اختراق واحد، تسعة بروتوكولات، 292 مليون دولار مفقودة: استغلال كيلب يكشف مشكلة العدوى في التمويل اللامركزي

اختراق واحد، تسعة بروتوكولات، 292 مليون دولار مفقودة: استغلال كيلب يكشف مشكلة العدوى في التمويل اللامركزي

رسالة مزورة من LayerZero استنزفت 293 مليون دولار من Kelp DAO، مما أطلق عدوى عبر تسعة بروتوكولات DeFi، مما أدى إلى انهيار القيمة الإجمالية المقفلة (TVL) في Aave بمقدار 6.6 مليار دولار وكشفت البنية التحتية عبر السلاسل باعتبارها أضعف حلقة في مجال العملات الرقمية.

بعد ظهر يوم السبت، أرسل مهاجم أمرًا زائفًا إلى جسر Kelp DAO المدعوم بتقنية LayerZero. قَبِلَ الجسر هذا الأمر على أنه حقيقي. في غضون دقائق، تم وضع 116,500 من rsETH (حوالي 18% من إجمالي المعروض المتداول للرمز المميز) في محفظة المهاجم. عندما أوقفت Kelp عقودها الذكية، كانت الرموز المسروقة قد وُضعت بالفعل في Aave وCompound وEuler كضمان لاقتراض مئات الملايين من الدولارات الإضافية من الإيثر المغلف. كانت النتيجة: خسرت Kelp ما يقرب من 293 مليون دولار؛ وتوقفت أصول بقيمة 6.6 مليار دولار في Aave؛ وحاول ما لا يقل عن تسعة بروتوكولات مختلفة تجميد أسواق التبادل الخاصة بها التي لم تبنيها.


لم تكن هذه مجرد مشكلة تخص Kelp؛ بل تتعلق باعتماد العديد من البروتوكولات على الجسور المعرضة للخطر — وهذا هو الجانب الذي يستحق التفكير فيه!

كيف تحول اختراق جسر واحد إلى أزمة متعددة البروتوكولات


تعمل Kelp كبروتوكول لإعادة التخزين السائلة (liquid restaking). يتلقى مكدسو الإيثر (stETH) على Kelp رمزًا مميزًا يسمى rsETH يولد مكافآت، والتي يمكن استخدامها بعد ذلك في العديد من بروتوكولات التمويل اللامركزي (DeFi). ومع ذلك، كان هناك أكثر من 20 شبكة نشطة تتداول عليها رموز rsETH كضمان أو إيصالات رهان للتخزين عبر Kelp، وكانت جميعها مرتبطة بنفس احتياطيات Kelp الموجودة على الجسر. لذلك، عندما تم استنزاف الجسر وأصبحت رموز rsETH المتداولة كضمان مشبوهة (بغض النظر عن مصدرها)، لم يكن لدى البروتوكولات التي قبلت هذه الرموز كضمان أي وسيلة للتحقق من صحة الضمان الذي يدعم قروضها — مثل Aave، وSparkLend، وFluid، وEuler، وCompound، وغيرها.


وصفت Cyvers Blockchain Security هذه المشكلة بأنها "حدث عدوى عابر للبروتوكولات" نتيجة استغلال البروتوكول. بينما لم تواجه Aave وCompound وEuler أي خطأ ائتماني في عقودها، كانت Aave قد أدمجت rsETH في مجمع الإقراض الخاص بها ولم تفصله عن بقية قروضها، مما أدى إلى تصعيد المخاطر التي يشكلها rsETH على مجمع الإقراض الخاص بها. بعد ذلك، انخفضت قيمة رمز Aave بنسبة 16%. وانخفض إجمالي القيمة المقفلة (TVL) في Aave من 26.4 مليار دولار إلى حوالي 20 مليار دولار في غضون عدة ساعات. تحتفظ Aave الآن بما يقرب من 196 مليون دولار من الديون المعدومة المركزة في أزواج rsETH والإيثر المغلف، وقد لا تمتلك Aave احتياطيات كافية في صندوق الأمان الشامل الخاص بها.

المفاضلة في كفاءة رأس المال التي لم يرغب أحد في إجرائها

أوضح مايكل إيجوروف، مؤسس Curve Finance، أن المشكلات في هذه الهياكل تتفاقم من خلال نماذج الإقراض غير المعزولة، حيث يضيف المجمع المشترك بين جميع الأصول مخاطر إضافية لجميع الأصول الأخرى بسبب مجمع مخاطر واحد. إذا كانت rsETH معزولة في مجمع الإقراض الخاص بها، فعند حدوث استغلال مثل هذا، ستقتصر العدوى على Kelp، بدلاً من التأثير على البروتوكولات الأخرى أو المستخدمين الآخرين أو الرموز الأخرى.


السبب في عدم قيام العديد من البروتوكولات بعزل مجمعاتها بشكل كامل هو أنها تقلل من كفاءة رأس المال. عندما تضاف السيولة من العديد من البروتوكولات المختلفة إلى مجمع واحد، فإن ذلك يسمح للسيولة بالتدفق بحرية أكبر دون قيود، مما يجعل الاقتراض مقابلها أرخص ويوفر عائدًا أعلى على العوائد الناتجة عن الإقراض. عن طريق عزل مجمعات الإقراض، يتم تقليل المخاطر المحتواة داخل كل مجمع، ولكن هذا يتطلب التضحية بنوع ما من كفاءة رأس المال التي تسمح بتوليد تلك السيولة.


بالإضافة إلى ذلك، أشار إيجوروف إلى مشكلة إضافية في تكوين جسر Kelp، الذي تم تكوينه باستخدام مثيل واحد من المدقق (verifier)، مما يعني أنه كانت هناك نقطة تحقق واحدة فقط تُستخدم للتحقق من صحة الرسائل عبر السلاسل المرسلة من وإلى هذين البروتوكولين. كان ينبغي ملاحظة خطأ التكوين هذا عند تشغيل الجسر لأول مرة، لكن ذلك لم يحدث. وبالتالي، تمكنت رسالة مزورة واحدة من إفراغ الجسر بالكامل.

البنية التحتية عبر السلاسل هي الحلقة الأضعف

لم يكن سبب الهجوم ناتجًا عن ثغرة في عقد ذكي كما نرى عادة عند وقوع الهجمات. استخدم المخترق جسرًا لاختراق Kelp. يذكر إيجوروف على وجه التحديد: "العمل عبر السلاسل صعب وغير آمن. استخدم تقنية عبر السلاسل فقط عند الضرورة وبحذر شديد. لقد سمع الكثير من الناس هذا من قبل وتجاهلوه لأن العمل عبر السلاسل هو كيف يمكن للصناعة إنشاء نظام تمويل لامركزي عبر سلاسل كتل متعددة." إذا كان هناك عشر شبكات مختلفة عليها بروتوكولك، فأنت بحاجة إلى طريقة لربط كل تلك الشبكات، وهذه هي تقريبًا وبشكل حصري مواقع وقوع أكبر الاختراقات لأنها الحدود الفاصلة بين كل نظام من الأنظمة المنفصلة، وبالتالي سيبحث المهاجمون عادة عن اختراق هذه الحدود أولاً.


سرعان ما أصبح استغلال Kelp أكبر اختراق للتمويل اللامركزي (DeFi) في عام 2026، وقد بدأ عام 2026 للتو حتى تاريخ كتابة هذا المقال (بعد مرور أربعة أشهر من العام). بلغ إجمالي مبلغ العملات المشفرة المفقودة من الاختراقات والاستغلال وعمليات الاحتيال في الربع الأول من عام 2026 وحده حوالي 482 مليون دولار. صرح مسؤول الأمن في Ledger بأن عام 2026 سيكون "على الأرجح أسوأ عام للاختراقات حتى الآن"، وهو ما يمثل توقعًا لاتجاه مستقبلي بناءً على الاتجاهات الحالية.

ماذا يحدث للثقة

"التمويل اللامركزي مات" كان أحد التعليقات الأكثر شيوعًا من قبل مستخدمي التمويل اللامركزي على وسائل التواصل الاجتماعي بعد الحادث الأخير — وهو أمر ليس مفاجئًا نظرًا لحجم الاستغلال، ومع ذلك؛ قد لا يكون تقييمًا دقيقًا لما يحدث في نظام التمويل اللامركزي البيئي في هذه المرحلة. ومع ذلك، هناك شيء مختلف حول طبيعة حجم هذا الحدث حيث أثر في نفس الوقت على البنية التحتية عبر السلاسل، ونماذج إعادة التخزين، وأسواق الإقراض، وبالتالي لا يمكن تصنيفه على أنه ضعف بروتوكول واحد/هجوم مستهدف؛ بل هو بمثابة اختبار إجهاد يوضح مدى ترابط نظام التمويل اللامركزي البيئي بأكمله فيما يتعلق بالبروتوكولات الأساسية التي تعمل معًا.


كما قال غيليميت، رئيس الأمن في Ledger: "بشكل عام، يؤدي هذا النوع من الأحداث إلى تآكل الثقة بين مجتمع التمويل اللامركزي فيما يتعلق بالنزاهة التشغيلية لبروتوكولات التمويل اللامركزي."


من ناحية أخرى، يقدم إيجوروف وجهة نظر بديلة — مفادها أنه على الرغم من البيئة الصعبة، إلا أن العملات المشفرة تعلمت دائمًا من الإخفاقات السابقة في التمويل اللامركزي واستمرت لتصبح أقوى — على الرغم من أنه، من حيث المبدأ، محق. ومع ذلك؛ فإن التعلم من هذه الأنواع من الحوادث يكلف عادة المستخدم النهائي خسائر مالية غير متوقعة. تسعة بروتوكولات، 293 مليون دولار من القيمة النقدية المفقودة، ورسالة جسر مزورة واحدة PYMNTS.com لا يوجد جدال هنا، لقد تعلمنا هذا الدرس ولكن كم مرة أخرى سنحتاج إلى تعلمه؟


جميع الآراء الواردة هنا هي آراء شخصية للمؤلف، ولا تشكل نصيحة استثمارية.

أحدث المقالات

مؤشر الخوف والطمع

تداول
30
يخاف
ما رأيك في توجهات السوق الحالية؟
+78.57%+21.42%
التداول الفوريالعقود الآجلة
لا توجد بيانات