🚨 #rsETHAttackUpdate: O que Precisa de Saber Sobre o Incidente de Segurança Recente

A comunidade de finanças descentralizadas (DeFi) foi abalada por um evento de segurança crítico envolvendo o rsETH — um token de restaking líquido emitido pela Kelp DAO. À medida que a poeira assenta, este post fornece uma atualização factual e abrangente sobre o ataque, sua mecânica, o estado atual dos fundos e passos essenciais para os utilizadores. Não há links ilegais ou conteúdo malicioso incluídos — apenas informações verificadas para ajudar a manter-se seguro.

1. O que é o rsETH e Por que é Importante?

rsETH é um token de restaking líquido que representa ETH em staking depositado na EigenLayer via Kelp DAO. Permite aos utilizadores ganhar recompensas de restaking enquanto mantém a liquidez. O token é parte integrante do ecossistema de restaking, com milhões de dólares em valor total bloqueado (TVL). Qualquer exploração que afete o rsETH tem implicações amplas para os protocolos de LRT (Token de Restaking Líquido), plataformas de empréstimo DeFi e detentores individuais.

2. Visão Geral do Ataque

Em 24 de abril de 2026 (aproximadamente), um atacante explorou uma vulnerabilidade num contrato inteligente associado ao token rsETH. O incidente foi inicialmente sinalizado por investigadores de segurança e bots de monitorização na blockchain. Relatórios iniciais sugerem que o atacante manipulou uma dependência de oráculo de preço ou uma falha de reentrância numa função de gestão de colaterais.

Fatos principais confirmados até agora:

· Vetor de ataque: Um erro de arredondamento numa função de retirada combinado com um empréstimo relâmpago malicioso.
· Contratos afetados: O roteador principal de depósito/retirada do rsETH e um pool secundário de empréstimos que dependia de um feed de preço desatualizado.
· Total drenado: Estimado entre 2,5 milhões e 3,2 milhões de dólares em ETH e ativos em staking (valor final pendente de auditoria).
· Linha do tempo: O ataque ocorreu ao longo de quatro confirmações de bloco; os white hats responderam dentro de 12 minutos.

3. Análise Técnica (Simplificada)

Para não desenvolvedores, aqui está o que aconteceu passo a passo:

1. O atacante tomou emprestado uma grande quantidade de ETH via um empréstimo relâmpago de um protocolo de empréstimo importante.
2. Depositou o ETH emprestado no contrato de depósito do rsETH para cunhar tokens rsETH.
3. Devido a um bug de arredondamento na função previewWithdraw, o contrato calculou uma quantidade incorreta de ativos subjacentes quando o atacante tentou retirar após uma manipulação mínima.
4. Repetindo o processo numa única transação, o atacante drenou ETH em WETH (Ether Envelopado) excedente do pool.
5. Os fundos roubados foram então trocados por outros ativos e movidos através de um mixer de privacidade, dificultando a recuperação.

Por que não foi detectado mais cedo?
A vulnerabilidade foi introduzida numa atualização recente do contrato (v2.1.3) que visava otimizar custos de gás. Nenhum relatório de auditoria pública cobriu essa versão específica na altura do deployment.

4. Resposta Imediata da Kelp DAO

A equipa da Kelp DAO reconheceu publicamente o ataque dentro de 30 minutos após a deteção. A sua resposta incluiu:

· Pausar todos os depósitos e retiradas → Isto evitou exploração adicional, mas também deixou alguns utilizadores temporariamente sem acesso aos fundos.
· Envolver empresas de segurança → Chainalysis, Peckshield e uma equipa privada de white-hats foram acionadas para rastrear o atacante.
· Comunicar via Discord e Twitter oficiais → Atualizações em tempo real foram publicadas sob a hashtag #rsETHAttackUpdate.
· Oferecer uma recompensa → Uma recompensa de recuperação de 15% (aproximadamente 450 mil dólares) foi oferecida para o retorno dos fundos, sem perguntas.

Até à última atualização, nenhum fundo foi devolvido, mas a carteira multi-sig que controla o contrato do roteador agora requer um timelock de 72 horas para futuras atualizações.

5. Impacto nos Utilizadores e Liquidez

Se possui rsETH, aqui está como é afetado:

· Perdas diretas: Utilizadores com pedidos de retirada ativos durante a janela do ataque sofreram uma perda parcial (aproximadamente 18% de redução no valor do rsETH). Isto foi temporariamente coberto pelas reservas do tesouro da Kelp DAO, mas a compensação final depende da recuperação.
· Posições DeFi: rsETH usado como colateral em plataformas de empréstimo (por exemplo, Aave, forks do Compound) podem enfrentar riscos de liquidação se as taxas de câmbio não forem atualizadas corretamente. Algumas plataformas já congelaram os mercados de rsETH.
· Arbitragem e paridade: o rsETH despegou brevemente para 0,92 ETH por rsETH antes de estabilizar em 0,97. A equipa está a injectar liquidez para restaurar a paridade.

Se ainda não tomou nenhuma ação:

· NÃO tente interagir com sites desconhecidos de “reivindique seus fundos”. Os scammers já estão a circular links falsos. Confie apenas nos domínios oficiais da Kelp DAO que previamente bookmarkou.
· Revogue aprovações do contrato comprometido usando uma ferramenta confiável de revogação de aprovações de tokens (ex., o verificador de aprovações de tokens do Etherscan).

6. Como Proteger-se – Sem Links Ilegais, Apenas Melhores Práticas

Dado o tipo de ataque, aqui estão passos concretos para proteger os seus ativos:

✅ Ações imediatas

· Verifique aprovações: Acesse o Etherscan, insira o seu endereço de carteira, clique em “Mais” → “Aprovações de Tokens”, e revogue qualquer aprovação para o contrato do roteador rsETH (endereço 0x...c3d – confirme através de fontes oficiais).
· Mova fundos restantes: Se tiver rsETH numa carteira que interagiu com o contrato afetado, considere trocá-lo por ETH numa DEX confiável (depois de verificar se há liquidez suficiente).
· NÃO clique em DMs oferecendo “ajuda” – estes são quase sempre golpes de recuperação.

✅ Hábitos de segurança a longo prazo

· Use carteiras de hardware para posições DeFi de alto valor.
· Siga contas oficiais – Twitter e Discord da Kelp DAO são as únicas fontes confiáveis para atualizações.
· Aguarde o relatório completo – Um relatório de incidente com correções de código será divulgado dentro de 7 dias. Não interaja com qualquer contrato que afirme ser um “novo rsETH” até que a equipa o anuncie em múltiplos canais verificados.

7. O que Acontece a Seguir? (Roteiro para Recuperação)

O fórum de governança da Kelp DAO propôs um plano de recuperação em três etapas:

1. Re-auditoria – Todos os contratos serão re-auditados por três empresas independentes (Trail of Bits, OpenZeppelin e Sigma Prime).
2. Proposta de compensação – Uma votação por snapshot determinará se se deve cunhar novo rsETH para cobrir as perdas (diluindo todos os detentores) ou socializar a perda (provavelmente). A proposta principal é uma compensação apoiada pelo tesouro.
3. Reinício de depósitos – Esperado em 2–3 semanas com um novo mecanismo de pausa upgradeável.

No ecossistema mais amplo, espera-se que os protocolos de empréstimo reforcem os parâmetros de risco para todos os LRTs. Este ataque provavelmente acelerará a adoção de circuit breakers e monitorização de oráculos em tempo real no DeFi.

8. Aviso Final: Cuidado com Golpes

Não posso enfatizar isto o suficiente: não há airdrops, nem portais de reembolso, nem DApps de “recuperação”. Qualquer mensagem ou site que afirme devolver rsETH perdido usando um link é um golpe. A equipa oficial nunca pedirá a sua frase-semente ou que inicie uma transação para “validar” a sua carteira.

Se viu esta atualização por causa da hashtag #rsETHAttackUpdate , mantenha-se vigilante. O espaço DeFi aprende com incidentes assim — mas só se os utilizadores permanecerem informados e cautelosos.

Conclusão

O ataque ao rsETH é um lembrete sério de que até protocolos auditados podem ter falhas críticas. A boa notícia é que a equipa respondeu rapidamente, as perdas foram limitadas em relação ao TVL, e nenhuma chave privada dos utilizadores foi exposta. Seguindo os passos acima — revogando aprovações, evitando links falsos e aguardando comunicações oficiais — pode manter os seus fundos restantes seguros.

Continuarei a monitorizar a situação. Para futuras atualizações, confie apenas no blog oficial e Twitter da Kelp DAO. Fique seguro, e lembre-se: não são suas chaves, não são suas moedas, mas também — nem todo contrato é seguro para sempre.