Hackers da RPDC drenam $292 milhões da ponte KelpDAO em ataque LayerZero

Atacantes norte-coreanos passaram seis semanas dentro da infraestrutura da LayerZero antes de drenar $292 milhões

A violação que esvaziou a ponte intercadeia KelpDAO em 18 de abril de 2026 começou seis semanas antes. Em 6 de março, um desenvolvedor da LayerZero Labs clonou um repositório malicioso do GitHub, instalando malwares FLATROOF e ROOFDECK em um dispositivo da empresa. O malware deu acesso remoto aos atacantes e permitiu que eles coletassem chaves de sessão para a infraestrutura de chamada de procedimento remoto (RPC) da LayerZero.

As empresas de cibersegurança Mandiant e CrowdStrike atribuíram o ataque com alta confiança ao UNC4899, também conhecido como TraderTraitor — um grupo de ameaças vinculado ao estado norte-coreano. O total roubado foi $292 milhões a preços de mercado no dia da violação, de acordo com o relatório final de incidentes da LayerZero publicado em 18 de maio de 2026.

Uma mensagem intercadeia forjada liberou 116.500 rsETH após um único nó verificador ser comprometido

A arquitetura da LayerZero depende de redes de verificadores descentralizados (DVNs) para confirmar que mensagens intercadeias são legítimas antes que os contratos da ponte liberem fundos. Em 18 de abril, os atacantes injetaram código malicioso em dois dos clusters internos de servidores RPC da LayerZero. O código injetado fez com que esses servidores retornassem um estado de blockchain forjado ao serviço de assinatura DVN, enquanto pareciam normais para as ferramentas de monitoramento.

Simultaneamente, os atacantes lançaram um ataque distribuído de negação de serviço contra o provedor RPC externo da LayerZero. Isso forçou o DVN a voltar-se exclusivamente para os dois nós internos comprometidos. O DVN produziu uma atestação válida para uma mensagem intercadeia forjada, e o contrato da ponte Ethereum liberou 116.500 rsETH — o token de restaking líquido da KelpDAO — para o endereço do atacante. Nenhuma outra aplicação na rede LayerZero foi afetada.

LayerZero admite que falhou em monitorar como seu próprio verificador garantiu transferências de alto valor

A ponte KelpDAO havia operado anteriormente com dois DVNs necessários para atestar cada mensagem — uma configuração 2-de-2. Ela foi alterada para exigir apenas um verificador, o próprio DVN da LayerZero Labs, criando um único ponto de falha. A LayerZero inicialmente atribuiu a responsabilidade à escolha de configuração da KelpDAO. Ela reverteu essa posição em 8 de maio de 2026.

"Cometemos um erro ao permitir que nosso DVN atuasse como um DVN 1/1 para transações de alto valor. Não monitoramos o que nosso DVN estava garantindo, o que criou um risco que simplesmente não percebemos. Nós assumimos essa responsabilidade.", 8 de maio de 2026. — LayerZero Labs

Após a admissão, a LayerZero declarou que seu DVN não assinaria mais atestações para qualquer aplicação usando uma configuração 1-de-1. Os padrões de protocolo em todos os caminhos foram elevados para um mínimo de 3-de-3 verificadores.

Solv Protocol move $700 milhões em infraestrutura de ponte de Bitcoin tokenizado para fora da LayerZero

O Solv Protocol, que gerencia produtos de Bitcoin tokenizados, anunciou que migraria mais de $700 milhões em infraestrutura de ponte para fora da LayerZero após realizar uma revisão de segurança. A Kelp também migrou sua ponte rsETH para fora do padrão de Token Fungível Omnichain da LayerZero para um protocolo intercadeia alternativo. Ambos os anúncios seguiram a divulgação pública da exploração e a admissão de culpa da LayerZero.

Padrões de segurança de ponte DeFi enfrentam escrutínio enquanto Ethereum absorve as consequências

O Ethereum estava sendo negociado a $1.980 no momento da publicação, uma queda de 5,5% nos últimos sete dias (CoinPaprika, 2 de junho de 2026). O ecossistema DeFi mais amplo do Ethereum abriga a maior parte da infraestrutura de ponte intercadeia pelo valor total bloqueado e está reavaliando as suposições de segurança após o incidente.

A violação da KelpDAO expôs um risco que se estende além da LayerZero. Qualquer ponte que dependa de um único verificador para atestar mensagens intercadeias de alto valor carrega uma exposição estrutural equivalente. O Conselho de Segurança do Arbitrum congelou 30.766 ETH em fundos subsequentes vinculados ao atacante em 20 de abril de 2026, limitando parcialmente o impacto mais amplo da violação no mercado.

Fonte primária: LayerZero Labs — Um Pedido de Desculpas Atrasado, 8 de maio de 2026