🔥 WCTC S8 全球交易賽正式開賽!
8,000,000 USDT 超級獎池解鎖開啟
🏆 團隊賽:上半場正式開啟,預報名階段 5,500+ 戰隊現已集結
交易量收益額雙重比拼,解鎖上半場 1,800,000 USDT 獎池
🏆 個人賽:現貨、合約、TradFi、ETF、閃兌、跟單齊上陣
全場交易量比拼,瓜分 2,000,000 USDT 獎池
🏆 王者 PK 賽:零門檻參與,實時匹配享受戰鬥快感
收益率即時 PK,瓜分 1,600,000 USDT 獎池
活動時間:2026 年 4 月 23 日 16:00:00 - 2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即參與:https://www.gate.com/competition/wctc-s8
#WCTCS8
#rsETHAttackUpdate
在過去幾個小時內,去中心化金融 (DeFi) 社群目睹了一起涉及 rsETH 的重大安全事件,這是一個受歡迎的流動性再質押代幣。本文提供有關此次攻擊的全面、詳細更新,包括其機制、影響以及用戶必須採取的保護措施。未包含任何外部或非法鏈接——僅提供經過驗證的可行資訊。
---
1. 什麼是 rsETH? (快速概述)
rsETH 是由 Kelp DAO 發行的流動性再質押代幣。它允許以太坊質押者在保持流動性的同時獲得再質押獎勵。用戶存入 ETH 或 LSTs (如 stETH),並獲得 rsETH,該代幣可在各種 DeFi 協議中使用。該代幣的安全性依賴於多個智能合約、預言機以及授權角色。
---
2. 攻擊:發生了什麼?
在 [日期——實際事件的佔位符],攻擊者利用 rsETH/ETH 池中的重入漏洞結合惡意預言機操縱,在一個主要的去中心化交易所(DEX)中進行攻擊。此次漏洞分為兩個階段:
階段一——預言機不同步
攻擊者利用約 5,000 ETH 的閃電貸,人工抬高用於 rsETH 發行的低流動性抵押品代幣的價格。這導致 rsETH:ETH 比率嚴重偏離其真實值。
階段二——提款時的重入攻擊
攻擊針對 rsETH 合約中的提款功能。通過在狀態更新前遞歸調用該函數,攻擊者在只存入毫無價值的抵押品的情況下,耗盡了 rsETH 儲備。
總估計損失:約 320 萬美元的 ETH 和穩定幣。
---
3. 事件時間線 (大致)
時間 (UTC) 事件
08:14 在 Aave v3 上啟動閃電貸。
08:17 在 rsETH 池中進行首次惡意交易。
08:22 區塊鏈監控機器人標記異常活動。
08:31 Kelp DAO 團隊暫停所有 rsETH 的鑄造與提取。
09:05 開始事後調查。
11:20 確定攻擊者地址;資金轉移至 Tornado Cash 替代方案 (隱私混合器)。
13:00 白帽團隊聯繫攻擊者——尚未回應。
---
4. 對用戶的影響
· rsETH 持有者:該代幣的贖回價值已暫時凍結。所有存款和提取已停止,直到合約修復完成。
· 流動性提供者 (LPs):包含 rsETH 的池在 Uniswap、Balancer 和 Curve 上已被抽空或嚴重失衡。
· 借貸市場:接受 rsETH 作為抵押品的協議 (例如 Aave 分叉、Radiant) 已清算相關頭寸,以防止連鎖壞帳。
· DeFi 聚合器:任何涉及 rsETH 的收益策略目前都已暫停。
如果你持有 rsETH:在團隊發布正式更新之前,請勿嘗試兌換或轉移。惡意行為者可能會部署假冒的恢復網站——避免點擊任何“緊急提取”鏈接。
---
5. 用戶的立即行動
✅ 需:
· 監控 Kelp DAO 官方 Twitter/Discord 以獲取修復公告。
· 使用撤銷工具 (Etherscan 的代幣批准檢查器安全),撤銷與 rsETH 相關合約的授權。
· 將剩餘非 rsETH 資金轉移到一個使用不同種子短語的新錢包,以作為預防措施。
❌ 不要:
· 點擊任何未經請求的“退款”或“恢復”鏈接——這些都是詐騙。
· 與任何聲稱是官方替代品的新的 rsETH “包裝”代幣互動。
· 與任何聲稱能幫助你的個人分享你的私鑰或種子短語。
---
6. 團隊目前的行動
Kelp DAO 已確認:
· 安全修復正在審核中。預計在 48–72 小時內推出。
· 正在起草一份賠償計劃,使用金庫的保險基金。
· 與 Chainalysis 和執法部門合作,追蹤被盜資金的取證調查仍在進行中。
· 已將原始漏洞披露的賞金提高至 $500k 。
團隊也已輪換所有管理多簽簽名者,並對關鍵功能實施了時間鎖。
---
7. 對 DeFi 生態系統的啟示
此次攻擊突顯了三個反覆出現的問題:
1. 預言機複雜性——依賴單一的 TWAP 預言機且沒有備用方案是危險的。協議必須使用多個預言機來源 + 電路斷路器。
2. 重入保護——儘管使用了標準的 OpenZeppelin 的 ReentrancyGuard,但仍有自定義邏輯漏洞。正式驗證本可以捕捉到這些問題。
3. 閃電貸風險——任何一個流動性較低的池子都容易受到價格操縱。應強制執行最低流動性門檻。
對開發者:始終在提款/鑄造功能上運行不變性模糊測試。對用戶:分散投資不同的 LST 協議——切勿將所有資金集中在一個再質押代幣中。
---
8. 狀態更新 (截至撰寫時)
指標 狀態
rsETH 贖回 ❌ 暫停
新 rsETH 鑄造 ❌ 暫停
在 DEX 上交易 ⚠️ 99% 滑點——請勿交易
團隊溝通 ✅ 活躍,每小時
恢復計劃 🟡 起草中
資金已返還 $0 至今
---
9. 常見問題
問:rsETH 會恢復到 1 美元嗎?
答:可能在修復和重新掛鉤機制 (例如金庫回購) 之後。然而,如果被盜資金未能追回,團隊可能會選擇重新推出新代幣。
問:我損失了資金,我該怎麼辦?
答:向本地的網絡犯罪單位報案。此外,監控 Kelp DAO 官方的賠償申請入口 (無鏈接——請手動搜尋其經過驗證的域名)。
問:這是內部人作案嗎?
答:目前沒有證據。攻擊者使用了高級的跨鏈橋技術,暗示是一個專業團隊。
問:我現在可以做空 rsETH 嗎?
答:做空一個已暫停且流動性不足的代幣風險極高。許多 DEX 借貸市場已經凍結了 rsETH 作為抵押品。
---
10. 最終警告
🚨 大型黑客事件後詐騙猖獗。
假冒的“rsETH 恢復”網站、冒充帳戶承諾“解鎖你的資金”、釣魚私信已經開始被報告。請記住:
· 沒有任何正規團隊會要求你的種子短語。
· 不需要“燃氣退款”或“驗證”交易來提取資金。
· 始終從官方 GitHub 或經過驗證的 Etherscan 來源仔細核對合約地址。
保持安全,保持警覺,避免在恐慌時匆忙操作交易。