A LayerZero divulgou um relatório técnico detalhando o ataque de US$ 292 milhões contra a bridge da KelpDAO ocorrido em 18 de abril. Segundo a empresa, a configuração de segurança da bridge do token rsETH havia sido reduzida de um modelo “2-of-2” para “1-of-1”, deixando apenas a própria LayerZero como verificadora obrigatória das mensagens entre blockchains.
O ponto é importante porque os chamados DVNs (Decentralized Verifier Networks) funcionam como validadores responsáveis por confirmar se uma transação cross-chain é legítima. No modelo anterior, duas entidades precisavam aprovar as mensagens. Após a mudança, apenas um único verificador passou a ser suficiente.
De acordo com o relatório, a alteração teria sido feita pela própria KelpDAO antes do ataque. A LayerZero afirma que “uma configuração anterior 2-of-2 havia sido modificada pelo proprietário da aplicação para uma configuração 1-of-1 utilizando apenas o DVN da LayerZero Labs”. A empresa, porém, não informou quando a mudança aconteceu nem quem autorizou oficialmente a alteração.
A KelpDAO ainda não respondeu diretamente à acusação. Em comunicados anteriores, o protocolo afirmou que o modelo 1-of-1 era o padrão documentado da LayerZero para novas integrações e que a configuração teria sido aprovada pela equipe da empresa durante a expansão para redes layer-2.
Hack da KelpDAO: O erro de R$ 1 bilhão que expôs a segurança em protocolos DeFi
Como o ataque aconteceu
Segundo a investigação conduzida com apoio das empresas de cibersegurança Mandiant, CrowdStrike e zeroShadow, a invasão começou em 6 de março — cerca de seis semanas antes da drenagem dos fundos.
A LayerZero afirma que um desenvolvedor da empresa foi vítima de engenharia social após clonar um repositório malicioso no GitHub. O malware instalado no computador teria permitido que os invasores roubassem credenciais e acessassem a infraestrutura RPC da companhia usando VPNs comerciais.
No dia do ataque, os hackers teriam inserido código malicioso no software op-geth utilizado pelo DVN da LayerZero para leitura de dados blockchain. Ao mesmo tempo, ataques DDoS forçaram os sistemas a recorrerem aos servidores comprometidos, permitindo a validação fraudulenta de mensagens falsas.
Com isso, a bridge liberou 116.500 rsETH, equivalentes a aproximadamente US$ 292 milhões, para os invasores.
As empresas de segurança atribuíram o ataque ao grupo TraderTraitor, também identificado como UNC4899, ligado à Coreia do Norte. O mesmo grupo já havia sido relacionado ao roubo de US$ 1,5 bilhão da Bybit em fevereiro de 2025.
A empresa de análise blockchain Chainalysis classificou o incidente como uma “falha estrutural de confiança” impossível de ser detectada apenas por auditorias de contratos inteligentes. Segundo a análise, o problema central ocorreu porque os rsETH liberados na rede Ethereum não possuíam uma queima correspondente na blockchain de origem, criando tokens sem lastro real.
A Chainalysis também destacou que a pausa emergencial dos contratos da KelpDAO impediu uma segunda tentativa de ataque que poderia retirar mais US$ 95 milhões do protocolo.
LayerZero muda padrão após crise
Após semanas atribuindo a responsabilidade exclusivamente à KelpDAO, a LayerZero reconheceu em 9 de maio que “cometeu um erro ao permitir que seu DVN atuasse como um verificador único em transações de alto valor”. Agora, a empresa afirma que seu sistema não aceitará mais canais configurados com apenas um verificador. O novo padrão mínimo passará a exigir consenso “3-of-3”.
Além disso, a LayerZero informou que reconstruiu completamente o ambiente comprometido e trabalha em um novo cliente para ampliar a diversidade operacional dos DVNs. Dias após o pedido público de desculpas da LayerZero, a KelpDAO anunciou a migração da infraestrutura de bridge do rsETH para o protocolo CCIP da Chainlink, que utiliza consenso distribuído entre pelo menos 16 operadores independentes.
Outro projeto relevante, o Solv Protocol, também confirmou que pretende mover mais de US$ 700 milhões em infraestrutura tokenizada de Bitcoin para fora da LayerZero.
O relatório divulgado pela LayerZero não mencionou possíveis compensações para usuários afetados. Já um relatório separado da Aave estima que o incidente pode gerar entre US$ 124 milhões e US$ 230 milhões em inadimplência dentro do protocolo.
IA na segurança de criptomoedas: o risco invisível que está mudando o DeFi
