#rsETH攻击事件后续进展 O evento de roubo da ponte cross-chain rsETH do Kelp DAO‌ é o maior incidente de segurança DeFi até 2026, causando uma perda de aproximadamente‌ 292 milhões de dólares em ativos.

O ataque ocorreu por volta das‌ 17h35 UTC de 18 de abril de 2026‌, quando hackers exploraram uma vulnerabilidade na configuração da ponte cross-chain baseada em LayerZero do Kelp DAO (que utiliza uma configuração de nó de validação descentralizado 1/1), falsificando mensagens cross-chain e criando do nada cerca de 116.500 tokens rsETH sem respaldo de ativos reais na rede principal do Ethereum.

Esses “ativos de ar” foram rapidamente depositados em protocolos de empréstimo mainstream como Aave, Compound, Euler, como garantia, emprestando cerca de‌ 236 milhões de dólares em WETH/ETH reais, sendo que Aave enfrenta um risco potencial de inadimplência de até‌ 177 milhões a 196 milhões de dólares.

Após aproximadamente 46 minutos do incidente, o Kelp DAO suspendeu urgentemente os contratos de rsETH na rede principal e em várias redes Layer2, impedindo tentativas adicionais de ataque. Mas o pânico no mercado se espalhou rapidamente, com o TVL do Aave caindo de 26,4 bilhões de dólares para 18 bilhões em 24 horas, uma queda de 32%, e o preço do token AAVE caiu cerca de 18%.

Este incidente revelou o risco sistêmico na ecossistema DeFi de “ponte cross-chain + derivativos de re-pledge”: uma vulnerabilidade em um elo pode se propagar por meio da composabilidade para múltiplos protocolos, causando um efeito dominó. Apesar do LayerZero recomendar uma configuração de pelo menos 2-de-3 para o DVN, o Kelp DAO optou por um modo de validação de ponto único de alto risco 1-de-1, sendo criticado como “usar uma trava para proteger um cofre de banco”.

Atualmente, o Kelp DAO e o LayerZero estão em disputa sobre a responsabilidade, enquanto o hacker ainda mantém aproximadamente 175 milhões de dólares em ETH na cadeia Ethereum. $ETH ‌$BTC #Gate广场四月发帖挑战