اختراق KelpDAO في أبريل 2026 وكيف تسبب في أكبر أزمة سيولة لبروتوكول Aave
في 18 أبريل 2026 استغل مهاجم ثغرة في جسر KelpDAO المبني على LayerZero لإنشاء 116,500 من rsETH غير المدعوم بقيمة تقارب 292 مليون دولار واستخدمه كضمان على Aave V3. استُخدمت هذه الضمانات لاقتراض أكثر من 236 مليون دولار من WETH وأصول مرتبطة بإيثريوم، ما ترك بروتوكول Aave مع ديون معدومة تقدر بين 177 و200 مليون دولار.
What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use stoThe April 2026 KelpDAO exploit showed how vulnerabilities in cross‑chain bridges can cascade into major DeFi lending protocols.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use sto. Article summary: The April 2026 incident was not an Aave smart-contract hack; it was a KelpDAO rsETH bridge failure that let an attacker create/release unbacked rsETH, then use it as collateral on Aave V3 to borrow real WETH/ETH, leaving. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears. After the Kelp DAO exploit, the attacker used $292 million in stolen rsETH as collateral on A" source context "Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears - Unchained" Reference image 2:
openai.com
نظرة عامة
في أبريل 2026 تعرض قطاع التمويل اللامركزي (DeFi) لواحدة من أكبر أزماته الأمنية عندما أدت ثغرة في جسر rsETH الخاص ببروتوكول KelpDAO إلى إنشاء كميات ضخمة من الرموز غير المدعومة فعلياً. استخدم المهاجم هذه الرموز كضمان في بروتوكولات الإقراض — خصوصاً Aave V3 — لاقتراض أصول حقيقية مثل Wrapped Ether (WETH).
النتيجة كانت صدمة سيولة سريعة داخل النظام المالي اللامركزي. فقد واجه بروتوكول Aave ديوناً معدومة بمئات الملايين من الدولارات، بينما انخفض إجمالي القيمة المقفلة (TVL) فيه بنحو 44٪ خلال شهر واحد، من حوالي 26.6 مليار دولار إلى 14.8 مليار دولار.
المهم هنا أن Aave نفسه لم يتم اختراقه تقنياً؛ المشكلة بدأت عندما دخلت أصول غير مدعومة إلى نظامه كضمان نتيجة فشل في جسر خارجي.
ماذا حدث في اختراق KelpDAO؟
وقع الهجوم في 18 أبريل 2026 عندما استغل مهاجم خللاً في إعدادات الجسر متعدد السلاسل الخاص بـKelpDAO، المبني على بروتوكول LayerZero لنقل الأصول بين شبكات البلوكشين.
قام المهاجم بإرسال رسالة تحقق مزورة عبر السلاسل.
قبل الجسر الرسالة وسمح بإطلاق أو سك 116,500 من rsETH بقيمة تقارب 292–294 مليون دولار.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ما هي الإجابة المختصرة على "اختراق KelpDAO في أبريل 2026 وكيف تسبب في أكبر أزمة سيولة لبروتوكول Aave"؟
في 18 أبريل 2026 استغل مهاجم ثغرة في جسر KelpDAO المبني على LayerZero لإنشاء 116,500 من rsETH غير المدعوم بقيمة تقارب 292 مليون دولار واستخدمه كضمان على Aave V3.
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
في 18 أبريل 2026 استغل مهاجم ثغرة في جسر KelpDAO المبني على LayerZero لإنشاء 116,500 من rsETH غير المدعوم بقيمة تقارب 292 مليون دولار واستخدمه كضمان على Aave V3. استُخدمت هذه الضمانات لاقتراض أكثر من 236 مليون دولار من WETH وأصول مرتبطة بإيثريوم، ما ترك بروتوكول Aave مع ديون معدومة تقدر بين 177 و200 مليون دولار.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
استجاب Aave بتجميد أسواق rsETH وWETH مؤقتاً، تصفية مراكز المهاجم، واستعادة نحو 13,000 ETH بينما بقي نحو 30,766 ETH مجمداً بقرار أمني من Arbitrum.
هذا الرقم مثّل نحو 18٪ من إجمالي المعروض المتداول من الرمز وقت الحادث.
سبب المشكلة كان إعداد الجسر بحيث يعتمد على مُحقق واحد فقط (1‑of‑1 DVN) للتحقق من الرسائل.
بمعنى آخر، لم يتم قفل أو حرق ETH حقيقي على الشبكة الأصلية. وبالتالي أصبح rsETH الذي تم إنشاؤه غير مدعوم بأي أصل فعلي، لكنه بدا في البداية شرعياً لبروتوكولات DeFi الأخرى.
استغرق تنفيذ الاختراق أقل من ساعة قبل تفعيل آليات الإيقاف الطارئ.
كيف استُخدم rsETH المسروق لاستنزاف سيولة Aave
بدلاً من بيع الرموز فوراً، استخدم المهاجم استراتيجية أكثر تعقيداً داخل أسواق الإقراض في DeFi.
1. إيداع rsETH كضمان
قام المهاجم بإيداع كميات كبيرة من الرموز المسروقة في مجمعات الإقراض الخاصة بـ Aave V3 عبر عدة محافظ.
تشير التقديرات إلى أن نحو 89,000 rsETH انتهى به الأمر داخل بروتوكول Aave.
2. اقتراض أصول حقيقية
باستخدام القيمة السوقية المرتفعة للضمان، اقترض المهاجم WETH وأصولاً أخرى مرتبطة بإيثريوم من المجمعات.
3. تحويل الضمان المزيف إلى سيولة حقيقية
تشير التقارير إلى أن المهاجم تمكن من اقتراض أكثر من 236 مليون دولار من WETH وأصول مشابهة قبل أن تتفاعل الأسواق أو يتم إيقاف العمليات.
وهكذا تحولت ثغرة محاسبية في جسر عبر السلاسل إلى استنزاف حقيقي للسيولة من عدة بروتوكولات إقراض.
عندما أصبح واضحاً أن rsETH غير مدعوم بالكامل، أصبحت الضمانات غير كافية لتغطية القروض، ما ترك Aave مع ديون معدومة تقدر بين 177 مليون و200 مليون دولار.
التأثير الفوري على Aave وأسواق DeFi
أدى الحدث إلى واحدة من أسرع صدمات السيولة في تاريخ التمويل اللامركزي.
أبرز النتائج:
ارتفاع استخدام مجمع WETH إلى نحو 100٪ بسبب الاقتراض المكثف.
سحب مليارات الدولارات من مجمعات Aave خوفاً من الخسائر.
خروج كبير للأموال من بروتوكولات DeFi الأخرى أيضاً.
خلال الأسابيع التالية، انخفض إجمالي القيمة المقفلة في Aave من حوالي 26.6 مليار دولار إلى 14.8 مليار دولار — أي تراجع بنحو 44٪.
كثير من المحللين وصفوا ما حدث بأنه أشبه بحالة "ركض على البنك" داخل DeFi، رغم أن العقود الذكية للبروتوكول بقيت سليمة تقنياً.
كيف استجاب بروتوكول Aave للأزمة
تحركت حوكمة Aave ومديرو المخاطر بسرعة لاحتواء الأضرار.
1. تجميد الأسواق الخطرة
بعد ساعات من الهجوم:
تم تجميد أسواق rsETH وwr sETH عبر جميع إصدارات Aave V3.
تم خفض نسب القرض إلى القيمة (LTV) فعلياً إلى صفر لمنع اقتراض جديد.
لاحقاً تم فرض قيود إضافية على اقتراض WETH في عدة شبكات حتى تستقر الأسواق.
2. تصفية مراكز المهاجم
عملت Aave بالتنسيق مع جهات أخرى في النظام البيئي لتصفية المراكز المرتبطة بالمهاجم بطريقة منظمة.
أسفرت هذه العملية عن تحرير حوالي 13,000 ETH (حوالي 30 مليون دولار) من الضمانات المرتبطة بالهجوم.
تم تحويل الأصول المستردة إلى محفظة متعددة التوقيع تُعرف باسم Recovery Guardian وتديرها منظمة DeFi United ضمن خطة أوسع لإعادة دعم rsETH.
3. إعادة تشغيل الأسواق تدريجياً
مع تقدم جهود التعافي، بدأ البروتوكول إعادة تشغيل الأسواق.
بحلول 18 مايو 2026:
أعاد Aave نسب LTV الخاصة بـ WETH إلى مستوياتها قبل الحادث.
تم إعادة تفعيل الاقتراض على شبكات رئيسية مثل Ethereum وArbitrum وBase وMantle وLinea.
كانت هذه خطوة مهمة لاستعادة ثقة السيولة في البروتوكول.
الأموال المستردة مقابل الأموال المجمدة
الوضع المالي بعد الحادث ظل معقداً.
الأموال المستردة
تم استرداد نحو 13,000 ETH (حوالي 30 مليون دولار) عبر عمليات التصفية.
الأموال المجمدة
قام مجلس أمن Arbitrum بتجميد حوالي 30,766 ETH (نحو 71 مليون دولار) مرتبطة بالهجوم.
تم نقل هذه الأموال إلى محفظة وسيطة خاضعة لحوكمة الشبكة بانتظار قرارات قانونية وتنظيمية.
الإجراءات القضائية أخرت الوصول الكامل إلى هذه الأصول، ما يجعل استخدامها في التعافي محدوداً مؤقتاً.
حتى بعد عمليات التصفية، بقيت فجوة تقديرية في دعم rsETH تبلغ حوالي 10٪ من الضمانات المطلوبة.
لماذا يُعد هذا الهجوم مهماً لبنية DeFi التحتية
كشف الحادث عدة مخاطر هيكلية في التمويل اللامركزي.
مخاطر إعداد الجسور
لم تكن المشكلة في LayerZero نفسه، بل في كيفية إعداد الجسر. الاعتماد على مُحقق واحد فقط يعني أن أي اختراق لذلك المسار يمكن أن يسمح بتمرير تحويلات مزورة.
عدوى الضمانات بين البروتوكولات
أظهر الهجوم كيف يمكن لخلل في بروتوكول واحد أن ينتشر إلى بروتوكولات أخرى عندما يُستخدم الرمز كضمان واسع الانتشار.
ديناميكيات "الركض على السيولة"
الانسحابات السريعة من Aave أظهرت أن الثقة هي عنصر حاسم في DeFi، وأن الصدمات الأمنية قد تؤدي بسرعة إلى هروب السيولة حتى من البروتوكولات الكبيرة.
تغييرات متوقعة في إدارة المخاطر
بعد الحادث ارتفعت الدعوات إلى:
تشديد شروط إدراج الأصول كضمان
وضع حدود عرض أكثر صرامة
تحسين آليات التحقق في الجسور عبر السلاسل
إضافة آليات إيقاف تلقائي للأصول المرتبطة بالجسور
الخلاصة
حادثة KelpDAO في أبريل 2026 أبرزت حقيقة أساسية في التمويل اللامركزي: أمان البروتوكول لا يعتمد فقط على العقود الذكية، بل أيضاً على سلامة الأصول المستخدمة كضمان.
لم يتم اختراق Aave نفسه، لكن إدخال 292 مليون دولار من rsETH غير المدعوم إلى أسواق الإقراض تسبب في صدمة سيولة ضخمة وديون معدومة كبيرة، إضافة إلى واحد من أكبر الانخفاضات في TVL بتاريخ DeFi.
لهذا أصبحت هذه الحادثة مثالاً بارزاً يُستشهد به عند مناقشة مخاطر الجسور عبر السلاسل وعدوى الضمانات بين بروتوكولات DeFi.
cryptotimes.io
Who Bears the KelpDAO rsETH Losses — Aave, rsETH Holders, or ...
Comments
0 comments