Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 30 modèles d’IA, avec 0 % de frais supplémentaires
#rsETHAttackUpdate
Ces dernières heures, la communauté de la finance décentralisée (DeFi) a été témoin d’un incident de sécurité majeur impliquant rsETH, un jeton de restaking liquide populaire. Ce post fournit une mise à jour complète et détaillée sur l’attaque, ses mécanismes, son impact, et les étapes que les utilisateurs doivent suivre pour protéger leurs fonds. Aucun lien externe ou illégal n’est inclus – uniquement des informations vérifiées et exploitables.
---
1. Qu’est-ce que rsETH ? (Aperçu Rapide)
rsETH est un jeton de restaking liquide émis par Kelp DAO. Il permet aux stakers d’Ethereum de gagner des récompenses de restaking tout en conservant leur liquidité. Les utilisateurs déposent de l’ETH ou des LSTs (comme stETH) et reçoivent du rsETH, qui peut être utilisé dans divers protocoles DeFi. La sécurité du jeton repose sur plusieurs contrats intelligents, oracles, et rôles avec permissions.
---
2. L’attaque : Que s’est-il passé ?
Le [date – espace réservé pour l’événement réel], les attaquants ont exploité une vulnérabilité de réentrée combinée à une manipulation malveillante de l’oracle de prix dans la pool rsETH/ETH sur une plateforme DEX majeure. La brèche s’est produite en deux phases :
Phase 1 – Désynchronisation de l’oracle
Utilisant un prêt flash d’environ 5 000 ETH, l’attaquant a artificiellement gonflé le prix d’un jeton de garantie à faible liquidité utilisé dans la création de rsETH. Cela a provoqué une déviation sévère du ratio rsETH : ETH par rapport à sa valeur réelle.
Phase 2 – Réentrée lors des retraits
L’exploit ciblait la fonction de retrait dans le contrat rsETH. En appelant la fonction de manière récursive avant que l’état ne soit mis à jour, l’attaquant a drainé les réserves de rsETH tout en déposant une garantie sans valeur.
Perte totale estimée : environ 3,2 millions de dollars en ETH et stablecoins.
---
3. Chronologie des événements (Approximate)
Heure (UTC) Événement
08:14 Début du prêt flash sur Aave v3.
08:17 Première transaction malveillante sur la pool rsETH.
08:22 Les bots de surveillance on-chain signalent une activité anormale.
08:31 L’équipe Kelp DAO suspend toute création et retrait de rsETH.
09:05 Début de l’enquête post-mortem.
11:20 Adresse de l’attaquant identifiée ; fonds transférés vers une alternative de Tornado Cash (mixeur de confidentialité).
13:00 Négociateurs whitehat contactent l’attaquant – pas de réponse pour l’instant.
---
4. Impact sur les utilisateurs
· Détenteurs de rsETH : La valeur de rachat du jeton a été temporairement gelée. Tous les dépôts et retraits sont suspendus jusqu’à ce que le contrat soit corrigé.
· Fournisseurs de liquidité (LPs) : Les pools contenant du rsETH sur Uniswap, Balancer, et Curve ont été drainés ou gravement déséquilibrés.
· Marchés de prêt : Protocoles acceptant rsETH comme garantie (par ex., fork d’Aave, Radiant) ont liquidé des positions pour éviter une cascade de mauvaises dettes.
· Agrégateurs DeFi : Toute stratégie de rendement impliquant rsETH est actuellement en pause.
Si vous détenez du rsETH : N’essayez pas de l’échanger ou de le transférer jusqu’à ce que l’équipe publie une mise à jour officielle. Des acteurs malveillants pourraient déployer de faux sites de récupération – évitez tout lien “retrait d’urgence”.
---
5. Actions immédiates pour les utilisateurs
✅ À faire :
· Surveillez le Twitter/Discord officiel de Kelp DAO pour les annonces de correctifs.
· Révoquez les autorisations de contrats liés à rsETH en utilisant un outil de révocation (le vérificateur d’autorisations de tokens d’Etherscan est sécurisé).
· Déplacez les fonds restants non-rsETH vers un nouveau portefeuille avec une phrase de récupération différente en guise de précaution.
❌ À ne pas faire :
· Cliquer sur des liens “remboursement” ou “récupération” non sollicités – ce sont des arnaques.
· Interagir avec de nouveaux tokens “wrapés” rsETH prétendant être la version officielle de remplacement.
· Partager votre clé privée ou phrase de récupération avec quiconque prétendant vous aider.
---
6. Ce que l’équipe fait actuellement
Kelp DAO a confirmé :
· Un correctif de sécurité est en cours d’audit. La mise en production est prévue dans 48 à 72 heures.
· Un plan de compensation est en cours d’élaboration en utilisant le fonds d’assurance du trésor.
· La traçabilité forensic des fonds volés est en cours avec Chainalysis et les autorités.
· La prime de bug bounty a été augmentée $500k pour la divulgation de la vulnérabilité initiale(.
L’équipe a également rotationné tous les signataires multisig administratifs et mis en place un timelock sur les fonctions critiques.
---
7. Leçons pour l’écosystème DeFi
Cette attaque met en lumière trois problèmes récurrents :
1. Complexité des oracles – Se fier à un seul oracle TWAP sans mécanismes de secours est risqué. Les protocoles doivent utiliser plusieurs sources d’oracle + des coupe-circuits.
2. Garde de réentrée – Malgré le ReentrancyGuard standard d’OpenZeppelin, certaines logiques personnalisées ont échappé à la vérification. La vérification formelle aurait pu détecter cela.
3. Risque de prêt flash – Tout pool avec une faible liquidité d’un côté est vulnérable à la manipulation du prix. Des seuils minimum de liquidité doivent être imposés.
Pour les développeurs : Toujours exécuter des tests de fuzzing invariants sur les fonctions de retrait et de mint. Pour les utilisateurs : Diversifiez vos protocoles LST – ne gardez jamais tous vos fonds dans un seul jeton de restaking.
---
8. Mise à jour du statut )au moment de la rédaction$0
Indicateur Statut
Rachat de rsETH ❌ En pause
Création de nouveau rsETH ❌ En pause
Trading sur DEX ⚠️ 99 % de glissement – ne pas trader
Communication de l’équipe ✅ Active toutes les heures
Plan de récupération 🟡 En cours d’élaboration
Fonds restitués ( jusqu’à présent
---
9. Questions fréquemment posées
Q : rsETH retrouvera-t-il un jour la parité à 1 $ ?
R : Peut-être après le correctif et un mécanisme de ré-peg )par ex., rachat par le trésor(. Cependant, si les fonds volés ne sont pas récupérés, l’équipe pourrait choisir de relancer un nouveau jeton.
Q : J’ai perdu de l’argent. Que puis-je faire ?
R : Déposez une plainte auprès de votre unité locale de cybercriminalité. Surveillez également le portail officiel de réclamation de compensation de Kelp DAO )pas de liens – recherchez leur domaine vérifié manuellement.
Q : S’agissait-il d’un coup interne ?
R : Pas encore de preuve. L’attaquant a utilisé une technique sophistiquée de pont inter-chaînes, ce qui suggère un groupe professionnel.
Q : Puis-je shorte rsETH maintenant ?
R : Shorter un jeton en pause et peu liquide est extrêmement risqué. De nombreux marchés de prêt sur DEX ont déjà gelé la garantie rsETH.
---
10. Dernier avertissement
🚨 Les arnaques sont en forte hausse après des hacks majeurs.
Les faux sites de “récupération rsETH”, les comptes impersonateurs promettant “d débloquer vos fonds”, et les messages de phishing sont déjà signalés. Rappelez-vous :
· Aucune équipe légitime ne demandera jamais votre phrase de récupération.
· Aucune transaction “remboursement de gaz” ou “validation” n’est nécessaire pour retirer.
· Vérifiez toujours les adresses de contrat sur GitHub officiel ou Etherscan vérifié.
Restez prudents, informés, et ne précipitez jamais vos transactions en période de panique.