اختراق Kelp DAO: المهاجم يستولي على ما يقرب من 293 مليون دولار من إيثر، تاركًا فقط الأموال المجمدة

بعد قرصنة Kelp DAO بمبلغ 293 مليون دولار، قام المهاجم بغسل إيثريوم بسرعة عبر THORChain والخلطات، مما ترك فقط أموال Arbitrum المجمدة قابلة للاسترداد مع تلاشي خيارات التتبع.

المهاجم المسؤول عن اختراق Kelp DAO الذي بلغت قيمته حوالي 293 مليون دولار أمريكي، قام، حسب الادعاءات، بتنفيذ عملية غسيل أموال سريعة، حيث حوّل جميع عملات الإيثريوم (ETH) المختفية تقريباً بعيداً عن نشاط التداول الإحصائي بعد أيام قليلة من السرقة. وقد قلل هذا بشكل كبير من خيارات الاسترداد المحتملة لتقتصر على الأموال المجمدة المتبقية تحت حوكمة أمان أربيتروم.
التحرك السريع للأموال المسروقة
أشار تتبع البلوكتشين إلى أن المهاجم بدأ بتوزيع الأموال المسروقة يوم الثلاثاء، بعد أيام قليلة فقط من الاستغلال (الذي حدث يوم السبت عندما تم سحب حوالي 116.500 من الإيثر المعاد تجميعه (rsETH) من بروتوكول جسر Kelp DAO القائم على LayerZero). وبلغت قيمة الودائع المسروقة حوالي 290 مليون إلى 293 مليون دولار في ذلك الوقت.
بدأ المهاجم بجمع حوالي 75,700 إيثريوم (ETH) في محافظ جديدة بقيمة سوقية بلغت حوالي 175 مليون دولار في ذلك الوقت. هذه الخطوة، وهي شائعة في بداية استغلال الاختراقات، تهدف إلى فصل معاملة الاختراق عن عملية غسيل الأموال.
ثم تم إرسال الأموال عبر مسارات مالية متفرقة باستخدام مجموعة من أدوات الخصوصية والسيولة اللامركزية في محاولة لإخفاء أثر المعاملات وأثر الملكية.
استخدام ثور تشين (THORChain) وأدوات الخصوصية
يُعتقد أن جزءاً كبيراً من عملية غسيل الأموال قد مر عبر ثور تشين (THORChain)، وهي شبكة سيولة عبر السلاسل تسهل عمليات التبادل بين السلاسل المختلفة دون الحاجة إلى أطراف مقابلة مركزية. واستناداً إلى تحليل البلوكتشين، يُعتقد أن المهاجم قد استبدل جزءاً كبيراً من الإيثر بالبيتكوين (BTC) على المنصة.
أظهر هذا النشاط الذي جلب مليارات الدولارات (بعائد استثمار 211%) من رسوم المعاملات للبروتوكول (IOU، USDT، وUSDC) كيف يمكن تسخير البنية التحتية غير المرخصة للسيولة اللامركزية القابلة للتبادل لأحجام غير مشروعة كبيرة. ويؤكد تقدير قيمة رسوم النشاط (حوالي 910,000 دولار) على تأثيره.
حتى بعد ثور تشين (THORChain)، تم إرسال بعض الأموال عبر بروتوكول خلط آخر يسمى أمبرا (Umbra)، والذي تم بناؤه باستخدام تقنية سرية. وقد أضافت هذه الطبقة الإضافية من الإخفاء صعوبة أكبر على المحققين وشركات التحليل في تتبع الأموال.
حتى يوم الخميس، كشفت خلاصات استخبارات البلوكتشين من أركام (Arkham) أن معظم الأموال في محفظة المهاجم التي تم تحديدها في الأصل قد تم استنزافها، مما يشير إلى أن "ملحمة غسيل الأموال" الخاصة به كانت على وشك الانتهاء.
علامات استراتيجية خروج منظمة
وجدت منصات الاستخبارات على السلسلة مثل أركام (Arkham) أن أنماط الحركة كانت سمة للتسليم، بدلاً من الاحتفاظ طويل الأجل.
بدلاً من الاحتفاظ بالأموال المسروقة في محافظ قابلة للتحديد، مما قد يؤدي إلى جهد استرداد تعاوني ضد المهاجم، تم دمج الأموال، وتحويلها عبر أصول مختلفة، ومرت عبر العديد من حسابات الاحتفاظ الوسيطة، كل ذلك في فترة زمنية قصيرة جداً.
بالإشارة إلى الوتيرة السريعة وتصميم المعاملات، أشار المحللون إلى أن المعاملات يبدو أنها تمت بدافع "تسييل الأموال" بدلاً من التلاعب بالسوق أو التفاوض على فدية.
نافذة استرداد محدودة: الأموال المجمدة في أربيتروم
لم يتم تحويل جميع الأصول المسروقة وما زالت مجمدة. جمد مجلس أمان أربيتروم حوالي 30,766 إيثريوم من الأموال التي تم تعقبها من بينانس بعد عودتها.
تم نقل هذه الأصول إلى محفظة وسيطة تخضع لسيطرة الحوكمة ولا يُسمح بتحريكها في هذا الوقت (بدون موافقة الحوكمة على مستوى البروتوكول).
هذه الشريحة المجمدة هي الآن أكبر جزء قابل للاسترداد من الاختراق، في حين أن الإيثريوم المسروق المتبقي قد مر بالفعل عبر سلسلة من أدوات الخلط وعمليات التبادل عبر السلاسل، مما زاد من إخفاء مصدره.
كيف نشأ الاختراق
كان الهجوم يستهدف Kelp DAO، وهو بروتوكول إعادة التجميع الذي يستخدم مشتقات الستاكينغ السائلة. وباستخدام عيوب في نظام جسر rsETH الخاص به والمتوافق مع LayerZero، تمكن المهاجم من سحب كميات كبيرة من الإيثر المعاد تجميعه.
الأصل المسروق، rsETH، هو تجريد لمراكز الإيثر المجمّعة التي يُعاد استخدامها عبر هياكل التمويل اللامركزي لكسب عائد إضافي. ورغم كفاءتها، قد تؤدي هذه القابلية للتركيب إلى مخاطر نظامية أكبر إذا تعرضت البنية التحتية للجسر للاختراق.
تداعيات أوسع على أمان التمويل اللامركزي (DeFi)
تسلط هذه الاستغلالات الضوء بشكل أكبر على الخطر القائم على البنية التحتية للتمويل اللامركزي عبر السلاسل، حيث يتقاطع استخدام بروتوكولات الجسور وإعادة التجميع. ويدل الغسل السريع للأموال عبر بروتوكولات التمويل اللامركزي على كل من قوة التمويل اللامركزي ونقطة ضعفه: التمويل غير المرخص.
من ناحية، فإن نماذج السيولة مفتوحة المصدر والجسر الدائم للتمويل اللامركزي لا تتأثر بسيناريوهات هجوم معينة مثل الاستغلالات الحالية على جسور العملات المستقرة. وعلى العكس، فإن هذا الانفتاح يؤدي أيضاً إلى استغلاله كنقاط وصول حرجة على طول قنوات التدفق غير المشروعة.
في الوقت نفسه، يكشف التجميد الجزئي من قبل النظام الأمني لأربيتروم عن كيفية تحول صلاحيات الطوارئ إلى أيدي مجالس الأمن اللامركزية. ولكن هذه الإجراءات تتضاءل فعاليتها بشكل متزايد بسبب السرعة التي يمكن للمهاجمين بها نقل الأموال إلى سلاسل متعددة وطبقات خصوصية.
التوقعات
بما أن قدراً كبيراً من القيمة المسروقة قد انتشر الآن عبر سلاسل متعددة من خلال عمليات التبادل عبر السلاسل وأدوات الخلط الخاصة بالخصوصية، فمن المرجح أن يتركز التحقيق على الأموال المجمدة تحت حوكمة أربيتروم.
بالنسبة للمحققين، تسلط هذه الحالة الضوء على مشكلة معروفة جيداً في التمويل اللامركزي: بمجرد أن يتم ربط كمية كبيرة من الأموال المسروقة، وتبادلها، وإخفاء هويتها بسرعة، تقتصر فرصة استرداد المكاسب غير المشروعة على ساعات أو أيام بدلاً من أسابيع.





