A Kelp DAO contestou publicamente um relatório que caracteriza o incidente da bridge rsETH como uma exploração, argumentando que as configurações padrão do LayerZero, e não um ataque deliberado, foram responsáveis por uma perda reportada de 290 milhões de dólares. A disputa reenquadra o incidente de 18 de abril de exploração externa para falha de configuração de infraestrutura.
O que o relatório de ataque à bridge rsETH alegou
O que foi supostamente perdido
Uma avaliação de segurança publicada pela CredShields descreveu o incidente da bridge rsETH como uma exploração envolvendo a infraestrutura de cadeia cross-chain da Kelp DAO, citando aproximadamente 290 milhões de dólares em perdas. O relatório utilizou linguagem consistente com um ataque externo deliberado.
Por que o incidente foi descrito como um ataque à bridge
O relatório da CredShields enquadrou o evento usando terminologia de exploração, implicando que um agente de ameaça identificou e aproveitou uma vulnerabilidade no mecanismo da bridge. Esta caracterização posicionou o incidente ao lado de outros hacks de bridge DeFi de alto perfil, em vez de tratá-lo como uma falha operacional.
No entanto, a redação no próprio título sinaliza uma caracterização contestada. A resposta da Kelp DAO, documentada num tópico de governança da Aave, desafia diretamente a interpretação de exploração em primeiro lugar.
Por que a Kelp DAO contesta a narrativa de ataque
A refutação central da Kelp DAO
A contra-posição da Kelp DAO, apresentada na discussão de governança da Aave, rejeita completamente o rótulo de ataque. O protocolo mantém que a perda resultou de como as configurações padrão de mensagens cross-chain do LayerZero foram configuradas, e não de um adversário descobrindo um novo caminho de exploração.
Esta não é uma distinção semântica menor. Classificar um incidente como um ataque implica negligência de segurança na defesa contra ameaças externas. Classificá-lo como uma falha de configuração transfere a responsabilidade para as configurações padrão de infraestrutura e escolhas de integração.
Que partes do relatório estão a ser contestadas
A Kelp DAO contesta tanto o mecanismo de causalidade quanto a narrativa implícita. O protocolo não contesta que ocorreram perdas, mas contesta a caracterização da CredShields de como e por que essas perdas aconteceram.
O conflito é específico: o relatório da CredShields atribui a causalidade a um vetor de exploração, enquanto a refutação de governança da Kelp DAO atribui a causalidade aos parâmetros padrão do LayerZero que eram insuficientes para o valor a ser protegido.
Como as configurações padrão do LayerZero se tornaram o ponto focal
O papel das configurações padrão na versão dos eventos da Kelp DAO
De acordo com o relato da Kelp DAO no tópico de governança, as configurações padrão do LayerZero para verificação de mensagens cross-chain careciam das garantias de segurança necessárias para ativos de alto valor em bridge. O protocolo argumenta que estas configurações de fábrica criaram as condições para a perda sem exigir uma exploração sofisticada.
As configurações padrão em mensagens cross-chain determinam como as transações são validadas através de redes. Se deixadas inalteradas, podem aplicar o mesmo limiar de verificação a uma transferência de 100 dólares e a uma transferência de 100 milhões de dólares, criando risco proporcional ao valor sem segurança proporcional.
Por que um problema de configuração difere de uma alegação de ataque
Se o enquadramento da Kelp DAO se mantiver, o incidente torna-se uma questão de responsabilidade partilhada entre protocolos que constroem sobre infraestrutura cross-chain e as camadas de mensagens de que dependem. Isto é fundamentalmente diferente de um cenário onde um atacante externo encontrou uma vulnerabilidade de dia zero.
Um relatório separado que nota o reconhecimento do LayerZero do Lazarus Group como um provável agente em incidentes cross-chain relacionados adiciona complexidade. A existência de agentes de ameaça ao nível estatal visando a infraestrutura de bridge não valida automaticamente nem a exploração nem o enquadramento de configuração para este incidente específico.
O que a perda de 290 milhões de dólares significa para o rsETH e o risco DeFi
Por que o valor de 290 milhões de dólares importa
A perda reportada coloca isto entre os maiores incidentes DeFi em 2026. Para detentores de rsETH e protocolos com exposição ao rsETH, a determinação da causa raiz afeta diretamente as expetativas de recuperação, reclamações de seguro e confiança no ativo no futuro.
A discussão de governança da Aave reflete como os protocolos a jusante estão a reavaliar a exposição a tokens de restaking líquidos. Quando um incidente de bridge desta escala ocorre, as contrapartes devem avaliar se a infraestrutura do ativo subjacente atende aos seus padrões de risco, uma preocupação semelhante às levantadas quando instituições detêm posições significativas de ETH através de arranjos de custódia complexos.
Questões que os detentores de rsETH e contrapartes irão colocar a seguir
A disputa de classificação tem consequências práticas. Se o incidente for considerado uma falha de configuração, a responsabilidade pode recair parcialmente sobre o LayerZero por configurações padrão inadequadas e parcialmente sobre a Kelp DAO por não as substituir. Se for considerado uma exploração, a Kelp DAO enfrenta um escrutínio mais apertado sobre o design de segurança da bridge.
Projetos que constroem funcionalidade cross-chain, incluindo aqueles que procuram novo financiamento para desenvolvimento de infraestrutura, enfrentarão questões mais difíceis sobre as suas configurações de camada de mensagens. O incidente destaca uma lacuna nos padrões de segurança DeFi: nenhum requisito ao nível da indústria atualmente exige que os protocolos substituam as configurações padrão da bridge antes de entrarem em funcionamento com fundos de utilizadores.
Para protocolos preocupados com governança responsável e transparência, a disputa sublinha que a classificação de incidentes não é meramente académica. Determina quem paga, quem reconstrói a confiança e o que muda na forma como a infraestrutura cross-chain é implementada.
FAQ sobre o incidente Kelp DAO e rsETH
A Kelp DAO confirmou um ataque à bridge rsETH?
Não. A Kelp DAO contesta explicitamente a caracterização de "ataque" no tópico de governança da Aave, argumentando que a perda resultou das configurações padrão do LayerZero e não de uma exploração deliberada por um atacante externo.
Do que a Kelp DAO culpou pela perda de 290 milhões de dólares?
A Kelp DAO apontou para as configurações padrão do LayerZero para verificação de mensagens cross-chain, alegando que estas configurações padrão eram inadequadas para proteger o valor em trânsito na bridge.
Por que as configurações padrão do LayerZero são centrais na disputa?
As configurações padrão determinam como as mensagens cross-chain são validadas. A Kelp DAO argumenta que as configurações padrão inalteradas criaram uma lacuna de segurança que levou à perda, tornando-a uma questão de responsabilidade de configuração e não uma nova exploração.
Isto está a ser enquadrado como um hack ou um problema de configuração?
Ambos os enquadramentos existem no registo público. O relatório da CredShields utiliza linguagem de exploração, enquanto a refutação de governança da Kelp DAO atribui a perda às configurações padrão. A classificação permanece disputada em abril de 2026.
Aviso: Este artigo é apenas para fins informativos e não constitui aconselhamento financeiro ou de investimento. Os mercados de criptomoedas e ativos digitais apresentam riscos significativos. Faça sempre a sua própria pesquisa antes de tomar decisões.
Fonte: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
