تم استغلال جسر KelpDAO للحصول على 292 مليون دولار، وترتبط مجموعة لازاروس بالهجوم.

في 18 أبريل 2026، المهاجمون تم سحب 116,500 rsETH تم الحصول على رموز بقيمة تقارب 292 مليون دولار من جسر KelpDAO عبر السلسلة، مما أدى إلى إطلاق واحدة من أكبر عمليات الاستغلال اللامركزي لهذا العام. 

أدى الاختراق إلى القضاء على حوالي 18٪ من إجمالي المعروض المتداول من rsETH البالغ 630,000 رمز، وتجميد الأسواق عبر منصات الإقراض الرئيسية، وانخفاض إجمالي القيمة المقفلة (TVL) عبر DeFi بأكثر من 13 مليار دولار في 48 ساعة. 

أشارت شركة LayerZero، التي اعتمدت بنيتها التحتية على الجسر، منذ ذلك الحين إلى اختيار التكوين من قبل KelpDAO باعتباره السبب الجذري، في حين أن الإسناد المبكر يربط الهجوم بمجموعة Lazarus الكورية الشمالية.

كيف تم تجفيف جسر كيلبداو؟

KelpDAO هو بروتوكول لإعادة رهن السيولة، وهو نوع من منصات التمويل اللامركزي التي تقبل ودائع المستخدمين ETHثم يقوم بتوجيهها عبر طبقة EigenLayer لتحقيق عائد إضافي فوق العائد القياسي إثيريم تُقدّم مكافآت التخزين، وتُصدر rsETH كرمز إيصال قابل للتداول. اعتبر rsETH بمثابة شيك مطالبة: فهو يُمثّل الرصيد المُخزّن. ETH والعائد الذي يحققه، ويمكن تداوله أو استخدامه كضمان عبر التمويل اللامركزي.

تم بناء الجسر الذي تم تجفيفه باستخدام معيار OFT (الرمز القابل للاستبدال متعدد السلاسل) الخاص بـ LayerZero. LayerZero هي طبقة مراسلة عبر السلاسل، أي أنها البنية التحتية التي تسمح لسلاسل الكتل المختلفة بإرسال تعليمات موثقة إلى بعضها البعض. 

قامت منظمة KelpDAO بنشر rsETH عبر أكثر من 20 شبكة بما في ذلك Base، التحكيم، لينيا، بلاست، عباءة، و Scroll. احتفظ الجسر باحتياطيات rsETH التي دعمت الإصدارات المغلفة من الرمز المميز على جميع سلاسل الطبقة 2 تلك.

في تمام الساعة 17:35 بالتوقيت العالمي المنسق يوم 18 أبريل، تمكن المهاجمون من خداع طبقة المراسلة في LayerZero، حيث أوهموها بوصول تعليمات صحيحة من شبكة أخرى. وقد أدى ذلك إلى قيام جسر KelpDAO بتحرير 116,500 rsETH إلى عنوان يتحكم به المهاجم. 

التوقيع المتعدد للطوارئ الخاص بـ KelpDAO توقفت القادم النواة بعد 46 دقيقة، في تمام الساعة 18:21 بالتوقيت العالمي المنسق، تم تنفيذ العقود. ووفقًا لموقع CoinDesk، فشلت محاولتان لاحقتان، في تمام الساعة 18:26 و18:28 بالتوقيت العالمي المنسق، بعد أن تم بالفعل إيقاف العملية مؤقتًا. حملت كلتا المحاولتين رسالةً تحاول سحب 40,000 rsETH إضافية، بقيمة تقارب 100 مليون دولار.

كيف تجاوز المهاجمون طبقة التحقق

منذ ذلك الحين، قامت شركة LayerZero صدر تحليل مفصل لكيفية عمل الهجوم من الناحية التقنية، وهو أكثر تعقيدًا من مجرد ثغرة في عقد ذكي بسيط.

اكتشف المشاريع الواعدة...

مشاريع واعدة...

(إعلان)

تستمر المقالة...

يعتمد التحقق من جسر LayerZero على عُقد RPC: وهي خوادم تُمكّن البرامج من قراءة البيانات وكتابتها على سلسلة الكتل. حدد المهاجم عُقدتين من عُقد RPC يعتمد عليهما مُدقِّق LayerZero لتأكيد المعاملات عبر السلاسل. استبدل المهاجم البرنامج المُشغَّل على هاتين العُقدتين بنسخ خبيثة مُصمَّمة للإبلاغ عن أمرٍ مُعيَّن لمُدقِّق LayerZero (وهو حدوث معاملة صحيحة)، بينما تستمر في الإبلاغ عن بيانات صحيحة لجميع الأنظمة الأخرى التي تستعلم عن العُقد نفسها. صُمِّم هذا التضليل الانتقائي خصيصًا ليبقى خفيًا عن نظام مراقبة LayerZero، الذي يستعلم عن عُقد RPC نفسها من عناوين IP مختلفة.

لم يكن اختراق عقدتين فقط كافيًا، لأن أداة التحقق الخاصة بـ LayerZero استعلمت أيضًا عن عقد RPC خارجية غير مخترقة. لذلك شنّ المهاجمون هجومًا موزعًا لحجب الخدمة (DDoS) على تلك العقد الخارجية لإجبار النظام على الانتقال إلى العقد المخترقة. 

تُظهر سجلات حركة البيانات التي شاركتها شركة LayerZero أن هجوم DDoS استمر بين الساعة 10:20 صباحًا و11:40 صباحًا بتوقيت المحيط الهادئ في 18 أبريل. بمجرد تفعيل آلية تجاوز الفشل، أبلغت العُقد المُستهدفة المُدقِّق بوصول رسالة شرعية عبر السلسلة، وقام الجسر بتحرير عملات rsETH. ثم قام برنامج العقدة الخبيثة بتدمير نفسه ذاتيًا، مما أدى إلى مسح ملفاته التنفيذية وسجلاته المحلية.

لماذا جعل تكوين KelpDAO هذا الأمر ممكناً؟

كانت LayerZero صريحة بشأن الجهة التي تعتقد أنها تتحمل المسؤولية. وقد استخدمت KelpDAO ما يُعرف بتكوين DVN أحادي العنصر. DVN اختصار لشبكة التحقق اللامركزية، وهو مصطلح LayerZero للإشارة إلى الكيانات التي تتحقق من صحة الرسائل عبر السلاسل. 

كان تشغيل نظام التحقق الفردي يعني أن شركة LayerZero Labs هي الجهة الوحيدة التي تؤكد الرسائل من وإلى جسر rsETH. يكفي اختراق بيانات أحد المدققين لتزوير رسالة صالحة.

أوصت وثائق التكامل العامة لشركة LayerZero والتواصل المباشر مع KelpDAO بإعداد متعدد المدققين، حيث يُشترط وجود توافق في الآراء بين عدة شبكات تحقق رقمية مستقلة قبل قبول الرسالة على أنها صالحة. وبموجب هذا الإعداد، لم يكن التلاعب ببيانات أحد المدققين كافيًا لتمرير معاملة احتيالية.

كتبت شركة LayerZero في تقريرها اللاحق: "اختارت منظمة KelpDAO استخدام تكوين DVN 1/1. وكان من شأن التكوين المحصن بشكل صحيح أن يتطلب توافقًا عبر عدة DVNs مستقلة، مما يجعل هذا الهجوم غير فعال حتى في حالة اختراق أي DVN واحد."

قام ديفيد شوارتز، كبير مسؤولي التكنولوجيا في شركة ريبل، بـ وأشار وأشار إلى ملاحظة حول الموضوع نفسه. ولاحظ أنه عند تقييم أنظمة الربط اللامركزية للتمويل (DeFi) لـ RLUSDووجد أن معظم البروتوكولات لديها آليات أمان قوية متاحة، لكنها عادةً ما تروج لتلك الآليات على أنها ميزات اختيارية تضيف تعقيدًا تشغيليًا. 

يرى أن الرسالة الضمنية من البائعين كانت مفادها أن العملاء لا ينبغي أن يكلفوا أنفسهم عناء استخدام أهم ميزات الأمان لأنها غير مريحة. وقد وصف شعوره بأن شركة KelpDAO ربما اختارت عدم استخدام ميزات الأمان الرئيسية في LayerZero لهذا السبب تحديدًا.

"لدي شعور غريب بأن جزءًا من المشكلة سيكون شيئًا مثل اختيار KelpDAO عدم استخدام ميزات الأمان الرئيسية لـ LayerZero بدافع الراحة"، صرح شوارتز. 

لم ترد منظمة KelpDAO علنًا على إطار عمل LayerZero أو توضح سبب تشغيلها لإعداد مدقق 1 من 1 على الرغم من تلك التوصيات، حتى الآن.

ماذا حدث لـ rsETH بعد عملية الاستنزاف؟

لأن الجسر احتفظ باحتياطيات rsETH على كل سلسلة من الطبقة الثانية التي تم نشره عليها، فإن استنزافها ترك حامليها على تلك الشبكات أمام سؤال جدي: هل هناك أي شيء يدعم رموزي؟ خلق هذا الغموض حلقة مفرغة: فالقلق بشأن الدعم على الطبقة الثانية قد يدفع حاملي rsETH إلى استردادها مقابل ETH on إثيريم الشبكة الرئيسية، الأمر الذي قد يجبر KelpDAO بدوره على إلغاء مراكز إعادة رهن EigenLayer الخاصة بها للوفاء بعمليات السحب تلك.

أكدت منظمة KelpDAO وقوع الحادث في أول منشور علني لها على منصة X في تمام الساعة 20:10 بالتوقيت العالمي المنسق، أي بعد نحو ثلاث ساعات من عملية سحب الأموال. وذكرت المنظمة أنها تعمل مع LayerZero وUnichain ومدققيها وخبراء أمن خارجيين للتحقيق في الأمر.

ما هي البروتوكولات التي جمدت الأسواق؟

انتشرت العدوى بسرعة في جميع أنحاء التمويل اللامركزي:

• Aave جمّدت عمليات استغلال ثغرة أمنية أسواق rsETH على كل من الإصدارين V3 وV4 في غضون ساعات. وأوضح المؤسس ستاني كوليتشوف أن الثغرة كانت خارجية. Aaveلم تتأثر عقودهم الخاصة.
• قامت كل من SparkLend و Fluid بتجميد أسواق rsETH الخاصة بهما.
• أوقفت شركة Lido Finance عمليات الإيداع الإضافية في منتجها earnETH، الذي يحمل مخاطر rsETH، مع توضيح أن stETH و wstETH لم تتأثر.
• إيثينا أوقفت مؤقتًا جسور LayerZero OFT الخاصة بها من إثيريم أعلنت الشبكة الرئيسية كإجراء احترازي، قائلة إنها لا تتعرض لـ rsETH وأنها لا تزال مغطاة بأكثر من 101% من الأصول. 

كم انخفضت قيمة الأصول المقفلة في التمويل اللامركزي؟

امتدت التداعيات المالية إلى ما هو أبعد من منظومة KelpDAO نفسها. فقد انخفض إجمالي القيمة المودعة في منصات التمويل اللامركزي من 99 مليار دولار إلى 86 مليار دولار خلال 48 ساعة التي تلت عملية الاختراق، أي بانخفاض قدره 13.21 مليار دولار، وفقًا لـ البيانات من DefiLlama. TVL هو مقياس معياري للقيمة الدولارية الإجمالية للأصول المودعة عبر بروتوكولات التمويل اللامركزي ويستخدم على نطاق واسع كبديل لسيولة السوق الإجمالية ونشاطها.

Aave رأى وحده ودائع بقيمة 9.5 مليار دولار شهدت تلك الفترة خروجًا، حيث انخفضت قيمة أصولها المقفلة إلى 17.947 مليار دولار. وأظهرت بيانات مستوى البروتوكول انخفاضات بنسبة مئوية مكونة من رقمين عبر منصات تشمل Euler وSentora و Aave، مع تركز الخسائر في الإقراض وإعادة التمويل واستراتيجيات العائد المرتبطة بضمانات rsETH.

كانت الآلية الكامنة وراء تلك التدفقات الخارجة واضحةً لكنها مُدمّرة. استخدم المهاجمون عملة rsETH المسروقة كضمان لاقتراض الأموال من منصات الإقراض. ولأن هذه العملات لم تعد مدعومة بضمانات شرعية، فقد أدى الاقتراض بضمانها إلى عجز محتمل لدى المُقرضين. يُشبه هذا إيداع عملة مزيفة في بنك والحصول على قروض بضمانها: إذ ينتهي الأمر بالبنك مُثقلاً بديون معدومة. استجابت البروتوكولات بتجميد الأسواق المتضررة، مما دفع المستخدمين إلى سحب أموالهم على نطاق واسع، مُسرّعًا بذلك انخفاض القيمة الإجمالية المُقفلة (TVL).

AAVE انخفض بنسبة 18% خلال الـ 48 ساعة الماضية.

هل تقف جماعة لازاروس وراء الهجوم؟

عزت شركة LayerZero الهجوم، بثقة مبدئية، إلى مجموعة لازاروس الكورية الشمالية ووحدتها الفرعية TraderTraitor، استنادًا إلى تحليل أساليب المهاجمين وبنيتهم ​​التحتية. وأشار بيتر تشونغ، رئيس قسم الأبحاث في شركة Presto Research، في مذكرة بحثية، إلى أن الحادثة تسلط الضوء على المخاطر في البنية التحتية متعددة السلاسل، لا سيما في أنظمة التحقق، وأن التحليل الأولي يشير إلى أن المشكلة نشأت في طبقة التحقق وليس في العقود الذكية نفسها.

إذا ثبتت صحة هذه النسبة، فإن استغلال ثغرة KelpDAO سيمثل ثاني عملية استنزاف كبيرة لأموال التمويل اللامركزي مرتبطة بمجموعة لازاروس خلال 18 يومًا. في 1 أبريل، الاستلقاء تحت أشعة الشمستعرض بروتوكول Drift، وهو بروتوكول قائم على العقود الدائمة، لهجوم إلكتروني أسفر عن خسارة حوالي 285 مليون دولار أمريكي، نُسب لاحقًا إلى نفس الوحدة الكورية الشمالية. استخدم الهجومان أساليب مختلفة هيكليًا: الهندسة الاجتماعية في Drift، وتسميم البنية التحتية في KelpDAO. وبذلك، بلغ إجمالي الخسائر في التمويل اللامركزي (DeFi) أكثر من 575 مليون دولار أمريكي في أقل من ثلاثة أسابيع.

ماذا فعلت شركة LayerZero منذ الهجوم؟

أكدت شركة LayerZero عدم انتقال العدوى إلى أي تطبيق آخر على البروتوكول. ولم تتأثر أي من الرموز المميزة والتطبيقات المتوافقة مع معيار OFT والتي تعمل بإعدادات متعددة للمُدقِّقين. وقد عاد مُدقِّق مختبرات LayerZero للعمل. كما أعلنت الشركة أنها ستتوقف عن توقيع الرسائل لأي تطبيق يعمل بتكوين DVN أحادي المُدقِّق، مما يُجبر البروتوكول بأكمله على الانتقال من إعدادات المُدقِّق الأحادي.

خاتمة

لم يكن استغلال ثغرة KelpDAO خطأً في كود LayerZero، بل كان هجومًا مُستهدفًا على البنية التحتية، نتج عن قرار إعداد واحد: تشغيل نظام التحقق 1 من 1 رغم التوصيات الموثقة التي تُحذّر منه. قام المهاجمون، الذين نُسبوا مبدئيًا إلى مجموعة لازاروس الكورية الشمالية، بتسميم عُقد RPC، وفرضوا عملية تجاوز الفشل عبر هجوم DDoS مُنسق، واستنزفوا 116,500 rsETH قبل أن تتمكن KelpDAO من إيقاف عقودها مؤقتًا. وشملت الآثار اللاحقة خسارة أكثر من 13 مليار دولار من القيمة الإجمالية المُقفلة لـ DeFi في غضون 48 ساعة، وتجميدًا شاملًا للشبكة. Aave، SparkLend و Fluid و Lido، وحوار أوسع حول الفجوة بين ميزات الأمان التي توفرها جسور الربط بين السلاسل والميزات التي يستخدمها المكاملون فعليًا.

المصادر

1. انظر على Xالمنشورات (18 أبريل - 20 أبريل)

2. تقرير من CoinDeskأكبر عملية استغلال للعملات المشفرة في عام 2026: سحب 292 مليون دولار من منظمة Kelp DAO مع بقاء عملات إيثر مغلفة عالقة عبر 20 سلسلة.

3. LayerZero على Xمنشور بتاريخ 20 أبريل

4. تقرير من The Blockيبدو أن جسر rsETH التابع لمنظمة Kelp DAO قد تم استغلاله لخسارة ما يقارب 292 مليون دولار أمريكي في هجوم باستخدام ثغرة LayerZero.

5. بوابة ديفيلامابيانات القيمة الإجمالية المستحقة لبرامج التمويل اللامركزي