sinal de alerta.
O que os dados revelam?
- ‘O Valor Subtraído’ – 116.500 rsETH foram transferidos para carteiras dos atacantes, avaliados em aproximadamente US$ 292 milhões (cerca de R$ 1,7 bilhão na cotação atual); o montante representa a maior perda individual de um protocolo de liquid restaking registrada até abril de 2026, superando em valor absoluto o exploit do Euler Finance em 2023.
- ‘A Janela de Ataque’ – O componente DDoS do exploit operou entre 10h20 e 11h40 do horário do Pacífico (14h20 às 15h40 de Brasília) no sábado, 18 de abril de 2026; a escolha de um fim de semana não foi acidental – equipes de resposta reduzidas e menor liquidez nos mercados amplificaram o tempo de reação do protocolo.
- ‘O Mecanismo de Failover’ – Os atacantes comprometeram dois nós RPC da Kelp DAO e então direcionaram tráfego DDoS contra os nós externos não comprometidos, forçando o sistema a fazer failover automaticamente para os nós já sob controle do Lazarus; esse redirecionamento permitiu que mensagens falsas de validação fossem aceitas como legítimas pelo protocolo.
- ‘A Autodestruição Forense’ – Após a extração dos fundos, o software malicioso instalado nos nós comprometidos executou uma rotina de autodestruição, apagando binários e logs locais para eliminar evidências forenses; essa prática de limpeza operacional é característica de operações patrocinadas por Estados, e foi um dos elementos que levou a LayerZero a atribuir o ataque ao Lazarus com alta confiança.
- ‘As Carteiras Identificadas’ – A análise forense identificou 9 endereços EOA (externally owned accounts) utilizados na operação; US$ 266 milhões (aproximadamente R$ 1,54 bilhão) em ETH permanecem estacionários em um endereço hub central, sugerindo que os atacantes ainda não iniciaram o processo de lavagem – possivelmente aguardando janelas de menor monitoramento regulatório ou mixers operacionais.
- ‘O Impacto Sistêmico no DeFi’ – O total value locked (TVL) de toda a indústria DeFi recuou 7% em 24 horas, de aproximadamente US$ 92 bilhões (R$ 534 bilhões) para US$ 86 bilhões (R$ 499 bilhões), segundo dados da DefiLlama; o contágio foi narrativo, não técnico – nenhum outro protocolo conectado à LayerZero foi diretamente comprometido.
- ‘A Contenção Bem-Sucedida’ – Apesar da escala do ataque, o dano ficou isolado ao ativo rsETH da Kelp DAO, sem propagação para outros protocolos conectados à LayerZero; a ausência de contágio técnico evitou um cenário sistêmico que poderia ter comprometido centenas de protocolos interdependentes – um resultado que a LayerZero atribuiu à arquitetura de isolamento de mensagens do seu protocolo base.
- ‘O Padrão de Campanha’ – O exploit da Kelp DAO ocorreu 18 dias após o ataque ao Drift Protocol, também atribuído ao Lazarus pela LayerZero; os dois ataques combinados drenaram US$ 575 milhões (R$ 3,3 bilhões) e utilizaram vetores técnicos distintos, confirmando uma campanha coordenada contra infraestrutura de interoperabilidade DeFi em vez de oportunismo reativo.
Em conjunto, esses dados revelam um upgrade técnico significativo nas capacidades operacionais do Lazarus: o grupo migrou de exploits de contratos inteligentes – que dependem de falhas de código auditável – para ataques de infraestrutura que exploram decisões de governança e configuração que raramente aparecem em auditorias de segurança convencionais. A combinação de RPC poisoning, DDoS coordenado e autodestruição forense indica não apenas sofisticação técnica, mas planejamento operacional de longo prazo com inteligência prévia sobre a arquitetura interna dos protocolos alvos.
O que muda na estrutura do mercado?
Efeito de primeira ordem: Detentores de rsETH – o token de liquid restaking da Kelp DAO – enfrentam incerteza direta sobre a recuperação do colateral e a viabilidade do protocolo no curto prazo. A confiança na LayerZero como infraestrutura de mensageria cross-chain foi testada, embora o protocolo tenha saído da crise com a narrativa de que sua camada base funcionou corretamente – o problema foi a configuração do protocolo cliente, não a LayerZero em si. Ainda assim, o simples fato de que um protocolo construído sobre a LayerZero foi hackeado por US$ 292 milhões (R$ 1,7 bilhão) inevitavelmente gera ceticismo de curto prazo sobre toda a categoria.
Efeito de segunda ordem: O contágio narrativo já se manifesta nos protocolos concorrentes de liquid restaking. EigenLayer, Symbiotic e outros projetos do ecossistema de restaking enfrentarão pressão de usuários e investidores para publicar auditorias específicas de sua configuração de DVNs e verificadores cross-chain – não de contratos inteligentes, mas de infraestrutura operacional. Protocolos que operam com múltiplos verificadores independentes ganharão diferencial competitivo imediato. Como analisamos anteriormente no CriptoFácil ao cobrir o lançamento do sPOL, produto de liquid staking da Polygon, a categoria de restaking e staking líquido se consolidou como um dos pilares do DeFi moderno – e ataques desta magnitude redefinem os critérios de avaliação de risco dos participantes institucionais que estavam considerando entrar neste mercado.
Efeito de terceira ordem: A atribuição formal ao Lazarus transforma este exploit de um incidente de segurança DeFi em um evento geopolítico com ramificações regulatórias concretas. O OFAC (Office of Foreign Assets Control) dos Estados Unidos já havia sancionado endereços vinculados ao Lazarus em operações anteriores; os 9 endereços EOA identificados neste ataque devem passar por processo de sancionamento nas próximas semanas, o que criará obrigações de compliance para qualquer exchange centralizada ou protocolo DeFi que interagir com esses endereços. Para o Brasil, isso significa que exchanges como Mercado Bitcoin e Binance Brasil deverão bloquear qualquer tentativa de conversão de fundos rastreados a esses endereços, conforme obrigações internacionais de AML. A opinião editorial do CriptoFácil sobre este movimento é direta: a era em que ataques DeFi podiam ser tratados como problemas técnicos isolados terminou – quando o atacante é um Estado soberano com programa nuclear ativo, a resposta precisa ser também de nível estatal.
Quais os sinais de mercado que importam agora?
- Movimentação dos Endereços Hub – US$ 266 milhões (R$ 1,54 bilhão) em ETH permanecem estacionários no endereço hub identificado pelos investigadores; qualquer movimentação nesse endereço sinaliza o início da fase de lavagem e pode desencadear sanções OFAC imediatas. Monitorar: Arkham Intelligence e Etherscan nos 9 endereços EOA publicados pela LayerZero.
- TVL da Kelp DAO e rsETH – Acompanhar a velocidade de saída de capital da Kelp DAO nas próximas 72 horas é o indicador mais direto de se o protocolo sobreviverá como entidade operacional; uma queda acima de 50% do TVL residual indica risco de death spiral. Monitorar: DefiLlama, página específica da Kelp DAO, atualizada em tempo real.
- Configuração de DVNs nos Protocolos Concorrentes – Verificar se EigenLayer, Symbiotic e outros protocolos de restaking publicarão auditorias de configuração de verificadores nas próximas duas semanas; ausência de comunicação proativa deve ser tratada como sinal negativo de governança. Monitorar: repositórios GitHub oficiais e canais de governança no Discord de cada protocolo.
- TVL Agregado do DeFi – O recuo de 7% em 24 horas precisa ser avaliado em contexto de tendência; se o TVL total não recuperar o patamar de US$ 90 bilhões (R$ 522 bilhões) em 5 dias úteis, o ataque terá deixado cicatriz estrutural de confiança além do impacto imediato. Monitorar: DefiLlama, dashboard agregado, comparativo 7 dias.
- Anúncios Regulatórios OFAC e Internacionais – A janela típica entre atribuição pública e sancionamento OFAC de endereços Lazarus tem sido de 2 a 6 semanas; qualquer antecipação desse prazo indicaria cooperação internacional mais intensa e elevaria o risco de compliance para protocolos DeFi que não implementarem filtros de endereços sancionados. Monitorar: site oficial do OFAC e feeds do Chainalysis Sanctions Screening.
Como sempre, o volume será o árbitro final – e neste caso, o volume que mais importa não é o de negociações de rsETH, mas o de ETH que eventualmente sair do endereço hub do Lazarus.
Como isso afeta o investidor brasileiro?
Efeito BRL: O investidor brasileiro com exposição a protocolos de liquid restaking ou a ativos correlacionados carrega dupla camada de risco: a desvalorização do ativo cripto em si e a variação do câmbio USD/BRL. Um exemplo concreto: se você tinha R$ 50.000 investidos em rsETH quando o exploit foi divulgado, e o ativo caiu 40% em dólar enquanto o real desvalorizou 2% simultaneamente no mesmo período de instabilidade, sua posição em reais poderia ter se contraído para aproximadamente R$ 29.400 – uma perda de mais de R$ 20.000 sem qualquer ação sua. O câmbio amplifica perdas em cripto quando os dois movimentos se combinam negativamente, o que é comum em eventos de risco-off global provocados por manchetes de segurança de alta visibilidade.
Acesso prático: rsETH e tokens de liquid restaking como os envolvidos neste exploit não estão listados nas principais exchanges reguladas brasileiras – Mercado Bitcoin, Foxbit e Binance Brasil não oferecem exposição direta a esses ativos. Quem tem posição nesses protocolos necessariamente opera via carteiras de autocustódia conectadas diretamente às redes Ethereum e seus layers, usando interfaces como MetaMask ou Ledger Live. Isso significa que o suporte de uma exchange brasileira não existe para resolução de problemas – e que a responsabilidade de monitoramento, segurança e decisão de saída é integralmente do investidor. Para quem avalia entrar no espaço de liquid restaking, o caminho seguro começa por protocolos com múltiplos verificadores auditados publicamente e track record de resposta a incidentes transparente.
Obrigações fiscais: Para investidores brasileiros com posições em protocolos DeFi afetados por exploits, a Lei 14.754/2023 e a Instrução Normativa 1.888 da Receita Federal impõem obrigações específicas. Perdas decorrentes de exploits podem ser tratadas como perdas de capital, mas a documentação precisa ser robusta – capturas de tela de transações, endereços de carteira, registros de movimentação. A isenção de IR para ganhos abaixo de R$ 35.000 mensais não se aplica automaticamente a perdas em DeFi; cada caso deve ser analisado individualmente. Eventuais compensações recebidas de protocolos hackeados (como insurance funds ou pagamentos de DAO treasury) podem configurar evento tributável. Recomenda-se fortemente consultar um contador especializado em ativos digitais antes de realizar operações de volume relevante.
Riscos e o que observar
- «Risco de Replicação em Outros Protocolos» – A vulnerabilidade de single point setup não é exclusiva da Kelp DAO; qualquer protocolo construído sobre LayerZero, Wormhole, Axelar ou infraestruturas similares que opere com um único DVN configurado está tecnicamente exposto ao mesmo vetor de ataque. O Lazarus demonstrou que esse vetor é operacionalmente viável e altamente lucrativo. Gatilho a monitorar: publicação de auditorias de configuração de DVN por protocolos de grande TVL nas próximas duas semanas – ausência de comunicação deve ser tratada como risco elevado.
- «Risco de Escalonamento Regulatório OFAC» – Com a atribuição formal ao Lazarus, qualquer exchange, protocolo ou wallet provider que interagir com os endereços identificados – mesmo inadvertidamente – poderá enfrentar exposição a sanções secundárias do OFAC. Para exchanges brasileiras que operam internacionalmente ou processam saques em USD, o risco de compliance é real. O que observar: comunicados de compliance do Mercado Bitcoin, Binance Brasil e Foxbit sobre bloqueio preventivo de endereços vinculados ao exploit.
- «Risco de Liquidez em rsETH» – Com o protocolo comprometido e o mecanismo de resgate potencialmente paralisado durante investigações, detentores de rsETH podem enfrentar illiquidez prolongada. A situação pode se agravar se o protocolo for incapaz de compensar usuários afetados com seu treasury – o que forçaria liquidações de emergência em ativos secundários. Gatilho a monitorar: anúncio formal da Kelp DAO sobre plano de compensação e timeline de restauração de operações – silêncio além de 72 horas é sinal negativo.
- «Risco de Nova Campanha do Lazarus» – O padrão de dois ataques em 18 dias (Drift Protocol em 1º de abril, Kelp DAO em 18 de abril) e a permanência dos fundos estacionados no endereço hub sugerem que o grupo pode estar em fase ativa de campanha, não de retirada. Protocolos cross-chain de médio porte – com TVL entre US$ 50 milhões e US$ 500 milhões (R$ 290 milhões a R$ 2,9 bilhões) – que ainda não auditaram sua configuração de infraestrutura são alvos potenciais. Gatilho a monitorar: qualquer exploit acima de US$ 10 milhões (R$ 58 milhões) em protocolo cross-chain nos próximos 30 dias deve ser avaliado imediatamente para padrões de ataque compatíveis com o modus operandi do Lazarus identificado neste caso.
- «Risco de Erosão Estrutural de Confiança no Restaking» – O liquid restaking é uma categoria relativamente jovem que ainda não passou por um ciclo completo de stress test institucional. Um ataque desta magnitude, amplamente coberto pela mídia especializada global, pode comprimir permanentemente o apetite de capital institucional para esta categoria – o que afetaria não apenas a Kelp DAO mas todos os protocolos de restaking, inclusive os tecnicamente seguros. O que observar: fluxos de TVL para EigenLayer e Symbiotic nos próximos 30 dias como termômetro da confiança residual na categoria.
O cenário é binário
O cenário é binário: se a Kelp DAO apresentar um plano de compensação crível e financiado nas próximas 72 horas, a LayerZero publicar um framework técnico mandatório de configuração multi-DVN para todos os protocolos clientes, os 9 endereços EOA identificados forem sancionados pelo OFAC dentro de quatro semanas e nenhum novo exploit atribuível ao Lazarus atingir infraestrutura cross-chain nos próximos 60 dias, então este incidente – apesar de seus US$ 292 milhões (R$ 1,7 bilhão) em perdas e da sofisticação inédita do vetor técnico – será incorporado ao histórico da indústria como o momento em que o DeFi amadureceu sua compreensão de riscos de infraestrutura e forçou uma atualização sistêmica dos padrões de configuração de verificadores, resultando em um ecossistema cross-chain estruturalmente mais resiliente; caso contrário, se a Kelp DAO não conseguir compensar usuários, novos exploits com assinatura técnica similar surgirem nas próximas semanas, ou reguladores americanos e europeus reagirem com restrições amplas a protocolos de bridge e restaking em resposta à escalada de ataques norte-coreanos, o mercado passará a aplicar um desconto estrutural permanente a toda a categoria de ativos de liquid restaking e infraestrutura cross-chain – com consequências que vão muito além das carteiras dos atuais detentores de rsETH.