العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
مأزق اللامركزية: مخاطر السلسلة والتصعيد في أزمة KelpDAO وحقوق التدخل الطارئ
كتابة: BlockSec
النقاط الأساسية: ثغرة جسر KelpDAO بقيمة 290 مليون دولار أدت إلى سلسلة من ردود الفعل، وأدت إلى تجميد أكثر من 6.7 مليار دولار من سيولة WETH على خمس سلاسل، وأثرت على مستخدمين لم يتعاملوا من قبل مع rsETH. كما كشفت هذه الحادثة عن الحدود الفعلية لنظام “بدون إذن”: حيث قام مجلس أمن Arbitrum بترقية العقود الذرية المصرح بها عبر الحوكمة وأجرت تحويلات قسرية للحالة، دون حاجة توقيع المالك، لنقل 30,766 ETH.
في 18 أبريل 2026، تعرض جسر rsETH الخاص بـ KelpDAO لهجوم، وخسارة حوالي 290 مليون دولار، ليصبح أكبر حادث أمني في DeFi هذا العام. تشير التحقيقات الأولية إلى مجموعة Lazarus، وهي منظمة هجوم على البنية التحتية الرقمية ذات سجل طويل، وتُعتبر جهة ذات مستوى وطني [1]. لم يستغل الهجوم ثغرة في العقود الذكية، بل تم عبر تسميم عقد RPC للبنية التحتية التي تعتمد عليها شبكة التحقق اللامركزية (DVN)، وتزوير رسائل عبر السلسلة، حيث أُطلق rsETH بدون حرق في السلسلة المصدر.
لقد قدمت LayerZero [1] و KelpDAO [2] شرحًا تفصيليًا للهجوم. وسننظر هنا من زاوية أخرى: لا نعيد سرد تفاصيل الهجوم، بل نركز على ما حدث بعده: كيف أدى اعتماد بنية تحتية مركزية إلى تجميد سيولة بقيمة عشرات المليارات على خمس سلاسل، وكيف أجبر هذا التفاعل على أن تتصرف أطر الحوكمة اللامركزية بشكل مركزي في ظل الرأي العام.
سلسلة أسباب حادثة KelpDAO تتعلق بثلاثة مستويات من تقنية “اللامركزية”: الاعتماد على نقطة واحدة في شبكة DVN جعل الهجوم ممكنًا؛ ثم تدهور السيولة عبر DeFi (أي “ليجو DeFi”، حيث تتشابك البروتوكولات كقطع الليجو) أدى إلى أزمة سيولة نظامية؛ وأخيرًا، حجم الأزمة دفع أطر الحوكمة إلى الكشف عن سلطات مركزية ضمن النظام.
ملخص: حادثة KelpDAO
KelpDAO هو جهة إصدار rsETH. rsETH هو رمز إعادة رهن السيولة (LRT)، يمثل حصص ETH المرهونة عبر عدة مشغلين. لتحقيق تداول rsETH عبر السلاسل، دمجت KelpDAO بروتوكول الرسائل LayerZero، الذي يعتمد على شبكة التحقق اللامركزية (DVN) للتحقق من صحة رسائل العبور قبل تنفيذها على السلسلة الهدف.
اختيار التكوين الرئيسي: تستخدم KelpDAO تطبيق rsETH باستخدام تكوين DVN واحد فقط (1-of-1)، وهو DVN تديره LayerZero Labs كالمحقق الوحيد. هذا يعني أن أمنية العبور عبر السلسلة تعتمد كليًا على جهة تحقق واحدة. توثيقات LayerZero توصي باستخدام تكوين متعدد لـ DVN مع وجود احتياطيات، وأكدت LayerZero أنها أبلغت KelpDAO بهذه الممارسة المثلى قبل الحادث [1]. وردت KelpDAO بأن التكوين 1/1 هو “مذكور في وثائق LayerZero ويُعتبر الإعداد الافتراضي عند نشر أي OFT جديد”، وأنه “تم اعتباره مناسبًا خلال توسعة L2” [2].
هاجم المهاجم عقدي RPC الخاصين بـ LayerZero Labs، واستبدل ملفهما الثنائي بنسخة خبيثة. هذان العقدان الخبيثان يردان فقط بيانات الحالة المزورة على عنوان IP الخاص بـ DVN، ويبدوان طبيعيين للمراقبين الآخرين (بما في ذلك بنية المراقبة الخاصة بـ LayerZero). في الوقت نفسه، هجوم DDoS على العقد غير المخترقة أدى إلى انتقال النظام إلى العقد المسممة. النتيجة: أكد DVN رسالة عبر السلسلة لم تحدث أبدًا على المصدر، وبدون حرق في المصدر، أُطلق rsETH من خلال موصل Ethereum (0x85d4…8ef3) بمقدار 116,500 rsETH [1، 3]. المعاملة التي أطلقتها كانت 0x1ae232…db4222. الأدلة على السلسلة واضحة: استقبلت نقطة النهاية على إيثريوم nonce 308، بينما كانت أقصى قيمة ل nonce المبلغ عنها من المصدر هي 307 [10].
تم اكتشاف الحادث خلال 46 دقيقة، وأوقفت KelpDAO جميع العقود ذات الصلة، مما حال دون هجمات إضافية على 40,000 rsETH (حوالي 95 مليون دولار) أخرى [2]. لكن المهاجمين كانوا قد انتقلوا إلى المرحلة التالية: عبر بروتوكولات الإقراض اللامركزية، حولوا rsETH المسروق إلى أصول اقتراض.
الانتقال من الرموز المزورة إلى الأصول المقترضة
لم يبيع المهاجم rsETH المسروق مباشرة. بل وزع 116,500 رمز على سبعة محافظ فرعية، وحقق منها عبر قنوات متعددة، منها التبادل المباشر مقابل ETH عبر المجمعات، ووضعها في حسابات إقراض على Compound V3، وعبورها إلى Arbitrum [10]. لكن المسار الأكثر تأثيرًا كان عبر منصة Aave: حيث قام المهاجمون بإيداع 89,567 rsETH (حوالي 221 مليون دولار) في سوقي إقراض على شبكتي Ethereum و Arbitrum. باستخدام ميزة E-Mode في Aave (وهي وظيفة تسمح بزيادة نسبة القرض إلى القيمة للمدخرات ذات الصلة)، اقترض المهاجمون 82,620 WETH و821 wstETH باستخدام rsETH المودعة كضمان [3].
هذه المراكز كانت على حافة الرافعة المالية القصوى. كانت عوامل الصحة (Health Factors) للمهاجمين السبعة تتراوح بين 1.01 و1.03، وهي فقط أعلى قليلاً من حد التصفية [3]. السبب هو أن إعدادات E-Mode في Aave حددت LTV ل rsETH عند 93%، مع حد التصفية عند 95%، مما يترك هامش أمان ضئيلًا جدًا.
تفاصيل المحافظ على السوقين:
[جدول 1: تفاصيل إيداعات rsETH و WETH/wstETH المقترضة للمهاجمين في سوقي Aave]
المصدر: بيانات على السلسلة من Etherscan، Arbiscan، وDeBank، حتى 22 أبريل 2026، 16:51 UTC. قيمة الدولار تعكس أسعار العملات وقت المعاملة.
تفاعل السلسلة: كيف أدت ثغرة الجسر إلى تجميد WETH على خمس سلاسل
يوضح الشكل التالي سلسلة التفاعل الكاملة. الخطوتان 1 و2 (ثغرة الجسر وإيداع الضمانات في Aave) تم شرحهما سابقًا. سنركز هنا على الخطوات 3 إلى 5: لماذا يجب تجميد WETH، وما هي المعلمات التي شكلت حدة التفاعل، وما هو الثمن الحقيقي للتجميد.
[رسم بياني 1: من ثغرة الجسر إلى تجميد WETH على خمس سلاسل]
لماذا يجب تجميد WETH
في 19 أبريل، قام حارس بروتوكول Aave بتجميد جميع أسواق rsETH وwrsETH على إصداري V3 وV4، ومنع إيداع أو اقتراض WETH باستخدام rsETH كضمان [8]. كانت هذه الخطوة الأولى المتوقعة.
لكن المفاجأة كانت في 20 أبريل: حيث جمدت Aave احتياطيات WETH على شبكات Ethereum، Arbitrum، Base، Mantle، وLinea [3، 8].
لماذا التجميد ضروري؟ لأنها أصول لم تتعرض للهجوم، ولا علاقة لها بالجسر العابر. لأن rsETH المودع من قبل المهاجمين تم إنشاؤه بدون أي أصول مصدرية على السلسلة. استمرت أوامر التقييم (Oracle) في تحديد سعر كامل لهذه الرموز، واعتبرتها كضمانات فعالة لا يمكن تمييزها عن rsETH الشرعي. استغل المهاجمون هذا التفاوت في المعلومات، و借وا WETH الحقيقي نيابة عن ديون غير مضمونة، مما أدى إلى استنزاف WETH من خزائن الإقراض، وبلغت نسبة الاستخدام في السوق 100%. عند امتلاء نسبة الاستخدام، لم يعد بإمكان المدخرين سحب أصولهم، ولم يتمكن المقرضون من تنفيذ عمليات التصفية. آلية التصفية، التي تعتبر خط الدفاع الرئيسي ضد الديون المعدومة، أصبحت غير فعالة [3].
إذا استمر اقتراض WETH، فإن السيولة المتبقية على باقي السلاسل يمكن أن تتعرض لنفس الاستنزاف: إيداع rsETH، اقتراض WETH، ثم المغادرة. التجميد هو الخيار الوحيد للحد من الضرر.
ثلاث معلمات تشكل التفاعل
حجم التفاعل الحاد لم يكن صدفة. هناك ثلاث معلمات برمجية تحدد مدى الضرر المباشر ومدى انتشار التجميد.
حدد إعداد E-Mode في Aave ل rsETH نسبة LTV عند 93%، مما يعني أن إيداع دولار واحد من rsETH الملوث يمكن أن يقترض 0.93 دولار من WETH. بالمقارنة، كانت نسبة LTV ل rsETH في Spark Protocol حوالي 72%، و75% في Fluid [3]. إعدادات Aave هي الأكثر تطرفًا في السوق.
هذا قرار تصميم مدروس، وليس إهمالًا. في يناير 2026، قررت إدارة Aave رفع حد إيداع rsETH إلى 530,000 على Ethereum، و70,000 على Mantle، مما زاد من حجم التلوث المحتمل. على الرغم من أن العلاقة السببية غير مؤكدة (ربما كانت تحضيرات المهاجمين قبل التعديلات)، إلا أن ذلك يوضح كيف أن التعديلات على المعلمات يمكن أن توسع نطاق الأثر المستقبلي بشكل غير مقصود.
نفس المبلغ المقترض يسبب تأثيرات مختلفة حسب عمق السوق المستهدف.
[جدول 2: حجم احتياطي WETH في أسواق Aave V3 على كل شبكة ونسبة السحب المباشر للمهاجم]
المهاجمون استثمروا rsETH فقط في سوقي Aave V3. أما سوق V4 (الذي أُطلق على Ethereum في 30 مارس 2026) فهو أيضًا محمي عبر التجميد الوقائي، لكنه غير مذكور هنا. بيانات احتياطي WETH من LlamaRisk [3]، وبيانات الاقتراض من تفاصيل المحافظ أعلاه.
المهاجمون ركزوا على Ethereum Core وArbitrum. لكن الأهم هو ما حدث على الشبكات التي لم يلمسها المهاجمون مباشرة. لأن rsETH مقبول كضمان على Mantle، Base، وLinea، وإذا تم تدمير دعم الجسر، فإن المستخدمين الذين لديهم ضمانات rsETH يواجهون مخاطر ديون غير مضمونة. قرار تجميد WETH بشكل وقائي على جميع الشبكات الخمس كان رد فعل منطقيًا: إذا بقيت هذه الأسواق مفتوحة، فإنها ستتعرض لنفس آلية السحب التي ثبتت صحتها على Ethereum وArbitrum [3، 8].
تم تصنيف rsETH كضمان في 11 سوقًا من أصل 23 في Aave V3، منها 7 أسواق ذات تعرض حقيقي [8]. المهاجمون عملوا على شبكتين فقط، لكن التجميد الوقائي لـ WETH أثر على ما لا يقل عن 5 شبكات، بما في ذلك الأسواق التي لم يودع فيها المهاجمون أية رموز. نسبة LTV تحدد مقدار السحب على كل شبكة، وعمق السوق يحدد مدى تأثير ذلك. لكن، في النهاية، مدى انتشار التجميد يعتمد على عدد الشبكات التي يُقبل فيها rsETH كضمان.
هذه المعلمات ليست ثابتة. قبل 9 أيام من الحادث، في 9 أبريل، زادت إدارة Aave سقف إمداد rsETH: على Ethereum من 480,000 إلى 530,000، وعلى Mantle من 52,000 إلى 70,000 [3]. رغم أن ذلك لا يسبب علاقة مباشرة (ربما كانت التحضيرات قبل الهجوم)، إلا أنه يوضح كيف أن التعديلات على المعلمات يمكن أن توسع نطاق الأثر بشكل غير مقصود.
الأثر الحقيقي للتجميد
نتيجة: ثغرة الجسر بقيمة 2.9 مليار دولار أدت إلى تجميد السيولة على WETH في خمس شبكات، مع إجمالي ودائع السوق المتأثرة يتجاوز 67 مليار دولار.
الخسارة المباشرة محدودة بمبالغ الاقتراض المهاجم، لكن في نظام الإقراض في DeFi، التجميد هو مشكلة تشغيلية كبيرة. فهو يقفل السيولة، يمنع السحب، يعرقل المراكز النشطة، ويضعف آليات الحماية ضد الديون المعدومة. معظم المستخدمين المتأثرين لم يتعاملوا مع rsETH أو KelpDAO أو الجسور العبرية. هم مدخرون ومقترضون على WETH في Aave، ويعتقدون أن السوق واضح ومباشر.
WETH هو أصل السيولة الأساسي في DeFi. تجميده يعادل إغلاق أكبر بنك في المدينة، لأن مؤسسة مالية أخرى تعرضت لعملية احتيال باستخدام منتج غير معروف لمعظم المدخرين.
تقرير LlamaRisk [3] أنشأ نموذجين لسيناريوهات الديون المعدومة، وتوقعات لنقص السيولة على كل شبكة، وهو التحليل الأكثر تفصيلًا حتى الآن. لكن، حتى هذا التحليل يركز على الديون المحتملة، وليس على التكاليف التشغيلية الأوسع الناتجة عن التجميد، مثل حجز السحب، عرقلة المراكز، وضعف قدرات التصفية في الأسواق المتأثرة. قياس الأثر الكلي للتفاعل لا يزال موضوعًا مفتوحًا.
استعادة النظام ليست سهلة، فالتشابك في النظام يقيّد الإصلاح أيضًا. لا يمكن لـ Aave ببساطة “إلغاء التجميد” بالكامل. كل سوق يحتاج إلى تقييم مستقل، بناءً على تعرض rsETH المحلي، واستخدام WETH، ونشاط المهاجم، والمخاطر المحتملة. الجدول الزمني يوضح ذلك:
بعد أربعة أيام من الهجوم، تم إلغاء تجميد سوق واحد فقط. مسار الاسترداد يتشابه مع مسار الهجوم: خطوة خطوة، عبر البروتوكولات والشبكات، مع حاجة مستمرة للتنسيق والحوكمة.
الرد الطارئ: كيف نقلت Arbitrum 30,766 ETH بدون توقيع المالك
بينما كانت Aave تتعامل مع التفاعل في نظام الإقراض، كانت Arbitrum تنفذ إجراءً موازياً. في 21 أبريل، أعلن مجلس أمن Arbitrum عن إجراء طارئ، وقام بتجميد 30,766 ETH التي يملكها المهاجم على شبكة Arbitrum One [3]. تم نقل هذه الأموال إلى عنوان تجميد وسيط (0x…0DA0)، ويخضع قرار التصرف النهائي لتصويت لاحق في حوكمة Arbitrum [3].
إجراء الحوكمة
مجلس أمن Arbitrum هو جزء رسمي من هيكل حوكمة Arbitrum DAO، وليس جهة خارجية أو لجنة مؤقتة. أعلن عن الإجراء الطارئ علنًا عبر منتدى الحوكمة، وطبّق بعد تأكيد هوية المهاجم، مع تقديم تفاصيل المعاملة كاملة للتحقق العام [8]. تصرف المجلس ضمن صلاحياته، مع مراعاة التزامه بأمان المجتمع وسلامة النظام، دون الإضرار بأي مستخدم أو تطبيق على شبكة Arbitrum [8].
هذا ليس قرارًا سريًا، بل إجراء مخول من الحوكمة، ينفذ بشكل شفاف، والأدلة على السلسلة واضحة.
الآلية التقنية
ما يميز هذا الإجراء ليس قرار الحوكمة ذاته، بل طريقة تنفيذه على السلسلة. استنادًا إلى تحليل تتبع Phalcon من BlockSec [6]، استخدم المجلس عملية ذرية من ثلاث خطوات:
قام منفذ الترقية (Upgrade Executor) مؤقتًا بترقية عقد inbox الخاص بإيثريوم (DelayedInbox)، وأضاف وظيفة جديدة باسم sendUnsignedTransactionOverride.
تُستخدم هذه الوظيفة لإنشاء رسالة عبور عبر السلسلة تنتحل عنوان المهاجم. تُدخل الرسالة عبر Bridge.enqueueDelayedMessage، مع نوع = 3، وهو نوع رسالة L1Message_L2 في Arbitrum Nitro. يسمح هذا النوع بتنفيذ L2MessageKind_UnsignedUserTx على L2. الأهم أن هذه العملية لا تتطلب توقيعًا. يتم تمرير عنوان المرسل من خلال تغيير مسار msg.sender إلى مدخلات التحكم، مع استخدام اسم مستعار لعنوان المهاجم عبر L1→L2.
بعد تنفيذ التحويل على L2، يُعاد عقد inbox إلى النسخة الأصلية.
يمكن عرض المعاملات على L1 وL2 على Phalcon Explorer. تظهر معاملات L2 على أنها “من المهاجم إلى 0x…0DA0”، لكنها ليست تحويل توقيع مستخدم عادي، بل تحويل حالة قسرية عبر السلسلة: عبر ترقية صلاحيات البنية التحتية للحوكمة، تم نقل الأصول دون الحاجة لمفتاح المالك الخاص.
الأزمة اللامركزية
مبدأيًا، الأمر بسيط: العقود القابلة للترقية تمنح قدرات غير محدودة. إذا كان العقد يمكن ترقيته، يمكن تعديل سلوكه ليقوم بأي شيء، بما في ذلك نقل الأصول بدون توقيع المالك. هذه القدرة متأصلة في أي نظام مبني على العقود القابلة للترقية. حاليًا، 30,766 ETH موجودة في عنوان مجمد، ويخضع قرار التصرف النهائي لتصويت حوكمة Arbitrum. نمط الترقية-التنفيذ-الاستعادة الذري لا يترك أي تغييرات دائمة على عقد inbox، ولا يؤثر على مستخدمين أو تطبيقات أخرى [7].
من وجهة نظر تقييم معقولة، فإن تصرف مجلس أمن Arbitrum هو الصحيح. المهاجم يُعتبر جهة ذات مستوى وطني، وشارك جهات إنفاذ القانون، وعمليات الحوكمة علنية وشفافة، وتم استرداد أو إيقاف غسل أموال بقيمة 71 مليون دولار على الأقل.
لكن القدرة التي سمحت بذلك ليست محدودة بهذا الحادث فقط. نفس آلية الترقية-التنفيذ-الاستعادة يمكن أن تُستخدم لنقل أي أصول في شبكة Arbitrum One. صلاحيات المجلس ليست مقتصرة على عنوان المهاجم أو الأموال المسروقة، بل هي قدرة عامة، تخضع لرقابة الحوكمة وليس الكود.
وهذا هو جو المشكلة. يعتقد المستخدمون عند تفاعلهم مع L2 أن “أصولي تحت سيطرة مفتاحي الخاص، ولا يمكن نقلها بدون توقيعي”. لكن حادثة KelpDAO تظهر أن هذا النموذج غير كامل. على Arbitrum وأي شبكة L2 تمتلك عقود جسر قابلة للترقية ومجلس أمن، يمكن نقل الأصول عبر إجراءات حوكمة كاملة دون توقيع.
Arbitrum ليست استثناءً. عمليات تجميد السوق في Aave أيضًا كانت إجراءات حوكمة طارئة. في حادثة KelpDAO، استخدمت عدة بروتوكولات سلطات مركزية: Aave جمدت الأسواق على خمس شبكات، ومجلس أمن Arbitrum نفذ تحويلات قسرية، وKelpDAO أوقف العقود بشكل شامل. هذه الاستجابات، رغم فعاليتها وشفافيتها، تُعد دليلًا واضحًا على وجود حدود للسلطات المركزية ضمن نظام “لامركزي”.
المشكلة ليست في وجود السلطات الطارئة، بل في مدى وضوح حدودها، وشروط تفعيلها، وآليات المساءلة. يجب أن يكون مستخدمو L2 قادرين على الإجابة على سؤال أساسي: متى يمكن لمجلس الأمن نقل أموالي؟ وما حقوقي في الاستئناف؟
حالة الأموال المسروقة
تُظهر تتبع الأصول المسروقة على السلسلة (مُصورة كاملة عبر MetaSleuth [7]) أن المهاجم وزع 116,500 rsETH على 7 عناوين رئيسية، ومعظمها وُضع في Aave (Ethereum وArbitrum) كضمانات WETH وwstETH، وتم تبادلها عبر DEX إلى عنوان واحد 0x5d39…7ccc على الشبكتين. حتى 22 أبريل 2026، 05:42 UTC، توزعت الأموال المسروقة على أربع حالات:
[جدول 3: توزيع الأموال المسروقة حسب الحالة حتى 22 أبريل 2026، 05:42 UTC]
سلسلة أسباب الحادثة تظهر أن الاعتماد على نقطة واحدة، وتشابك السيولة، وانتشار الضمانات عبر الشبكات، كلها عوامل أدت إلى الأزمة. الاعتماد على نقطة واحدة في DVN، وتكوينات LTV غير الحذرة، وعمق السوق الضعيف، وعدد الشبكات المطبقة، كلها عوامل ساهمت في الانتشار.
وفي النهاية، فإن استجابة النظام تتطلب مشاركة جميع الأطراف: البروتوكولات، حوكمات L2، والمستخدمين. يجب أن تكون إجراءات الطوارئ واضحة، وشفافة، وتخضع للمساءلة، مع فهم واضح لحقوق المستخدمين في حالات الطوارئ.
المراجع
[6] LayerZero Core، “بيان حادثة KelpDAO”:
[6] KelpDAO، “السياق الإضافي لحادثة 18 أبريل”:
[9] LlamaRisk، “تقرير حادثة rsETH” [4] 20 أبريل 2026 [5]:
[6] BlockSec Phalcon Explorer، معاملة L1 [11] إجراء مجلس أمن Arbitrum [10]:
[1] BlockSec Phalcon Explorer، معاملة L2 [2] نقل قسري من Arbitrum [3]:
( Arbitrum، “إجراء طارئ لمجلس الأمن”:
) منتدى حوكمة Arbitrum، “إجراء طارئ لمجلس الأمن 21/04/2026”:
[4] Aave، تحديثات حادثة rsETH ( 19-21 أبريل 2026 ):
[5] BlockSec Phalcon، “تحليل تجميد مجلس أمن Arbitrum”:
( banteg، “تحقيق مسار rsETH من Kelp إلى Unichain ثم Ethereum”:
) MetaSleuth، تتبع استغلال KelpDAO: