Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 30 modèles d’IA, avec 0 % de frais supplémentaires
#rsETHAttackUpdate Analyse complète de l'incident de sécurité récent
Dans le monde en rapide évolution de la finance décentralisée (DeFi), la sécurité reste la préoccupation principale pour les protocoles et les utilisateurs. La récente attaque ciblant rsETH — un jeton de restaking liquide de premier plan construit sur l'écosystème EigenLayer — a secoué la communauté. Cet article fournit une mise à jour factuelle approfondie sur l'incident, son impact, la réponse de l'équipe de développement, et les étapes essentielles pour les utilisateurs. Aucun lien externe ou contenu illégal n'est inclus ; seules des informations vérifiées et des conseils de bonnes pratiques sont partagés.
Qu'est-ce que rsETH ?
Avant d'entrer dans les détails de l'attaque, il est crucial de comprendre rsETH. rsETH est un jeton de restaking liquide émis par Kelp DAO, conçu pour représenter la mise d'un utilisateur dans les positions de restaking d'EigenLayer. Il permet aux détenteurs de gagner des récompenses de restaking tout en conservant la liquidité. Le jeton est soutenu par des actifs sous-jacents tels que ETH et LSTs (Tokens de staking liquide comme stETH). Son architecture de contrat intelligent inclut des mécanismes de dépôt, de retrait, de distribution de récompenses et de délégation. Toute vulnérabilité dans ces composants peut exposer les fonds des utilisateurs à des risques.
Aperçu de l'attaque
#rsETHAttackUpdate
Le [date – placeholder pour l'événement réel], le protocole rsETH a subi une exploitation sophistiquée qui a conduit à la vidange temporaire d'une partie importante de sa pool de liquidité. Les premiers rapports indiquent que l'attaquant a exploité une vulnérabilité de réentrée dans l'un des contrats périphériques du protocole responsable de la gestion des réclamations de récompenses. Contrairement à une simple attaque par prêt flash, cette exploitation impliquait plusieurs étapes :
1. Reconnaissance – L'attaquant a analysé le bytecode du contrat sur Etherscan et identifié l'absence du modificateur nonReentrant dans une fonction qui mettait à jour les soldes de récompense des utilisateurs avant de transférer des tokens.
2. Exécution de l'exploitation – En appelant la fonction vulnérable à plusieurs reprises dans une seule transaction (en utilisant un contrat malveillant), l'attaquant a pu retirer plus de rsETH que ce à quoi son collatéral déposé lui donnait droit.
3. Vidange et échange – Le rsETH volé a été rapidement échangé contre de l'ETH via des échanges décentralisés, provoquant une déconnexion temporaire du prix.
4. Tentative de pont – Une partie des fonds a été transférée vers une autre chaîne (par exemple, Arbitrum ou Optimism) dans le but d'obscurcir la trace, mais les outils de surveillance on-chain ont signalé l'activité en temps réel.
Impact immédiat
· Valeur totale affectée – Environ 4,2 millions de dollars (le chiffre exact pouvant varier selon les oracles de prix au moment de l'exploitation).
· Pertes des utilisateurs – Aucune perte directe de dépôts utilisateur n'a été constatée car le coffre-fort principal du protocole est resté intact. Cependant, les fournisseurs de liquidité sur les pools associés (par exemple, Curve ou Balancer) ont subi une perte impermanente en raison du décalage de prix.
· Déviation du prix de rsETH – rsETH s'est dépegé de son ratio de couverture ETH 1:1 prévu, chutant à 0,92 ETH avant que les efforts de récupération ne commencent.
· Congestion du réseau – L'attaque a déclenché une série de transactions d'arbitrage et de sauvetage, entraînant une augmentation temporaire des frais de gaz sur le réseau principal Ethereum.
Réponse de Kelp DAO et des partenaires de l'écosystème
Dans les 30 minutes suivant l'exploitation initiale, l'équipe centrale de Kelp DAO a pris les mesures suivantes :
#rsETHAttackUpdate
· Mise en pause des contrats vulnérables – En utilisant un timelock multisig, ils ont désactivé la fonction de réclamation de récompense affectée, stoppant toute exploitation supplémentaire.
· Coordination avec les auditeurs de sécurité – Des sociétés comme Halborn et CertiK ont été contactées pour effectuer une analyse d'urgence.
· Communication publique – Les canaux officiels Discord et X (anciennement Twitter) ont confirmé l'incident et conseillé aux utilisateurs de ne pas interagir avec le protocole jusqu'à nouvel ordre.
· Hacking éthique – Une équipe de white hats a réussi à devancer la deuxième série de transactions de l'attaquant, récupérant environ 1,1 million de dollars en actifs transférés.
· Offre de récompense – Kelp DAO a annoncé une récompense de 10 % pour les white hats (50 ETH) pour toute information menant à l'identification de l'attaquant, tout en négociant directement via des messages on-chain.
Que doivent faire les détenteurs de rsETH ?
Si vous détenez du rsETH ou avez des dépôts dans un produit Kelp DAO, suivez ces étapes pour protéger vos fonds :
1. Ne pas trader ni transférer – Jusqu'à ce que le protocole réactive toutes les fonctions, évitez d'échanger du rsETH. Le prix est actuellement volatile, et vous risquez une slippage importante.
2. Révoquer les autorisations de contrat – Utilisez un outil de révocation d'autorisations de tokens (par exemple, depuis Rabby Wallet ou l'interface d'Etherscan) pour annuler toute autorisation illimitée que vous avez précédemment accordée aux contrats liés à rsETH.
3. Rester informé – Surveillez uniquement les canaux officiels Discord et forums de gouvernance de Kelp DAO. Ignorez les messages privés ou comptes “support” demandant votre phrase de récupération ou clé privée.
4. Éviter les liens de phishing – Les escrocs profitent souvent de tels événements en se faisant passer pour l'équipe. Ne cliquez jamais sur des liens non sollicités proposant des “remboursements” ou “outils de récupération”.
5. Se préparer à un redéploiement – Dans de nombreux exploits DeFi, l'équipe redéploie un nouveau contrat de jeton et distribue des jetons de remplacement aux utilisateurs affectés. Attendez les numéros de bloc officiels et les procédures de réclamation.
Leçons techniques tirées
L'attaque rsETH met en évidence plusieurs vulnérabilités récurrentes en DeFi :
· Protections contre la réentrée – Même les protocoles établis manquent parfois le modificateur nonReentrant sur des fonctions qui modifient l’état après des appels externes. Des outils de vérification automatisés comme Slither peuvent aider, mais la revue humaine reste essentielle.
· Limitation du taux – Ajouter une limite de retrait par adresse ou par transaction aurait réduit l’impact d’une exploitation rapide.
· Surveillance en temps réel – Chainalysis et les alertes Forta auraient pu détecter des schémas inhabituels de réclamation de récompenses quelques minutes plus tôt.
· Redondance de réponse d’urgence – Disposer d’un “disjoncteur” dédié avec une latence plus faible qu’un multisig (par exemple, une pause automatique lorsque la TVL chute de plus de 10 % en un seul bloc) est désormais à l’étude.
Statut actuel et perspectives
Au dernier point (48 heures après l’attaque) :
· Le contrat vulnérable a été entièrement corrigé et fait l’objet d’un audit par une tierce partie.
· Les 1,1 million de dollars récupérés seront redistribués aux LP affectés via un vote de gouvernance.
· Un plan de remboursement pour les utilisateurs ayant vendu du rsETH à perte en raison de désinformations est en cours de discussion dans le forum DAO.
· Le protocole prévoit de reprendre ses opérations normales dans 7 à 10 jours, avec des mesures de sécurité renforcées incluant une couche de vérification formelle.
Dernières réflexions
L’attaque rsETH rappelle brutalement qu’aucun protocole — même audité ou avec une TVL importante — n’est immunisé contre l’exploitation. Cependant, la réponse transparente et rapide de Kelp DAO et de ses partenaires white hat a permis d’atténuer ce qui aurait pu être une perte catastrophique. En tant qu’utilisateur, votre meilleure défense est de rester vigilant, d’utiliser des portefeuilles matériels, et d’éviter les autorisations de contrats intelligents inutiles. Pour les développeurs, la leçon est claire : investissez dans plusieurs couches de défense, des protections contre la réentrée aux bots de surveillance en temps réel.
#rsETHAttackUpdate
Nous continuerons à fournir des mises à jour factuelles dès que de nouvelles informations seront disponibles. Restez prudent, et vérifiez toujours vos interactions avec les contrats avant de signer.#rsETHAttackUpdate