تمامًا ما كنت أبحث عنه حول ما حدث مع Kelp DAO قبل أسبوع، وبصراحة، هذه واحدة من أكثر قصص DeFi قسوة على مدار عام 2026. خلال 46 دقيقة، اختفى 293 مليون دولار من النظام البيئي. ليست خطأ في الكود، ليست ثغرة في العقود الذكية - مجرد خطأ في التكوين أصبح أزمة نظامية.

إليك ما حدث: استخدم المهاجم جسر Kelp عبر LayerZero بتكوين DVN 1 من 1. في الأساس، كانت عملية التحقق من الرسائل بين السلاسل تعتمد على عقدة واحدة فقط. من خلال اختراق أو خداع هذه العقدة، أرسل المهاجم رسالة مزورة تفيد على ما يبدو بتجميد الأصول. أصدر الجسر 116,500 rsETH (حوالي 18% من إجمالي العرض المتداول) إلى عنوان المهاجم - بدون تجميد ETH الحقيقي على السلسلة الأصلية. تم إنشاء الرموز حرفيًا من الهواء.

ثم كان الأمر أسوأ. بدلاً من تصريف الرموز في السوق، قام المهاجم بإيداع rsETH غير المضمون في Aave V3 كضمان، واقترض 236 مليون دولار من WETH الحقيقي، ثم كرر نفس الحيلة على Aave V4. بحلول الوقت الذي أوقفت فيه Kelp DAO العقود (18:21 بالتوقيت العالمي المنسق)، كانت الأصول الحقيقية قد بدأت في الانسحاب. محاولتان لتصريف 100 مليون أخرى - تم إيقافهما، لكن الضربة الأولى كانت قد تسببت في تأثيرات متتالية على DeFi.

وجدت Aave نفسها في فخ. عندما أوقفت Kelp rsETH، أصبحت جميع مراكز القروض المضمونة بهذا الأصل غير قابلة للتصفية. بقيت Aave مع ديون لا أمل فيها بقيمة 196 مليون دولار. وصل استهلاك تجمع WETH إلى 100% - لم يتمكن بعض المستخدمين مؤقتًا من سحب أموالهم. انتشرت الذعر على الفور: سحب الأموال من Aave بلغ 5.4 مليار دولار خلال بضع ساعات. انخفض إجمالي القيمة المقفلة من أكثر من 26 مليار إلى 22 مليار - خسارة 6.6 مليار خلال يوم واحد. انخفض سعر رمز AAVE بنسبة 20% خلال 24 ساعة (يُتداول الآن حوالي 95.54 دولار).

الأمر الأكثر رعبًا هو أن ذلك لم يكن خطأ في LayerZero. كان اختيار Kelp DAO استخدام تكوين مركزي، يسمح به البروتوكول، لكنه يخلق نقطة فشل مركزية خطيرة. قال مؤسس Curve Finance، ميخائيل إيغوروف، مباشرة: عندما تثق في طرف واحد، يمكن أن يحدث كل شيء.

انتشرت العدوى إلى ما لا يقل عن تسع منصات: SparkLend، Fluid، Lido (أوقفت منتجها EarnETH)، Compound V3، Euler وغيرها. حتى Ethena أوقفت مؤقتًا جسورها عبر LayerZero كإجراء احترازي، رغم عدم وجود تأثير مباشر.

الأموال؟ من المحتمل جدًا أن تكون ضائعة. قام المهاجم بالفعل بتطهير الأموال عبر Tornado Cash، موزعًا ETH على عدة محافظ. اقترح جاستن سان من Tron "التحدث" مع المهاجم، لكن الأمر يبدو كأنه مسرحية - التحقيقات الآن باردة.

ماذا يعني هذا للصناعة؟ كان rsETH يُعتبر أصلًا موثوقًا، مرتبطًا بـ ETH. الافتراض الضمني: أن رموز الستاكينج السائلة آمنة مثل الأصل الأساسي. هذا الافتراض انهار. تبقى Kelp DAO مع أصل لا يمكن بيعه فعليًا، وAave مع أكبر قدر من ETH المقترض الذي لا يمكن لأحد سحبه.

من المتوقع أن ترد الصناعة بمتطلبات إلزامية لعدة DVN للجسور ومعايير أكثر صرامة لبروتوكولات الإقراض. لكن حتى ذلك الحين، يظل rsETH في أكثر من 20 سلسلة في حالة دعم غير مؤكد، حتى تنشر Kelp تدقيقًا موثوقًا به للاحتياطيات.

هذه ليست أول عملية اختراق كبيرة هذا العام. في مارس، خسرت Resolv Labs 80 مليون، وفي 1 أبريل، خسرت Drift Protocol 285 مليون (لاحقًا مرتبط بوكيلين من كوريا الشمالية). في أبريل أيضًا، كانت هناك خسائر في CoW Swap، Zerion، Rhea Finance. إجمالي خسائر DeFi في 2026 يتجاوز الآن 450 مليون دولار عبر حوالي 45 بروتوكولًا. يقول رئيس أمن Ledger إن هذا "من المرجح أن يكون أسوأ عام للاختراقات".

الدروس الرئيسية للمستثمرين: قابلية التكوين في DeFi تعمل في كلا الاتجاهين. ما يجعل النظام قويًا - الترابط - هو أيضًا ما يجعله أسرع قناة لانتشار العدوى. ثغرة في بروتوكول واحد تصبح حدثًا نظاميًا خلال دقائق. إذا كنت تمتلك rsETH أو مراكز في بروتوكولات الإقراض، راقب الإعلانات الرسمية بعناية. تجنب اتخاذ قرارات ذعر بناءً على معلومات غير كاملة، ولكن لا تتجاهل مخاطر السيولة حتى على المنصات "الآمنة".

هذه تذكير صارخ: في DeFi، الثقة ليست مجرد تقنية، بل هي بنية. وبنية Kelp DAO كانت عرضة للخطر ليس بسبب الكود، بل بسبب اختيار التكوين.