Ferramenta de IA de código aberto alertou sobre vulnerabilidade de US$ 292 milhões no Kelp DAO 12 dias antes

博链BroadChain soube que, às 18:46 de 20 de abril, de acordo com o PANews, em 18 de abril, o Kelp DAO sofreu um roubo de 292 milhões de dólares devido a uma vulnerabilidade de configuração na ponte cross-chain LayerZero, tornando-se o maior incidente de segurança DeFi até agora em 2026. A raiz da vulnerabilidade está na configuração do nó de validação DVN 1-de-1 usada em sua ponte OFT, permitindo que o atacante falsificasse mensagens cross-chain ao comprometer um único nó, cunhando 116.500 rsETH sem garantia na mainnet. Ao usar sua ferramenta de auditoria de IA de código aberto para avaliar os riscos do Kelp em 6 de abril, o autor já havia identificado claramente lacunas críticas de informação, como "configuração DVN não transparente" e "risco de ponto único de falha em 16 cadeias", e apontou que sua arquitetura é altamente semelhante aos padrões de ataque históricos em pontes como Ronin e Harmony. Após o ataque, o invasor depositou os rsETH roubados como garantia em protocolos como Aave V3, tomando empréstimos de aproximadamente 236 milhões de dólares em WETH, resultando em cerca de 177 milhões de dólares em dívidas incobráveis para o Aave e afetando detentores de rsETH em várias cadeias e usuários de protocolos não relacionados. Este incidente destaca os riscos sistêmicos dos protocolos DeFi na configuração de arquitetura cross-chain e no controle de governança, em vez de serem meras vulnerabilidades de contratos inteligentes.