Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Pre-IPOs
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Акції
AI
Gate AI
Ваш універсальний AI-помічник для спілкування
Gate AI Bot
Використовуйте Gate AI безпосередньо у своєму соціальному додатку
GateClaw
Gate Блакитний Лобстер — готовий до використання
Gate for AI Agent
AI-інфраструктура, Gate MCP, Skills і CLI
Gate Skills Hub
Понад 10 000 навичок
Від офісу до трейдингу: універсальна база навичок для ефективнішої роботи з AI
GateRouter
Розумний вибір із понад 30 моделей ШІ, без додаткових витрат (0%)
#rsETHAttackUpdate
Останні кілька годин спільнота децентралізованих фінансів (DeFi) стала свідком серйозного інциденту безпеки, що стосується rsETH, популярного токена для ліквідного повторного залучення. Ця публікація надає всебічне, детальне оновлення щодо атаки, її механізмів, впливу та кроків, які користувачі повинні зробити для захисту своїх коштів. Зовнішні або незаконні посилання не включені – лише перевірена, корисна інформація.
---
1. Що таке rsETH? (Швидкий огляд)
rsETH — це ліквідний токен для повторного залучення, випущений Kelp DAO. Він дозволяє стейкерам Ethereum отримувати нагороди за повторне залучення, зберігаючи ліквідність. Користувачі вносять ETH або LSTs (як stETH) і отримують rsETH, який можна використовувати в різних протоколах DeFi. Безпека токена залежить від кількох смарт-контрактів, оракулів і ролей з обмеженим доступом.
---
2. Атака: що сталося?
На [дата — заповнюється фактична подія], зловмисники використали вразливість повторного входу у функцію разом із зловмисною маніпуляцією ціновим оракулом у пулі rsETH/ETH на великій децентралізованій біржі. Вразливість сталася у двох фазах:
Фаза 1 – Несинхронізація оракула
За допомогою миттєвого позики (~5000 ETH), зловмисник штучно завищив ціну токена забезпечення з низькою ліквідністю, що використовується для створення rsETH. Це спричинило значне відхилення співвідношення rsETH:ETH від його справжнього значення.
Фаза 2 – Повторний вхід під час зняття
Зловмисник атакував функцію зняття у контракті rsETH. Послідовно викликаючи цю функцію до оновлення стану, він вивів резерви rsETH, одночасно вносячи безцінне забезпечення.
Загальні оцінені збитки: близько 3,2 мільйона доларів у ETH і стабільних монетах.
---
3. Хронологія подій (Приблизно)
Час (UTC) Подія
08:14 Ініціація миттєвого позики на Aave v3.
08:17 Перша зловмисна транзакція у пулі rsETH.
08:22 Боти моніторингу на блокчейні фіксують аномальну активність.
08:31 Команда Kelp DAO зупиняє всі створення та зняття rsETH.
09:05 Розпочинається розслідування.
11:20 Визначено адресу зловмисника; кошти переказані на альтернативний приватний сервіс Tornado Cash (міксер приватності).
13:00 Контакти з захисниками — відповіді поки що немає.
---
4. Вплив на користувачів
· Власники rsETH: цінність викупу токена тимчасово заморожена. Всі внески та зняття припинені до виправлення контракту.
· Постачальники ліквідності (LP): пули з rsETH на Uniswap, Balancer і Curve були опустошені або серйозно дисбалансовані.
· Ринки кредитування: протоколи, що приймають rsETH як заставу (наприклад, форк Aave, Radiant), ліквідували позиції, щоб запобігти каскадним боргам.
· Агрегатори DeFi: будь-яка стратегія доходу з rsETH наразі призупинена.
Якщо ви володієте rsETH: не намагайтеся обміняти або переказати його, доки команда не випустить офіційне оновлення. Зловмисники можуть розгорнути фальшиві сайти відновлення — уникайте будь-яких посилань на “екстрене зняття”.
---
5. Негайні дії для користувачів
✅ Робіть:
· Моніторте офіційний Twitter/Discord Kelp DAO для оголошень про виправлення.
· Скасовуйте дозволи на контракти, пов’язані з rsETH, за допомогою інструменту скасування дозволів (перевіряча система дозволів токенів Etherscan безпечна).
· Перемістіть залишки коштів, що не належать rsETH, на новий гаманець із іншим seed-фразою як запобіжний захід.
❌ Не робіть:
· Не натискайте на будь-які непрошені посилання “відшкодування” або “відновлення” — це шахрайство.
· Не взаємодійте з новими “обгорнутими” токенами rsETH, що претендують на офіційний замінник.
· Не діліться своїм приватним ключем або seed-фразою з особами, що обіцяють допомогу.
---
6. Що зараз робить команда
Kelp DAO підтвердив:
· Ведеться аудит патчу безпеки. Очікується запуск за 48–72 години.
· Розробляється план компенсації з використанням страхового фонду казни.
· Триває слідство за викраденими коштами з використанням Chainalysis і правоохоронних органів.
· Баг bounty збільшено до $500k за початкове розкриття вразливості.
Команда також оновила всі підписанти мультиsig-адміністраторів і запровадила таймлок на критичних функціях.
---
7. Уроки для екосистеми DeFi
Ця атака підкреслює три повторювані проблеми:
1. Складність оракулів — залежність від одного TWAP-оракула без запасних джерел є небезпечною. Протоколи мають використовувати кілька джерел оракулів + автоматичні обмежувачі.
2. Захист від повторного входу — хоча стандартний ReentrancyGuard від OpenZeppelin використовується, деяка власна логіка пропустила перевірку. Формальна верифікація могла б виявити цю проблему.
3. Ризик миттєвих позик — будь-який пул із низькою ліквідністю на одному боці вразливий до маніпуляцій ціною. Необхідно вводити мінімальні пороги ліквідності.
Для розробників: завжди запускати тести інваріантного фуззінгу для функцій зняття/створення. Для користувачів: диверсифікуйте інвестиції між різними протоколами LST — ніколи не тримайте всі кошти в одному токені для повторного залучення.
---
8. Оновлення стану (на момент написання)
Показник Статус
Викуп rsETH ❌ Призупинено
Створення нового rsETH ❌ Призупинено
Торгівля на DEXах ⚠️ 99% прослизання — не торгуйте
Комунікація з командою ✅ Активна щогодинно
План відновлення 🟡 Розробляється
Повернені кошти $0 поки що
---
9. Часті запитання
П: Чи відновиться rsETH до $1?
В: Можливо після патчу та механізму повторного прив’язування (наприклад, викуп казни). Однак, якщо викрадені кошти не будуть повернені, команда може вирішити запустити новий токен.
П: Я втратив гроші. Що робити?
В: Подайте звіт у місцевий підрозділ кіберзлочинності. Також слідкуйте за офіційним порталом претензій Kelp DAO (без посилань — шукайте їхній перевірений домен вручну).
П: Це внутрішня атака?
В: Поки що доказів немає. Зловмисник використовував складний міжланцюговий міст, що свідчить про професійну групу.
П: Чи можу я зараз коротити rsETH?
В: Коротити призупинений, малоліквідний токен дуже ризиковано. Багато ринків кредитування на DEX вже заморозили заставу rsETH.
---
10. Остаточне попередження
🚨 Шахрайство процвітає після великих зломів.
Фальшиві сайти “відновлення rsETH”, акаунти-імітатори, що обіцяють “розблокувати ваші кошти”, і фішингові повідомлення вже фіксуються. Пам’ятайте:
· Жодна легітимна команда ніколи не запитуватиме вашу seed-фразу.
· Не потрібні “відшкодування газу” або “валідаційні” транзакції для зняття.
· Завжди перевіряйте адреси контрактів з офіційних GitHub або перевірених джерел Etherscan.
Будьте обережні, залишайтеся в курсі новин і ніколи не поспішайте з транзакціями під час паніки.