تشريح أكبر عملية سرقة في 2026: جسر Kelp DAO يكشف نقطة عمياء هزت عالم التمويل اللامركزي

يعتمد أمان عملية التحرير هذه على شبكات المحققين اللامركزية (DVNs) — وهي عُقد خارج السلسلة تشهد بأن الرسالة صالحة. قامت Kelp DAO بتكوين جسرها بعتبة تحقق "1 من 1" (1-of-1)، مما يعني أن مُحققاً واحداً فقط كان كافياً للمصادقة على أي رسالة عبر السلاسل .

قام المهاجم باختراق عُقد RPC الداخلية لـ Kelp وشن هجوماً لحجب الخدمة (DDoS) على العُقد الخارجية، تاركاً فقط ذلك المحقق المنفرد قيد التشغيل. ثم قام بتزويده برسالة مزورة تدّعي أنه تم حرق 116,500 رمز rsETH على السلسلة المصدر. صدّق المحقق على الرسالة، وامتثل عقد إيثيريوم، وتم تحرير الأموال إلى عنوان يسيطر عليه المهاجم .

أكدت Chainalysis أن كل معاملة على السلسلة بدت شرعية لأدوات الأمان القياسية، لأن الاختراق حدث بالكامل خارج السلسلة على مستوى البنية التحتية والعُقد . كانت عمليات تدقيق العقود الذكية التقليدية غير ذات صلة.

أوقف التوقيع المتعدد للطوارئ الخاص بـ Kelp العقود بعد 46 دقيقة من الاستنزاف الأولي، مما منع حوالي 200 مليون دولار إضافية من هجمات متابعة .

غسيل الأموال: كيف اختفى 220 مليون دولار في ستة أسابيع

لم يجلس المهاجم على الرموز المسروقة. في غضون ساعات، تم إيداع 89,567 من أصل 116,500 رمز rsETH غير المدعوم في Aave V3 كضمان، واقترض المهاجم ما يقرب من 82,650 WETH و 821 wstETH — أصول نظيفة وسائلة — قبل أن يتمكن أي شخص من تجميد المراكز . حدث اقتراض مماثل بضمانات في Compound و Euler، مما أدى إلى استخراج ما يقرب من 74,000 عملة ETH نظيفة .

ثم بدأ غسيل الأموال على قدم وساق.

على مدى الأسابيع الستة التالية، قام المهاجم بغسل كل الأموال المسروقة غير المجمدة تقريباً — حوالي 220 مليون دولار — تاركاً فقط حوالي 1.7 مليون دولار يمكن تتبعها في محافظ المستغل الأصلية اعتباراً من 1 يونيو 2026 . اتبعت سلسلة الغسيل نمطاً متعمداً من مرحلتين:

• المرحلة الأولى: استُخدم Tornado Cash لقطع الروابط الأولية على السلسلة وإخفاء مخطط المعاملات .
• المرحلة الثانية: تم توجيه الأموال عبر محفظة Wasabi لخلط البيتكوين بأسلوب CoinJoin-style، ثم إعادتها إلى إيثيريوم عبر بروتوكولات عبر السلاسل — وبشكل رئيسي THORChain، التي عالجت ما يقرب من 80 مليون دولار في مقايضات ETH إلى Bitcoin في نافذة 24 ساعة واحدة، مما دفع حجم مقايضات THORChain إلى 394 مليون دولار، أي حوالي 11 ضعف متوسطها اليومي .

أكدت TRM Labs لاحقاً أن THORChain عملت كجسر الاختيار الثابت عبر أكبر عمليات سطو كوريا الشمالية، مع عدم رغبة أي مشغل في تجميد أو رفض التحويلات خلال اختراق Bybit في 2025 أو استغلال KelpDAO .

كما أشارت NS3.AI إلى تفصيل جديد: استخدم المهاجمون LayerZero نفسها لنقل ما لا يقل عن 500,000 دولار من الأموال المسروقة عبر السلاسل أثناء مرحلة الغسيل — وهي المرة الأولى المسجلة التي يُستغل فيها نفس التطبيق لكل من السرقة وجزء من غسيل الأموال .

تجميد مجلس أمان Arbitrum: 71 مليون دولار تم اعتراضها في منتصف الطريق

لم تفلت جميع الأموال. في 20 أبريل 2026، الساعة 11:26 مساءً بالتوقيت الشرقي، نفذ مجلس أمان Arbitrum إجراءً طارئاً لتجميد 30,766 ETH — ما يقرب من 71 مليون دولار، أو حوالي ربع المبلغ الإجمالي المسروق — المحتفظ بها في عنوان يسيطر عليه المهاجم على Arbitrum One .

تصرف المجلس بناءً على مدخلات من جهات إنفاذ القانون ونقل الأموال إلى محفظة وسيطة تتحكم فيها الحوكمة. صوت تسعة من أعضاء المجلس الإثني عشر لصالح التجميد . لا يمكن تحرير الأموال إلا من خلال تصويت رسمي لحوكمة Arbitrum .

في 8 مايو 2026، وافق مجلس أمان Arbitrum على اقتراح مشترك لإلغاء تجميد تلك الأموال، بهدف تسريع استرداد ضمان rsETH واستعادة السيولة للمستخدمين المتضررين. لا تزال عملية الاسترداد مستمرة بمشاركة سلطات إنفاذ القانون .

دعوة استيقاظ Aave بقيمة 230 مليون دولار وإصلاح إطار المخاطر

امتصت Aave أشد الأضرار من الدرجة الثانية. أودع المهاجم 89,567 رمز rsETH مزيف في Aave V3 واقترض ما يقرب من 230 مليون دولار من الأصول النظيفة — وهي قروض أصبحت ديوناً معدومة غير قابلة للاسترداد بمجرد اكتشاف أن rsETH غير مدعوم .

قام حارس البروتوكول في Aave بتجميد احتياطيات rsETH و wrsETH عبر جميع عمليات نشر V3 في حوالي الساعة 19:00 بالتوقيت العالمي يوم 18 أبريل، محدداً نسب القرض إلى القيمة إلى الصفر عبر 11 سوقاً متأثراً بما في ذلك إيثيريوم، Arbitrum، Avalanche، و Optimism . تم تجميد اقتراض WETH — وهو جزء أساسي من البنية التحتية المالية للتمويل اللامركزي — فعلياً عبر ست شبكات.

اعتباراً من منتصف مايو 2026، تم استرداد أكثر من 95% من الرموز غير المدعومة، مع توقع تغطية العجز المتبقي من قبل خزينة Aave DAO وتحالف DeFi United . استعادت Aave حدود اقتراض WETH الطبيعية عبر ست شبكات V3 في 18 مايو 2026 .

لكن الإرث الحقيقي هو استجابة الحوكمة. في مؤتمر Consensus Miami 2026، أعلنت ليندا جينج، كبيرة المسؤولين القانونيين والسياسيين في Aave Labs، عن إصلاح جذري لمعايير إدراج الأصول وتقييم الضمانات في البروتوكول . يتوسع الإطار الجديد ليتجاوز مقاييس المخاطر المالية التقليدية ليشمل:

• ثغرات الأمن السيبراني ووضع الأمان التشغيلي
• تبعيات البنية التحتية للجسور ومخاطر المحقق المنفرد
• تبعيات الأوراكل والتعرض لعقود الطرف الثالث
• ترتيبات الحفظ ومخاطر التشغيل البيني عبر البروتوكولات المركبة

قامت Aave بالفعل بتعديل 295 معيار مخاطر وأضافت دفاعات آلية يمكنها تقليل نسبة القرض إلى القيمة للأصل إلى الصفر عند تفعيل عتبات مخاطر محددة مسبقاً . يطلق البروتوكول مراجعة كاملة لكل أصل مدرج في V3 ويعيد كتابة معايير الإدراج من الألف إلى الياء .

الصورة الأكبر: الجسور هي الآن سطح الهجوم الرئيسي في التمويل اللامركزي

لم يحدث هجوم Kelp DAO بمعزل عن غيره. كان ثاني استغلال لجسر بقيمة تسعة أرقام في 18 يوماً، بعد اختراق بروتوكول Drift بقيمة 285 مليون دولار بالهندسة الاجتماعية في 1 أبريل — المنسوب أيضاً إلى مجموعة لازاروس . مجتمعين، دفع هذان الحادثان خسائر التمويل اللامركزي في أوائل 2026 إلى ما يتجاوز 840 مليون دولار .

التداعيات النظامية فاقت بكثير السرقة المباشرة. في غضون 48 ساعة من استغلال Kelp DAO، تبخر ما قيمته 13.21 مليار دولار من القيمة الإجمالية المقفلة (TVL) عبر التمويل اللامركزي، مع خسارة Aave وحدها لـ 43% من TVL عبر 26 بروتوكولاً متتبعاً . اجتاحت موجة سحب بقيمة 5.4 مليار دولار النظام البيئي .

كشف الهجوم ما أسمته Chainalysis نقطة عمياء هيكلية حرجة: لقد ركز أمان التمويل اللامركزي بشكل كبير على تدقيقات العقود الذكية بينما ظلت البنية التحتية للجسر، وأمن العقد التشغيلي، وتكوينات المحقق المنفرد عوامل خطر غير مدروسة إلى حد كبير .

الإصلاح قيد التنفيذ بالفعل. تقوم البروتوكولات بالترحيل إلى تكوينات جسر متعددة المحققين. كتيب الإدراج الجديد لـ Aave — المتوقع نشره كدليل رسمي لمصدري الأصول — سيتطلب من المشاريع الكشف عن بنية الجسر، ولامركزية المحقق، وممارسات أمن العقد قبل أن يتم قبول مشتقات مثل rsETH كضمان .

استغلت لازاروس الفجوة بين ما دققه التمويل اللامركزي وما اعتمد عليه فعلياً. تشير استجابة الصناعة إلى أن هذه الفجوة بدأت أخيراً في الإغلاق — ولكن فقط بعد درس بقيمة 293 مليون دولار.