#rsETHAttackUpdate

A Exploração do rsETH: Um Mergulho Profundo no Maior Hack do DeFi em 2026

Em 18 de abril de 2026, aproximadamente às 17:35 UTC, o ecossistema de finanças descentralizadas testemunhou o que se tornou a maior exploração do ano, quando atacantes drenaram aproximadamente 116.500 tokens rsETH do ponte LayerZero do Kelp DAO, representando cerca de $292 milhões em valor e cerca de 18% do fornecimento circulante do token. Este incidente enviou ondas de choque por todo o cenário DeFi, desencadeando respostas de emergência em vários protocolos e expondo vulnerabilidades críticas na arquitetura de pontes entre cadeias.

**Como o Ataque Aconteceu**

A exploração visou a rota rsETH LayerZero V2 Unichain para Ethereum do Kelp DAO, que foi configurada com uma falha de segurança crítica: uma configuração de Rede de Verificadores Descentralizados (DVN) de 1 de 1. O atacante conseguiu forjar um pacote de entrada do Unichain para Ethereum que foi verificado por uma única atestação DVN sem nenhuma transação de queima correspondente do lado de origem. Este pacote malicioso, contendo nonce 308, enganou o RSETH_OFTAdapter do lado do Ethereum a liberar 116.500 rsETH para o endereço controlado pelo atacante.

A invariância fundamental da ponte — de que a quantidade de rsETH bloqueada no adaptador do Ethereum deve sempre ser maior ou igual ao total de rsETH cunhado em todas as cadeias remotas — foi quebrada. O saldo do adaptador despencou de 116.723 rsETH para apenas 223 rsETH em um único bloco. O atacante tentou um segundo pacote forjado (nonce 309) para mais 40.000 rsETH, mas essa execução foi revertida porque o Kelp já havia iniciado protocolos de congelamento de emergência.

**A Estratégia de Contaminação do DeFi**

Em vez de simplesmente manter os ativos roubados, o atacante executou uma estratégia sofisticada para maximizar o valor da extração. Em minutos, os 116.500 rsETH foram distribuídos entre sete endereços de ramificação. De lá, os fundos seguiram caminhos divergentes: alguns foram fornecidos como garantia no Aave V3 na rede principal do Ethereum, outros foram bridged para Arbitrum para abrir posições nessa cadeia, e alguns foram roteados por canais alternativos.

O atacante depositou 89.567 rsETH em mercados do Aave, tomando emprestado aproximadamente 82.650 WETH no valor de 190,86 milhões de dólares e 821 wstETH no valor de 2,33 milhões de dólares. Os fatores de saúde dessas posições ficaram entre 1,01 e 1,03, indicando que foram deliberadamente mantidos próximos aos limites de liquidação para maximizar a alavancagem enquanto evitavam liquidações forçadas.

**Respostas Imediatas dos Protocolos**

Os mecanismos de defesa do Aave foram ativados horas após a exploração. Aproximadamente às 19:00 UTC de 18 de abril, o Guardião do Protocolo congelou todas as reservas de rsETH e wrsETH em todas as implantações do Aave V3, zerando as taxas de empréstimo em relação ao valor. Essa ação desativou novas ofertas e empréstimos, preservando as capacidades de gerenciamento de posições existentes. Os mercados afetados incluíram Ethereum Core, Ethereum Prime, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma e zkSync.

O Gestor de Risco implementou ajustes nas taxas de juros em várias cadeias, reduzindo a Slope2 para 1,50% e diminuindo as taxas de empréstimo com 100% de utilização de 8,5-10,5% para 3,0% APR para garantir sustentabilidade. Até 20 de abril, o WETH foi congelado no Core, Prime, Arbitrum, Base, Mantle e Linea para evitar que o risco se espalhasse para outros reserves, incluindo stablecoins.

Outros protocolos também agiram rapidamente. SparkLend, Fluid e Upshift pausaram seus mercados de rsETH. A Upshift especificamente interrompeu depósitos e retiradas de seus cofres de Crescimento Alto ETH e Kelp Gain, embora seus produtos USDC e AUSD tenham permanecido inalterados devido à ausência de exposição ao rsETH.

**Exposição Financeira Atual e Cenários de Dívida Ruim**

Até o último relatório, nenhuma decisão oficial do Kelp sobre alocação de perdas ou recuperação foi confirmada publicamente. O saldo atual do adaptador de 40.373 rsETH representa o único respaldo confirmado para todo o rsETH de cadeias remotas em todos os caminhos de L2, contra reivindicações remotas totais de 152.577 rsETH. Isso cria uma lacuna de respaldo significativa que pode impactar as avaliações dos tokens em todo o ecossistema.

As variáveis abertas que afetam a resolução final incluem o limite de socialização — se alguma redução de valor se aplica a todos os detentores de rsETH ou apenas àqueles nas cadeias afetadas, o que por si só altera o impacto por token em cerca de cinco vezes — o tamanho e o momento de qualquer recuperação ou recapitalização, mecanismos de precificação de resgate e o tratamento do rsETH cunhado via a ponte comprometida.

**Esforços de Recuperação em Toda a Indústria**

A resposta a essa crise demonstrou a natureza colaborativa do ecossistema DeFi. Um fundo de recuperação coordenado "DeFi United" foi lançado com contribuições significativas de grandes players. A Fundação Golem e a Factory comprometeram 1.000 ETH, enquanto a Lido Labs comprometeu 5,7 milhões de dólares. O fundador do Aave, Stani Kulechov, contribuiu pessoalmente com 5.000 ETH para os esforços de recuperação. A Fundação Ink forneceu respaldo não divulgado para os esforços de restauração, e mais de 1.800 participantes da comunidade votaram unanimemente pelo plano de resgate.

**Impacto no Mercado e Riscos Contínuos**

A exploração acionou mais de $10 bilhões em retiradas do Aave, com taxas de utilização em pools de USDC, USDT e wETH atingindo 100%. O token AAVE experimentou uma queda de aproximadamente 11% após o incidente. O próprio token rsETH se despegou significativamente, sendo negociado por até $1.723 em certos momentos.

Apesar da gravidade, a situação se estabilizou por meio de ações coordenadas da comunidade DeFi. Os mercados permanecem colateralizados apesar da alta utilização, com foco agora na restauração ordenada do respaldo do rsETH. No entanto, os usuários devem monitorar canais oficiais do Kelp DAO, Aave e LayerZero para resoluções finais, pois a situação continua evoluindo.

**Lições e Implicações**

Este incidente expõe vulnerabilidades fundamentais na arquitetura de pontes entre cadeias, especialmente os riscos associados às configurações de DVN de ponto único de falha. O design de restaking do rsETH amplificou esses riscos, destacando como vulnerabilidades de colateral podem se propagar por protocolos DeFi interconectados. O ataque demonstra a importância crítica de verificações multiassinatura, sistemas de monitoramento robustos e capacidades de resposta rápida na infraestrutura de finanças descentralizadas.

A exploração do rsETH serve como um lembrete contundente de que, embora o DeFi ofereça inovação financeira sem precedentes, também carrega riscos técnicos significativos que exigem vigilância constante, práticas de segurança robustas e mecanismos de resposta comunitária coordenados para serem tratados de forma eficaz.