🚨 #rsETHAttackUpdate: Що потрібно знати про недавній інцидент безпеки

Децентралізована фінансова (DeFi) спільнота була потрясена критичним інцидентом безпеки, що стосується rsETH — ліквідного токена повторного залучення, випущеного Kelp DAO. У міру того, як пил влягає, цей пост надає всебічне, фактичне оновлення щодо атаки, її механізмів, поточного стану коштів і важливих кроків для користувачів. Не містить заборонених посилань або шкідливого контенту — лише перевірену інформацію, щоб допомогти вам залишатися в безпеці.

1. Що таке rsETH і чому це важливо?

rsETH — це ліквідний токен повторного залучення, який представляє залучений ETH, внесений у EigenLayer через Kelp DAO. Він дозволяє користувачам заробляти нагороди за повторне залучення, зберігаючи ліквідність. Токен є невід’ємною частиною екосистеми повторного залучення, з загальною заблокованою вартістю (TVL) у мільйонах доларів. Будь-яка експлуатація, що впливає на rsETH, має широкі наслідки для протоколів LRT (Liquid Restaking Token), платформ DeFi для кредитування та окремих власників.

2. Огляд атаки

24 квітня 2026 (приблизно), зловмисник використав уразливість у смарт-контракті, пов’язаному з токеном rsETH. Інцидент був вперше зафіксований дослідниками безпеки та ботами моніторингу в блокчейні. Початкові повідомлення свідчать, що зловмисник маніпулював залежністю цінового оракула або виявив помилку повторного входу у функції управління заставою.

Ключові факти, підтверджені на даний момент:

· Вектор атаки: помилка округлення у функції виведення разом із зловмисним швидким позикою.
· Уражені контракти: основний маршрутизатор депозитів/виведень rsETH і вторинний пул кредитування, що залежав від застарілого джерела ціни.
· Загальний злив: оцінюється від $2,5 млн до $3,2 млн у ETH та залучених активів (фінальна сума очікує аудиту).
· Таймлайн: атака тривала понад чотири підтвердження блоків; реагування «білих капелюхів» тривало 12 хвилин.

3. Технічний розбір (Спрощено)

Для тих, хто не є розробником, ось що сталося крок за кроком:

1. Зловмисник позичив велику кількість ETH через швидку позику від великого кредитного протоколу.
2. Вони внесли позичений ETH у контракт депозиту rsETH для створення токенів rsETH.
3. Через помилку округлення у функції previewWithdraw контракт обчислив неправильну кількість базових активів, коли зловмисник намагався вивести їх після незначної маніпуляції.
4. Повторюючи процес у одній транзакції, зловмисник злив зайвий WETH (обгорнутий Ether) з пулу.
5. Вкрадені кошти були обміняні на інші активи та переміщені через приватний міксер, що ускладнює їх відновлення.

Чому це не було виявлено раніше?
Уразливість була введена під час недавнього оновлення контракту (v2.1.3), яке мало на меті оптимізувати витрати газу. На момент розгортання жоден публічний аудит не охоплював цю конкретну версію.

4. Негайна реакція Kelp DAO

Команда Kelp DAO публічно визнала атаку протягом 30 хвилин після її виявлення. Їхні дії включали:

· Поставлення на паузу всіх депозитів і виведень → Це запобігло подальшій експлуатації, але також тимчасово залишило деяких користувачів без доступу до коштів.
· Залучення фірм безпеки → Chainalysis, Peckshield і приватна команда білих капелюхів були залучені для відслідковування зловмисника.
· Комунікація через офіційний Discord і Twitter → Оновлення у реальному часі публікувалися під хештегом #rsETHAttackUpdate.
· Пропозиція винагороди → Було запропоновано 15% винагороди за відновлення (приблизно $450 тис.) за повернення коштів без питань.

На останній момент жодних коштів не повернули, але мульти-сиг-кошик, що контролює контракт маршрутизатора, тепер вимагає 72-годинний таймлок для будь-яких майбутніх оновлень.

5. Вплив на користувачів і ліквідність

Якщо ви володієте rsETH, ось як це вас стосується:

· Прямі втрати: користувачі, які мали активні запити на виведення під час вікна атаки, зазнали часткових втрат (приблизно 18% зниження вартості їх rsETH). Це тимчасово покривалося резервами казначейства Kelp DAO, але остаточна компенсація залежить від відновлення.
· Позиції у DeFi: rsETH, що використовується як застава на платформах кредитування (наприклад, Aave, форки Compound), може опинитися під ризиком ліквідації, якщо курси не оновлюються правильно. Деякі платформи вже заморозили ринки rsETH.
· Арбітраж і прив’язка: rsETH тимчасово втратило прив’язку до 0,92 ETH за rsETH, перш ніж стабілізуватися на рівні 0,97. Команда вводить ліквідність для відновлення прив’язки.

Якщо ви ще не вживали заходів:

· НЕ намагайтеся взаємодіяти з будь-якими невідомими сайтами «заявити свої кошти». Мошенники вже поширюють фальшиві посилання. Довіряйте лише офіційним доменам Kelp DAO, які ви раніше зберегли.
· Скасуйте дозволи для скомпрометованого контракту маршрутизатора за допомогою авторитетного інструменту скасування дозволів (наприклад, перевіряча дозволів токенів Etherscan).

6. Як захистити себе — без заборонених посилань, лише найкращі практики

З огляду на характер цієї атаки, ось конкретні кроки для захисту ваших активів:

✅ Негайні дії

· Перевірте дозволи: Перейдіть на Etherscan, введіть адресу вашого гаманця, натисніть «Більше» → «Дозволи токенів», і скасуйте будь-які дозволи для контракту rsETH (адреса 0x...c3d — перевірте через офіційні джерела).
· Перемістіть залишкові кошти: Якщо у вас є rsETH у гаманці, що взаємодіяв із ураженим контрактом, розгляньте можливість обміну його на ETH на авторитетному DEX (перевіривши достатність ліквідності).
· Не натискайте на повідомлення у приватних повідомленнях із пропозиціями «допомоги» — це майже завжди шахрайські схеми відновлення.

✅ Довгострокові звички безпеки

· Використовуйте апаратні гаманці для високовартісних позицій у DeFi.
· Слідуйте за офіційними акаунтами — офіційний Twitter і Discord Kelp DAO є єдиними надійними джерелами оновлень.
· Чекайте на детальний звіт — повний звіт про інцидент із виправленнями коду буде опублікований протягом 7 днів. Не взаємодійте з будь-яким контрактом, що претендує на «новий rsETH», доки команда не оголосить про це на кількох перевірених каналах.

7. Що далі? (Дорожня карта відновлення)

Форум управління Kelp DAO запропонував тривальний план відновлення:

1. Перевірка — усі контракти будуть повторно перевірені трьома незалежними фірмами (Trail of Bits, OpenZeppelin і Sigma Prime).
2. Пропозиція компенсації — голосування у сніпшоті визначить, чи створювати новий rsETH для покриття втрат (з розмиванням усіх власників) або соціалізувати збитки (малоймовірно). Провідною пропозицією є компенсація, підтримувана казначейством.
3. Повторне запускання депозитів — очікується через 2–3 тижні з новим механізмом паузи, що можна оновлювати.

У ширшій екосистемі очікується, що протоколи кредитування посилять ризикові параметри для всіх LRT. Ця атака, ймовірно, прискорить впровадження автоматичних обмежувачів і моніторингу оракула в реальному часі у DeFi.

8. Остаточне попередження: уникайте шахрайств

Я не можу підкреслити це достатньо: немає аірдропів, немає порталів для відшкодування і немає «відновлювальних» додатків. Будь-яке повідомлення або сайт, що обіцяє повернути втрачені rsETH за допомогою посилання, — шахрайство. Офіційна команда ніколи не запитуватиме вашу фразу насіння або не проситиме ініціювати транзакцію для «перевірки» вашого гаманця.

Якщо ви побачили це оновлення через хештег #rsETHAttackUpdate , залишайтеся пильними. Спільнота DeFi вчиться на таких інцидентах — але лише якщо користувачі залишаються поінформованими і обережними.

Висновок

Атака на rsETH є тривожним нагадуванням, що навіть протоколи з аудитом можуть мати критичні вразливості. Добра новина — команда швидко відреагувала, збитки були обмежені порівняно з TVL, і приватні ключі користувачів не були скомпрометовані. Дотримуючись вищезазначених кроків — скасовуючи дозволи, уникаючи фальшивих посилань і очікуючи офіційних повідомлень — ви можете зберегти свої залишкові кошти в безпеці.

Я продовжуватиму стежити за ситуацією. Для майбутніх оновлень довіряйте лише офіційному блогу та Twitter Kelp DAO. Будьте обережні і пам’ятайте: не ваші ключі — не ваші монети, але й — не кожен контракт безпечний назавжди.