في 18 أبريل 2026، عند الساعة 17:35 بتوقيت UTC، استغل مهاجم جسر KelpDAO القائم على LayerZero لنقل rsETH بين الشبكات، حيث تمكن من سرقة 116,500 rsETH — بقيمة تقارب $292 مليون — خلال 46 دقيقة فقط. كانت نقطة التحول في الهجوم أن المخترق لم يقم بتصريف هذه الأصول الموزعة مجانًا مباشرة في الأسواق الثانوية، إذ كانت سيولة rsETH منخفضة للغاية لبيع كميات كبيرة. وبدلًا من ذلك، أودع المهاجم الرموز المسروقة كضمان في بروتوكولات الإقراض الرائدة مثل Aave V3 وCompound V3 وEuler، واقترض ما يقارب $236 مليون من WETH/ETH الحقيقية.
لم يكن هذا الهجوم ناتجًا عن ثغرة تقليدية في العقود الذكية، بل عن خطأ في إعدادات النشر على مستوى المعلمات. فقد اعتمدت KelpDAO في تنفيذ LayerZero V2 عبر الشبكات على إعداد DVN (شبكة التحقق اللامركزية) بنسبة 1/1 — أي أن عقدة تحقق واحدة فقط يمكنها الموافقة على الرسائل العابرة للشبكات. وبمجرد اختراق تلك العقدة، أصبح بإمكان المهاجم تزوير رسائل عابرة للشبكات كما يشاء، ليخلق رموزًا "من العدم". والأخطر من ذلك، وفقًا لـ Dune Analytics، أن %47 من تطبيقات LayerZero OApps في ذلك الوقت استخدمت نفس إعداد DVN 1/1، ما عرّض أكثر من $4.5 مليار من الأصول للخطر. ويعني ذلك أن حادثة KelpDAO كشفت عن خلل أمني هيكلي يمتد عبر طبقة البنية التحتية العابرة للشبكات، وليس مجرد مشكلة في مشروع واحد.
كيف تصاعدت سلسلة الأحداث من الإقراض بضمانات مزيفة إلى الديون المعدومة
بعد إيداع rsETH المزور في عدة بروتوكولات إقراض، كانت Aave V3 الأكثر تعرضًا للخطر. تظهر بيانات السلسلة أن حوالي 89,567 rsETH (ما يعادل تقريبًا $221 مليون) تم استخدامها كضمان في Aave، مما نتج عنه قروض بنحو 82,650 WETH (حوالي $191 مليون). ونظرًا لأن rsETH المستخدم تم سكّه من العدم، فعند استخدامه كضمان للقروض، لم يعد للقرض أي أساس تصفية شرعي.
ومع ذلك، وللدقة، لم يتم اختراق كود Aave نفسه. فقد استمر منطق الإقراض في البروتوكول بالعمل كما هو متوقع — وكانت المشكلة في القيمة الأساسية للضمانات. فبعد اختراق الجسر العابر للشبكات، تبخرت القيمة الحقيقية لهذه الرموز. سارعت Aave إلى تجميد جميع الأسواق المتعلقة بـ rsETH، وضبطت نسبة القرض إلى القيمة (LTV) إلى الصفر، وأجرت تعديلات طارئة على نموذج سعر الفائدة. لكن الضرر كان قد وقع بالفعل. ووفقًا لتقرير حادثة صادر عن مزود خدمات Aave وشركة إدارة المخاطر LlamaRisk، فإن حجم الديون المعدومة التي تواجهها Aave يتراوح بين $124 مليون و$230 مليون حسب سيناريو توزيع الخسائر، بينما يشير الرقم الأكثر تداولًا إلى خسارة صافية أساسية بقيمة $200 مليون.
لماذا تمثل ثغرات التحقق أحادي النقطة نقطة عمياء هيكلية لأمن القطاع
يكمن الفرق الجوهري بين حادثة KelpDAO وغيرها من اختراقات التمويل اللامركزي (DeFi) في عدم وجود ثغرة برمجية يمكن تدقيقها. فالمشكلة لم تكن في ملفات .sol، بل في معلمة نشر — عتبة DVN — تم ضبطها أثناء نشر البروتوكول. وهذه المعلمة لا تقع ضمن نطاق أدوات التحليل الساكن مثل Slither أو Mythril، التي تجيد اكتشاف أنماط الأكواد المعروفة مثل هجمات إعادة الدخول، لكنها لا تغطي تقريبًا مخاطر الإعدادات. وعندما يتركز كل الاهتمام في "تدقيق العقود الذكية" على صحة الكود، تصبح معلمات النشر مثل إعداد DVN منطقة خطرة في مصفوفة الأمان.
فلسفة تصميم LayerZero V2 تترك قرارات الأمان لطبقة التطبيق. نظريًا، يزيد ذلك من المرونة، لكن عمليًا، غالبًا ما تختار المشاريع الوضع الأكثر تطرفًا (1/1) لسهولة التنفيذ. وعندما يمكن "تجاوز" آليات الأمان بالإعدادات، يتم دفع حدود التدقيق إلى الخارج. تبرز حادثة KelpDAO تناقضًا جوهريًا: فالبروتوكولات العابرة للشبكات توفر إمكانيات تحقق متعددة، لكن المشاريع غالبًا ما تتخلى عن هذه الحماية الزائدة لأجل سهولة الاستخدام. ولا يوجد حتى الآن عملية مراجعة أمان للإعدادات موحدة في القطاع لسد هذه الفجوة.
كيف تصاعدت حالة الذعر في السوق وسببت هروب السيولة
بمجرد انتشار الخبر، تحولت حالة الذعر في السوق إلى هروب حقيقي لرؤوس الأموال. ووفقًا لبيانات Gate في 27 أبريل 2026، شهدت أسعار الرموز المرتبطة بالحادثة تقلبات كبيرة، وتعرض قطاع التمويل اللامركزي بأكمله لضغوط. خلال 48 ساعة من وقوع الحدث، سجلت Aave تدفقات صافية خارجة بنحو $8.45 مليار، حيث انخفضت القيمة الإجمالية المقفلة (TVL) من حوالي $26.4 مليار إلى $17.9 مليار. وعلى مستوى منظومة التمويل اللامركزي بالكامل، تراجعت TVL بنحو $13.21 مليار في نفس الفترة، من حوالي $99.5 مليار إلى $86.3 مليار.
ومن المهم الإشارة إلى أن انخفاض TVL لا يعني خسارة أصول بنفس القيمة. تشير بعض التحليلات إلى أن جزءًا كبيرًا من التدفقات الخارجة نتج عن تصفيات متتالية لمراكز عالية الرافعة المالية وانسحابات وقائية من المؤسسات، وليس لأن جميع الأصول قد "دُمرت". ومع ذلك، كشف الصدمة عن مشكلة أعمق: عندما يتم استنزاف مجمع الإقراض الأساسي في بروتوكول رائد وتقترب نسبة استخدام رأس المال من %100، لا يمكن تلبية طلبات السحب للمستخدمين العاديين. هذه المرة، لم تكن Aave مصدر الخطر، لكن بسبب احتوائها على نسبة عالية من rsETH كضمانات، وجدت نفسها في قلب الأزمة.
تتبع مسار غسيل الأموال للمهاجم والتفاصيل التقنية لإجراء التجميد من Arbitrum
بعد استغلال ثغرة KelpDAO، سارع المهاجم إلى إخفاء الأموال المسروقة عبر عدة طبقات. جاءت الأموال الأولية من Tornado Cash، حيث تلقى المهاجم 1 ETH من الميكسّر قبل الحادث بحوالي 10 ساعات. وبعد السرقة، قام بتحريك العائدات بين بروتوكولات إقراض مختلفة ثم نقلها عبر قنوات عابرة للشبكات.
في 20 أبريل، استخدم مجلس أمن Arbitrum صلاحيات الطوارئ، حيث حدد حوالي 30,765 ETH (كانت تعادل حينها نحو $71.5 مليون) بحوزة المهاجم، ونفذ عملية تقنية لنقل وتجميد الأصول في عنوان آمن. شكلت هذه الخطوة علامة فارقة في تتبع الأصول على السلسلة: فقد أثبتت أن مجالس أمن الشبكات من الطبقة الثانية يمكنها، في ظل ظروف معينة، التدخل في حركة الأموال. استجاب المهاجم بسرعة — ففي غضون ساعات من التجميد، تم توزيع حوالي 75,700 ETH (نحو $175 مليون) على محفظتين جديدتين. وكشفت تحليلات السلسلة لاحقًا أن ما يقارب $1.5 مليون من الأموال المسروقة تم تحويلها من Ethereum إلى Bitcoin عبر Thorchain، مع استخدام أدوات خصوصية إضافية مثل Umbra لإخفاء المزيد من الأموال. ويظهر ذلك أن المهاجم كان عازمًا على إخراج الأموال المسروقة بالكامل من منظومة Ethereum القابلة للتتبع.
جهود التعافي المجتمعي وكيف يتم التعامل مع ديون Aave المعدومة البالغة $200 مليون
في مواجهة عجز يقارب $200 مليون، قاد مؤسس Aave إنشاء صندوق تعافي على مستوى القطاع باسم DeFi United. ووفقًا لبيانات Arkham حتى 26 أبريل، جمع الصندوق أكثر من $160 مليون، ما يغطي حوالي %80 من الفجوة التمويلية. وكان أكبر المساهمين هما مجتمعا Mantle وAave، حيث تبرعا معًا بـ 55,000 ETH — ما يعادل نحو $127 مليون حينها.
تبرع مؤسس Aave، Stani Kulechov، شخصيًا بـ 5,000 ETH. كما تعهدت مؤسسات مثل Golem Foundation وEther.fi وLido DAO بمبالغ دعم متنوعة. والأهم من ذلك، تقدمت Aave Labs، بالتعاون مع Kelp DAO وLayerZero وEther.fi وCompound وغيرها من البروتوكولات الكبرى، بمقترح دستوري إلى Arbitrum DAO لفك تجميد 30,765 ETH (حوالي $71.5 مليون) وضخها في صندوق DeFi United. وإذا تم تأمين جميع المساهمات، سيصل إجمالي حجم الصندوق إلى أكثر من $236 مليون، وهو ما يكفي لتغطية الديون المعدومة بالكامل.
ومن الجدير بالذكر أن هذه العملية الحوكمية يُتوقع أن تستغرق حوالي 49 يومًا، ولا تزال بعض الالتزامات التمويلية الكبيرة بحاجة إلى موافقة عبر تصويت DAO — لذا لا تزال النتيجة النهائية غير مؤكدة.
مفارقة أمن الشبكات العابرة والحوكمة في التمويل اللامركزي
دفعت حادثة KelpDAO القطاع إلى إعادة التفكير بعمق: إذ تظل أمان الجسور العابرة للشبكات مشكلة هيكلية يصعب حلها بالكامل. فقبل الهجوم، استخدم ما يصل إلى %47 من التطبيقات اللامركزية المتكاملة مع LayerZero إعداد DVN 1/1. ولم يكن ذلك خيارًا منفردًا لـ KelpDAO، بل انعكاسًا منهجيًا لتفضيل المنظومة للسهولة على حساب التكرار الأمني. ففي سيناريوهات العبور بين الشبكات، لم يعد مصدر الثقة محصورًا في كود العقود الذكية، بل يشمل أيضًا معلمات النشر وأمان تشغيل شبكات عقد التحقق — وهي عوامل غالبًا ما تكون خارج نطاق التدقيق التقليدي.
في الوقت نفسه، أثار إجراء تجميد الأصول من مجلس أمن Arbitrum مفارقة قديمة: عندما تمتلك شبكة من الطبقة الثانية "اللامركزية" وسائل تقنية للتدخل — أي "باب خلفي" على مستوى الكود — فما الفرق بينها وبين الحفظ المركزي؟ إذا كان بإمكان مجلس أمني قفل أصول المستخدمين على السلسلة، فإن سردية "الثقة الصفرية" في التمويل اللامركزي تتعرض لتحدٍ جوهري.
لم تعد هذه الحادثة أزمة أمان لمشروع واحد، بل أصبحت اختبار ضغط جماعي لأسس التمويل اللامركزي المؤسسية.
الخلاصة
تُعد حادثة اختراق KelpDAO أكبر حادثة أمان في قطاع التمويل اللامركزي لعام 2026 حتى الآن، بخسائر تقارب $292 مليون. ومع ذلك، فإن تداعياتها تجاوزت هذا الرقم بكثير: فقد شهدت Aave سحب ودائع بقيمة $8.45 مليار خلال 48 ساعة، وانخفضت TVL للقطاع بأكمله بأكثر من $13 مليار. لم يكن السبب جذريًا ثغرة في العقود الذكية، بل خطأ في إعداد التحقق أحادي النقطة في الجسر العابر للشبكات — وهي ثغرة لا تزال موجودة في العديد من البروتوكولات.
ومن خلال إنشاء صندوق DeFi United، جمعت Aave بالفعل أكثر من $160 مليون، ما يغطي حوالي %80 من الديون المعدومة، وانضمت إلى خمسة بروتوكولات كبرى لتقديم مقترح دستوري إلى Arbitrum DAO لفك تجميد الأصول المحجوزة. وحتى 27 أبريل 2026، لا يزال DeFi United ينتظر نتائج عدة تصويتات حوكمية. وبغض النظر عن كيفية معالجة الديون المعدومة البالغة $200 مليون في النهاية، فقد أصبحت حادثة KelpDAO لحظة فاصلة في تاريخ التمويل اللامركزي، معلنة الانتقال من "القانون هو الكود" إلى "الحوكمة هي الحماية".
الأسئلة الشائعة (FAQ)
س: ما هي الثغرة الأساسية في هجوم KelpDAO؟
لم تكن المشكلة الأساسية ثغرة في العقود الذكية، بل كانت في إعداد DVN في حل LayerZero العابر للشبكات. استخدمت KelpDAO إعداد عقدة تحقق واحدة (1/1)، وبمجرد اختراق تلك العقدة، تمكن المهاجم من تزوير الرسائل العابرة وسك rsETH من العدم. كان ذلك حدثًا أمنيًا منهجيًا ناتجًا عن انهيار في نموذج الثقة العابر للشبكات مع أخطاء في الإعداد.
س: كم بلغت خسائر Aave الفعلية في الحادثة؟
لم تتعرض Aave لهجوم مباشر، لكن بسبب استخدام rsETH كضمان، اقترض المهاجم كميات كبيرة من WETH. وحسب سيناريو توزيع الخسائر، تُقدر الديون المعدومة لدى Aave بين $124 مليون و$230 مليون، مع الرقم الأكثر تداولًا عند حوالي $200 مليون. وحتى 27 أبريل، جمع DeFi United أكثر من $160 مليون، ما يغطي حوالي %80 من الفجوة التمويلية.
س: هل يمكن استرداد الأموال المسروقة؟
تم تجميد بعض الأموال. فقد نجح مجلس أمن Arbitrum في تجميد حوالي 30,765 ETH (نحو $71.5 مليون) بحوزة المهاجم، لكن الأخير نقل بالفعل نحو 75,700 ETH إلى محافظ جديدة وجسر الأموال إلى شبكة Bitcoin عبر Thorchain وأدوات أخرى، ما يصعب عملية الاسترداد.
س: هل بروتوكولات LayerZero الأخرى آمنة؟
ليس بالضرورة. تظهر بيانات Dune Analytics أنه قبل هجوم KelpDAO، استخدم %47 من تطبيقات LayerZero OApps نفس إعداد DVN 1/1، ما أثر على أكثر من $4.5 مليار من الأصول. يجب على كل بروتوكول مراجعة إعدادات DVN الخاصة به بشكل مستقل، ويعمل القطاع حاليًا على الانتقال من إعداد عقدة واحدة إلى إعداد متعدد العقد للتحقق.
