قالت LayerZero في تحليل أولي يوم الاثنين إن الاستغلال الذي أدى إلى سحب ما يقرب من 292 مليون دولار من جسر KelpDAO عبر السلاسل خلال عطلة نهاية الأسبوع كان "على الأرجح" عمل مجموعة لازاروس الكورية الشمالية، وتحديداً وحدتها الفرعية TraderTraitor.
سحب المهاجمون 116,500 من rsETH، وهو رمز إعادة رهن سائل مدعوم بالإيثر المراهن عليه، من جسر KelpDAO يوم السبت، مما أدى إلى عمليات سحب عبر قطاع التمويل اللامركزي سحبت أكثر من 10 مليارات دولار من بروتوكول الإقراض Aave.
قالت LayerZero إن الهجوم يحمل بصمات "جهة حكومية متطورة للغاية، على الأرجح مجموعة لازاروس التابعة لجمهورية كوريا الديمقراطية الشعبية"، محددةً الوحدة الفرعية TraderTraitor التابعة للمجموعة.
تخضع العمليات السيبرانية لكوريا الشمالية لمكتب الاستطلاع العام، الذي يضم عدة وحدات متميزة، بما في ذلك TraderTraitor وAppleJeus وAPT38 وDangerousPassword، وفقًا لتحليل أجراه باحث Paradigm Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
من بين هذه الوحدات الفرعية، تم تصنيف TraderTraitor كأكثر الجهات الفاعلة في جمهورية كوريا الديمقراطية الشعبية تطوراً في استهداف العملات المشفرة، وقد ارتبطت سابقاً باختراقات Axie Infinity Ronin Bridge وWazirX.
قالت LayerZero إن KelpDAO كانت تستخدم مدققاً واحداً للموافقة على التحويلات من وإلى الجسر، مضيفةً أنها حثت KelpDAO مراراً على استخدام مدققين متعددين بدلاً من ذلك.
وبالمضي قدماً، قالت LayerZero إنها ستتوقف عن الموافقة على الرسائل لأي تطبيق لا يزال يعمل بهذا الإعداد.
يقول مراقبون إن الاستغلال كشف كيف تم بناء الجسر ليعتمد على مدقق واحد.
كانت "نقطة فشل واحدة، بغض النظر عما تسميه التسويق"، كما قال شاليف كيرين، الشريك المؤسس في شركة الأمن المشفر Sodot، لـ Decrypt.
كانت نقطة تفتيش واحدة مخترقة كافية للسماح بخروج الأموال من الجسر، ولم يكن بإمكان أي تدقيق أو مراجعة أمنية إصلاح هذا العيب دون "إزالة الثقة الأحادية من البنية نفسها"، كما قال كيرين.
وردد هذا الرأي هاوز كيو، رئيس قسم البلوك تشين في Grvt، الذي جادل بأن "Kelp DAO يبدو أنها قبلت إعداد أمان جسر بتكرار قليل جداً لأصل بهذا الحجم"، مضيفاً أن LayerZero "تتحمل أيضاً المسؤولية" بالنظر إلى أن "الاختراق شمل بنية تحتية مرتبطة بمكدس المدقق الخاص بها، حتى لو لم يتم وصف هذا بأنه خطأ أساسي في البروتوكول."
جاء المهاجمون على بعد ثلاث دقائق من سحب 100 مليون دولار أخرى قبل أن توقفهم قائمة سوداء سريعة، وفقاً لتحليل أجرته شركة أمن البلوك تشين Cyvers. استندت العملية إلى خداع قناة اتصال واحدة، حسبما قال مئير دوليف، المدير التقني لشركة Cyvers، لـ Decrypt.
استغل المهاجمون خطين من الخطوط التي استخدمها المدقق للتحقق مما إذا كان سحب قد حدث بالفعل على Unichain، وأغذوهما برد "نعم" مزيف على تلك الخطوط، ثم عطلوا الخطوط المتبقية لإجبار المدقق على الاعتماد على الخطوط المخترقة.
قال دوليف: "الخزنة كانت بخير. الحارس كان أميناً. آلية الباب عملت بشكل صحيح". وأضاف: "تم همس الكذبة مباشرة إلى الطرف الوحيد الذي كانت كلمته تفتح الباب".
ولكن بينما أشارت LayerZero، التي كانت بنيتها التحتية تشغل الجسر الذي تم استنزافه، إلى لازاروس كالمتسبب المحتمل، لم تصل Cyvers إلى نفس الإسناد في تحليلها الخاص.
قال دوليف إن بعض الأنماط تتطابق مع عمليات مرتبطة بجمهورية كوريا الديمقراطية الشعبية من حيث التعقيد والحجم والتنفيذ المنسق، لكن لم يتم تأكيد أي تجميع للمحافظ مرتبط بالمجموعة.
تم تصميم برنامج العقدة الخبيث ليمحو نفسه بمجرد انتهاء الهجوم، مسحاً للملفات الثنائية والسجلات لإخفاء أثر المهاجمين في الوقت الفعلي وفي تحليل ما بعد الوفاة، أضاف.
في وقت سابق من هذا الشهر، سحب المهاجمون ما يقرب من 285 مليون دولار من بروتوكول العقود الآجلة الدائمة Drift القائم على Solana، في استغلال نُسب لاحقاً إلى عملاء كوريين شماليين.
أشار دوليف إلى أن اختراق Drift كان "مختلفاً جداً من حيث التحضيرات والتنفيذ"، لكن كلا الهجومين تطلبا فترات زمنية طويلة وخبرة عميقة وموارد كبيرة لتنفيذهما.
تشك Cyvers في أن الأموال المسروقة تم تحويلها إلى عنوان إيثريوم هذا، بما يتماشى مع تقرير منفصل من المحقق على السلسلة ZachXBT الذي أشار إليه بجانب أربعة عناوين أخرى. تم تمويل عناوين الهجوم عبر خلاط العملات Tornado Cash، وفقاً لـ ZachXBT.
