#KelpDAOBridgeHacked جسر Kelp DAO تم اختراقه: $292 مليون دولار استغلال يهز عالم التمويل اللامركزي

فشل كارثي في أمان السلاسل المتقاطعة أدى إلى أكبر عملية اختراق في التمويل اللامركزي لعام 2026، مما أثار لعبة لوم مريرة بين Kelp DAO و LayerZero مع تهديد بإعاقه بروتوكولات الإقراض الكبرى مثل Aave.

في ما أصبح بسرعة أكثر استغلال (DeFi) تدميراً لهذا العام، تكبدت Kelp DAO خسارة $292 مليون دولار خلال عطلة نهاية الأسبوع. استهدف الهجوم جسر السلسلة المتقاطعة المدعوم من LayerZero الخاص بالبروتوكول، مما أدى إلى سرقة 116,500 من رموز rsETH.

الحادث، الذي وقع في 18 أبريل، لم يقتصر على تصريف جزء كبير من سيولة Kelp فحسب، بل أدى أيضًا إلى أزمة متسلسلة عبر النظام البيئي، حيث شمل ذلك عملاق الإقراض Aave وأثار نزاعًا حادًا حول من هو المسؤول في النهاية عن فشل الأمان.

مسار الهجوم: كيف تجاوز القراصنة الأمان

قام المهاجم بتمويل محفظته عبر Tornado Cash قبل حوالي 10 ساعات من الاستغلال، وهي تقنية إخفاء كلاسيكية تستخدمها مجموعات القرصنة المتطورة. تشير التحقيقات الأولية، بما في ذلك تلك التي قام بها محقق البلوكتشين ZachXBT، إلى أن مجموعة لازاروس الكورية الشمالية هي الجاني المحتمل.

كانت آلية الهجوم تقنية للغاية. وفقًا للتقارير، قام القراصنة باختراق قائمة من عقد RPC المستخدمة من قبل شبكة LayerZero Labs اللامركزية للتحقق (DVN). من خلال تسميم عقدتين وإطلاق هجوم DDoS على البقية، أجبر المهاجمون الشبكة على قبول رسالة عبر السلسلة زائفة.

خدعت هذه الرسالة المزيفة عقد جسر Kelp DAO إلى "إطلاق" 116,500 من rsETH على شبكة إيثريوم الرئيسية كان من المفترض أن تظل مقفلة.

لعبة اللوم: Kelp DAO مقابل LayerZero

في أعقاب ذلك، اندلع نزاع علني بين Kelp DAO و LayerZero بشأن السبب الجذري للثغرة.

· موقف LayerZero: لامَ بروتوكول الرسائل بشكل قاطع Kelp DAO لاستخدامه تكوين "1 من 1 DVN" (شبكة التحقق اللامركزية). وي argue أن هذا الإعداد خلق نقطة فشل كارثية واحدة، حيث لم يكن هناك مدقق ثانٍ مستقل للإشارة إلى المعاملة الخبيثة. تدعي LayerZero أنها أوصت بممارسات أفضل بشأن التنويع، لكن Kelp اختارت عدم تبنيها.
· دفاع Kelp DAO: في رد حاسم، رفضت Kelp DAO هذه الادعاءات، موضحة أن نموذج 1 من 1 DVN هو التكوين الافتراضي الذي ورد في وثائق LayerZero الخاصة بنشر رموز OFT (Omnichain Fungible Token) الجديدة. وتؤكد Kelp أنها كانت تعمل على هذا البنية التحتية منذ يناير 2024 وأن الإعداد تم تأكيده سابقًا على أنه مناسب من قبل ممثلي LayerZero.

انتشار العدوى: Aave تواجه $230M ثقب

أشد تداعيات الاختراق هو الخطر النظامي الذي يهدد Aave، بروتوكول الإقراض الرائد في التمويل اللامركزي.

بدلاً من بيع rsETH المسروق، قام المهاجم بإيداع 89,567 من الرموز كضمان واقترض حوالي $190 مليون دولار من WETH و wstETH. هذا ترك Aave يحمل ضمانات بقيمة أساسية معرضة للخطر.

وفقًا لتقرير حادث من Aave Labs، تتفاوت الخسائر المحتملة لـ Aave بشكل كبير اعتمادًا على كيفية قرار Kelp DAO تخصيص العجز:

1. خسارة مشتركة ($124 مليون دولار): إذا تم توزيع الخسائر على جميع حاملي rsETH (حدث فقدان الربط بنسبة 15%).
2. عزل Layer 2 ($230 مليون دولار): إذا تم عزل الخسائر فقط على شبكات Layer 2، مما يترك ممتلكات الشبكة الرئيسية لـ Aave غير مدعومة جزئيًا.

ردًا على ذلك، أوقف Aave أسواق rsETH عبر V3 و V4، وضبط نسب القرض إلى القيمة على الصفر لمنع المزيد من الاقتراض. انخفض رمز Aave (AAVE) بنسبة 10% بعد الخبر، وهاجر أكثر من $10 مليار دولار من إجمالي القيمة المقفلة (TVL) من البروتوكول مع تسرع المستخدمين في سحب الأموال.

مكابح الطوارئ: Arbitrum يوقف $71 مليون دولار

في عرض نادر للتدخل السريع من قبل الحوكمة، تدخل مجلس أمن Arbitrum ليوقف 30,766 ETH — بقيمة تقريبية تبلغ 71.1 مليون دولار — المرتبط بالاستغلال على شبكة Arbitrum One.

تم نقل الأموال إلى محفظة وسيطة مجمدة. ذكرت Arbitrum أن هذه الأصول ستظل غير قابلة للتحريك في انتظار قرار رسمي من الحوكمة، والذي قد يتضمن تعويض المستخدمين. وأشار المجلس إلى أنه تصرف بمشاركة من جهات إنفاذ القانون بشأن هوية المستغل.

ماذا يحدث بعد ذلك؟

حتى الآن، لا تزال الحالة غير مستقرة ولكنها خطيرة. أوقفت Kelp DAO عقود rsETH عبر الشبكة الرئيسية وشبكات Layer-2 المتعددة. المشكلة الأساسية التي تواجه جهود الحل هي أن Kelp DAO ربما لا تملك حجم الخزانة الكافي لتغطية الخسارة $292 مليون دولار بشكل أحادي.

يقترح مراقبو الصناعة أن LayerZero قد تضطر إلى التدخل لإنقاذ سمعة نظام OFT الخاص بها، أو أن Aave قد تحتاج إلى استخدام خزانة DAO الخاصة بها ($181 مليون دولار) لتغطية الديون السيئة. ومع ذلك، ينفي الطرفان حاليًا المسؤولية المباشرة.