#KelpDAOBridgeHacked

اختراق جسر KelpDAO: ضربة مدمرة لأمن التمويل اللامركزي

في 18 أبريل 2026، تعرض بروتوكول إعادة الستاكينغ السائل KelpDAO لأحد أكثر الاختراقات الأمنية كارثية في تاريخ التمويل اللامركزي، حيث قام المهاجمون بسحب حوالي 116,500 رمز rsETH بقيمة تتراوح بين $292 إلى $294 مليون دولار. ويعد هذا الاستغلال الآن أكبر عملية اختراق في التمويل اللامركزي لعام 2026، متفوقًا على الرقم القياسي السابق الذي حققه بروتوكول Drift Protocol بخسارة قدرها $285 مليون دولار في وقت سابق من الشهر.

استهدف الهجوم بنية جسر KelpDAO العابر للسلاسل، وتحديدًا مسار جسر rsETH الذي يمتد من Unichain إلى شبكة إيثريوم الرئيسية. اعتمد البروتوكول على معيار OFT الخاص بـ LayerZero لنقل الرموز عبر السلاسل، لكن ثغرة حرجة كانت في بنية أمانه. قام KelpDAO بتكوين جسره بنظام شبكة موثوق بها من قبل مُحقق لامركزي واحد، مما يعني أن عقدة مُحقق واحدة كانت مسؤولة عن التحقق من جميع الرسائل الواردة عبر السلاسل قبل إصدار الأموال. وأثبت هذا النقطة المركزية للفشل أنها نقطة ضعف استغلها المهاجمون.

كانت منهجية الهجوم متطورة ومتعددة المراحل. أولاً، اخترق المهاجمون على الأقل عقدتي RPC تغذي البيانات إلى المُحقق الوحيد، وحقنوا برمجيات خبيثة مصممة لتزوير رسائل عبر السلاسل. ثم شنوا هجوم حجب الخدمة الموزع ضد عقد RPC غير المتأثرة، مما أجبر النظام على الانتقال إلى البنية التحتية المخترقة. وخلق هذا حلقة صدى حيث أصبحت البيانات المسمومة المصدر الوحيد للحقيقة. ثم وافق المُحقق المخترق على استدعاءات lzReceive المزورة على عقدة EndpointV2 الخاصة بـ LayerZero، مما أدى إلى إصدار 116,500 رمز rsETH غير مدعوم مباشرة إلى عناوين يسيطر عليها المهاجمون. ثم دمرت البرمجية الخبيثة نفسها، ومسحت السجلات لإخفاء الأدلة.

تجاوزت آثار الحادث حدود KelpDAO نفسه. قام المهاجمون على الفور باستخدام rsETH المسروق كضمان عبر تسع بروتوكولات تمويل لامركزية رئيسية، بما في ذلك Aave V3 وV4، وCompound V3، وEuler، وSparkLend، وFluid، وUpshift، واقتراض أكثر من $236 مليون دولار من WETH. ثم حولوا حوالي $178 مليون دولار إلى ETH على شبكة إيثريوم الرئيسية و$72 مليون على شبكة Arbitrum. لا تزال رموز rsETH المسروقة عالقة وغير مدعومة عبر أكثر من 20 شبكة بلوكتشين، بما في ذلك Base وArbitrum وLinea وBlast.

أدى هذا الاستغلال الواحد إلى سلسلة من العواقب النظامية في منظومة التمويل اللامركزي. انخفض إجمالي القيمة المقفلة عبر بروتوكولات التمويل اللامركزي بنسبة تتراوح بين $13 إلى $14 مليار خلال 48 ساعة. شهدت منصة Aave وحدها هجرة بمقدار $6 إلى 8.45 مليار دولار من الودائع، مع انخفاض رمحها الأصلية بنحو 10%. وأدى الحادث إلى ديون سيئة كبيرة عبر عدة بروتوكولات إقراض واضطر إلى استجابات طارئة من العديد من منصات التمويل اللامركزي.

بدأت جهود الاستجابة خلال دقائق من الاستغلال. أوقف توقيع متعدد التوقيعات الخاص بـ KelpDAO العقود الأساسية لـ rsETH على الشبكة الرئيسية وشبكات Layer-2 المتعددة في الساعة 18:21 بالتوقيت العالمي، بعد حوالي 46 دقيقة من الاختراق الأولي. فشلت محاولتان لاحقتان لتصريف حوالي 40,000 rsETH لكل منهما بسبب هذه التدابير الوقائية. جمدت Aave أسواق rsETH على كل من V3 وV4 خلال ساعات، وتبعها SparkLend وFluid وUpshift. أوقفت Lido إيداعات earnETH، وعلقت Ethena مؤقتًا جسور LayerZero لمدة حوالي ست ساعات كإجراء احترازي رغم عدم تعرضها المباشر.

أصبح الجدل حول نسب المسؤولية بين KelpDAO وLayerZero محورًا رئيسيًا في تبعات الحادث. تؤكد KelpDAO أن الإعدادات الافتراضية لـ LayerZero ساهمت في الثغرة، بينما ترد LayerZero بأن KelpDAO نفذت إعدادًا ضعيفًا مخصصًا يختلف عن ممارسات الأمان الموصى بها. نسب LayerZero الهجوم إلى مجموعة لازاروس الكورية الشمالية، مستشهدًا بأدلة جنائية تربط العملية بهذه الجماعة المدعومة من الدولة. وكان المهاجمون قد موّلوا محفظتهم الأولية عبر Tornado Cash قبل تنفيذ الاستغلال بحوالي عشر ساعات.

يمثل هذا الحادث أكثر من مجرد خرق أمني معزول. فهو يكشف عن نقاط ضعف أساسية في كيفية تصميم وتأمين جسور السلاسل عبر مشهد التمويل اللامركزي. الاعتماد على آليات تحقق تعتمد على نقطة فشل واحدة، حتى عندما تصنف على أنها لامركزية، يخلق أسطح هجوم يمكن للمهاجمين المتطورين استغلالها. إن القدرة على إصدار رموز غير مدعومة وقبولها فورًا كضمان عبر عدة بروتوكولات رئيسية تبرز المخاطر المترابطة الموجودة في التوافق الحديث للتمويل اللامركزي.

بالنسبة لنظام العملات الرقمية الأوسع، يُعد اختراق KelpDAO تذكيرًا صارخًا بأن بنية الجسور لا تزال من أكثر المكونات عرضة للخطر في التمويل اللامركزي. على الرغم من العديد من التدقيقات والمراجعات الأمنية، لا تزال تعقيدات بروتوكولات التواصل عبر السلاسل تقدم فرصًا للاستغلال. أعاد الحادث إشعال النقاش حول المقايضات بين التوافق والأمان، مع دعوات كثيرة في المجتمع لزيادة متطلبات التوقيع المتعدد وآليات التحقق اللامركزية.

بينما تواصل التحقيقات وتعمل البروتوكولات المتأثرة على احتواء الضرر، من المحتمل أن يؤثر استغلال KelpDAO على معايير الأمان وأفضل الممارسات عبر الصناعة لسنوات قادمة. إن حجم الاختراق وتأثيراته المتتالية يبرهنان على أنه في منظومة التمويل اللامركزي المترابطة بشكل متزايد، فإن أمان البروتوكولات الفردية مرتبط بشكل لا ينفصم بمرونة البنية التحتية التي تعتمد عليها.