Exploração de Bridge KelpDAO Apagou US$ 13B de DeFi e Expôs um Risco Estrutural de Colateral de Restaking

Em 21 de abril de 2025, o bridge cross-chain de KelpDAO sofreu um exploit que drenou US$ 292 milhões em rsETH (o token de restaking de KelpDAO). O exploit foi rapidamente contido, mas não antes de cascatear por DeFi, gerando US$ 13 bilhões em liquidações de Aave e impactando todo o protocolo de EigenLayer.

Este é um caso de estudo crítico em risco de colateral de restaking.

O que Aconteceu

KelpDAO é um protocolo de restaking que aceita ETH e stETH, combina-os em um único token (rsETH), e coloca aquele token em EigenLayer para ganhar rendimento de restaking.

A vulnerabilidade: o bridge de KelpDAO que permite transferência de rsETH entre cadeias tinha uma falha de validação de assinatura. Um atacante pôde contrafazer tokens rsETH, transferir para Ethereum, e depositá-los como colateral em Aave.

Uma vez em Aave, rsETH (agora fraudulento) foi usado como colateral para tomar empréstimos de US$ 13B em USDC, ETH e outros ativos.

Quando o ataque foi detectado, Aave cercou o ativo contrafeit. Mas aqueles US$ 13B em empréstimos já haviam sido tomados e eram obrigações. O protocolo enfrentou bad debt.

O Risco Estrutural: Colateral de Restaking

O exploit expôs um problema mais amplo: ativos de restaking como rsETH, lsETH (Liquid Staking por EigenLayer), e similares são ainda-novos o suficiente que seus mecanismos de validação não foram plenamente estressados.

Quando um ativo é colateral em um protocolo de empréstimo grande (como Aave), uma falha daquele ativo pode cascatear:

1. O ativo é contrafaito/comprometido
2. Empréstimos foram feitos contra ele
3. O protocolo descobre a falha
4. O ativo é cercado como colateral
5. Borrowers enfrentam liquidação massiva

Isto é o que aconteceu com rsETH. Não foi específico para KelpDAO; foi específico para a estrutura de colateral de Aave.

Implicações para EigenLayer

rsETH é colateral em Aave para ganhar rendimento de restaking de EigenLayer. Se rsETH falhar, então EigenLayer (o sistema para o qual rsETH era restaking) sofre reputação dano e risco de liquidação.

Isto significa: o risco de EigenLayer não é apenas risco de AVS (serviços ativamente validados). É também risco da cadeia de custódia de ativos de restaking.

O que Aave Fez

Aave, que é descentralizado mas gerenciado por governance, votou para cercear rsETH como colateral imediatamente. O protocolo então:

1. Pausou novos empréstimos contra rsETH
2. Liquidou gradualmente a posição counterfeit
3. Procurou recuperação do exploit

O processo foi transparente mas custoso.

Lições para RWA

Se RWA e Tesourarias tokenizadas (como USYC, BUIDL) forem usadas como colateral em protocolos de empréstimo, o mesmo risco de cadeia de custódia se aplica.

A diferença: RWA é regulado e auditado. rsETH era um experimento sem-permissão. Isto torna o risco RWA menor, mas não zero.

Para usuários: quando você deposita RWA como colateral, você assume risco de que o RWA seja validado de forma segura. Isto é diferente de risco de preço.

O que Observar

1. Audits de bridge: KelpDAO está auditando seu bridge? Qual é a timeline para relançamento?
2. Risco de Aave: Como Aave vai mitigar risco de colateral de novo ativo?
3. EigenLayer resiliência: Como EigenLayer vai endereçar risco de cadeia de custódia?

Para atualizações de risco em colateral, veja nosso diretório.

Isto não é aconselhamento financeiro.

Assine The Yield Report para inteligência semanal.