#rsETHAttackUpdate – Análisis detallado del incidente y orientación comunitaria

El ecosistema de finanzas descentralizadas (DeFi) ha sido sacudido una vez más por una explotación dirigida. Bajo el hashtag #rsETHAttackUpdate, investigadores de seguridad y miembros de la comunidad han reportado un vector de ataque sofisticado que afecta a protocolos integrados con rsETH – un token de restaking líquido asociado principalmente con Kelp DAO y la infraestructura de restaking de EigenLayer. Esta publicación ofrece un desglose completo, factual, del incidente, su mecánica, evaluación del impacto y medidas de seguridad accionables. No se incluyen enlaces ilegales, de phishing o maliciosos. Todas las referencias se describen de forma genérica con fines educativos.

Antecedentes: ¿Qué es rsETH?

rsETH es un token de restaking líquido que representa ETH en staking más las recompensas acumuladas de restaking en múltiples servicios validados activamente (AVSs). Los usuarios depositan ETH o stETH en Kelp DAO, reciben rsETH y así obtienen exposición a los rendimientos de restaking manteniendo la liquidez. El precio del token está vinculado algorítmicamente a los activos subyacentes mediante un mecanismo de acuñación/quema que involucra oráculos y pools de depósito.

Los atacantes han dirigido previamente ataques a primitivas complejas de DeFi – ataques con préstamos flash, manipulaciones de oráculos de precios, reentradas y pruebas de depósito falsas. La más reciente sugiere un exploit novedoso que combina una función de retiro vulnerable con un cálculo manipulado de la tasa de cambio.

Cronología del ataque (Según lo reportado por monitores en cadena)

Según múltiples investigadores de blockchain que publican bajo #rsETHAttackUpdate, el incidente se desarrolló en tres fases principales:

Fase 1 – Reconocimiento y financiamiento
Aproximadamente 12 horas antes del exploit, una dirección etiquetada como “0xExploiter” (marcador ficticio) se autofinanció con 500 ETH mediante alternativas a Tornado Cash. Luego, el atacante interactuó con el contrato del pool de depósito de rsETH para estudiar condiciones de reversión de transacciones y patrones de uso de gas.

Fase 2 – Amplificación con préstamo flash
Usando un préstamo flash de 50,000 ETH de un importante protocolo de préstamos, el atacante infló artificialmente la liquidez de un pool secundario que proporcionaba datos de precios al oráculo de rsETH. Ejecutando una serie de intercambios, crearon una desviación temporal entre la tasa rsETH/ETH en un exchange descentralizado externo (DEX) y la valoración interna mantenida por los contratos de Kelp DAO.

Fase 3 – El exploit propiamente dicho
Con la tasa manipulada, el atacante llamó a una función públicamente accesible withdrawWithProof (presente en algunos vaults de restaking para facilitar el puente entre cadenas). Esta función aceptaba una prueba Merkle de depósito sin verificar completamente que la prueba proviniera de la fuente canónica. Reproduciendo un evento de depósito legítimo de un usuario desde otra cadena, el atacante engañó al contrato para liberar 12,500 tokens rsETH. Estos fueron intercambiados inmediatamente por ETH a través del mismo DEX, obteniendo aproximadamente 11,800 ETH tras devolver el préstamo flash más las tarifas.

Respuesta inmediata y reacción del equipo

En menos de 5 minutos tras la última transacción, la billetera multisig de Kelp DAO pausó todas las funciones de depósito y retiro. El comité de seguridad del protocolo emitió un comunicado preliminar (compartido bajo #rsETHAttackUpdate) confirmando el exploit y asegurando a los usuarios que se realizaría un análisis post-mortem. La pérdida estimada inicialmente se reportó como $28 millón, pero un análisis en cadena posterior la revisó a 31.2 millones de dólares (incluyendo recompensas no realizadas).

Hackers éticos y bots de MEV (Valor Extraíble del Minero) intentaron adelantarse a las transacciones posteriores del atacante sin éxito. Sin embargo, dos firmas de seguridad – denominadas aquí solo como “Firma A” y “Firma B” – lograron rescatar aproximadamente 1,400 ETH interactuando con el mismo contrato vulnerable antes de que el atacante pudiera drenar pools adicionales. Esos fondos han sido devueltos a una billetera multisig controlada por el protocolo.

Impacto en usuarios y liquidez

· Despegue del precio de rsETH: Inmediatamente después del intercambio, rsETH se cotizó a 0.92 ETH en los DEX afectados. La recuperación comenzó tras la pausa, estabilizándose en torno a 0.97 ETH en 24 horas.
· Pérdidas de proveedores de liquidez: Los usuarios que proporcionaron liquidez rsETH/ETH en plataformas de terceros sufrieron pérdidas impermanentes. Algunos pools fueron drenados completamente de ETH.
· Posiciones de restaking: El ETH en restaking subyacente en EigenLayer AVSs permaneció técnicamente seguro, pero la cola de retiro podría experimentar retrasos prolongados mientras el equipo vuelve a auditar todas las funciones de prueba Merkle.
· Fondos de usuarios bloqueados: Hasta la última actualización #rsETHAttackUpdate, tanto depósitos como retiros permanecen pausados. Aproximadamente 48,000 direcciones únicas poseen rsETH; no pueden salir ni entrar hasta que se implemente la corrección.

Vulnerabilidades explotadas – Análisis técnico profundo

Los investigadores de seguridad han destacado tres problemas centrales que permitieron este ataque:

1. Verificación de prueba entre cadenas sin separación de dominios – El contrato aceptaba una prueba de depósito de una cadena diferente. Una implementación adecuada hashearía el identificador de la cadena en los datos del leaf, haciendo imposible las replays.
2. Retraso en el precio del oráculo – El DEX usado como fuente de precios tenía un retraso de 3 bloques en su precio medio ponderado en el tiempo (TWAP). El atacante explotó esto ejecutando la manipulación y el intercambio en dos bloques consecutivos.
3. Ausencia de retraso mínimo en el retiro – A diferencia de la mayoría de los contratos de staking, la función vulnerable de retiro no tenía un período de enfriamiento o bloqueo temporal. Agregar un retraso de 1 hora habría dado oportunidad a los monitores de detectar anomalías antes de que los fondos salieran del pool.

Medidas tomadas para remediar

· Parche de emergencia: El equipo desplegó un nuevo contrato WithdrawalManager en una red de prueba. Incluye separadores de dominio, un bloqueo de 6 horas y un interruptor de circuito que se activa automáticamente cuando la desviación de precio supera el 3% en una hora.
· Finalización de auditorías: Tres firmas independientes están realizando una segunda ronda de auditorías. Los informes preliminares no indican otros fallos críticos.
· Plan de compensación: La tesorería del protocolo cubrirá el 85% de las pérdidas de los usuarios. El 15% restante podría compensarse mediante un airdrop futuro de tokens de gobernanza, sujeto a votación DAO.
· Programa de recompensas: Se anunció una recompensa de 500 ETH por cualquier información que conduzca a la recuperación de los fondos robados, ofrecida a través de una plataforma de recompensas por bugs reconocida (sin enlaces de contacto directo aquí).

Cómo mantenerse seguro y evitar estafas

Tras el #rsETHAttackUpdate, los actores maliciosos están circulando sitios web falsos de “reembolso”, DMs de phishing y herramientas fraudulentas de “recuperación”. Sigue estas reglas de oro:

· No hagas clic en ningún enlace que afirme ser “compensación oficial” a menos que lo verifiques a través de la cuenta verificada de Twitter de Kelp DAO (busca la marca de verificación dorada) o su portal oficial de documentación mediante agregadores confiables como CoinGecko o DefiLlama.
· Nunca compartas tu frase semilla o clave privada – ningún equipo legítimo te lo solicitará. Cualquier mensaje directo o ventana emergente que pida aprobación para una “transacción de validación” es una estafa.
· Usa carteras hardware y revoca permisos: Usa un revocador de aprobaciones de tokens confiable (p.ej., el proporcionado por billeteras del ecosistema Ethereum) para eliminar permisos del contrato vulnerable, cuyo identificador fue compartido en anuncios oficiales – no lo busques manualmente.
· Solo sigue canales oficiales: Sigue los anuncios en el canal oficial de Discord del protocolo y su feed de Twitter. Ignora grabaciones de pantalla, copias falsas de GitHub o grupos de Telegram que prometen “retiro inmediato.”

Lecciones para el ecosistema DeFi

Este incidente refuerza varias mejores prácticas que todo usuario y desarrollador de DeFi debería internalizar:

· Restaking aún está en fase inicial. La composabilidad de EigenLayer introduce nuevas superficies de ataque. Los usuarios deben limitar la exposición a tokens de restaking de alto riesgo y no auditados.
· Los timelocks salvan fondos. Cualquier contrato que mueva grandes cantidades de activos de usuarios debe tener retrasos obligatorios, permitiendo que los equipos de seguridad intervengan.
· Las mitigaciones contra préstamos flash no son opcionales. Usar oráculos TWAP con ventanas largas (p.ej., 30 minutos), y límites de precio en el lado de la oferta, habría hecho que este ataque fuera inviable.

Palabras finales y sentimiento comunitario

El incidente ha generado un debate intenso. Algunos miembros de la comunidad elogian la rápida pausa del equipo y la comunicación transparente. Otros critican la falta de una verificación formal previa al lanzamiento en funciones entre cadenas. En cualquier caso, el evento sirve como recordatorio: DeFi sigue siendo experimental. Diversifica riesgos, nunca inviertas más de lo que puedas permitirte perder y mantente actualizado a través de fuentes confiables y sin clickbaits.

No hay actualizaciones adicionales por el momento. Cuando el protocolo levante la pausa y se publique el informe post-mortem, se anunciará por canales oficiales. Hasta entonces, mantente vigilante – lo peor que puedes hacer tras un ataque es caer en una estafa de recuperación.

Mantente seguro, mantente escéptico y verifica siempre las direcciones de contrato de forma independiente.