اختراق Kelp DAO بقيمة 290 مليون دولار مرتبط بمجموعة Lazarus وضعف أمان الجسر

النقاط الرئيسية

• تمت سرقة ما يقارب 290-293 مليون دولار من Kelp DAO بعد هجوم متطور على عقد RPC المتصلة بنظام التحقق الخاص بـ LayerZero
• يُزعم أن Kelp DAO تجاهلت توصيات الأمان من LayerZero لتنفيذ أدوات تحقق متعددة، وعملت بأداة تحقق واحدة فقط
• تشير الأدلة الأولية إلى مجموعة Lazarus في كوريا الشمالية كمرتكبين لهذا الاختراق الأمني
• تعرضت تسع منصات DeFi، وأبرزها Aave، لأضرار متتالية، حيث انخفض إجمالي القيمة المغلقة (TVL) لـ Aave بمقدار 6 مليارات دولار
• في المستقبل، أعلنت LayerZero أنها ترفض دعم التطبيقات التي تعمل بتكوينات أداة تحقق واحدة

في ما يمثل واحدًا من أبرز الاختراقات الأمنية في التمويل اللامركزي لعام 2026، تكبدت Kelp DAO خسائر بلغت حوالي 290-293 مليون دولار خلال هجوم في نهاية الأسبوع. نسبت LayerZero، بروتوكول المراسلة التبادل العابر للسلاسل المستخدم في الحادث، الثغرة إلى قرارات البنية التحتية لـ Kelp.

ركز الاختراق على آلية نقل token rsETH الخاصة بـ Kelp عبر شبكات البلوكشين المختلفة. التشغيل بهندسة معمارية بأداة تحقق واحدة يعني أن سلطة واحدة فقط كانت بحاجة للتحقق من التحويلات التبادل العابر للسلاسل. وفقًا لـ LayerZero، حذرت الشركة Kelp صراحةً من هذا التكوين وحثت على اعتماد مصادر تحقق مستقلة متعددة.

تسلل القراصنة إلى عقدتي استدعاء إجراء عن بُعد - خوادم متخصصة تمكّن البرمجيات من التفاعل مع بيانات البلوكشين. تم استبدال هذه العقد الشرعية بإصدارات مخترقة قدمت معلومات احتيالية إلى نظام التحقق الخاص بـ LayerZero مع الحفاظ على المظهر الطبيعي لمكونات البنية التحتية الأخرى.

نظرًا لأن عملية التحقق الخاصة بـ LayerZero استشارت أيضًا عقدًا خارجية شرعية، أطلق المهاجمون حملة حجب خدمة موزعة لتعطيل تلك الأنظمة. أعادت هذه التكتيكات توجيه حركة مرور الشبكة عبر البنية التحتية المخترقة خلال نافذة زمنية مدتها 80 دقيقة من الساعة 10:20 صباحًا إلى 11:40 صباحًا بتوقيت المحيط الهادئ يوم السبت.

عندما تم تفعيل آلية التحويل الاحتياطي، نقلت العقد الخبيثة تأكيد معاملة شرعية إلى أداة التحقق. أطلق بروتوكول جسر عبر السلاسل الخاص بـ Kelp بعد ذلك 116,500 rsETH إلى محافظ المهاجمين. ثم قضت البرمجيات المعادية على نفسها، ممحية جميع الأدلة الجنائية من الخوادم المتأثرة.

التأثير المتتالي في نظام DeFi البيئي

تم نشر tokens rsETH المسروقة كأصول ضمانية عبر منصات إقراض مختلفة، مما مكن المهاجمين من سحب أصول حقيقية. امتصت Aave، منصة الإقراض اللامركزية المهيمنة، الضرر الأكبر.

وجدت Aave نفسها تحتفظ بأصول ضمانية rsETH غير سائلة بينما تم بالفعل استخراج أصول قيمة مثل ETH من خلال آليات الاقتراض. انخفض العملة الأصلية لـ Aave بنحو 15% خلال فترة 24 ساعة، بينما شهد البروتوكول عمليات سحب بقيمة 6 مليارات دولار تقريبًا حيث سارع المشاركون لإزالة أموالهم.

تعرضت ما لا يقل عن تسعة تطبيقات DeFi للضرر، بما في ذلك Fluid و Compound Finance و SparkLend و Euler. وصفت شركة الأمن السيبراني Cyvers الحادث بأنه "حدث عدوى عبر البروتوكول" يمتد إلى ما هو أبعد بكثير من ثغرة منصة واحدة.

بثقة أولية، ربطت LayerZero هذا الهجوم بمجموعة Lazarus في كوريا الشمالية، وتحديداً قسم TraderTraitor الخاص بها. تورطت نفس المنظمة في اختراق Drift Protocol بقيمة 285 مليون دولار في 1 أبريل، مما يشير إلى أن Lazarus استخرجت أكثر من 575 مليون دولار من التمويل اللامركزي خلال فترة 18 يومًا باستخدام منهجيتي هجوم متميزتين.

تعديلات بروتوكول الأمان

أفادت LayerZero بعدم وجود دليل على انتشار الثغرة للتطبيقات العاملة بهندسة معمارية متعددة أدوات التحقق. استعادت الشركة خدمة التحقق الخاصة بها وأعلنت عن سياسة دائمة ترفض معالجة الرسائل لأي تطبيق يستخدم تكوينات أداة تحقق واحدة.

أكد مؤسس Curve Finance مايكل إيغوروف أن هذا الاختراق يوضح المخاطر المتأصلة في الاعتماد على مصادر تحقق من المعاملات المنفردة. كما حذر من استخدام البنية التحتية التبادل العابر للسلاسل ما لم تكن ضرورية عملياً.

ظلت Kelp صامتة فيما يتعلق بإصدار LayerZero للأحداث ولم تعالج سبب استمرار البروتوكول في العمل بهندسة معمارية بأداة تحقق واحدة على الرغم من تلقي تحذيرات أمنية صريحة.

ظهر المنشور اختراق Kelp DAO بقيمة 290 مليون دولار مرتبط بمجموعة Lazarus وأمان جسر عبر السلاسل ضعيف لأول مرة على Blockonomi.