#rsETHAttackUpdate

A Exploração do rsETH: Uma Análise Profunda do Maior Hack de DeFi em 2026

Em 18 de abril de 2026, aproximadamente às 17:35 UTC, o ecossistema de finanças descentralizadas testemunhou o que se tornou a maior exploração do ano, quando atacantes drenaram aproximadamente 116.500 tokens rsETH do ponte LayerZero da Kelp DAO, representando cerca de $292 milhões em valor e cerca de 18% do fornecimento circulante do token. Este incidente enviou ondas de choque por todo o panorama DeFi, desencadeando respostas de emergência em múltiplos protocolos e expondo vulnerabilidades críticas na arquitetura de pontes entre cadeias.

**Como o Ataque Aconteceu**

A exploração visou a rota rsETH LayerZero V2 Unichain para Ethereum, que foi configurada com uma falha de segurança crítica: uma configuração de Rede de Verificadores Descentralizados (DVN) de 1-para-1. O atacante conseguiu forjar um pacote de entrada de Unichain para Ethereum que foi verificado por uma única atestação DVN sem nenhuma transação de queima correspondente do lado de origem. Este pacote malicioso, contendo nonce 308, enganou o RSETH_OFTAdapter do lado Ethereum a liberar 116.500 rsETH para o endereço controlado pelo atacante.

A invariância fundamental da ponte — de que a quantidade de rsETH bloqueada no adaptador Ethereum deve sempre ser maior ou igual ao total de rsETH cunhado em todas as cadeias remotas — foi quebrada. O saldo do adaptador despencou de 116.723 rsETH para apenas 223 rsETH em um único bloco. O atacante tentou um segundo pacote forjado (nonce 309) para mais 40.000 rsETH, mas essa execução foi revertida porque a Kelp já havia iniciado protocolos de congelamento de emergência.

**A Estratégia de Contaminação do DeFi**

Em vez de simplesmente manter os ativos roubados, o atacante executou uma estratégia sofisticada para maximizar o valor da extração. Em minutos, os 116.500 rsETH foram distribuídos por sete endereços de ramificação. De lá, os fundos seguiram caminhos divergentes: alguns foram fornecidos como garantia no Aave V3 na rede principal do Ethereum, outros foram bridged para Arbitrum para abrir posições nessa cadeia, e alguns foram roteados por canais alternativos.

O atacante depositou 89.567 rsETH nos mercados do Aave, tomando emprestado aproximadamente 82.650 WETH no valor de 190,86 milhões de dólares e 821 wstETH no valor de 2,33 milhões de dólares. Os fatores de saúde dessas posições ficaram entre 1,01 e 1,03, indicando que foram deliberadamente mantidos próximos aos limites de liquidação para maximizar a alavancagem enquanto evitavam liquidações forçadas.

**Respostas Imediatas dos Protocolos**

Os mecanismos de defesa do Aave ativaram-se horas após a exploração. Aproximadamente às 19:00 UTC de 18 de abril, o Guardião do Protocolo congelou todas as reservas de rsETH e wrsETH em todas as implantações do Aave V3, zerando as proporções de empréstimo para valor. Essa ação desativou novas ofertas e empréstimos, preservando as capacidades de gestão de posições existentes. Os mercados afetados incluíram Ethereum Core, Ethereum Prime, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma e zkSync.

O Gestor de Risco implementou ajustes nas taxas de juros em várias cadeias, reduzindo a Slope2 para 1,50% e diminuindo as taxas de empréstimo a 100% de utilização de 8,5-10,5% para 3,0% APR para garantir sustentabilidade. Até 20 de abril, o WETH foi congelado no Core, Prime, Arbitrum, Base, Mantle e Linea para evitar que o risco se espalhasse para outras reservas, incluindo stablecoins.

Outros protocolos também agiram rapidamente. SparkLend, Fluid e Upshift pausaram seus mercados de rsETH. A Upshift especificamente interrompeu depósitos e retiradas de seus cofres de Crescimento Alto ETH e Kelp Gain, embora seus produtos USDC e AUSD tenham permanecido inalterados devido à ausência de exposição ao rsETH.

**Exposição Financeira Atual e Cenários de Dívida Ruim**

Segundo os relatórios mais recentes, nenhuma decisão oficial da Kelp sobre alocação de perdas ou recuperação foi confirmada publicamente. O saldo atual do adaptador de 40.373 rsETH representa o único respaldo confirmado para todo o rsETH de cadeias remotas em todos os caminhos de L2, contra reivindicações remotas totais de 152.577 rsETH. Isso cria uma lacuna de respaldo significativa que pode impactar as avaliações dos tokens em todo o ecossistema.

As variáveis abertas que afetam a resolução final incluem o limite de socialização — se alguma redução de valor se aplica a todos os detentores de rsETH ou apenas àqueles nas cadeias afetadas, o que por si só altera o impacto por token em aproximadamente cinco vezes — o tamanho e o momento de qualquer recuperação ou recapitalização, os mecanismos de precificação de resgate e o tratamento do rsETH cunhado via a rota comprometida da ponte.

**Esforços de Recuperação em Toda a Indústria**

A resposta a essa crise demonstrou a natureza colaborativa do ecossistema DeFi. Um fundo de recuperação coordenado "DeFi United" foi lançado com contribuições significativas de grandes players. A Fundação Golem e a Factory comprometeram 1.000 ETH, enquanto a Lido Labs comprometeu 5,7 milhões de dólares. O fundador do Aave, Stani Kulechov, contribuiu pessoalmente com 5.000 ETH para os esforços de recuperação. A Fundação Ink forneceu respaldo não divulgado para os esforços de restauração, e mais de 1.800 participantes da comunidade votaram unanimemente pelo plano de resgate.

**Impacto no Mercado e Riscos Contínuos**

A exploração desencadeou mais de $10 bilhões em retiradas do Aave, com taxas de utilização nos pools de USDC, USDT e wETH atingindo 100%. O token AAVE sofreu uma queda de aproximadamente 11% após o incidente. O próprio token rsETH despegou significativamente, sendo negociado a valores tão baixos quanto $1.723 em certos momentos.

Apesar da gravidade, a situação estabilizou-se graças à ação coordenada da comunidade DeFi. Os mercados permanecem colateralizados apesar da alta utilização, com foco agora na restauração ordenada do respaldo do rsETH. No entanto, os usuários devem monitorar canais oficiais da Kelp DAO, Aave e LayerZero para resoluções finais, pois a situação continua evoluindo.

**Lições e Implicações**

Este incidente expõe vulnerabilidades fundamentais na arquitetura de pontes entre cadeias, especialmente os riscos associados às configurações de DVN de ponto único de falha. O design de restaking do rsETH amplificou esses riscos, destacando como vulnerabilidades de colateral podem se propagar por protocolos DeFi interconectados. O ataque demonstra a importância crítica de verificações multi-assinatura, sistemas de monitoramento robustos e capacidades de resposta rápida na infraestrutura de finanças descentralizadas.

A exploração do rsETH serve como um lembrete contundente de que, embora o DeFi ofereça inovação financeira sem precedentes, também carrega riscos técnicos significativos que exigem vigilância constante, práticas de segurança robustas e mecanismos de resposta comunitária coordenados para serem enfrentados de forma eficaz.