Resumo Executivo
O Grupo Lazarus, apoiado pela Coreia do Norte, está preliminarmente ligado ao roubo de aproximadamente US$ 292 milhões em rsETH da plataforma de finanças descentralizadas KelpDAO. O ataque, que ocorreu em 18 de abril de 2026, fez desaparecer 116.500 rsETH. A Arbitrum, solução de camada‑2 do Ethereum, respondeu congelando cerca de US$ 71 milhões dos ativos roubados, enquanto investigadores acreditam que o grupo transferiu outros US$ 175 milhões em ETH para carteiras distintas.
O que aconteceu
Em 18 de abril de 2026, a KelpDAO relatou que uma transação não autorizada drenou seu cofre de 116.500 rsETH, valorizados em cerca de US$ 292 milhões na época do exploit. A violação foi rastreada a uma série de chamadas de contratos inteligentes que redirecionaram os tokens para endereços vinculados ao Grupo Lazarus.
Dentro de horas, a Arbitrum interveio, congelando aproximadamente US$ 71 milhões dos rsETH roubados em sua rede. O congelamento impediu a conversão imediata dos tokens em outros ativos, proporcionando tempo crucial para que os investigadores rastreassem o fluxo de fundos.
Análises subsequentes da blockchain indicaram que o Lazarus transferiu um adicional de US$ 175 milhões em ETH para um conjunto de carteiras não diretamente conectadas aos endereços originais de rsETH. O movimento sugere uma estratégia de lavagem em múltiplas etapas projetada para ofuscar a origem dos fundos.
Contexto
O Grupo Lazarus tem sido identificado por diversas empresas de cibersegurança e agências de aplicação da lei como um outfit de crime cibernético prolífico que opera sob os auspícios do regime norte‑coreano. Nos últimos anos, o grupo orquestrou uma série de roubos de criptomoedas de alto perfil que, somados, totalizam bilhões de dólares.
A KelpDAO, uma organização autônoma descentralizada focada na provisão de liquidez para o token rsETH, anteriormente enfatizava sua dependência de auditorias de contratos inteligentes e governança da comunidade. O token rsETH, uma representação encapsulada do ativo nativo do Ethereum, é amplamente usado em protocolos DeFi para staking e yield farming.
Reações
A equipe de segurança da Arbitrum anunciou o congelamento dos fundos roubados, descrevendo a medida como uma “ação protetiva para salvaguardar os participantes da rede enquanto as investigações continuam”. A plataforma também se comprometeu a cooperar plenamente com analistas forenses e agências de aplicação da lei.
O fórum da comunidade da KelpDAO publicou um aviso urgente, reconhecendo a perda e delineando passos para auditar os contratos restantes. Os desenvolvedores da DAO indicaram que interromperão todas as operações relacionadas ao rsETH até que a violação seja totalmente compreendida.
Agências de aplicação da lei em múltiplas jurisdições abriram investigações paralelas, citando a natureza transfronteiriça da transação e o envolvimento de um ator patrocinado pelo Estado.
O que isso significa
O incidente ressalta a vulnerabilidade persistente de protocolos DeFi que dependem de interações complexas de contratos inteligentes. Mesmo com processos de auditoria em vigor, atores de ameaça sofisticados como o Lazarus podem explorar caminhos sutis no código para desviar ativos.
O congelamento rápido de uma parcela substancial do loot pela Arbitrum demonstra a crescente capacidade das soluções de camada‑2 de intervir em tempo real quando atividades ilícitas são detectadas. Isso pode estabelecer um precedente para que outras plataformas de escalabilidade adotem mecanismos de proteção semelhantes.
Para o ecossistema cripto mais amplo, o roubo levanta questões sobre a adequação dos atuais quadros de segurança e a necessidade de compartilhamento colaborativo de inteligência de ameaças entre projetos, exchanges e reguladores.
Próximos passos
Os investigadores continuarão rastreando os US$ 175 milhões de ETH que o Lazarus movimentou após o roubo inicial. Espera‑se que empresas de forense de blockchain publiquem mapas detalhados das transações nos próximos dias.
A KelpDAO planeja conduzir uma auditoria pós‑mortem abrangente de seus contratos inteligentes e implementar salvaguardas adicionais, como limites de retirada por assinatura múltipla.
A equipe de segurança da Arbitrum monitorará os ativos congelados para quaisquer tentativas de contorno e coordenará com as autoridades para determinar a viabilidade de recuperação dos ativos.