17h35 UTC, 18 de abril de 2026. Um atacante acabou de comprometer o único nó validador da bridge da KelpDAO e começa a assinar mensagens falsificadas entre blockchains. Em 46 minutos, 116.500 rsETH — $292 milhões — vão sumir.

Agora volta 12 dias. É 6 de abril. Num repositório público do GitHub, um relatório gerado por uma ferramenta de auditoria open source acaba de ser publicado. O documento cobre a KelpDAO em detalhes: governança, dependências de oracle, arquitetura de bridge, histórico de ataques similares. E em determinada seção, há uma observação direta: "A configuração DVN da LayerZero — conjunto de validadores, requisitos de limite por cadeia — não foi divulgada publicamente." Seguida de outra: "Uma falha em um único ponto da DVN poderia afetar simultaneamente o rsETH em todas as 16 blockchains suportadas."

O sinal estava lá. Ninguém agiu.

O relatório de 6 de abril no GitHub — 12 dias antes do hack. A linha destacada em amarelo é a pergunta que ninguém respondeu sobre a configuração DVN da KelpDAO.

🛠️ A FERRAMENTA QUE ANALISA O QUE AUDITORIAS IGNORAM

A crypto-project-security-skill foi criada por um desenvolvedor que usa o pseudônimo Zengineer, logo depois do hack de $285M no protocolo Drift em 1º de abril. A lógica de construção é simples: as maiores perdas em DeFi não vêm de bugs de código. Vêm de falhas de governança, erros de configuração e decisões arquitetônicas ruins. Slither, Mythril, GoPlus — os scanners tradicionais — não foram projetados para detectar isso. Então ele construiu uma ferramenta que fosse.

A ferramenta usa dados públicos — DeFiLlama, GoPlus, Safe API, verificação on-chain — e compara a arquitetura de cada protocolo com padrões identificados em ataques históricos: Drift, Euler, Ronin, Harmony, Mango. Não lê Solidity. Avalia quatro camadas que auditorias de código costumam pular: estrutura de governança, dependências de oracle e bridge, mecanismos econômicos e arquitetura entre blockchains. E é open source — qualquer pessoa pode rodar, revisar ou melhorar.

A KelpDAO tinha passado por cinco ou mais auditorias profissionais de código — Code4rena, SigmaPrime, MixBytes estão entre as firmas. Todas aprovaram. Porque todas olhavam para o código. A configuração do validador de bridge não é código. É uma decisão operacional, registrada on-chain, que nenhuma delas foi contratada para checar.

📋 O QUE O RELATÓRIO DE 6 DE ABRIL DISSE — E O QUE ACONTECEU 12 DIAS DEPOIS

O relatório atribuiu à KelpDAO uma pontuação de risco de 72/100 — Risco Médio. Cinco descobertas principais. Veja cada uma ao lado do que realmente aconteceu:

Descoberta 1 — Opacidade da configuração DVN

O relatório disse: "A configuração DVN da LayerZero não é divulgada publicamente." O que aconteceu: a KelpDAO usava uma configuração 1-de-1 — um único validador, uma única assinatura para aprovar qualquer mensagem entre blockchains. O atacante comprometeu esse nó e forjou a mensagem que liberou 116.500 rsETH. Se a configuração fosse 2-de-3 — o mínimo recomendado do setor — o ataque teria exigido comprometer múltiplos validadores independentes ao mesmo tempo.

Descoberta 2 — Ponto único de falha em 16 blockchains

O relatório disse: "Uma falha em um único ponto da DVN poderia afetar o rsETH em todas as 16 blockchains simultaneamente." O que aconteceu: a mensagem forjada afetou a rede principal do Ethereum, mas o rsETH circulava em mais de 20 redes de camada 2 — Arbitrum, Optimism, Base, Scroll. Assim que a bridge foi comprometida, os detentores de rsETH nessas redes não conseguiram mais verificar nem resgatar o valor dos tokens. A LayerZero suspendeu proativamente todas as pontes OFT de saída do Ethereum. Quem tinha rsETH em L2 ficou com um ativo de valor indefinido da noite para o dia.

Descoberta 3 — Controles de governança da bridge não verificados

O relatório disse: "Não foi verificado se os controles de governança da bridge seguem o mesmo multisig 6/8 e timelock de 10 dias do protocolo principal." O que aconteceu: claramente não seguiam. A governança do protocolo principal da KelpDAO é rigorosa — 6 de 8 assinaturas, 10 dias de bloqueio para qualquer atualização. Mas a configuração da bridge ficou de fora dessas proteções. Se a mudança para 1-de-1 DVN tivesse exigido aprovação de 6 signatários, dificilmente passaria sem alguém questionar.

Descoberta 4 — Alinhamento com padrões Ronin e Harmony

O relatório disse: "A arquitetura multicadeia da KelpDAO é comparável à da Ronin na época do ataque de 2022." O que aconteceu: o ataque seguiu o mesmo manual. Em 2022, a Ronin perdeu $625M após 5 de 9 validadores serem comprometidos. A Harmony perdeu $100M com 2 de 5. A KelpDAO tinha apenas 1 — o limiar mínimo absoluto. A ferramenta identificou esse padrão comparando arquitetura, não código. É exatamente para isso que ela foi construída.

Descoberta 5 — Sem fundo de seguro

O relatório disse: "O protocolo não possui fundo de seguro ou mecanismo de absorção de perdas para eventos de slashing." O que aconteceu: sem reserva própria, $177M em bad debt foram absorvidos pela Aave. Os depositantes de WETH que nunca interagiram com rsETH viram seus pools travados a 100% de utilização. A parceria com a Nexus Mutual cobria apenas produtos específicos de tesouraria, não a exposição principal ao rsETH.

✋ OS 3 ERROS QUE O DESENVOLVEDOR ADMITIU ANTES DE QUALQUER OUTRA COISA

No post-mortem publicado depois do ataque, Zengineer fez algo raro no cripto: listou os próprios erros antes de reivindicar qualquer mérito. Não como humildade performática — com especificidade cirúrgica.

Erro 1 — Pontuação de risco baixa demais

72/100 — Risco Médio. Com cinco lacunas de informação não resolvidas, três delas diretamente sobre a configuração da bridge, e correspondência clara com os padrões de Ronin e Harmony, a classificação correta era Crítico. A opacidade em si — a recusa da KelpDAO em divulgar o limite do DVN — deveria ter pesado mais na pontuação final. Quando um protocolo não responde perguntas básicas de segurança, isso já é um dado.

Erro 2 — Não verificou a configuração on-chain

A configuração DVN da KelpDAO era legível diretamente na blockchain, pelo contrato EndpointV2 da LayerZero, via registro ULN302. Zengineer não consultou. Rotulou como "não divulgado publicamente" — e parou aí. Se tivesse feito a consulta on-chain, teria visto a configuração 1-de-1 com os próprios olhos, sem precisar que a KelpDAO confirmasse nada. Esse é o ponto cego mais concreto da ferramenta, e o que ele planeja corrigir primeiro.

Erro 3 — Conclusões genéricas demais para gerar ação

"Configuração DVN não divulgada" é uma observação de governança. Não é um relatório de bug. Padrões de centralização de validadores e dependências de bridge aparecem em dezenas de protocolos DeFi — a maioria não é atacada. Sem taxa de falsos positivos publicada, dizer "nós previmos isso" é exagero. A versão honesta: a ferramenta fez as perguntas certas. Uma delas acertou em cheio. Mas as conclusões não eram específicas o bastante para que alguém tomasse uma decisão concreta com base nelas.

🤖 O QUE ISSO MUDA PARA QUEM INVESTE EM DEFI

A tese central da ferramenta é que auditorias de código e auditorias de arquitetura são dois produtos diferentes. A KelpDAO comprou cinco do primeiro tipo. Ninguém comprou o segundo — ou tentou fazê-lo com dados públicos antes do ataque.

O que a ferramenta oferece — e o que esse episódio demonstra na prática — é um tipo de due diligence que qualquer pessoa pode rodar antes de alocar capital em um protocolo DeFi. Não precisa ler Solidity. Não precisa contratar ninguém. Você permite que o agente compare a arquitetura do protocolo com padrões de ataques conhecidos usando dados que estão todos públicos — DeFiLlama, Safe API, dados on-chain, histórico de exploits. O output é uma avaliação estruturada que cobre governança, bridges, oracles e mecanismos econômicos.

Isso não substitui auditoria profissional. Mas reduz a barreira da due diligence inicial a um patamar que qualquer investidor de médio porte consegue alcançar — e que, neste caso, teria levantado perguntas que cinco auditorias pagas não fizeram.

Três perguntas práticas que qualquer investidor deveria fazer antes de depositar em um protocolo com bridge entre blockchains — e que a ferramenta teria ajudado a responder:

• Qual é o limite do DVN da bridge? Se o protocolo se recusar a divulgar ou não houver documentação pública, isso já é informação. A KelpDAO nunca divulgou. A ferramenta sinalizou. Ninguém perguntou diretamente antes do ataque.
• As configurações operacionais seguem o mesmo multisig do protocolo principal? Muitos protocolos têm governança rigorosa para o código e uma chave de administrador para tudo mais. A KelpDAO era um exemplo exato disso.
• Se a bridge falhar, quem paga? A KelpDAO tinha $1,3B em TVL sem fundo de seguro. Quando a bridge falhou, a conta foi para os depositantes de WETH da Aave, que nunca tinham tocado em rsETH.

🎯 PALAVRAS FINAIS O sinal estava lá doze dias antes. Num repositório público, com timestamp verificável, assinado por uma ferramenta que qualquer pessoa pode rodar hoje. O problema não foi falta de informação — foi falta de atenção. Isso é o que torna esse episódio diferente da maioria dos post-mortems de DeFi: não havia nada secreto a descobrir. Só havia uma configuração on-chain que ninguém consultou. Oportunidade: A ferramenta é open source e gratuita. Qualquer investidor pode rodar uma auditoria de arquitetura num protocolo antes de depositar — sem pagar $200k para uma firma especializada. Oportunidade: A próxima versão vai incluir verificação on-chain direta da configuração DVN. Se implementado, o relatório da KelpDAO teria mostrado "1-de-1" com evidência verificável — não apenas ausência de documentação. Risco: Uma ferramenta que gera muitos alertas genéricos perde utilidade rapidamente. Se a taxa de falsos positivos for alta, o mercado vai aprender a ignorar os sinais — incluindo os que acertam. Risco: Protocolos que escondem configurações operacionais vão continuar existindo. A ferramenta detecta a opacidade. Mas não consegue forçar transparência — e a transparência é o pré-requisito para que qualquer auditoria, humana ou por IA, funcione de verdade. A questão não é se IAs conseguem detectar vulnerabilidades antes dos hackers. Neste caso, uma já detectou. A questão é: por que o ecossistema ainda não construiu o hábito de ouvir?

---