#KelpDAOBridgeHacked

شهد نظام التمويل اللامركزي أحد أخطر حالات الفشل الأمني حتى الآن. تعرض بروتوكول Kelp DAO، وهو بروتوكول بارز لإعادة استثمار السيولة، لعملية استغلال مدمرة استهدفت جسر rsETH عبر السلسلة. خلال دقائق، تم سحب حوالي 116,500 rsETH — بقيمة تتراوح بين $292 مليون و $293 مليون — مما يمثل حوالي 18% من إجمالي العرض المتداول للعملة. ويعد هذا الحادث الآن أكبر عملية اختراق في مجال التمويل اللامركزي تم تسجيلها في عام 2026.

نشأت الثغرة داخل بنية جسر Kelp DAO، التي كانت تعتمد على نظام الرسائل عبر السلاسل من LayerZero. على وجه التحديد، استغل المهاجم وظيفة lzReceive في عقد EndpointV2. من خلال صياغة رسالة عبر السلسلة مزورة وحقنها، تمكن المهاجم من تجاوز فحوصات التحقق. تم خداع النظام ليعتبر الرسالة شرعية، مما أدى إلى إصدار غير مصرح به للأموال إلى محفظة يسيطر عليها المهاجم.
ما يجعل الهجوم مقلقًا بشكل خاص هو كيف استغل سلوك البروتوكول القياسي بدلاً من وجود ثغرة معقدة. يعتقد المحللون أن الاعتماد المفرط على الإعدادات الافتراضية وطبقات التحقق غير الكافية داخل نظام الرسائل لعبت دورًا حاسمًا. كما أن تحضير المهاجم كان متعمدًا — حيث تم تمويل المحفظة المستخدمة في الاستغلال عبر Tornado Cash قبل حوالي 10 ساعات، وهي استراتيجية تُستخدم عادة لإخفاء أصول المعاملات وصعوبة تتبعها.

طابع الجسر عبر السلاسل زاد من حجم الضرر. مع نشر rsETH عبر شبكة إيثريوم الرئيسية وعدة شبكات Layer-2 مثل Arbitrum، انتشر الاستغلال بسرعة عبر الأنظمة البيئية. زاد هذا التعرض متعدد السلاسل بشكل كبير من سرعة وكمية الخسائر.
ردت Kelp DAO بسرعة بعد اكتشاف نشاط غير طبيعي. أوقفت الفريق على الفور عقود rsETH عبر الشبكة الرئيسية وعدة بيئات Layer-2، مما حال دون مزيد من الخسائر التي قدرت بأكثر من $100 مليون. في بيانهم الأولي، أكدوا التعاون النشط مع شركاء البنية التحتية والمدققين وخبراء الأمن لإجراء تحقيق شامل.

على الرغم من الاستجابة السريعة، كانت العواقب وخيمة. أدى الاستغلال إلى حالة من الذعر الواسع في أسواق التمويل اللامركزي، مما أدى إلى أزمة سيولة. سارع المستخدمون إلى سحب الأموال، مما أدى إلى تأثير "السحب الجماعي" المتسلسل. نفذت منصات الإقراض الكبرى، بما في ذلك Aave، إجراءات طارئة مثل تجميد السوق. تم سحب حوالي $9 مليار — أي ثلث القيمة الإجمالية المقفلة في Aave — خلال فترة قصيرة، مما أدى إلى خسارة تقدر بين $196 مليون و $236 مليون من الديون المعدومة.

واجهت بروتوكولات أخرى، بما في ذلك SparkLend و Fluid و Upshift و Morpho، أيضًا ضغطًا كبيرًا. على مستوى النظام البيئي الأوسع، انخفضت القيمة الإجمالية المقفلة بمقدار يقدر بين $8 مليار و $13 مليار خلال 48 ساعة. امتدت الصدمات إلى ما وراء إيثريوم، وأثرت على تجمعات السيولة على سلاسل أخرى، بما في ذلك سولانا.
ظهرت تكهنات حول احتمال تورط مجموعة لازاروس، وهي منظمة إجرامية إلكترونية مرتبطة بكوريا الشمالية معروفة باستهداف منصات العملات الرقمية. على الرغم من أن بعض المؤشرات على السلسلة تشير إلى احتمالية وجود صلات، إلا أنه لم يتم تأكيد ذلك رسميًا بعد.

وفي الوقت نفسه، بدأ المهاجم بالفعل في تحريك الأموال، حيث قام بتحويل أجزاء منها إلى ETH عبر شبكات مختلفة لتعقيد جهود التتبع.
يعزز هذا الحادث قلقًا طويل الأمد داخل مجال التمويل اللامركزي: لا تزال الجسور عبر السلاسل واحدة من أكثر مكونات البنية التحتية للبلوكشين عرضة للهجمات. على الرغم من أنها تتيح التفاعل السلس بين الشبكات، إلا أنها تقدم أيضًا أسطح هجوم حرجة — خاصة عندما تكون آليات التحقق من الرسائل غير قوية بما يكفي.

يعد استغلال Kelp DAO بمثابة تحذير صارخ. يسلط الضوء على الحاجة الملحة لتحسين أطر الأمان، بما في ذلك أنظمة التحقق متعددة الطبقات، ومنطق التحقق الأكثر صرامة، وممارسات إدارة المخاطر الأفضل. مع استمرار التحقيق، تنتظر الصناعة الآن تقرير ما بعد الوفاة الكامل الخاص بـ Kelp DAO، والذي من المتوقع أن يوفر رؤى أعمق حول الفشل ويحدد خطوات لمنع وقوع حوادث مماثلة في المستقبل.
📌 تفصيل:
https://www.gate.com/announcements/article/50593
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年