#rsETHAttackUpdate

A exploração rsETH ocorrida em 18 de abril de 2026, foi o maior incidente de segurança na indústria de criptomoedas este ano, com cerca de $293,7 milhões a saírem do protocolo de restaking líquido KelpDAO. O ataque aproveitou vulnerabilidades no contrato de ponte do protocolo, criando um efeito dominó que se espalhou por várias plataformas DeFi e revelou riscos sistêmicos críticos na infraestrutura de cross-chain.
A metodologia do ataque é avançada, mas segue um padrão familiar observado em explorações anteriores de pontes. Os atacantes usaram uma ponte comprometida para gerar tokens rsETH sem suporte, que foram então depositados como garantia em vários protocolos de empréstimo principais, incluindo Aave V3, Compound V3 e Euler. Com esses ativos ilegais, os atacantes tomaram emprestado grandes quantidades de WETH e wstETH, criando mais de $236 milhões em dívidas inadimplentes. Os fundos roubados foram divididos entre a mainnet Ethereum e Arbitrum, cada um com aproximadamente $178 milhões, demonstrando a natureza cross-chain do exploit.
Aave emergiu como o protocolo mais afetado, com cerca de $221,39 milhões em garantias de rsETH contaminadas usadas para tomar emprestado aproximadamente $190,86 milhões em WETH e $2,33 milhões em wstETH em ambas as instâncias Ethereum e Arbitrum. Os provedores de serviços do protocolo emitiram um relatório de incidente detalhando duas cenários de dívidas inadimplentes variando de $123,7 milhões a $230,1 milhões, levando a ações de mitigação de risco imediatas, incluindo o congelamento do mercado de rsETH no Aave V3 e V4. Essas ações impediram depósitos adicionais, mas deixaram as posições existentes abertas, levando à retirada de ativos dos usuários no valor de $10,1 bilhões, enquanto os depositantes corriam para retirar seus fundos.
A propagação se estendeu além do Aave para pelo menos outros nove protocolos. A Fluid confirmou que interrompeu todos os mercados com potencial exposição ao rsETH, enquanto o parceiro de segurança do Compound apresentou quatro propostas de governança para ajustar os parâmetros de risco do Comet afetado. A SparkLend congelou sua exposição, e a Euler tomou medidas para controlar a disseminação do risco. O impacto cross-protocol destaca vulnerabilidades fundamentais na arquitetura interligada do DeFi, onde ativos profundamente integrados em empréstimos, cofres e protocolos de liquidez podem transmitir falhas instantaneamente.
A resposta do KelpDAO envolveu a suspensão direta dos contratos na mainnet e em várias redes layer-2 após identificar atividades suspeitas de cross-chain. A equipe anunciou parcerias com LayerZero, Unichain, seus auditores e especialistas em segurança para realizar uma análise de causa raiz. No entanto, a comunicação entre o KelpDAO e os protocolos afetados parece ter sido tensa, com relatos indicando que a LayerZero ainda não emitiu recomendações específicas para alterar a configuração do rsETH DVN, apesar de canais de comunicação abertos desde julho de 2024.
Este incidente levanta questões sérias sobre a segurança das pontes no ecossistema de restaking. Como observado pelo especialista em segurança Cyvers, a capacidade de criar ativos sintéticos sem suporte via uma ponte comprometida e usá-los para tomar emprestado ativos reais demonstra como esse tipo de exploração evolui rapidamente. O ataque mostra que a distribuição de ativos entre várias cadeias não distribui proporcionalmente os riscos, e que o design das pontes tornou-se uma componente inseparável do perfil de risco dos ativos no DeFi.
Analistas do setor notaram semelhanças com a exploração anterior do Drift Protocol, que atingiu $72 milhões, agora superada por este ataque. O padrão de usar garantias comprometidas para criar dívidas inadimplentes em várias plataformas indica que o quadro de gestão de risco atual pode não ser suficiente para a complexidade do DeFi cross-chain moderno. A comunidade do Aave deve discutir se o rsETH deve ser removido de todos os mercados de forma permanente, seguindo o padrão que surgiu após incidentes anteriores de dívidas inadimplentes.
O impacto pós-incidente continua a evoluir enquanto os protocolos avaliam suas exposições e implementam medidas corretivas. Este evento serve como um forte lembrete de que, no cenário interligado do DeFi, a segurança é tão forte quanto o elo mais fraco na cadeia de protocolos integrados. À medida que a indústria lida com as implicações desse exploit, o foco se volta para o desenvolvimento de estruturas de avaliação de risco cross-chain mais robustas e para o aprimoramento da coordenação entre protocolos ao identificar vulnerabilidades.