Ferramenta de IA de código aberto alertou sobre vulnerabilidade de US$ 292 milhões do Kelp DAO há 12 dias

博链BroadChain foi informado de que às 12:16 de 20 de abril, de acordo com o TechFlow, em 18 de abril, o Kelp DAO sofreu um roubo de 292 milhões de dólares devido a uma vulnerabilidade na configuração da ponte cross-chain LayerZero, tornando-se o maior incidente de segurança DeFi até agora em 2026. A raiz da vulnerabilidade está na configuração do nó de validação DVN 1-de-1 usada em sua ponte OFT, onde o atacante só precisou comprometer um único nó para falsificar mensagens cross-chain, criando 116.500 rsETH do nada na rede principal do Ethereum. Já em 6 de abril, um relatório de auditoria de IA de código aberto havia claramente sinalizado esse risco, apontando que a configuração do DVN era opaca, apresentava um ponto único de falha e que o padrão de ataque era altamente semelhante aos ataques históricos em pontes como Ronin e Harmony. O relatório atribuiu uma pontuação geral de 72/100 (risco médio), mas reconheceu que a avaliação foi muito branda, não elevando o risco da ponte cross-chain para o nível "alto". Após o ataque, os rsETH roubados foram usados como garantia em protocolos como Aave e Compound para tomar empréstimos de aproximadamente 236 milhões de dólares em WETH, resultando em cerca de 177 milhões de dólares em dívidas incobráveis no Aave V3, afetando detentores de rsETH em várias blockchains e usuários de depósito não relacionados. Este incidente expôs as deficiências sistêmicas dos protocolos DeFi em configurações de arquitetura cross-chain, pontos cegos de governança e precificação de riscos.