Abril de 2026 entrará para o registro do DeFi não pelo tamanho de um único hack, mas pela cadência com que três protocolos cross-chain caíram em nove dias — cada um por um motivo aparentemente distinto, todos pelo mesmo motivo de fundo. No dia 18, a KelpDAO perdeu US$ 292 milhões em rsETH em um exploit que não tocou uma única linha de smart contract. Três dias depois, a Volo Protocol teve US$ 3,5 milhões drenados sem que nenhuma auditoria pudesse ter pego o problema — porque o problema não estava no código auditado. Em 27 de abril, a ZetaChain pausou todo o tráfego cross-chain do mainnet após uma vulnerabilidade no contrato que controla as entradas e saídas da rede.
Entre os três, US$ 295,8 milhões evaporaram. E essa não é a parte mais incômoda do balanço. Segundo dados consolidados pela CoinGecko, US$ 4,5 bilhões em valor on-chain ainda estão expostos exatamente ao mesmo vetor que derrubou a KelpDAO — porque, conforme levantamento da Dune Analytics, 47% dos aplicativos rodando sobre LayerZero seguem operando com a configuração vulnerável. O recado institucional do mês passou batido fora dos círculos técnicos: cross-chain é o ponto fraco do ciclo 2026, e a indústria gastou cinco anos construindo a infraestrutura assumindo que o ataque viria pelo lugar errado.
Capítulo 1: KelpDAO, US$ 292 Milhões e o RPC que Mentiu Para o Próprio Dono
Como a cobertura ON3X documentou nesta segunda-feira, o caso KelpDAO foi rapidamente engolido pela narrativa do salvamento — a coalizão informal entre Aave, Morpho e Sky para conter o efeito-cascata em empréstimos colateralizados em rsETH. Mas a anatomia do exploit em si merece dissecção própria, porque ela é o gabarito técnico para o que aconteceu nos nove dias seguintes.
O vetor: 1-of-1 DVN e dois RPCs envenenados
O ataque não explorou bug em código Solidity. Ele explorou infraestrutura off-chain. A LayerZero, protocolo de mensageria cross-chain que viabiliza as bridges da KelpDAO, opera com Decentralized Verifier Networks (DVNs) — redes que assinam a equivalência entre o que foi queimado na chain de origem e o que pode ser liberado na chain de destino. A KelpDAO escolheu a configuração mais barata e mais simples disponível: 1-of-1 DVN. Apenas um verificador precisa atestar uma mensagem para que ela seja considerada válida.
O grupo norte-coreano Lazarus — especificamente o subgrupo TraderTraitor, atribuição feita pela própria LayerZero com "preliminary confidence" — montou um ataque cirúrgico contra os RPC nodes que esse único DVN consultava. Em paralelo, lançou DDoS contra os RPCs externos redundantes, forçando o DVN a depender exclusivamente dos nodes internos comprometidos. Nesses nodes, o atacante substituiu o binário do op-geth por uma versão modificada — uma que reportava verdade para todo o resto do mundo, mas mentia seletivamente para o IP do DVN da LayerZero, afirmando que 116.500 rsETH haviam sido queimados em Unichain quando nenhum token sequer havia sido tocado.
O DVN assinou. O contrato OFTAdapter na chain de destino fez exatamente o que foi programado para fazer: liberou os tokens. Em 46 minutos, o multisig da KelpDAO pausou a bridge — bloqueando uma segunda mensagem forjada que tentaria drenar mais 40 mil rsETH. Mas os primeiros US$ 292 milhões já tinham sido convertidos para Aave V3 como colateral, virado WETH emprestado, e despachados via Tornado Cash e bridges secundárias.
A descrição da Chainalysis, parceira editorial da ON3X, destila o problema em uma frase: "Sistemas cross-chain herdam a segurança da sua dependência off-chain mais frágil, e '1-of-1 anything' — validators, DVN, signers, RPC providers — agora deve ser tratado como risco ativo, não teórico".
A briga que ninguém queria ter: LayerZero × KelpDAO
O que veio nas 48 horas seguintes ao exploit foi um blame game público raro entre dois projetos de DeFi de primeira linha. A LayerZero publicou statement oficial atribuindo o ataque ao Lazarus e responsabilizando explicitamente a KelpDAO pela escolha da configuração 1-of-1: "A LayerZero e outras partes externas previamente comunicaram melhores práticas de diversificação de DVN à KelpDAO. Apesar dessas recomendações, a KelpDAO escolheu utilizar uma configuração 1/1 DVN".
A KelpDAO rebateu em horas. Em comunicado retransmitido pela CoinDesk, o time apontou que o quickstart oficial da LayerZero, o repositório padrão no GitHub e a documentação introdutória ainda apresentavam 1-of-1 como a configuração default — exatamente a configuração que a LayerZero agora trata como inaceitável. O dado que sustenta a fala da KelpDAO é constrangedor para o protocolo de mensageria: aproximadamente 40% das aplicações rodando sobre LayerZero utilizam o mesmo modelo. A KelpDAO não foi o outlier — foi a média.
Como medida pós-incidente, a LayerZero anunciou que seu DVN deixará de assinar mensagens originadas de aplicativos com configuração 1-of-1, e iniciou processo de outreach para forçar a migração para multi-DVN. A política é correta, mas chega ao mesmo tempo em que pesquisadores da Dune Analytics revelam que 47% dos OApps continuam vulneráveis — e a CoinGecko traduz isso em US$ 4,5 bilhões em valor on-chain expostos ao mesmo vetor exato. A janela entre "anunciar a política" e "fechar a vulnerabilidade no ecossistema inteiro" é exatamente onde o próximo ataque irá nascer.
Capítulo 2: Volo Protocol, US$ 3,5 Milhões — A Chave Privada Que Auditoria Nenhuma Pega
Três dias depois da KelpDAO, em 21 de abril, a Volo Protocol — plataforma DeFi de cofres de yield rodando sobre Sui — foi drenada em US$ 3,5 milhões. Os ativos saíram de três cofres distintos: aproximadamente US$ 2,1 milhões em WBTC, US$ 900 mil em XAUm e US$ 500 mil em USDC.
O ponto técnico mais importante é negativo: a Volo não foi hackeada por um bug de smart contract. Os auditores GoPlus Security e ExVul confirmaram independentemente que o vetor foi comprometimento de uma chave privada de operador privilegiado — uma conta administrativa interna sem proteções de hardware ou multi-assinatura adequadas. Os contratos auditados continuam funcionando como projetados; o atacante simplesmente assumiu o papel de "admin" que esses contratos legitimamente reconhecem.
O time da Volo agiu rápido. Em 30 minutos congelou aproximadamente US$ 500 mil dos fundos roubados via integração com a Sui Foundation, e bloqueou no dia seguinte a tentativa de o atacante fazer bridge de 19,6 WBTC para fora do ecossistema. Os outros US$ 28 milhões em TVL foram declarados seguros, e o time se comprometeu a absorver integralmente a perda dos usuários — o que é cavalheiresco, mas não muda a leitura técnica.
A leitura crítica é que uma chave privada de admin é um ponto único de confiança fora do código auditado — espelho direto do que fez a KelpDAO sangrar. Os símbolos são diferentes (RPC, DVN, chave privada, contrato gateway), mas a estrutura é idêntica: confia-se em uma única coisa, e essa única coisa pode ser comprometida sem que o smart contract jamais saiba.
Capítulo 3: ZetaChain, US$ 300 Mil — Quando o Próprio Gateway Assina Sozinho
Em 27 de abril, a ZetaChain — protocolo construído nativamente em torno da promessa de universal blockchain e cross-chain por design — confirmou exploit no contrato GatewayEVM, ponto único de entrada e saída para todas as interações cross-chain do mainnet. O time pausou imediatamente todo o tráfego cross-chain.
O valor financeiro foi pequeno em termos absolutos: aproximadamente US$ 300 mil, equivalente a 139 ETH, e apenas em wallets internas do time. Nenhum fundo de usuário foi tocado. Mas a anatomia do bug é o que importa.
De acordo com análise pós-incidente da SlowMist, a função call do GatewayEVM não validava adequadamente acesso nem entrada. Um atacante construiu um contrato customizado de exploit que emitia o evento Called esperado pelo gateway. Esse evento, por design da arquitetura ZetaChain, ativa o threshold signature scheme que faz com que validators assinem coletivamente uma transação. Em outras palavras: o atacante conseguiu fazer com que o próprio gateway pedisse para os validators assinarem operações que ele não deveria pedir.
A ZetaChain comunicou que já bloqueou o vetor e prepara patch completo. Mas a paralisação total do tráfego cross-chain de uma das principais blockchains de interoperabilidade do mercado — mesmo que por valor pequeno — escancara a fragilidade arquitetural: o gateway é, ele mesmo, o ponto único de confiança. Comprometido o gateway, comprometida a rede inteira.
O Denominador Comum: Cross-Chain Herda a Segurança da Sua Dependência Mais Frágil
Três protocolos. Três vetores tecnicamente distintos. Mas, fazendo abstração dos detalhes, a forma é a mesma:
- KelpDAO: ponto único de confiança = um único DVN, dependendo de RPCs comprometíveis
- Volo Protocol: ponto único de confiança = uma chave privada admin externa ao contrato auditado
- ZetaChain: ponto único de confiança = um contrato gateway sem validação adequada de origem
O balanço de Abril Negro do DeFi que a ON3X publicou na primeira metade do mês cobria US$ 606 milhões em perdas em 18 dias. Agora, com KelpDAO, Volo, ZetaChain somados ao Drift e ao UXLINK, o número real está acima de US$ 900 milhões em pouco mais de quatro semanas. Cross-chain responde pela maior parte do bolo — e o ritmo está acelerando, não desacelerando.
O dado que ninguém quer encarar é que auditorias de smart contract não pegam nenhum desses três vetores. CertiK não audita seu RPC. Trail of Bits não audita o procedimento de custódia da sua chave privada de admin. Halborn não audita a configuração padrão que um time de developers escolheu copiar do quickstart oficial. As auditorias garantem que o código faz o que diz fazer — não garantem que a infraestrutura ao redor dele seja robusta.
É a mesma lição que o Lazarus já vinha martelando em outros vetores. A campanha Mach-O Man, documentada pela ON3X em abril, mostrou o mesmo grupo norte-coreano usando malware sob medida para macOS para roubar credenciais de execs cripto via reuniões falsas no Zoom. A operação Drift, que custou US$ 285 milhões à protocolo de perpétuos em Solana, foi resultado de seis meses de engenharia social — não de bug em smart contract. O DPRK descobriu antes da indústria que o caminho fácil para o tesouro é a infraestrutura, não o protocolo. E o resto do submundo cibernético está aprendendo a copiar.
O paralelo fora de cripto é instrutivo. O hack na Vercel em março forçou a indústria Web3 a rotacionar API keys em massa — um ataque OAuth que começou em malware (Lumma Stealer) e cascateou em dezenas de plataformas porque a infraestrutura compartilhada virou ponto único. Cross-chain está repetindo o mesmo padrão dentro de DeFi.
A KelpDAO, no fim, foi a Volo da LayerZero. A Volo foi a KelpDAO da Sui. A ZetaChain foi a Volo dela mesma. Os três compartilham o mesmo erro arquitetural: concentraram confiança em um ponto que nenhuma auditoria interna conseguia validar como seguro.
A Perspectiva ON3X
- O ciclo 2026 vai ser definido por brigas sobre defaults, não sobre código. A briga LayerZero × KelpDAO sobre quem é responsável pela configuração 1-of-1 vai se repetir em outros protocolos de mensageria, em outros provedores de custódia institucional, em outros stablecoins multichain. Default vira jurisprudência — e quem tem 47% do ecossistema rodando na configuração mais frágil precisa decidir se a default era uma sugestão ou uma promessa. A LayerZero tomou a decisão certa ao deixar de assinar para 1-of-1, mas a indústria precisa parar de aceitar "configuração padrão" como sinônimo de "configuração razoável".
- "Auditado" deixa de ser sinal técnico relevante para usuário institucional. Os três casos têm contratos auditados. O risco não estava ali. O usuário sofisticado — especialmente fundos institucionais, tesouros corporativos e plataformas de stablecoin tokenizada — vai precisar exigir infrastructure attestations com o mesmo rigor que hoje exige relatórios de auditoria de código: quem opera os RPCs, quem custodia as chaves admin, quem define os defaults, qual o procedimento de rotação. Sem isso, o "audit badge" no rodapé do site é teatro de segurança.
- A onda de incidentes força concentração — ironicamente. Forçar multi-DVN reduz risco, mas eleva o custo operacional. Forçar multisig admin com hardware dedicado reduz risco, mas concentra entre poucos provedores capazes de operar a infra. A arquitetura cross-chain "permissionless e descentralizada" segue um caminho previsível: a próxima etapa do amadurecimento é mais centralizada, não menos. A Arbitrum congelando US$ 71 milhões do hacker do Kelp deu o primeiro recado dessa direção. Os próximos virão.