Analista da Certik: Exploit da KelpDAO revela uma mudança de alto risco no cibercrime cross-chain

Principais conclusões:

• O Conselho de Segurança da Arbitrum e o SEAL 911 congelaram 30.766 ETH a 18 de abril para mitigar o roubo à Kelp DAO.
• O analista da Certik, Wenzhao Dong, avisa que os roubos em bridges agora criam dívidas incobráveis sistémicas para plataformas como a Aave.
• A Kelp DAO tem como objetivo restaurar o peg do rsETH e recuperar os restantes 220 milhões de dólares em ativos digitais desaparecidos.

Segurança vs. soberania

A rápida intervenção do Conselho de Segurança da Arbitrum (ASC) para congelar 30.766 ETH reacendeu um dos debates mais fundamentais na blockchain: a tensão entre a descentralização imutável e a governação pragmática.

Embora a recuperação de 71 milhões de dólares em ETH seja uma vitória clara para as vítimas, o método dividiu a comunidade em dois campos distintos. Por um lado, os puristas argumentam que a capacidade do ASC de congelar ativos unilateralmente é um "caminho perigoso" em direção aos sistemas financeiros centralizados que as criptomoedas foram concebidas para substituir. Defendem que, se um conselho pode censurar um hacker hoje, poderá ser coagido a censurar um dissidente político ou um negócio legítimo amanhã. Para este grupo, a intervenção "humana no circuito" é uma vulnerabilidade sistémica que mina a promessa central da ausência de confiança.

Por outro lado, os pragmatistas encaram a descentralização absoluta como um estado final aspiracional, e não como um requisito desde o primeiro dia. Defendem que, para que as finanças descentralizadas (DeFi) alcancem uma adoção generalizada, devem existir "disjuntores" para mitigar perdas catastróficas. Nesta perspetiva, o ASC é uma salvaguarda necessária — um "corpo de bombeiros digital" — que fornece a responsabilização necessária para proteger os utilizadores de agentes sofisticados patrocinados por estados, como o Grupo Lazarus.

Conforme noticiado pelo Bitcoin.com News e outros meios de comunicação, o ASC agiu com base em informações das autoridades policiais relativas à identidade do explorador. O conselho afirmou que ponderou o seu compromisso com a segurança e a integridade da comunidade Arbitrum, garantindo ao mesmo tempo que não haveria impacto nos utilizadores ou nas aplicações da Arbitrum.

Embora o congelamento proporcione um alívio temporário, um especialista alertou que o roubo representa uma nova fase, mais perigosa, do crime no DeFi, na qual as vulnerabilidades das bridges são sistematicamente exploradas para contaminar os mercados de empréstimos.

Numa análise post-mortem à estratégia do atacante, Wenzhao Dong, analista de blockchain na Certik, salientou que o Grupo Lazarus, apoiado pela Coreia do Norte, demonstrou um conhecimento sofisticado da liquidez de mercado. Dong observou que, ao contrário do recente incidente da Hyperbridge — em que os atacantes cunharam mil milhões de Polkadot, mas apenas conseguiram converter cerca de 240.000 dólares antes de o preço colapsar — os atacantes da Kelp DAO escolheram uma rota de "conversão em dinheiro" mais eficiente.

"O exploit da Kelp DAO revela um padrão de risco claro no DeFi moderno", disse Dong. "Uma vulnerabilidade numa bridge não permanece isolada; transforma-se num problema para os mercados de empréstimos. Ao utilizar rsETH falsamente cunhado como garantia na Aave para tomar WETH emprestado, o atacante converteu um roubo numa bridge em dívida incobrável na Aave."

Dong observou que os atacantes evitaram deliberadamente os mercados spot, onde ordens de venda massivas teriam desencadeado derrapagem e deteção precoce. Em vez disso, ao usar a Aave como intermediário, transferiram o risco para o protocolo de empréstimo.

"A segurança no DeFi é interligada", acrescentou Dong. "Os protocolos não podem focar-se exclusivamente nos seus próprios contratos; devem considerar os riscos colocados por cada dependência no seu sistema e implementar medidas defensivas em conformidade."

Numa atualização partilhada horas depois de o ASC ter anunciado o congelamento, a Kelp DAO expressou gratidão pela "ação decisiva" tomada pelo conselho. Atribuiu à "coordenação e estruturação de informação" do SEAL 911 o fator-chave que permitiu às partes interessadas agir antes que os hackers pudessem mover os restantes 71 milhões de dólares em ETH para fora da rede Arbitrum.

Apesar do congelamento bem-sucedido, cerca de 220 milhões de dólares continuam desaparecidos. A Kelp DAO confirmou que o seu foco principal é agora trabalhar com a Aave e outros parceiros para resolver a "dívida incobrável" criada pelo exploit. A organização afirmou que também irá explorar todas as vias disponíveis para apoiar os detentores de rsETH e restaurar o peg do protocolo.