ZachXBT aponta exploração do KelpDAO que atinge mercados de empréstimos no DeFi na Ethereum no valor de US$ 280 milhões+

Um atacante teria explorado uma vulnerabilidade no token de liquidez de restaking rsETH da KelpDAO em 18 de abril de 2026, drenando uma estimativa de US$ 280 milhões ou mais em Ethereum e Arbitrum.

Principais destaques:

• ZachXBT apontou um roubo de US$ 280 milhões+ em Ethereum e Arbitrum envolvendo protocolos DeFi em 18 de abril de 2026.
• O exploit da KelpDAO gerou dívidas ruins na Aave V3, com a cotação do token AAVE caindo aproximadamente 10-13%.
• A KelpDAO não confirmou o exploit; analistas estão monitorando seis carteiras identificadas do atacante em busca de pistas de recuperação.

Exploit de DeFi no Ethereum: ataque com rsETH da KelpDAO drena mais de US$ 280 milhões

O investigador onchain ZachXBT publicou o alerta inicial em seu canal público do Telegram pouco antes das 3 p.m. ET, listando seis endereços de carteira ligados ao roubo e observando que as carteiras do atacante foram financiadas via Tornado Cash antes do início da drenagem. Em sua publicação, ele citou perdas acima de US$ 280 milhões em múltiplos protocolos DeFi sem nomear a KelpDAO diretamente, mas analistas onchain ligaram os endereços dentro de horas.

“A KelpDAO parece ter tido US$ 280 milhões+ roubados uma hora atrás no Ethereum e Arbitrum”, escreveu ZachXBT. “Os endereços do ataque foram financiados via Tornado Cash.”

Relatos indicam que os atacantes exploraram uma falha na infraestrutura de rsETH da KelpDAO, acionando a liberação não autorizada de uma grande quantidade do token de restaking de liquidez sem depositar nova garantia. O rsETH adquirido foi então depositado em mercados de empréstimo da Aave V3 tanto no Ethereum quanto no Arbitrum, onde o atacante tomou empréstimos significativos de ETH e outros ativos contra isso.

Quando a validade da garantia passou a ser questionada, essas posições deixaram a Aave com dívidas ruins. Estimativas da comunidade para as perdas totais variaram de US$ 100 milhões a cerca de US$ 293 milhões, o equivalente a aproximadamente 116.500 rsETH aos preços atuais.

O AAVE caiu forte com as notícias. Dados de mercado mostram a queda entre 10% e 13% dentro de horas do alerta inicial, à medida que o mercado avaliava a possível exposição a dívidas ruins nos pools de empréstimo do protocolo. O multisig guardian da Aave congelou rsETH nos mercados de empréstimo, segundo dados onchain.

Tokens de restaking líquido como rsETH ficam profundamente dentro da composabilidade do DeFi. Eles são aceitos como garantia em múltiplos mercados de empréstimo ao mesmo tempo, o que significa que o exploit pode espalhar perdas rapidamente entre plataformas. O incidente da KelpDAO ilustra esse risco de forma direta.

As carteiras do atacante listadas por ZachXBT mostraram grandes posições em ETH mantidas na Aave e na Compound. Um único endereço teria mantido aproximadamente US$ 120 milhões em ETH na Aave no momento da detecção. Os fundos foram movidos rapidamente após a drenagem.

O uso do Tornado Cash para pré-financiar carteiras operacionais antes do ataque é uma tática padrão para atacantes que tentam obscurecer a origem. Isso não indica uma técnica nova, mas confirma que a operação foi deliberada e planejada.

Por volta das 3 p.m. ET em 18 de abril, a KelpDAO não havia publicado uma declaração oficial nem um post-mortem. A comunidade acompanhava a conta do projeto no X e o site em busca de uma resposta, além dos canais de governança da Aave para qualquer ação emergencial.

Empresas de segurança em DeFi, incluindo Peckshield, Slowmist e outras, ainda não haviam publicado detalhamentos em nível de granularidade no momento da redação, refletindo como rapidamente a situação se desenvolveu. ZachXBT não havia publicado um acompanhamento nomeando especificamente a KelpDAO em canais públicos, mas a sobreposição de endereços traçou uma linha clara.

Esse incidente é separado do exploit do Drift Protocol inicialmente reportado pela Bitcoin.com News em 1º de abril de 2026, que envolveu cerca de US$ 280 milhões drenados principalmente na Solana antes do USDC ser encaminhado para o Ethereum via CCTP. A mecânica, as cadeias e os prazos são distintos.

Qualquer pessoa que tivesse rsETH ou posições relacionadas na Aave, Compound ou outros mercados de empréstimo era aconselhada por membros da comunidade a revisar a exposição enquanto a situação permanecia sem resolução.

As seis carteiras do atacante identificadas por ZachXBT continuam sendo alvos ativos para rastreamento onchain enquanto analistas tentam mapear para onde os fundos foram após saírem da Aave.

Nota do editor: Este artigo foi atualizado às 4 p.m. ET para observar que o multisig guardian da Aave congelou rsETH em mercados de empréstimo específicos.