BroadChain informa que, em 24 de abril às 15:06 (horário de Pequim), em 18 de abril de 2026, um invasor roubou 116.500 rsETH da ponte cross-chain KelpDAO em 46 minutos, no valor de aproximadamente US$ 292 milhões, tornando-se o maior evento de segurança DeFi do ano. Os tokens roubados foram depositados como garantia em protocolos como Aave V3, permitindo o empréstimo de cerca de US$ 236 milhões em ETH, resultando em uma dívida incobrável de US$ 177 a 200 milhões para Aave e uma evaporação de aproximadamente US$ 6 bilhões em TVL. Este artigo analisa a responsabilidade sob a perspectiva do direito civil, concluindo que KelpDAO e LayerZero Labs devem arcar com responsabilidade conjunta por culpa, em uma proporção de aproximadamente 60% e 40%.
KelpDAO escolheu a configuração DVN mais baixa recomendada pela LayerZero, 1-de-1, ou seja, dependendo de apenas um validador, enquanto a LayerZero recomenda explicitamente pelo menos 2-de-3. Esse ponto único de falha protegeu cerca de US$ 1,6 bilhão em ativos, equivalente a proteger um cofre com um cadeado. De acordo com a lei de responsabilidade civil, o custo de prevenção (B) é muito menor do que a probabilidade de dano (P) multiplicada pela magnitude do dano (L), constituindo negligência. Pares do setor, como SparkLend e Fluid, definiram o LTV para rsETH em 72% e 75%, respectivamente, muito abaixo dos 93% da Aave, demonstrando cautela em relação aos riscos de ponte.
A infraestrutura DVN operada pela LayerZero foi alvo de um ataque de envenenamento RPC, onde o invasor falsificou a validação substituindo arquivos binários, enganando seletivamente e realizando failover DDoS. O envenenamento RPC é um vetor de ataque conhecido, e a LayerZero, como operadora de infraestrutura, deveria implementar contramedidas como validação cruzada e detecção de anomalias. O princípio de deveres não delegáveis exige que ela não possa se isentar de responsabilidade por depender de provedores RPC. O ataque ao Drift Protocol (US$ 285 milhões, em 1º de abril) forneceu notificação construtiva, apoiando ainda mais a determinação de negligência.
Sob causalidade conjunta, a configuração da KelpDAO e a falha da LayerZero são ambas condições necessárias. A atribuição de culpa baseia-se em três pontos: a KelpDAO escolheu ativamente a configuração mais baixa, a LayerZero não defendeu contra ameaças conhecidas, e o comportamento do invasor não interrompe a cadeia causal. As cláusulas de limitação de responsabilidade nos termos de serviço do protocolo podem ser inexequíveis por violarem a política pública.