في 18 أبريل 2026، تعرّض بروتوكول إعادة الرهن السائل لـ KelpDAO لأكبر استغلال في التمويل اللامركزي هذا العام، بعد أن قام المهاجمون بتفريغ نحو 116,500 rsETH، بقيمة 292 مليون دولار، من جسر يعمل بتقنية LayerZero. نسبت LayerZero Labs الهجوم إلى مجموعة Lazarus التابعة لكوريا الشمالية فرع “TraderTraitor”، وحددت أن تكوين جسر KelpDAO ذو موثِّق واحد كان السبب الجذري، مما مكن عُقَد RPC المخترَقة من تزوير رسائل عبر سلاسل صحيحة.
قام المهاجم بتمويل المحافظ مُسبقاً عبر Tornado Cash قبل تنفيذ الهجوم بنحو عشر ساعات، ثم استغل إعداد الموثِّق لإطلاق دفعات أموال غير مصرح بها. كشفت تحقيقات LayerZero أن اثنين من أصل ثلاث عُقَد في شبكة المُوثِّقين اللامركزية لديها (DVN) قد تسمّمت، مما أدى إلى التحول إلى عُقَد مخترَقة. كان من المفترض أن يتطلب تكوين موثِّقين متعددين محكم التكوين توافقاً عبر DVNs المستقلة، مما يمنع الاستغلال. منذ ذلك الحين، رفضت LayerZero توقيع الرسائل لإعدادات DVN أحادية الموثِّق من الآن فصاعداً.
بعد الاختراق، تم إيداع rsETH المسروق كضمان على Aave V3، مما أدى إلى توليد أكثر من 236 مليون دولار من الدين المتعثّر مركّز في زوج rsETH-WETH. تم تفعيل احتياطي Umbrella التابع لـ Aave لتغطية العجز، وفرضت تجميدات سوقية عبر منصات الإقراض بما في ذلك SparkLend وFluid وLido Finance وEthena. انخفض إجمالي القيمة المحجوزة لـ Aave (TVL) بمقدار 6.6 مليار دولار، من 26.4 مليار دولار إلى نحو 20 مليار دولار، وهذا يبرز الأثر النظامي لاستغلالات التوافق بين السلاسل.
مؤسس ترون جاستين صن، الذي تأثر بمراكز Aave، سحب نحو 65,584 ETH بقيمة نحو 154 مليون دولار لتخفيف خسائره الشخصية قبل أن يتوجه إلى X للمفاوضة مباشرة مع المخترِب. حذر صن من أن استمرار عدم التعاون قد يودي بكل من KelpDAO وAave، داعياً إلى إعادة الأموال المسروقة للحفاظ على استقرار DeFi.
وقد أعاد الحادث إشعال الدعوات إلى إجراء تدقيقات تكامل صارمة، ومراقبة في الوقت الحقيقي، وأطر تحقق لا مركزية لتأمين بنية التحتية عبر السلاسل. ومع أن خسائر الاختراق الإجمالية في أبريل تجاوزت 606 ملايين دولار الآن، تتسابق فرق البروتوكولات وشركات الأمن إلى تنفيذ إجراءات دفاعية قبل وقوع المزيد من الهجمات عالية المستوى.
التعليقات (0)