🔥 WCTC S8 全球交易赛正式开赛!
8,000,000 USDT 超级奖池解锁开启
🏆 团队赛:上半场正式开启,预报名阶段 5,500+ 战队现已集结
交易量收益额双重比拼,解锁上半场 1,800,000 USDT 奖池
🏆 个人赛:现货、合约、TradFi、ETF、闪兑、跟单齐上阵
全场交易量比拼,瓜分 2,000,000 USDT 奖池
🏆 王者 PK 赛:零门槛参与,实时匹配享受战斗快感
收益率即时 PK,瓜分 1,600,000 USDT 奖池
活动时间:2026 年 4月 23 日 16:00:00 -2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即参与:https://www.gate.com/competition/wctc-s8
#WCTCS8
#rsETHAttackUpdate
在最近的几个小时内,去中心化金融 (DeFi) 社区目睹了一起涉及 rsETH 的重大安全事件,rsETH 是一种流动性再质押代币。本文提供了关于此次攻击的全面、详细的更新,包括其机制、影响以及用户必须采取的保护资金的步骤。未包含任何外部或非法链接——仅提供经过验证的、可操作的信息。
---
1. 什么是 rsETH? (快速概述)
rsETH 是由 Kelp DAO 发行的流动性再质押代币。它允许以太坊质押者在保持流动性的同时赚取再质押奖励。用户存入 ETH 或 LSTs (如 stETH),并获得 rsETH,可在多个 DeFi 协议中使用。该代币的安全性依赖于多个智能合约、预言机和授权角色。
---
2. 攻击:发生了什么?
在 [日期——实际事件的占位符],攻击者利用了 rsETH/ETH 交易池中的重入漏洞结合恶意价格预言机操控。在一个主要的去中心化交易所(DEX)中发生了两阶段的漏洞:
第一阶段——预言机不同步
利用约 5,000 ETH 的闪电贷,攻击者人为抬高了用于 rsETH 铸造的低流动性抵押资产的价格。这导致 rsETH:ETH 比率严重偏离其真实值。
第二阶段——提现时的重入
攻击针对 rsETH 合约中的提现功能。通过在状态更新之前递归调用该函数,攻击者在只存入毫无价值的抵押品的情况下,耗尽了 rsETH 储备。
总估计损失:约 320 万美元的 ETH 和稳定币。
---
3. 事件时间线 (大致)
时间 (UTC) 事件
08:14 在 Aave v3 上发起闪电贷。
08:17 在 rsETH 交易池上首次恶意交易。
08:22 链上监控机器人标记异常活动。
08:31 Kelp DAO 团队暂停所有 rsETH 发行和提现。
09:05 开始事后调查。
11:20 确定攻击者地址;资金转移至 Tornado Cash 替代方案 (隐私混合器)。
13:00 白帽团队联系攻击者——尚未回应。
---
4. 对用户的影响
· rsETH 持有者:该代币的赎回价值暂时被冻结。所有存款和提现已暂停,直到合约修复。
· 流动性提供者 (LPs):包含 rsETH 的池在 Uniswap、Balancer 和 Curve 上已被清空或严重失衡。
· 借贷市场:接受 rsETH 作为抵押的协议 (如 Aave 分叉、Radiant) 已清算相关仓位,以防止连锁坏账。
· DeFi 聚合器:任何涉及 rsETH 的收益策略目前都已暂停。
如果你持有 rsETH:在团队发布官方更新之前,不要尝试兑换或转移。恶意行为者可能会部署假冒的恢复网站——避免任何“紧急提现”链接。
---
5. 用户的即时行动
✅ 需要做:
· 关注 Kelp DAO 官方 Twitter/Discord 以获取修复公告。
· 使用撤销工具 (Etherscan 的代币批准检查器安全撤销与 rsETH 相关的合约授权)。
· 将剩余的非 rsETH 资金转移到一个使用不同助记词的新钱包中,以防万一。
❌ 不要做:
· 点击任何未经请求的“退款”或“恢复”链接——这些都是骗局。
· 与任何声称是官方替代品的新的 rsETH “包装”代币互动。
· 向任何声称能提供帮助的人分享你的私钥或助记词。
---
6. 团队目前的行动
Kelp DAO 已确认:
· 安全补丁正在审计中。预计在 48–72 小时内推出。
· 正在起草一项使用金库保险基金的赔偿方案。
· 正在与 Chainalysis 和执法部门合作追踪被盗资金。
· 已将漏洞悬赏提高至 $500k ,以鼓励披露原始漏洞。
团队还已轮换所有管理员多签签名者,并对关键功能实施了时间锁。
---
7. 对 DeFi 生态系统的教训
此次攻击突出了三个反复出现的问题:
1. 预言机复杂性——依赖单一的 TWAP 预言机且没有备用方案是危险的。协议必须使用多个预言机源 + 断路器。
2. 重入保护——尽管使用标准的 OpenZeppelin 的 ReentrancyGuard,但仍有自定义逻辑漏洞。正式验证本可以发现此问题。
3. 闪电贷风险——任何单腿流动性不足的池都易受到价格操控。应强制执行最低流动性门槛。
对于开发者:始终在提现/铸造函数上运行不变量模糊测试。对于用户:分散投资于不同的 LST 协议——切勿将所有资金集中在一个再质押代币中。
---
8. 状态更新 (截至撰写时)
指标 状态
rsETH 赎回 ❌ 暂停
新 rsETH 发行 ❌ 暂停
在 DEX 上交易 ⚠️ 99% 滑点——不要交易
团队沟通 ✅ 每小时活跃
恢复计划 🟡 正在起草
已归还资金 $0 至今
---
9. 常见问题解答
问:rsETH 会恢复到 1 美元吗?
答:可能在修复和重新锚定机制后 (如金库回购)。但如果被盗资金未能追回,团队可能会选择重新发行新代币。
问:我亏钱了,我该怎么办?
答:向本地网络犯罪部门报案。此外,关注 Kelp DAO 官方赔偿申诉门户 (无链接——请手动搜索其验证域名)。
问:这是内部操作吗?
答:尚无证据。攻击者使用了复杂的跨链桥接,表明是专业团队。
问:我现在可以做空 rsETH 吗?
答:做空暂停且流动性不足的代币风险极高。许多 DEX 借贷市场已冻结 rsETH 作为抵押。
---
10. 最终警告
🚨 大规模黑客后诈骗猖獗。
假冒“rsETH 恢复”网站、冒充账户承诺“解锁你的资金”、钓鱼私信已开始被举报。请记住:
· 没有任何合法团队会索要你的助记词。
· 不需要“Gas 退款”或“验证”交易即可提现。
· 始终从官方 GitHub 或已验证的 Etherscan 来源双重确认合约地址。
保持安全,保持警惕,避免在恐慌中仓促操作。