BroadChain informa que, em 24 de abril às 04:16, a ponte cross-chain rsETH da Kelp DAO, baseada em LayerZero, foi atacada na madrugada de 19 de abril. 116.500 rsETH (aproximadamente US$ 292 milhões) foram drenados da rede principal sem registros de queima correspondentes. O invasor contornou a lógica de verificação lzReceive e forjou mensagens cross-chain para acionar diretamente a liberação de reservas. Em uma hora, a Kelp pausou os contratos, mas se o ataque subsequente tivesse sido bem-sucedido, a perda total teria chegado a US$ 391 milhões.
A raiz do ataque está no uso pela Kelp da configuração de segurança mais fraca do LayerZero — 1/1 DVN, ou seja, apenas uma assinatura de validador é necessária para aprovação. Shalev Keren, cofundador da empresa de segurança criptográfica Sodot, apontou que isso é um "ponto único de falha" que não pode ser corrigido por auditoria. Já em janeiro de 2025, uma equipe havia alertado no fórum de governança da Aave sobre a necessidade de expandir para validação multi-DVN, mas a medida não foi implementada após 15 meses. O LayerZero posteriormente afirmou ter instado repetidamente a atualização e anunciou a interrupção da aprovação de mensagens para aplicações com validador único.
O invasor depositou os rsETH roubados em plataformas de empréstimo como Aave e Compound, sacando mais de US$ 236 milhões em ativos reais. O congelamento do mercado pela Aave desencadeou uma onda de retiradas superior a US$ 10 bilhões, com pelo menos nove protocolos, incluindo Fluid, Upshift e Lido Earn, acionando respostas de emergência. A SparkLend já havia removido o rsETH em janeiro de 2026, destacando a divergência na percepção de risco de ativos do tipo LRT no setor.
O LayerZero atribuiu o ataque ao Grupo Lazarus da Coreia do Norte, mas a Cyvers não seguiu essa conclusão, pois o software malicioso do nó apagou automaticamente os rastros, dificultando a coleta de evidências. Os dois incidentes (o ataque ao Drift Protocol há três semanas, com perda de US$ 285 milhões) mostram que a estrutura de segurança atual do DeFi não consegue mais lidar com as ameaças existentes. O setor precisa de uma atualização sistêmica em design de protocolo, controle de risco de colateral, segurança operacional e compartilhamento de inteligência.