#rsETHAttackUpdate

O exploit rsETH que ocorreu em 18 de abril de 2026, é considerado o maior incidente de segurança na indústria de criptomoedas neste ano, com aproximadamente 293,7 milhões de dólares drenados do protocolo de restaking líquido do KelpDAO. O ataque explorou vulnerabilidades no contrato de ponte do protocolo, criando um efeito cascata que se espalhou por várias plataformas DeFi e expôs riscos sistêmicos críticos na infraestrutura de cross-chain.

A metodologia do ataque foi sofisticada, mas seguiu um padrão familiar visto em exploits anteriores de pontes. O perpetrador aproveitou a ponte comprometida para gerar tokens rsETH não lastreados, que foram então depositados como garantia em grandes protocolos de empréstimo, incluindo Aave V3, Compound V3 e Euler. Usando esses ativos obtidos ilicitamente, o atacante tomou empréstimos substanciais de WETH e wstETH, criando mais de $236 milhões em dívidas ruins. Os fundos roubados foram divididos entre a rede principal do Ethereum e Arbitrum, com $178 milhões e $72 milhões respectivamente, demonstrando a natureza cross-chain do exploit.

O Aave emergiu como o protocolo mais significativamente impactado, com aproximadamente 221,39 milhões de dólares em garantia de rsETH contaminada usados para emprestar cerca de 190,86 milhões de dólares em WETH e 2,33 milhões de dólares em wstETH em ambas as instâncias do Ethereum e Arbitrum. Os provedores de serviço do protocolo publicaram um relatório de incidente delineando dois cenários de dívidas ruins variando de 123,7 milhões a 230,1 milhões de dólares, levando à implementação de medidas imediatas de mitigação de risco, incluindo o congelamento dos mercados de rsETH no Aave V3 e V4. Essa ação evitou depósitos adicionais, mas deixou posições existentes expostas, desencadeando uma saída massiva de ativos de usuários, no valor de 10,1 bilhões de dólares, enquanto os depositantes corriam para retirar seus fundos.

A contaminação se estendeu além do Aave para pelo menos nove protocolos no total. A Fluid confirmou que pausou todos os mercados com potencial exposição ao rsETH, enquanto os parceiros de segurança do Compound enviaram quatro propostas de governança para ajustar os parâmetros de risco nos Comets afetados. A SparkLend congelou sua exposição, e a Euler tomou medidas para conter o risco de propagação. Esse impacto entre protocolos destaca uma vulnerabilidade fundamental na arquitetura interconectada do DeFi, onde ativos profundamente integrados em empréstimos, cofres e protocolos de liquidez podem transmitir falhas instantaneamente.

A resposta do KelpDAO envolveu pausas imediatas nos contratos na mainnet e em várias redes layer-2 ao identificar atividades suspeitas de cross-chain. A equipe anunciou parcerias com LayerZero, Unichain, seus auditores e especialistas em segurança para conduzir uma análise de causa raiz. No entanto, as comunicações entre o KelpDAO e os protocolos afetados parecem ter sido tensas, com relatos indicando que a LayerZero não emitiu recomendações específicas para alterar a configuração do rsETH DVN, apesar de um canal de comunicação aberto desde julho de 2024.

O incidente levanta questões sérias sobre a segurança das pontes no ecossistema de restaking. Como os especialistas em segurança da Cyvers observaram, a capacidade de criar ativos sintéticos não lastreados por meio de caminhos de ponte comprometidos e usá-los posteriormente para emprestar ativos reais representa exatamente como esses exploits se escalonam rapidamente. O ataque demonstra que distribuir ativos por várias cadeias não distribui proporcionalmente o risco, e que o design das pontes tornou-se um componente inseparável dos perfis de risco de ativos no DeFi.

Observadores da indústria notaram semelhanças com o exploit anterior do Drift Protocol de $280 milhões, que este ataque agora superou. O padrão de usar garantias comprometidas para criar dívidas ruins em várias plataformas sugere que os atuais frameworks de gestão de risco podem ser insuficientes para a complexidade do DeFi cross-chain moderno. Espera-se que a comunidade do Aave discuta se o rsETH deve ser removido permanentemente de todos os mercados, seguindo um padrão que surgiu após eventos anteriores de dívidas ruins.

As consequências continuam a se desenrolar enquanto os protocolos avaliam sua exposição e implementam medidas de remediação. O incidente serve como um lembrete contundente de que, no cenário interconectado do DeFi, a segurança é tão forte quanto o elo mais fraco na cadeia de protocolos integrados. À medida que a indústria lida com as implicações desse exploit, o foco tem se voltado para o desenvolvimento de frameworks mais robustos de avaliação de risco cross-chain e para a melhoria da coordenação entre protocolos quando vulnerabilidades são descobertas.