العقود الآجلة
وصول إلى مئات العقود الدائمة
CFD
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 40 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
LayerZero أول خطأ تصميمي رئيسي: تحليل الثغرات الأمنية وراء اختراق KelpDAO بمبلغ 290 مليون دولار
LayerZero يعترف بوجود أخطاء في تصميم الهيكل أثناء حادثة الاختراق في KelpDAO، والسبب الرئيسي هو نمط المصادق الواحد الذي أدى إلى ثغرة، مما تسبب في خسارة أصول بقيمة 292 مليون دولار.
حادثة اختراق KelpDAO، LayerZero تعترف للمرة الأولى بالخطأ
بروتوكول التواصل عبر السلاسل LayerZero يعترف مؤخرًا لأول مرة بوجود أخطاء في تصميم الهيكل خلال حادثة الاختراق في KelpDAO. تسببت الحادثة في خسارة أصول تقدر بحوالي 292 مليون دولار، وأصبحت واحدة من أكبر هجمات DeFi حتى الآن في عام 2026.
وفقًا للبيان الرسمي، فإن جوهر المشكلة يعود إلى أن إعدادات KelpDAO عبر السلاسل اعتمدت على نمط “المصادق الأحادي” (Single Verifier)، مما أدى إلى تمكن المهاجمين من استغلال تسميم استدعاءات RPC وعيوب في عملية التحقق، لتزوير معلومات عبر السلاسل وتجاوز فحوصات الأمان.
مؤسس مشارك لـ LayerZero صرح علنًا: “لقد أخطأنا، وسنتحمل المسؤولية (We own that).” وهذه هي المرة الأولى التي يعترف فيها LayerZero مباشرة بوجود مشكلة في تصميم البروتوكول في حادث أمني كبير.
بعد وقوع الحادث، تصاعدت الانتقادات لنموذج أمان LayerZero بسرعة. نظرًا لأن LayerZero لطالما ركزت على “هيكل أمان قابل للتخصيص”، مما يسمح للتطبيقات باختيار المصادقين وتكوينات الأمان بأنفسهم، فإن بعض المطورين، بهدف تقليل التكاليف وتحسين الكفاءة، يلجأون إلى نماذج تحقق أقل أمانًا. ويُعتبر هذا الحدث أول ظهور واسع النطاق لمخاطر تتعلق بهذا الهيكل.
تصميم المصادق الأحادي يمثل الثغرة الأكبر
وفقًا لتقرير الحادث الذي نشرته LayerZero، اختارت KelpDAO عند النشر نمط التحقق من شبكة المصادقين اللامركزية (DVN) الأحادية، بدلاً من بنية التحقق المتعددة. هذا يعني أنه طالما تعرضت عقدة تحقق واحدة للتلوث أو التضليل، يمكن للمهاجمين تزوير معلومات عبر السلاسل.
في هذا الهجوم، استغل المهاجمون تقنية تسميم استدعاءات RPC، لتلويث حالة بعض العقد على السلسلة، مما أدى إلى أن يخطئ المصادقون في تقييم صحة المعلومات، وفي النهاية نجحوا في تنفيذ عمليات تزوير للأصول عبر السلاسل. نظرًا لأن جسر السلاسل يتطلب التحقق من التزامن عبر عدة سلاسل، فإن أي مشكلة في مصدر التحقق قد تؤدي مباشرة إلى إنشاء أو نقل أصول بشكل غير مشروع.
تؤكد LayerZero أن البروتوكول كان يدعم إعدادات تحقق متعددة أكثر أمانًا، لكن KelpDAO لم تكن تستخدم الهيكل الكامل في ذلك الوقت. ومع ذلك، لا تزال السوق تنتقد وجود مشاكل في تصميم المنتج والتوجيهات الوثائقية، حيث قد يقلل المطورون من تقديرهم لمخاطر الاختلافات بين إعدادات الأمان المختلفة.
يشير بعض الباحثين الأمنيين إلى أن هذا الحادث يكشف عن مشكلة أساسية لطالما كانت قائمة في بروتوكولات السلاسل المتعددة. فبالرغم من أن العديد من أنظمة السلاسل المتعددة تدعي اللامركزية، إلا أنها تعتمد بشكل كبير على عدد قليل من عقد التحقق، ومزودي RPC، والبنى التحتية الوسيطة، وإذا تعرض أي من هذه الطبقات للهجوم، فقد يؤثر ذلك على عملية التحقق من الأصول بشكل كامل.
إعادة إثارة الجدل حول نموذج أمان بروتوكولات السلاسل المتعددة
بعد حادثة KelpDAO، بدأ مجتمع DeFi مجددًا مناقشة منطق أمان بروتوكولات السلاسل المتعددة. في السنوات الأخيرة، تعرضت أنظمة مثل Wormhole وRonin Network وHarmony لهجمات واسعة النطاق بسبب ثغرات في آليات التحقق. وثقة السوق في الجسور بين السلاسل لا تزال في حالة ضعف مستمر.
LayerZero كانت تركز سابقًا على بنية “الوحدة النانوية الخفيفة” (Ultra Light Node)، بهدف تقليل تكاليف التحقق عبر السلاسل وسهولة النشر، مع تصميم نمطي يسمح للمطورين باختيار إعدادات الأمان بأنفسهم. لكن، أظهر هذا الحادث أن “التحكم المخصص في الأمان” قد يكون سلاحًا ذا حدين. عندما يُترك مسؤولية الأمان بشكل كبير للتطبيقات، وإذا كانت فرق التطوير تفتقر إلى قدرات أمنية كافية، فإن ذلك قد يخلق مخاطر أكبر.
يعتقد بعض المحللين أن المستقبل قد يشهد توجهًا نحو بروتوكولات السلاسل المتعددة التي تعتمد على “إعدادات أمان عالية بشكل افتراضي”، بدلاً من السماح للمطورين بضبط أدنى مستوى من التكاليف. خاصة مع دخول المؤسسات المالية إلى الأسواق المالية على السلاسل، ستصبح متطلبات الأمان وتحمل المسؤولية أكثر صرامة.
إعادة تقييم البنية التحتية في نظام DeFi
لم تعد آثار هذا الحادث مقتصرة على هجوم واحد، بل دفعت العديد من فرق التطوير إلى مراجعة إعدادات التحقق عبر السلاسل، ومصادر RPC، وبنى التحقق. بعض البروتوكولات قامت بشكل عاجل برفع معايير التحقق أو إيقاف بعض وظائف التحقق عبر السلاسل مؤقتًا.
من ناحية أخرى، أشارت شركات الأمان على السلاسل والباحثون إلى أن المهاجمين في المستقبل قد يتجهون بشكل متزايد إلى استهداف البنى التحتية، مثل RPC، وشبكات التحقق، والمصادر الخارجية للمعلومات، والأنظمة الوسيطة بين السلاسل، بدلاً من اختراق العقود الذكية مباشرة. وغالبًا ما تكون هذه الهجمات أصعب في الكشف، وتؤثر بشكل أكبر على كميات كبيرة من الأموال.
اعترف LayerZero مؤخرًا بالخطأ، وهو ما يمثل إلى حد ما بداية لنضوج ثقافة المساءلة في بنية DeFi التحتية. فبعد أن كانت العديد من البروتوكولات تلقي اللوم على الطرف الثالث أو المستخدمين بعد الاختراقات، بدأت بعض البروتوكولات الكبرى في الاعتراف بوجود عيوب في تصميم الهيكل نفسه. وربما يكون هذا هو التغيير الحقيقي الذي يستحق الانتباه في صناعة Web3.