تم سرقة KelpDAO تذكيرًا بتحذير أمان DeFi ماذا يعلمنا ذلك

Shaw.ai، كريبتو فاينانس الذهبية

18 أبريل، استقبلت صناعة العملات المشفرة أكبر حادث أمني في التمويل اللامركزي (DeFi) منذ عام 2026 — هجوم على جسر跨链 rsETH الخاص بـ KelpDAO، وخلال بضع ساعات فقط، تم سرقة حوالي 116500 من rsETH، بقيمة تصل إلى 290 مليون دولار وفقًا لسعر ذلك الوقت، وهو ما يعادل 18% من إجمالي عرض rsETH. لم يقتصر الأمر على وضع KelpDAO في أزمة، بل أدى أيضًا إلى حالة من الذعر في السيولة في صناعة DeFi بأكملها، حيث تم سحب أكثر من 9 مليارات دولار من الودائع بشكل طارئ، مما يُعد كارثة أمنية من نوع “تسونامي مالي”.

قد يشعر الكثيرون أن كلمات مثل “جسر跨链”، “rsETH”، و"سحب السيولة" غريبة، لا تقلق، سنستخدم أبسط لغة لنعيد سرد كامل عملية الهجوم خطوة بخطوة، ثم نناقش أحدث التطورات وأهم الأسئلة التي تهم الجميع.

أولاً، فهم 3 مفاهيم رئيسية، لتسهيل فهم الحدث

قبل الحديث عن عملية الهجوم، من المهم توضيح 3 مصطلحات أساسية، وإلا قد تتشتت:

• rsETH: ببساطة هو “مُشتق عملة ETH”. نعلم أن ETH (إيثريوم) يمكن “رهنه” لكسب فوائد، لكن عند الرهن، يتم حجز الأموال ولا يمكن استخدامها في أي وقت. rsETH هو عبارة عن رمز يُعبّر عن ETH المُرهن، وامتلاك rsETH يعني أنك تملك حقوق ملكية على ETH المُرهن، ويمكنك كسب فوائد الرهن، أو التداول، أو الرهن في أي وقت، وهو أشبه بـ"قسيمة استبدال ETH المُرهن".

• جسر跨链: كأنها “بنك” مختلف، والجسور跨链 هي “قنوات تحويل” تربط بين هذه البنوك، مما يسمح بنقل رموز مثل rsETH بين شبكات البلوكشين المختلفة. الهجوم استهدف جسر rsETH跨链 المبني على منصة LayerZero الخاص بـ KelpDAO.

• وحدة DVN في LayerZero: يمكن فهمها كـ"مفتش أمني" للجسر跨链، مسؤول عن التحقق من صحة المعاملات跨链 — مثلاً، التأكد من أنك قمت بتحويل رموز على شبكة A قبل أن يُصدر لك الرمز المقابل على شبكة B. عادةً، لضمان الأمان، يتم التحقق بواسطة عدة “مفتشين” (محققين متعددين)، لكن KelpDAO استخدمت “محقق واحد” فقط، مما أتاح فرصة للهاكرز.

ثانياً، عملية الهجوم: 3 خطوات سرقت 290 مليون دولار، وتُعد “دراسة حالة” في العمليات

الهجوم كان مخادعًا وفعالًا جدًا، واستغرق أقل من ساعة لإتمام العمليات الأساسية، بخطوات واضحة، واستهداف دقيق، ويمكن تقسيمه إلى 3 مراحل:

الخطوة الأولى: استغلال الثغرة، “خلق أموال من لا شيء”

اكتشف الهاكرز بدقة الثغرة القاتلة في جسر rsETH跨链 الخاص بـ KelpDAO — الاعتماد على “محقق DVN” واحد فقط. عادةً، يتطلب إصدار rsETH跨链 رهن ETH حقيقي، لكن الهاكرز استخدموا تقنيات لتمثيل رسائل التحقق 跨链 مزورة، وخدعوا “المحقق” الوحيد.

وبالتفصيل، قام الهاكرز باختراق عقد RPC الخاص بـ DVN، واستبدال برمجيات التشغيل، وشن هجمات DDoS لتعطيل العقد الطبيعي، مما أجبر “المحقق” على الاعتماد على عقد مخترق للحصول على المعلومات. ونتيجة لذلك، استطاعوا “خلق” 116500 من rsETH بدون أي ضمان حقيقي على شبكة إيثريوم، كأنهم يمتلكون “قسائم رهن مزورة”، ونجحوا في خداع الجميع.

الخطوة الثانية: اقتراض الأموال، “تحويل المزيف إلى حقيقي”

بعد أن حصلوا على هذه rsETH المزورة، لم يبيعوها مباشرة (خوفًا من الكشف)، بل استخدموا طريقة أكثر سرية — اقتراض أموال عبر منصات إقراض رئيسية. وضعوا هذه rsETH المزورة كضمان في منصات مثل Aave وCompound، خاصةً Aave v3، واقترضوا كميات كبيرة من WETH (رمز مغطى يمثل ETH، وله نفس القيمة)، كأنهم استعاروا “أموال حقيقية” باستخدام “عملة مزورة”.

الخطوة الثالثة: إثارة الذعر، واندلاع سحب السيولة

العملية كانت سريعة جدًا، حيث تم رهن الكثير من rsETH المزورة، واستعارة كميات هائلة من WETH، مما أدى إلى نفاد سيولة سوق WETH في منصة Aave v3، وارتفعت نسبة الاستخدام إلى 100% — أي أن جميع WETH في Aave تم اقتراضها، ولم يعد بإمكان المستخدمين سحب أموالهم.

انتشرت الأخبار بسرعة، وبدأ السوق في حالة من الذعر: قلقًا من أن Aave قد تواجه خسائر كبيرة بسبب “ضمانات مزورة”، وبدأت عمليات سحب جماعية للسيولة — ليس فقط من سوق WETH، بل أيضًا من أسواق العملات المستقرة USDC وUSDT، حيث سحب المستثمرون أكثر من 9 مليارات دولار خلال 48 ساعة، وانخفض إجمالي أصول DeFi بمقدار 13.2 مليار دولار.

ومن الجدير بالذكر أن KelpDAO اكتشفت الشذوذ بعد حوالي 46 دقيقة من الهجوم، وأوقفت بشكل طارئ وظائف العقود المتعلقة بـ rsETH، لمنع المزيد من الضرر، وإلا كانت الخسائر ستتضاعف. ويُعتقد أن الهجوم منسوب إلى مجموعة Lazarus الكورية الشمالية، مع أدلة واضحة على احترافية العمليات.

ثالثاً، آخر التطورات: جهود الطوارئ، وقضايا الخسائر غير المسددة لا تزال قائمة

بعد الهجوم، تحركت الجهات المعنية بسرعة، بما في ذلك KelpDAO، LayerZero، وAave، حتى 23 أبريل، وكانت آخر المستجدات كالتالي:

1. KelpDAO: أوقفت بشكل طارئ العقود المتعلقة بـ rsETH على الشبكة الرئيسية وعدة شبكات Layer2، وتعاونت مع LayerZero، ومراجعي التدقيق، وخبراء الأمان، لإجراء تحقيق شامل، وما زالت تراجع تفاصيل الخسائر، وتبحث عن حلول للخسائر غير المسددة.

2. LayerZero: أوضحت أن الهجوم لم يكن بسبب ثغرة في بروتوكولها، بل بسبب إعداد “محقق DVN” واحد فقط في KelpDAO، وهو مخالف لأفضل الممارسات التي توصي باستخدام “محققين متعددين”. أوقفت العقد RPC المتأثر، واستبدلته بعقدة جديدة، وطالبت جميع المشاريع التي تستخدم “محقق واحد” بالترقية إلى “محقق متعدد” بسرعة، مع التعاون مع السلطات الدولية لتعقب أموال الهاكرز.

3. Aave: أوقفت بشكل طارئ سوق rsETH لمنع توسع الخسائر. في 21 أبريل، أعلنت أن مخزون WETH في سوق Ethereum Core V3 قد تم إلغاء تجميده، ويمكن للمستخدمين الآن إيداع WETH مرة أخرى، لكن نسبة LTV (نسبة قيمة القرض إلى الضمان) لا تزال 0 — أي لا يمكن اقتراض أموال باستخدام WETH مؤقتًا. أما على شبكات أخرى مثل Prime وArbitrum، فالمخزون لا يزال مجمدًا، وسيتم استئناف العمل تدريجيًا.

4. تأثير الصناعة: أثار الحادث نقاشًا واسعًا حول أمان الجسور跨链، ومخاطر رموز إعادة الرهن (LRT). بدأت العديد من بروتوكولات الإقراض في تشديد معايير الضمان، وأزالت رموز LRT ذات الاستخدام المنخفض، لتجنب تكرار الحوادث. أصدرت العديد من المؤسسات الأمنية توصيات فورية لتعزيز أمان الجسور، بما في ذلك زيادة عدد التحققين، وتحسين حماية عقد RPC، لمنع هجمات DDoS وتعديل العقد.

5. تتبع أموال الهاكرز: حتى 23 أبريل، أظهرت البيانات أن حوالي 30% من rsETH المسروقة (116500) تم تحويلها إلى WETH وUSDC، وبعض الأموال تم تقسيمها عبر بورصات لامركزية، و20% أخرى نُقلت إلى محافظ خاصة، مما يصعب تتبعها. ومع ذلك، حُددت بعض العناوين المرتبطة بالهاكرز، ووجد أن جزءًا من الأموال توجه إلى بورصات شرعية، ويجري الآن تجميدها بالتعاون مع الجهات المختصة، وسيتم الإعلان عن التحديثات لاحقًا.

6. تعويض المستخدمين: في إعلان المجتمع بتاريخ 22 أبريل، وعدت KelpDAO بتقديم دعم للمستخدمين العاديين، وتعمل على إعداد قوائم rsETH المتضررة، وتخطط لتعويض جزء من الخسائر عبر “صندوق المجتمع” و"تأمين طرف ثالث"، لكن لم يُحدد بعد نسبة التعويض أو موعده، وسيتم الإعلان بعد الانتهاء من التدقيق. وأكدت Aave أن الخسائر غير المسددة لن يتحملها المستخدمون العاديون، وسيتم تغطيتها من خلال احتياطيات المنصة والأطراف المسؤولة.

رابعاً، أهم الأسئلة التي تهمك، نجيب عنها دفعة واحدة

بعد الحادث، ظهرت العديد من الأسئلة من المستثمرين والمستخدمين، وهنا نوضح أهم 5 أسئلة بإجابات مبسطة:

1. لماذا نجح الهاكرز؟ وما السبب الرئيسي؟

السبب الرئيسي هو “إعدادات الأمان غير الصحيحة” في KelpDAO — حيث أعطت أمان الجسر跨链 بالكامل لمحقق واحد فقط (محقق DVN). كانت شركة LayerZero قد حذرت سابقًا من أن هذا الإعداد خطير جدًا، لكن KelpDAO لم يأخذ التحذيرات على محمل الجد. استغل الهاكرز الثغرة، وعبثوا بالعقد، وزوروا رسائل التحقق 跨链، مما أدى إلى “خلق عملة بدون ضمان”، وهو في الأساس حادث أمني ناتج عن “ثقة نقطة واحدة”، وليس خلل في الكود نفسه.

2. هل يمكن استرداد الـ 2.9 مليار دولار المسروقة؟

صعب جدًا، لكنه ليس مستحيلًا تمامًا. تتعاون الآن LayerZero والجهات المختصة مع السلطات لتعقب الأموال، رغم أن الهاكرز استخدموا أدوات خصوصية لإخفاء مصدر الأموال، إلا أن آثار المعاملات 跨链 على السلسلة لا يمكن إزالتها بالكامل. ومع ذلك، نظرًا لاحترافية الهاكرز (مشتبه في أنهم من مجموعة APT)، وبعض الأموال ربما تكون قد نُقلت إلى أماكن أخرى، فإن استرداد المبالغ الحالية غير مؤكد.

3. هل أموال المستخدمين ستتأثر؟

هناك حالتان: ① إذا لم تكن قد رهن rsETH، فقط قمت بالإيداع (مثل USDC، USDT، ETH)، فالأموال حاليًا آمنة، حيث اتخذت Aave إجراءات تجميد، وسيتم استئناف العمليات تدريجيًا؛ ② إذا كنت تمتلك rsETH، أو استخدمته كضمان، فربما تتعرض لخسائر، ويعتمد ذلك على خطة معالجة الخسائر غير المسددة التي ستتبناها KelpDAO لاحقًا.

4. كيف يختلف هذا الهجوم عن هجمات الجسور跨链 السابقة؟

الفرق الأكبر هو “انتشار التأثير بشكل كبير”. عادةً، كانت هجمات الجسور跨链 تؤثر على مشروع واحد فقط، لكن هذه المرة، لأن rsETH مقبول كضمان في عدة بروتوكولات إقراض رئيسية، فإن عمليات الهاكرز أدت إلى سحب جماعي للسيولة، وأثرت على الصناعة بأكملها، وهددت الثقة بشكل أكبر. بالإضافة إلى ذلك، كان الهجوم نتيجة “إعداد خاطئ + اختراق للبنية التحتية”، وليس مجرد سرقة مفاتيح خاصة أو خلل في الكود.

5. ماذا تتوقع أن تتغير في صناعة DeFi مستقبلًا؟

أولاً، ستشهد “ترقية الأمان” — من المحتمل أن تُفرض على الجسور跨链 استخدام “محققين متعددين” لمنع الاعتماد على نقطة واحدة. ثانيًا، ستقوم بروتوكولات الإقراض بتشديد معايير الضمان، خاصةً فيما يخص رموز LRT، مع تقليل اعتمادها أو إزالتها. ثالثًا، قد يتم دفع “آليات إيقاف تلقائية على السلسلة” عند ظهور معاملات غير طبيعية، لإيقاف العمليات تلقائيًا وتقليل الخسائر، مما يعزز إدارة المخاطر في DeFi.

خامساً، الخلاصة: إنذار صارخ يوقظ الصناعة بأكملها

هذه الهجمة التي سرقت 2.9 مليار دولار كانت نتيجة “توقعات خاطئة” و"إهمال أمني" — حيث تجاهلت KelpDAO نصائح LayerZero، واعتمدت إعدادًا عالي المخاطر باستخدام محقق واحد فقط، مما أتاح فرصة للهاكرز. رد الفعل المتسلسل كشف عن ثغرات في بنية DeFi “الليجو” — حيث أن خلل في حلقة واحدة قد يهدد كامل النظام.

أما للمستخدم العادي، فهي تذكير مهم: استثمار العملات المشفرة ينطوي على مخاطر، ويجب عند اختيار المشاريع أن تركز ليس فقط على العوائد، بل أيضًا على الأمان وإدارة المخاطر، لتجنب خسارة الأموال بسبب إهمال المشروع.

لا تزال الإجراءات اللاحقة قيد التنفيذ، وكيفية توزيع الخسائر، وترقية أمان الجسور跨链، وخطط تعويض المستخدمين، كلها قضايا تتابعها الصناعة. كما أن الحادث دفع الجهات التنظيمية إلى الاهتمام بشكل أكبر، حيث أعلنت بعض الهيئات عن تسريع إصدار لوائح تنظيمية لأمان الجسور跨链، وتنظيم إصدار وتداول رموز إعادة الرهن، للحد من المخاطر النظامية. سنواصل متابعة التطورات وننقل لكم آخر المستجدات.