تسبب هجوم بقيمة 290 مليون دولار على جسر KelpDAO عبر السلاسل في 18 أبريل، والذي نسبته LayerZero إلى مجموعة لازاروس الكورية الشمالية، في إحداث صدمة في عالم التمويل اللامركزي (DeFi) ومحو أكثر من 13 مليار دولار من إجمالي القيمة المقفلة عبر البروتوكولات في غضون 48 ساعة.
استنزف المهاجمون 116,500 من عملات rsETH، بقيمة 290 مليون دولار تقريباً، من جسر KelpDAO عبر السلاسل المدعوم من LayerZero في 18 أبريل، في ما وصفته CoinDesk بأنه أكبر عملية استغلال للتمويل اللامركزي حتى الآن في عام 2026. وقالت LayerZero، التي تدعم بنيتها التحتية الجسر، في بيان يوم الاثنين إن "المؤشرات الأولية تشير إلى أن الجهة الفاعلة هي جهة حكومية بالغة التطور، على الأرجح مجموعة لازاروس التابعة لجمهورية كوريا الديمقراطية الشعبية."
عمل الهجوم عن طريق اختراق عقدتين لنداء الإجراءات عن بعد (RPC) كانت LayerZero تعتمد عليهما للتحقق من المعاملات عبر السلاسل، ثم إغراق العقد الاحتياطية بحركة مرور غير مرغوب فيها لإجبار التبديل إلى نقاط النهاية المخترقة. وبمجرد أن وافق المدقق على معاملة مزورة، أطلق الجسر 290 مليون دولار من عملات rsETH إلى عنوان يتحكم فيه المهاجم. ثم دمرت البرمجيات الخبيثة نفسها، مما أدى إلى مسح الثنائيات والسجلات لإحباط التحقيق الجنائي. وكما ذكرت crypto.news، أدى الاستغلال إلى تدفقات خارجة تزيد عن 10 مليارات دولار من Aave وحدها، مع انخفاض إجمالي القيمة المقفلة لبروتوكول الإقراض من 45.8 مليار دولار إلى 35.7 مليار دولار مع سعي المستخدمين للخروج بسرعة. وذكرت وكالة UPI أنه تم محو أكثر من 13 مليار دولار من إجمالي القيمة المقفلة عبر منصات التمويل اللامركزي في اليومين التاليين للاختراق.
نشأ نزاع حول من يتحمل مسؤولية الثغرة الأمنية التي جعلت الهجوم ممكناً. وقالت LayerZero إن KelpDAO اختارت تشغيل تكوين شبكة مدقق لامركزي من نوع "1 من 1"، وهي نقطة فشل واحدة كانت قد حذرت منها مراراً وتكراراً، وأعلنت أنها لن توقع بعد الآن على رسائل لأي تطبيق يستخدم هذا الإعداد. وردت KelpDAO، قائلة لـ CoinDesk إن تكوينها اتبع الإعدادات الافتراضية الموثقة لـ LayerZero وأن المدقق المخترق كان جزءاً من البنية التحتية الخاصة بـ LayerZero. وكما وثقت crypto.news، وجد باحثون أمنيون مستقلون، بمن فيهم مطور من Yearn Finance، أن رمز النشر العام لـ LayerZero يأتي مع إعدادات افتراضية للتحقق من مصدر واحد عبر كل سلسلة رئيسية، مما يقوض ادعاء الشركة بأن KelpDAO قد انحرفت عن التوجيهات.
يُعد استغلال KelpDAO ثاني اختراق كبير للتمويل اللامركزي مرتبط بمجموعة لازاروس في شهر أبريل وحده، بعد هجوم بروتوكول Drift بقيمة 285 مليون دولار في 1 أبريل، مما يرفع إجمالي حصيلة المجموعة من التمويل اللامركزي لهذا الشهر إلى أكثر من 575 مليون دولار. وقد بدأ المهاجم منذ ذلك الحين في غسل الأموال المسروقة، موّجهاً الأصول عبر Arbitrum وإلى العملات المستقرة المستندة إلى Tron، كما تتبعت crypto.news. وقد حذرت Jefferies من أن الاختراقات البارزة بهذا الحجم قد تبطئ مؤقتًا شهية وول ستريت لمشاريع الترميز، حيث تعيد المؤسسات تقييم المخاطر الأمنية الكامنة في البنية التحتية لجسر التمويل اللامركزي. وقالت LayerZero إنها أكدت عدم وجود أي انتشار للعدوى إلى تطبيقات أخرى تعمل بتكوينات متعددة المدققين، لكنها فرضت ترحيلاً على مستوى البروتوكول بعيداً عن إعدادات المدقق الواحد.
قالت LayerZero إنها تعمل مع KelpDAO وتحالف الأمن ووكالات إنفاذ القانون لتتبع الأموال المسروقة، على الرغم من أن استخدام المهاجم لأدوات الخصوصية قد عقد جهود الاسترداد بشكل كبير.
