広場
最新
注目
ニュース
プロフィール
ポスト
Raveena
2026-04-24 03:57:58
フォロー
🚨
#rsETHAttackUpdate:
最近のセキュリティインシデントについて知っておくべきこと
分散型金融 (DeFi) コミュニティは、Kelp DAOが発行する流動性リステーキングトークンrsETHに関わる重大なセキュリティ事件によって揺るがされました。事態が落ち着く中、この投稿では攻撃の詳細、仕組み、資金の現状、ユーザーにとって重要な対策を包括的かつ事実に基づいて更新します。違法なリンクや悪意のある内容は含まれておらず、安全に関する検証済みの情報のみを提供します。
1. rsETHとは何か、なぜ重要なのか?
rsETHは、Kelp DAOを通じてEigenLayerに預けられたステーキングETHを表す流動性リステーキングトークンです。これにより、ユーザーは流動性を維持しながらリステーキング報酬を得ることができます。このトークンはリステーキングエコシステムの中核をなしており、総ロック資産額(TVL)は数百万ドルに上ります。rsETHに影響を与える脆弱性は、LRT(リキッドリステーキングトークン)プロトコルやDeFiレンディングプラットフォーム、個々の保有者に広範な影響を及ぼします。
2. 攻撃の概要
2026年4月24日頃、攻撃者はrsETHトークンに関連するスマートコントラクトの脆弱性を突きました。この事件は、セキュリティ研究者やオンチェーン監視ボットによって最初に検知されました。初期報告によると、攻撃者は価格オラクルの依存性や担保管理機能のリエントラシー(再入)脆弱性を操作したと考えられています。
これまでに確認された主な事実は以下の通りです:
· 攻撃手法:引き出し関数の丸め誤差と悪意のあるフラッシュローンの組み合わせ。
· 影響を受けたコントラクト:主要なrsETH預入・引き出しルーターと、古い価格フィードに依存していた二次的なレンディングプール。
· 総流出額:推定250万ドルから320万ドル相当のETHとステーク資産 (最終額は監査待ち)。
· タイムライン:攻撃は4ブロックの確認を経て行われ、ホワイトハッカーは12分以内に対応。
3. 技術的な解説 (簡略版)
非開発者向けに、段階ごとに解説します:
1. 攻撃者は大規模なETHをフラッシュローンで借り入れました。
2. そのETHをrsETH預入コントラクトに預けてrsETHトークンを発行。
3. 事前引き出し(previewWithdraw)関数の丸めバグにより、攻撃者が少し操作しただけで基礎資産の計算が誤り、誤った金額が算出されました。
4. 一つの取引内でこの操作を繰り返し、プールから過剰なWETH(ラップドEther)を引き出しました。
5. 盗まれた資金は他の資産に交換され、プライバシーミキサーを経由して追跡や回収を困難にしました。
なぜ早期に発見されなかったのか?
この脆弱性は、ガスコスト最適化を目的とした最近のコントラクトアップグレード (v2.1.3) で導入されましたが、そのバージョンに関する公開監査報告は当時存在しませんでした。
4. Kelp DAOの即時対応
Kelp DAOチームは、検知後30分以内に公式に攻撃を認めました。対応内容は以下の通りです:
· 全ての預入・引き出しを一時停止 → これによりさらなる悪用を防止した一方、一部ユーザーは一時的に資金アクセスが制限されました。
· セキュリティ企業の関与 → Chainalysis、Peckshield、プライベートホワイトハットチームを招き、攻撃者の追跡を開始。
· DiscordやTwitterでの公式発表 →
#rsETHAttackUpdate
ハッシュタグの下でリアルタイムの情報を公開。
· 賞金提供 → 15%のホワイトハットリカバリーボーナス (約45万ドル) が資金返還のために提供され、質問は受け付けません。
最新の状況では、資金は未返還ですが、ルーターコントラクトを管理するマルチシグウォレットには今後のアップグレードに72時間のタイムロックが設定されています。
5. ユーザーと流動性への影響
rsETHを保有している場合、以下のような影響があります:
· 直接的な損失:攻撃中に引き出しリクエストを出していたユーザーは、rsETHの価値が約18%減少する部分的損失を被りました。これは一時的にKelp DAOの準備金で補填されましたが、最終的な補償は回復次第です。
· DeFiポジション:rsETHを担保にしているレンディングプラットフォーム(例:Aave、Compoundフォーク)では、レートの更新が適切に行われない場合、清算リスクが生じる可能性があります。一部のプラットフォームはすでにrsETH市場を凍結しています。
· ペッグ崩壊:rsETHは一時的に0.92 ETHまでペッグから乖離し、その後0.97に安定しました。チームは流動性を注入してペッグを回復しています。
まだ何も行動していない場合は:
· 不明な「資金を請求する」ウェブサイトには絶対にアクセスしないでください。詐欺師が偽リンクを流布しています。信頼できるのは、以前ブックマークした公式のKelp DAOドメインのみです。
· 侵害されたルーターコントラクトの承認を取り消すために、信頼できるトークン承認取り消しツール(例:Etherscanのトークン承認チェッカー)を使用してください。
6. 自己防衛のためのベストプラクティス – 違法リンクなし
この攻撃を踏まえ、資産を守るための具体的な対策は以下の通りです:
✅ 即時の対策
· 承認の確認:Etherscanにアクセスし、ウォレットアドレスを入力、「その他」→「トークン承認」をクリックし、rsETHルーターコントラクト(アドレス 0x...c3d)への承認を取り消す(公式情報で確認)。
· 残高の移動:影響を受けたコントラクトとやり取りしたウォレットにrsETHがある場合は、信頼できるDEXでETHにスワップ(流動性が十分か確認してから)を検討。
· 「ヘルプ」を申し出るDMには絶対に応じない(ほぼ詐欺です)。
✅ 長期的な安全習慣
· 高額なDeFiポジションにはハードウェアウォレットを使用。
· 公式アカウント(Kelp DAOのTwitterやDiscord)だけをフォロー。
· 事後報告を待つ:コード修正を含む完全なインシデントレポートは7日以内に公開予定です。「新しいrsETH」を名乗るコントラクトには絶対に触れない。
7. 今後の展望 (回復のロードマップ)
Kelp DAOのガバナンスフォーラムでは、以下の3段階の回復計画が提案されています:
1. 再監査:三つの独立した監査会社(Trail of Bits、OpenZeppelin、Sigma Prime)による再監査。
2. 補償案:スナップショット投票により、損失を埋めるために新たなrsETHを発行するか(全保有者の希薄化)、損失を社会化するか(可能性は低い)を決定。トレジャリーによる補償案が有力。
3. 預入再開:2〜3週間以内に、新しいアップグレード可能な一時停止メカニズムとともに再開予定。
より広いエコシステムでは、レンディングプロトコルがすべてのLRTのリスクパラメータを引き締める動きが加速する見込みです。この攻撃は、DeFi全体でサーキットブレーカーやリアルタイムのオラクル監視の採用を促進するでしょう。
8. 最終警告:詐欺に注意
これだけは強調します:エアドロップや返金ポータル、「リカバリー」DAppsは存在しません。資金を返すと謳うリンクやメッセージはすべて詐欺です。公式チームは、シードフレーズの要求やウォレットの「検証」のための取引を求めることは絶対にありません。
この(ハッシュタグを見てこの情報にたどり着いた場合は、警戒を怠らないでください。DeFiはこのような事件から学びますが、それはユーザーが情報を得て注意深くいる場合に限ります。
結論
rsETHへの攻撃は、監査済みのプロトコルでも重大な欠陥が存在し得ることを改めて示す警鐘です。良いニュースは、チームが迅速に対応し、損失はTVLに比べて限定的であり、ユーザーの秘密鍵が漏洩しなかったことです。上記の対策(承認の取り消し、偽リンクの回避、公式発表の待機)を守ることで、残りの資金を安全に保つことができます。
今後も状況を注視し続けます。次のアップデートは、Kelp DAOの公式ブログやTwitterのみを信頼してください。安全にお過ごしください。そして忘れないでください:鍵はあなたの手にあってこそ価値があるのです。
ETH
-1.77%
EIGEN
-0.1%
AAVE
1.72%
COMP
2.62%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については
免責事項
をご覧ください。
報酬
いいね
コメント
リポスト
共有
コメント
コメントを追加
コメントを追加
コメント
コメントなし
人気の話題
もっと見る
#
Gate13thAnniversaryLive
1.28M 人気度
#
WCTCTradingChallengeShare8MUSDT
832.06K 人気度
#
IsraelStrikesIranBTCPlunges
30.82K 人気度
#
CryptoMarketSeesVolatility
202.21K 人気度
#
rsETHAttackUpdate
76.96K 人気度
ピン
サイトマップ
🚨 #rsETHAttackUpdate: 最近のセキュリティインシデントについて知っておくべきこと
分散型金融 (DeFi) コミュニティは、Kelp DAOが発行する流動性リステーキングトークンrsETHに関わる重大なセキュリティ事件によって揺るがされました。事態が落ち着く中、この投稿では攻撃の詳細、仕組み、資金の現状、ユーザーにとって重要な対策を包括的かつ事実に基づいて更新します。違法なリンクや悪意のある内容は含まれておらず、安全に関する検証済みの情報のみを提供します。
1. rsETHとは何か、なぜ重要なのか?
rsETHは、Kelp DAOを通じてEigenLayerに預けられたステーキングETHを表す流動性リステーキングトークンです。これにより、ユーザーは流動性を維持しながらリステーキング報酬を得ることができます。このトークンはリステーキングエコシステムの中核をなしており、総ロック資産額(TVL)は数百万ドルに上ります。rsETHに影響を与える脆弱性は、LRT(リキッドリステーキングトークン)プロトコルやDeFiレンディングプラットフォーム、個々の保有者に広範な影響を及ぼします。
2. 攻撃の概要
2026年4月24日頃、攻撃者はrsETHトークンに関連するスマートコントラクトの脆弱性を突きました。この事件は、セキュリティ研究者やオンチェーン監視ボットによって最初に検知されました。初期報告によると、攻撃者は価格オラクルの依存性や担保管理機能のリエントラシー(再入)脆弱性を操作したと考えられています。
これまでに確認された主な事実は以下の通りです:
· 攻撃手法:引き出し関数の丸め誤差と悪意のあるフラッシュローンの組み合わせ。
· 影響を受けたコントラクト:主要なrsETH預入・引き出しルーターと、古い価格フィードに依存していた二次的なレンディングプール。
· 総流出額:推定250万ドルから320万ドル相当のETHとステーク資産 (最終額は監査待ち)。
· タイムライン:攻撃は4ブロックの確認を経て行われ、ホワイトハッカーは12分以内に対応。
3. 技術的な解説 (簡略版)
非開発者向けに、段階ごとに解説します:
1. 攻撃者は大規模なETHをフラッシュローンで借り入れました。
2. そのETHをrsETH預入コントラクトに預けてrsETHトークンを発行。
3. 事前引き出し(previewWithdraw)関数の丸めバグにより、攻撃者が少し操作しただけで基礎資産の計算が誤り、誤った金額が算出されました。
4. 一つの取引内でこの操作を繰り返し、プールから過剰なWETH(ラップドEther)を引き出しました。
5. 盗まれた資金は他の資産に交換され、プライバシーミキサーを経由して追跡や回収を困難にしました。
なぜ早期に発見されなかったのか?
この脆弱性は、ガスコスト最適化を目的とした最近のコントラクトアップグレード (v2.1.3) で導入されましたが、そのバージョンに関する公開監査報告は当時存在しませんでした。
4. Kelp DAOの即時対応
Kelp DAOチームは、検知後30分以内に公式に攻撃を認めました。対応内容は以下の通りです:
· 全ての預入・引き出しを一時停止 → これによりさらなる悪用を防止した一方、一部ユーザーは一時的に資金アクセスが制限されました。
· セキュリティ企業の関与 → Chainalysis、Peckshield、プライベートホワイトハットチームを招き、攻撃者の追跡を開始。
· DiscordやTwitterでの公式発表 → #rsETHAttackUpdate ハッシュタグの下でリアルタイムの情報を公開。
· 賞金提供 → 15%のホワイトハットリカバリーボーナス (約45万ドル) が資金返還のために提供され、質問は受け付けません。
最新の状況では、資金は未返還ですが、ルーターコントラクトを管理するマルチシグウォレットには今後のアップグレードに72時間のタイムロックが設定されています。
5. ユーザーと流動性への影響
rsETHを保有している場合、以下のような影響があります:
· 直接的な損失:攻撃中に引き出しリクエストを出していたユーザーは、rsETHの価値が約18%減少する部分的損失を被りました。これは一時的にKelp DAOの準備金で補填されましたが、最終的な補償は回復次第です。
· DeFiポジション:rsETHを担保にしているレンディングプラットフォーム(例:Aave、Compoundフォーク)では、レートの更新が適切に行われない場合、清算リスクが生じる可能性があります。一部のプラットフォームはすでにrsETH市場を凍結しています。
· ペッグ崩壊:rsETHは一時的に0.92 ETHまでペッグから乖離し、その後0.97に安定しました。チームは流動性を注入してペッグを回復しています。
まだ何も行動していない場合は:
· 不明な「資金を請求する」ウェブサイトには絶対にアクセスしないでください。詐欺師が偽リンクを流布しています。信頼できるのは、以前ブックマークした公式のKelp DAOドメインのみです。
· 侵害されたルーターコントラクトの承認を取り消すために、信頼できるトークン承認取り消しツール(例:Etherscanのトークン承認チェッカー)を使用してください。
6. 自己防衛のためのベストプラクティス – 違法リンクなし
この攻撃を踏まえ、資産を守るための具体的な対策は以下の通りです:
✅ 即時の対策
· 承認の確認:Etherscanにアクセスし、ウォレットアドレスを入力、「その他」→「トークン承認」をクリックし、rsETHルーターコントラクト(アドレス 0x...c3d)への承認を取り消す(公式情報で確認)。
· 残高の移動:影響を受けたコントラクトとやり取りしたウォレットにrsETHがある場合は、信頼できるDEXでETHにスワップ(流動性が十分か確認してから)を検討。
· 「ヘルプ」を申し出るDMには絶対に応じない(ほぼ詐欺です)。
✅ 長期的な安全習慣
· 高額なDeFiポジションにはハードウェアウォレットを使用。
· 公式アカウント(Kelp DAOのTwitterやDiscord)だけをフォロー。
· 事後報告を待つ:コード修正を含む完全なインシデントレポートは7日以内に公開予定です。「新しいrsETH」を名乗るコントラクトには絶対に触れない。
7. 今後の展望 (回復のロードマップ)
Kelp DAOのガバナンスフォーラムでは、以下の3段階の回復計画が提案されています:
1. 再監査:三つの独立した監査会社(Trail of Bits、OpenZeppelin、Sigma Prime)による再監査。
2. 補償案:スナップショット投票により、損失を埋めるために新たなrsETHを発行するか(全保有者の希薄化)、損失を社会化するか(可能性は低い)を決定。トレジャリーによる補償案が有力。
3. 預入再開:2〜3週間以内に、新しいアップグレード可能な一時停止メカニズムとともに再開予定。
より広いエコシステムでは、レンディングプロトコルがすべてのLRTのリスクパラメータを引き締める動きが加速する見込みです。この攻撃は、DeFi全体でサーキットブレーカーやリアルタイムのオラクル監視の採用を促進するでしょう。
8. 最終警告:詐欺に注意
これだけは強調します:エアドロップや返金ポータル、「リカバリー」DAppsは存在しません。資金を返すと謳うリンクやメッセージはすべて詐欺です。公式チームは、シードフレーズの要求やウォレットの「検証」のための取引を求めることは絶対にありません。
この(ハッシュタグを見てこの情報にたどり着いた場合は、警戒を怠らないでください。DeFiはこのような事件から学びますが、それはユーザーが情報を得て注意深くいる場合に限ります。
結論
rsETHへの攻撃は、監査済みのプロトコルでも重大な欠陥が存在し得ることを改めて示す警鐘です。良いニュースは、チームが迅速に対応し、損失はTVLに比べて限定的であり、ユーザーの秘密鍵が漏洩しなかったことです。上記の対策(承認の取り消し、偽リンクの回避、公式発表の待機)を守ることで、残りの資金を安全に保つことができます。
今後も状況を注視し続けます。次のアップデートは、Kelp DAOの公式ブログやTwitterのみを信頼してください。安全にお過ごしください。そして忘れないでください:鍵はあなたの手にあってこそ価値があるのです。