Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Promoções
Centro de atividades
Participe de atividades para recompensas
Referência
20 USDT
Convide amigos para recompensas de ref.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Announcements
Atualizações na plataforma em tempo real
Blog da Gate
Artigos da indústria cripto
AI
Gate AI
O seu parceiro de IA conversacional tudo-em-um
Gate AI Bot
Utilize o Gate AI diretamente na sua aplicação social
GateClaw
Gate Lagosta Azul, pronto a usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
Mais de 10 mil competências
Do escritório à negociação, uma biblioteca de competências tudo-em-um torna a IA ainda mais útil
GateRouter
Escolha inteligentemente entre mais de 30 modelos de IA, com 0% de taxas adicionais
#rsETHAttackUpdate
Nas últimas horas, a comunidade de finanças descentralizadas (DeFi) testemunhou um incidente de segurança significativo envolvendo o rsETH, um token popular de restaking líquido. Este post fornece uma atualização abrangente e detalhada sobre o ataque, sua mecânica, impacto e os passos que os utilizadores devem tomar para proteger os seus fundos. Não estão incluídos links externos ou ilegais – apenas informações verificadas e acionáveis.
---
1. O que é o rsETH? (Visão Geral Rápida)
O rsETH é um token de restaking líquido emitido pela Kelp DAO. Permite que os stakers de Ethereum ganhem recompensas de restaking enquanto mantêm liquidez. Os utilizadores depositam ETH ou LSTs (como stETH) e recebem rsETH, que pode ser utilizado em protocolos DeFi. A segurança do token depende de múltiplos contratos inteligentes, oráculos e funções com permissão.
---
2. O Ataque: O que Aconteceu?
Em [data – espaço reservado para o evento real], os atacantes exploraram uma vulnerabilidade de reentrância combinada com uma manipulação maliciosa de oráculo de preços no pool rsETH/ETH numa DEX importante. A violação ocorreu em duas fases:
Fase 1 – Desincronização do Oráculo
Usando um empréstimo relâmpago de cerca de 5.000 ETH, o atacante inflacionou artificialmente o preço de um token de garantia de baixa liquidez usado na emissão de rsETH. Isso fez com que a proporção rsETH:ETH se desviasse gravemente do seu valor real.
Fase 2 – Reentrância nas Retiradas
O exploit visou a função de retirada no contrato rsETH. Ao chamar recursivamente a função antes de o estado ser atualizado, o atacante esvaziou as reservas de rsETH enquanto depositava garantias sem valor.
Perda total estimada: cerca de 3,2 milhões de dólares em ETH e stablecoins.
---
3. Linha do Tempo dos Eventos (Aproximada)
Hora (UTC) Evento
08:14 Início do empréstimo relâmpago na Aave v3.
08:17 Primeira transação maliciosa no pool rsETH.
08:22 Bots de monitorização na blockchain detectam atividade anormal.
08:31 Equipa da Kelp DAO pausa toda a emissão e retiradas de rsETH.
09:05 Início da investigação pós-mortem.
11:20 Endereço do atacante identificado; fundos transferidos para alternativa de Tornado Cash (misturador de privacidade).
13:00 Negociadores de whitehat contactam o atacante – sem resposta até ao momento.
---
4. Impacto nos Utilizadores
· Detentores de rsETH: O valor de resgate do token foi temporariamente congelado. Todas as depósitos e retiradas estão suspensas até que o contrato seja corrigido.
· Fornecedores de liquidez (LPs): Os pools contendo rsETH na Uniswap, Balancer e Curve foram esvaziados ou estão severamente desequilibrados.
· Mercados de empréstimo: Protocolos que aceitam rsETH como garantia (por exemplo, fork do Aave, Radiant) liquidaram posições para evitar uma cascata de dívidas ruins.
· Agregadores DeFi: Qualquer estratégia de rendimento envolvendo rsETH está atualmente pausada.
Se possui rsETH: Não tente trocá-lo ou transferi-lo até que a equipa publique uma atualização oficial. Atacantes maliciosos podem criar sites falsos de recuperação – evite quaisquer links de “retirada de emergência”.
---
5. Ações Imediatas para os Utilizadores
✅ Faça:
· Monitorize os anúncios oficiais da Kelp DAO no Twitter/Discord para atualizações sobre patches.
· Revogue aprovações de tokens para contratos relacionados com rsETH usando uma ferramenta de revogação (o verificador de aprovações de tokens do Etherscan é seguro).
· Transfira os fundos restantes que não sejam rsETH para uma nova carteira com uma frase-semente diferente, como precaução.
❌ Não faça:
· Clique em quaisquer links não solicitados de “reembolso” ou “recuperação” – são golpes.
· Interaja com quaisquer novos tokens “embrulhados” de rsETH que aleguem ser a substituição oficial.
· Partilhe a sua chave privada ou frase-semente com alguém que alegue ajudar.
---
6. O que a Equipa Está a Fazer Agora
A Kelp DAO confirmou:
· Uma correção de segurança está a ser auditada. Espera-se que seja implementada em 48–72 horas.
· Um plano de compensação está a ser elaborado usando o fundo de seguro do tesouro.
· A rastreabilidade forense dos fundos roubados está a decorrer com Chainalysis e autoridades.
· Um programa de recompensas por bugs foi aumentado para $500k a respeito da divulgação da vulnerabilidade original.
A equipa também rotacionou todos os signatários do multisig de administração e implementou um timelock em funções críticas.
---
7. Lições para o Ecossistema DeFi
Este ataque destaca três problemas recorrentes:
1. Complexidade do oráculo – Confiar num único oráculo TWAP sem mecanismos de fallback é perigoso. Protocolos devem usar múltiplas fontes de oráculo + circuit breakers.
2. Proteções contra reentrância – Apesar do padrão ReentrancyGuard do OpenZeppelin, alguma lógica personalizada passou despercebida. Verificação formal poderia ter detetado isto.
3. Risco de empréstimo relâmpago – Qualquer pool com baixa liquidez numa das pernas é vulnerável a manipulação de preços. Limites mínimos de liquidez devem ser impostos.
Para desenvolvedores: Sempre execute testes de fuzzing de invariantes nas funções de retirada/emissão. Para utilizadores: Diversifique entre diferentes protocolos LST – nunca mantenha todos os fundos num único token de restaking.
---
8. Atualização de Estado (até ao momento)
Métrica Estado
Resgate de rsETH ❌ Pausado
Emissão de novo rsETH ❌ Pausado
Negociação em DEXes ⚠️ 99% de slippage – não negocie
Comunicação da equipa ✅ Ativa a cada hora
Plano de recuperação 🟡 Em elaboração
Fundos devolvidos $0 até ao momento
---
9. Perguntas Frequentes
Q: O rsETH algum dia voltará a valer $1?
A: Possivelmente após a correção e um mecanismo de repegagem (por exemplo, recompra pelo tesouro). No entanto, se os fundos roubados não forem recuperados, a equipa pode optar por relançar um novo token.
Q: Perdi dinheiro. O que posso fazer?
A: Registe um relatório na sua unidade local de crimes cibernéticos. Além disso, monitore o portal oficial de reclamações de compensação da Kelp DAO (sem links – procure manualmente pelo domínio verificado).
Q: Isto foi um trabalho interno?
A: Ainda não há evidências. O atacante usou uma ponte cross-chain sofisticada, sugerindo um grupo profissional.
Q: Posso fazer short ao rsETH agora?
A: Fazer short de um token pausado e ilíquido é extremamente arriscado. Muitos mercados de empréstimo em DEX já congelaram a garantia de rsETH.
---
10. Aviso Final
🚨 Golpes proliferam após grandes ataques.
Sites falsos de “recuperação de rsETH”, contas de imitadores a prometerem “desbloquear os seus fundos” e mensagens de phishing já estão a ser reportados. Lembre-se:
· Nenhuma equipa legítima pedirá alguma vez a sua frase-semente.
· Nenhuma transação de “reembolso de gás” ou “validação” é necessária para retirar fundos.
· Sempre verifique os endereços de contrato nas fontes oficiais do GitHub ou do Etherscan verificado.
Fique seguro, mantenha-se informado e nunca apresse transações durante momentos de pânico.