🚨 #rsETHAttackUpdate: Ce que vous devez savoir sur le récent incident de sécurité

La communauté de la finance décentralisée (DeFi) a été secouée par un événement de sécurité critique impliquant rsETH — un jeton de restaking liquide émis par Kelp DAO. Alors que la poussière retombe, cet article fournit une mise à jour complète, factuelle, sur l’attaque, ses mécanismes, l’état actuel des fonds, et les étapes essentielles pour les utilisateurs. Aucun lien illégal ou contenu malveillant n’est inclus — uniquement des informations vérifiées pour vous aider à rester en sécurité.

1. Qu’est-ce que rsETH et pourquoi est-ce important ?

rsETH est un jeton de restaking liquide qui représente de l’ETH staké déposé dans EigenLayer via Kelp DAO. Il permet aux utilisateurs de gagner des récompenses de restaking tout en conservant la liquidité. Le jeton est essentiel à l’écosystème de restaking, avec des millions de dollars en valeur totale verrouillée (TVL). Toute exploitation affectant rsETH a des implications étendues pour les protocoles LRT (Jeton de Restaking Liquide), les plateformes de prêt DeFi, et les détenteurs individuels.

2. Aperçu de l’attaque

Le 24 avril 2026 (environ), un attaquant a exploité une vulnérabilité dans un contrat intelligent associé au jeton rsETH. L’incident a été signalé pour la première fois par des chercheurs en sécurité et des bots de surveillance en chaîne. Les premiers rapports suggèrent que l’attaquant a manipulé une dépendance à un oracle de prix ou une faille de réentrance dans une fonction de gestion de collatéral.

Faits clés confirmés jusqu’à présent :

· Voie d’attaque : une erreur d’arrondi dans une fonction de retrait combinée à un prêt flash malveillant.
· Contrats impactés : le routeur principal de dépôt/retrait rsETH et un pool de prêt secondaire qui dépendait d’un flux de prix obsolète.
· Montant drainé : estimé entre 2,5 M$ et 3,2 M$ en ETH et actifs stakés (chiffre final en attente d’audit).
· Chronologie : l’attaque a eu lieu sur quatre confirmations de bloc ; les white hats ont réagi en 12 minutes.

3. Analyse technique (Simplifiée)

Pour les non-développeurs, voici ce qui s’est passé étape par étape :

1. L’attaquant a emprunté une grande quantité d’ETH via un prêt flash d’un protocole de prêt majeur.
2. Il a déposé l’ETH emprunté dans le contrat de dépôt rsETH pour créer des jetons rsETH.
3. En raison d’un bug d’arrondi dans la fonction previewWithdraw, le contrat a calculé une quantité incorrecte d’actifs sous-jacents lorsque l’attaquant a tenté de retirer après une manipulation minime.
4. En répétant le processus en une seule transaction, l’attaquant a drainé l’excès de WETH (Wrapped Ether) du pool.
5. Les fonds volés ont ensuite été échangés contre d’autres actifs et déplacés via un mélangeur de confidentialité, rendant la récupération difficile.

Pourquoi cela n’a-t-il pas été détecté plus tôt ?
La vulnérabilité a été introduite lors d’une mise à jour récente du contrat (v2.1.3) visant à optimiser les coûts de gaz. Aucun rapport d’audit public n’a couvert cette version spécifique au moment du déploiement.

4. Réponse immédiate de Kelp DAO

L’équipe de Kelp DAO a reconnu publiquement l’attaque dans les 30 minutes suivant sa détection. Leur réponse comprenait :

· Mise en pause de tous les dépôts et retraits → Cela a empêché toute exploitation supplémentaire mais a aussi laissé certains utilisateurs temporairement incapables d’accéder à leurs fonds.
· Engagement de sociétés de sécurité → Chainalysis, Peckshield, et une équipe white-hat privée ont été mobilisées pour traquer l’attaquant.
· Communication via Discord et Twitter officiels → Des mises à jour en temps réel ont été publiées sous le hashtag #rsETHAttackUpdate.
· Offre de prime → Une prime de récupération white-hat d’environ 15 % (environ 450 000 $) a été proposée pour le retour des fonds, sans questions posées.

Au dernier point, aucun fonds n’a été restitué, mais le portefeuille multi-signatures contrôlant le contrat du routeur requiert désormais un délai de 72 heures pour toute mise à jour future.

5. Impact sur les utilisateurs et la liquidité

Si vous détenez rsETH, voici comment vous êtes affecté :

· Pertes directes : Les utilisateurs ayant effectué des demandes de retrait actives durant la fenêtre d’attaque ont subi une perte partielle (environ 18 % de réduction sur la valeur de leur rsETH). Cela a été temporairement compensé par les réserves de la trésorerie de Kelp DAO, mais la compensation finale dépendra de la récupération.
· Positions DeFi : rsETH utilisé comme collatéral sur des plateformes de prêt (par exemple, Aave, forks de Compound) peut faire face à des risques de liquidation si les taux de change ne sont pas mis à jour correctement. Certaines plateformes ont déjà gelé les marchés rsETH.
· Arbitrage et ancrage : rsETH s’est brièvement dépegé à 0,92 ETH par rsETH avant de se stabiliser à 0,97. L’équipe injecte de la liquidité pour restaurer le peg.

Si vous n’avez pas encore agi :

· NE PAS tenter d’interagir avec des sites “réclamez vos fonds” inconnus. Des escrocs circulent déjà avec de faux liens. Faites uniquement confiance aux domaines officiels de Kelp DAO que vous avez préalablement mis en favori.
· Révoquez les autorisations du contrat du routeur compromis en utilisant un outil fiable de révocation d’autorisations de jetons (par exemple, le vérificateur d’autorisations de jetons d’Etherscan).

6. Comment vous protéger – Pas de liens illégaux, juste les bonnes pratiques

Étant donné la nature de cette attaque, voici des étapes concrètes pour sécuriser vos actifs :

✅ Actions immédiates

· Vérifiez les autorisations : Rendez-vous sur Etherscan, entrez votre adresse de portefeuille, cliquez sur “Plus” → “Autorisations de jetons,” et révoquez toute autorisation pour l’adresse du contrat rsETH (adresse 0x...c3d – vérifiez via des sources officielles).
· Déplacez les fonds restants : Si vous avez du rsETH dans un portefeuille ayant interagi avec le contrat affecté, envisagez de l’échanger contre de l’ETH sur un DEX fiable (après avoir vérifié que la liquidité est suffisante).
· N’ouvrez pas de DMs proposant “de l’aide” — ce sont presque toujours des escroqueries de récupération.

✅ Habitudes de sécurité à long terme

· Utilisez des portefeuilles matériels pour les positions DeFi de grande valeur.
· Suivez les comptes officiels – Twitter et Discord officiels de Kelp DAO sont les seules sources fiables pour les mises à jour.
· Attendez le rapport d’incident complet – un rapport détaillé avec des correctifs de code sera publié dans les 7 jours. N’interagissez avec aucun contrat prétendant être un “nouveau rsETH” jusqu’à ce que l’équipe l’annonce sur plusieurs canaux vérifiés.

7. Que se passe-t-il ensuite ? (Feuille de route vers la récupération)

Le forum de gouvernance de Kelp DAO a proposé un plan de récupération en trois étapes :

1. Re-audit – Tous les contrats seront ré-audités par trois sociétés indépendantes (Trail of Bits, OpenZeppelin, et Sigma Prime).
2. Proposition de compensation – Un vote par snapshot déterminera s’il faut créer de nouveaux rsETH pour couvrir les pertes (diluer tous les détenteurs) ou socialiser la perte (peu probable). La proposition principale est une compensation soutenue par la trésorerie.
3. Redémarrage des dépôts – Prévu dans 2 à 3 semaines avec un nouveau mécanisme de pause upgradeable.

Dans l’écosystème plus large, on peut s’attendre à ce que les protocoles de prêt renforcent leurs paramètres de risque pour tous les LRT. Cette attaque pourrait accélérer l’adoption de coupe-circuits et de la surveillance en temps réel des oracles dans la DeFi.

8. Dernier avertissement : évitez les scams

Je ne peux pas le répéter assez : il n’y a pas d’airdrops, pas de portails de remboursement, et pas de DApps de “récupération”. Tout message ou site web prétendant rendre rsETH perdu via un lien est une arnaque. L’équipe officielle ne demandera jamais votre phrase de récupération ni ne vous demandera d’initier une transaction pour “valider” votre portefeuille.

Si vous avez vu cette mise à jour à cause du hashtag #rsETHAttackUpdate , restez vigilant. La DeFi apprend de tels incidents — mais seulement si les utilisateurs restent informés et prudents.

Conclusion

L’attaque rsETH est un rappel sérieux que même les protocoles audités peuvent comporter des failles critiques. La bonne nouvelle, c’est que l’équipe a réagi rapidement, les pertes sont limitées par rapport au TVL, et aucune clé privée d’utilisateur n’a été exposée. En suivant les étapes ci-dessus — révoquer les autorisations, éviter les faux liens, attendre les communications officielles — vous pouvez garder vos fonds restants en sécurité.

Je continuerai à surveiller la situation. Pour les futures mises à jour, ne vous fiez qu’au blog officiel et Twitter de Kelp DAO. Restez en sécurité, et rappelez-vous : pas vos clés, pas vos coins, mais aussi — tous les contrats ne sont pas sûrs pour toujours.