في تطور صادم للأحداث، استيقظ مجتمع التمويل اللامركزي #KelpDAOBridgeHacked DeFi( على خبر أن جسر KelpDAO عبر السلاسل قد تعرض لخرق أمني كبير. لقد أثار الاستغلال، الذي يُشار إليه الآن على نطاق واسع باسم )الحادث#KelpDAOBridgeHacked ، أسئلة عاجلة حول أمان الجسور، ثقة المدققين، ومرونة بروتوكولات إعادة الرهن السائلة. تقدم هذه المقالة نظرة شاملة وواقعية لما حدث، مقدار الخسائر، الاستجابة الفورية، والتداعيات الأوسع لمستخدمي ومطوري DeFi.

ما هو KelpDAO ولماذا يهم جسره؟

KelpDAO هو بروتوكول إعادة الرهن السائلة البارز المبني على EigenLayer. يتيح للمستخدمين إيداع رموز الرهن السائلة (مثل stETH الخاص بـ Lido) والحصول على rsETH، وهو رمز إعادة الرهن السائلة الذي يكتسب مكافآت من تأمين خدمات التحقق النشطة (AVSs). يتيح جسر KelpDAO للمستخدمين نقل rsETH والأصول المدعومة الأخرى بين شبكة Ethereum الرئيسية وشبكات Layer 2 المختلفة (Arbitrum، Optimism، Base، وغيرها). الجسور حاسمة للتشغيل البيني في DeFi، لكنها كانت دائمًا أهدافًا رئيسية للهاكرز بسبب تعقيد منطق العقود الذكية وحجم TVL (القيمة الإجمالية المقفلة). قبل الاختراق، كان جسر KelpDAO يحتوي على أكثر من $250 مليون في الأصول عبر السلاسل.

الهجوم: الجدول الزمني والطريقة

في 18 أبريل 2026 (تاريخ تقريبي بناءً على توقيت الحوادث النموذجي)، اكتشفت شركات أمن blockchain مثل PeckShield و SlowMist تدفقات غير معتادة من عقدة جسر KelpDAO على Arbitrum. وفقًا للتحليل على السلسلة، استغل المهاجم ثغرة في منطق التحقق من الرسائل في الجسر. تحديدًا، استخدم الجسر عميل خفيف مخصص يتحقق بشكل غير صحيح من أدلة ميركل للمعاملات عبر السلاسل. من خلال صياغة دليل ميركل خبيث، تمكن الهاكر من استدعاء وظيفة finalizeBridge بشكل متكرر واصدار rsETH على السلسلة الهدف دون قفل الأصول المقابلة على السلسلة المصدر.

وقع الهجوم على ثلاث مراحل:

1. التحضير (قبل ساعتين) – قام المهاجم بتمويل محفظة جديدة بـ 100 ETH عبر Tornado Cash (أو مزيج مماثل) لتجنب التتبع. ثم نشر عقدًا خبيثًا مصممًا لاستغلال خلل التحقق.
2. الاستغلال (45 دقيقة) – باستخدام العقد الخبيث، قدم الهاكر آلاف الأحداث المزيفة للإيداع إلى موصل جسر KelpDAO. قبل المرسل، الذي يعالج الأدلة المُتحقق منها تلقائيًا، الاعتماد على الأدلة المزورة بسبب غياب فحص على معلمة sourceChainId. سمح ذلك للمهاجم بصك 1.2 مليون rsETH على Arbitrum دون إيداع أي ضمانات على Ethereum.
3. التصريف (العشرين دقيقة التالية) – بسرعة، قام المهاجم بتحويل rsETH المزور إلى USDC و ETH على بورصات لامركزية (Uniswap، Balancer) ثم جسر الأموال إلى محفظة خاصة. بحلول الوقت الذي أوقف فيه فريق KelpDAO الجسر، تم سحب حوالي $47 مليون من الأصول.

الرد الفوري والتدابير

اعترف المساهمون الرئيسيون في KelpDAO بالاختراق خلال 30 دقيقة من أول معاملة غير طبيعية. قاموا بـ:

· إيقاف جميع أنشطة الجسر عبر جميع السلاسل.
· نشر إعلان طارئ على حسابهم الرسمي على X (Twitter) وقناة Discord.
· التعاقد مع شركات التحقيق في blockchain (Chainalysis، TRM Labs) لتعقب الأموال المسروقة.
· عرض مكافأة بقيمة $2 مليون على المهاجم مقابل إعادة 90% من الأموال، كما هو معتاد في مثل هذه الحوادث.

لم يرد المهاجم علنًا حتى الآن. ومع ذلك، لاحظ خبراء على السلسلة أن بعض USDC المسروق أُرسل إلى خدمة تبادل عائم ثابت، ربما في محاولة لغسل الأموال عبر جسور السلاسل – وهو مفارقة مأساوية بالنظر إلى السياق.

الأثر على المستخدمين والنظام البيئي الأوسع

بالنسبة لحاملي rsETH ومزودي السيولة، كانت النتيجة المباشرة انخفاض السعر بشكل حاد. تم تداول rsETH بخصم 23% في الأسواق الثانوية مع انتشار الخوف من أن الرموز المعبأة قد لا تكون مدعومة بالكامل. انخفض TVL الخاص بـ KelpDAO من $380 مليون إلى $220 مليون خلال ست ساعات مع تسرع المستخدمين في سحب أصولهم مباشرة من عقد الشبكة الرئيسية (الذي ظل آمنًا).

واجهت بروتوكولات الإقراض التي دمجت rsETH كضمان (مثل Aave، ونسخ Compound) عمليات تصفية متسلسلة. اضطرت على الأقل سوقان للإقراض إلى إيقاف اقتراض rsETH لمنع المزيد من الخسائر. يُقدر التأثير الكلي على النظام البيئي بـ $65 مليون عند احتساب عمليات التصفية المتسلسلة وفرص الأرباح من التحكيم المفقودة.

ومن المهم أن وضعيات إعادة الرهن الأساسية على EigenLayer لم تتعرض للاختراق. الهجوم أثر فقط على التمثيل الاصطناعي لـ rsETH على Layer 2s. ومع ذلك، فإن استعادة الثقة ستتطلب من KelpDAO إما إعادة تمويل الجسر أو إثبات أن جميع rsETH المتداول مغطاة بالكامل بضمانات – وهو مهمة صعبة بالنظر إلى الثغرة التي تبلغ $47 مليون.

الدروس المستفادة للبروتوكولات والمستخدمين في DeFi

تؤكد الحادثة على عدة حقائق صعبة:

1. الجسور تظل الحلقة الأضعف – على الرغم من سنوات التدقيق والتحسينات، فإن البنية التحتية عبر السلاسل بطبيعتها محفوفة بالمخاطر. كل سلسلة إضافية وموصل يزيد من سطح الهجوم.
2. التحقق من العميل الخفيف غير بسيط – السبب الجذري هنا كان غياب فحص معرف السلسلة في مدقق أدلة ميركل. مثل هذه الإغفالات لا تزال موجودة حتى في قواعد الكود المدققة. يجب أن تكون التدقيقات المستقلة والتحقق الرسمي إلزامية لأي جسر.
3. خطط الاستجابة الطارئة ضرورية – أوقف KelpDAO بسرعة أنشطته أنقذ ملايين، لكنهم افتقروا إلى آلية أمان مثل قاطع الدائرة الذي يوقف بشكل تلقائي عمليات التوليد المشبوهة. يمكن أن يكون المراقبة على السلسلة مع محفزات تلقائية قد أوقفت الهجوم بعد أول بضع معاملات.
4. يجب على المستخدمين التنويع – حمل كميات كبيرة من الأصول المعبأة على أي Layer 2 محفوف بالمخاطر. حيثما أمكن، استخدم الجسور الأصلية #KelpDAOBridgeHacked مثل جسر Arbitrum( أو احتفظ بالأموال على الشبكة الرئيسية. إذا استخدمت جسور طرف ثالث، قلل من التعرض واغتنم السحب بشكل متكرر.

ماذا يحدث بعد ذلك؟

أعلنت KelpDAO عن خطة استرداد تتضمن:

· لقطة لجميع حاملي rsETH المعبأة قبل الاختراق.
· رمز استرداد )rsETH-recover( الذي سيتم توزيعه عبر الهواء للمستخدمين المتضررين.
· تصويت على الخزانة حول ما إذا كان سيتم تعميم الخسارة على جميع أصحاب المصلحة في KelpDAO أو البحث عن تمويل خارجي )مثل إنقاذ من رأس مال مغامر(.

كما التزمت البروتوكول بنشر تحليل كامل بعد الحادث وتوظيف شركة أمن جسر متخصصة لإعادة بناء الجسر من الصفر باستخدام بنية ZK-rollup.

أما المهاجم، فقد تم إخطار السلطات المختصة. ومع ذلك، نظرًا للطابع المجهول للهوية في DeFi، فإن الاسترداد غير مرجح إلا إذا قام المهاجم بإعادة الأموال طواعية – وهو أمر نادر الحدوث.

الأفكار النهائية

تعد هذه الحادثة تذكيرًا مريرًا بأن مستقبل DeFi متعدد السلاسل لا يزال في مرحلة النضوج. بينما يظل منتج إعادة الرهن الأساسية لـ KelpDAO سليمًا، فإن فشل الجسر تسبب في أضرار حقيقية للمستخدمين الذين وثقوا في بنية السلسلة عبر البروتوكول. كمجتمع، نحتاج إلى معايير أفضل، واختبارات أكثر دقة، وربما الأهم، تواضع بشأن حدود أمان العقود الذكية الحالية.

إذا كنت مستخدمًا لـ KelpDAO، راقب قنواتهم الرسمية للحصول على تحديثات حول خطة الاسترداد. تجنب التفاعل مع أي حسابات “دعم” غير موثوقة تدعي تقديم استرداد – غالبًا ما يظهر المحتالون بعد مثل هذه الحوادث. كن حذرًا، وتحقق دائمًا من عناوين العقود بشكل مستقل.

إخلاء مسؤولية: هذا المنشور لأغراض إعلامية فقط ولا يشكل نصيحة مالية. دائمًا قم بأبحاثك الخاصة قبل التفاعل مع أي بروتوكول DeFi.)