تهز Kelp DAO $290M اختراقات $145B في النظام البيئي لـ DeFi ثقة

لقد أدت عملية اختراق سرقة لأصل رقمي على نحو غير مسبوق إلى زعزعة منظومة التمويل اللامركزي (DeFi) التي تبلغ قيمتها قرابة 980 مليار دولار. في 18 أبريل 2024 (بتوقيت كوريا)، تعرض مشروع DeFi Kelp DAO لاختراق نتج عنه سرقة أصول بقيمة 290 مليون دولار من rsETH (Kelp DAO Restaked Ethereum)، متجاوزًا اختراق Drift DEX بقيمة 280 مليون دولار في 2 أبريل، ليصبح أكبر اختراق للأصول الرقمية في العام حتى الآن من حيث حجم تدفقات الأموال الخارجة، وفقًا لمادة المصدر.

آلية الهجوم واستغلال الجسر

رغم أن الحادث بدأ في Kelp DAO، فإنه امتد إلى كامل منظومة DeFi، مؤثرًا في مشاريع الجسور التي تربط شبكات بلوكتشين مختلفة ومنصات الإقراض اللامركزية. يعمل Kelp DAO كمنشئ رموز استعادة سيولة في منظومة إعادة التحصيص داخل Ethereum، ما يتيح للمستخدمين إيداع ETH واستلام rsETH لاستخدامه كضمان أو سيولة في خدمات DeFi أخرى.

استغل المهاجم الجسر المعتمد على LayerZero الذي تستخدمه Kelp DAO، وقام بإصدار ما يقرب من 116,500 رمز rsETH بشكل احتيالي وتحويل الأموال إلى الخارج. في 20 أبريل، أوضحت LayerZero على X (تويتر سابقًا) أن المهاجم، الذي يُشتبه بأنه مجموعة هاكرز كورية شمالية تُعرف باسم Lazarus، عبث ببنية RPC في الطبقة الأدنى المستخدمة بواسطة شبكة المدقق اللامركزية (DVN) للتحقق من المعاملات. ثم نفذ المهاجم هجمات DDoS على نقاط نهاية RPC شرعية، ما أجبر آلية التحويل الاحتياطي (failover) إلى البنية المخترقة، لتتم معالجة معاملات غير موثقة على أنها معاملات صحيحة.

نزاع المسؤولية: LayerZero مقابل Kelp DAO

برزت نقطة خلاف حاسمة بشأن اعتماد Kelp DAO لبنية DVN واحدة. قالت LayerZero في 20 أبريل إنها أوصت بالمشاريع المدمجة لاعتماد بنية multi-DVN تجمع بين عدة مدققين مستقلين. غير أن Kelp DAO استخدم إعداد ‘1-of-1’ معتمدًا على DVN واحدة لدى LayerZero وحدها وقت وقوع الاختراق. يخلق المدقق الواحد نقطة فشل واحدة مع آليات تصفية مستقلة غير كافية.

ردّ Kelp DAO في 21 أبريل عبر X، مؤكدًا أن إعداد DVN ‘1-of-1’ محل النزاع لم يكن خيارًا استثنائيًا، بل كان يُعرض كبنية افتراضية في توثيق LayerZero وأمثلة النشر. وقد اتهم الطرفان فعليًا الآخر بالمسؤولية عن وقوع الحادث.

أضرار متتابعة ومخاطر نظامية: Aave وتعرّض المخاطر البنيوية

لم يقتصر الاختراق على الأنظمة الداخلية لـ Kelp DAO. فقد أودع المهاجم rsETH الذي تم إصداره بشكل احتيالي كضمان في منصات إقراض DeFi رئيسية منها Aave، واقترض أصولًا سائلة مثل ETH. ونتج عن ذلك تراكم أكثر من 200 مليون دولار من ديون معدومة على Aave. ورغم أن عقود Aave الذكية لم تتعرض للاختراق مباشرة، فإن المنصة تكبدت خسائر لأن أصل الضمان الخارجي (rsETH) انهار من حيث القيمة.

كشف هذا الحادث عن ثغرات بنيوية كامنة في منصات إقراض DeFi. تعمل هذه المنصات على افتراض أن قيم الضمان وأنظمة التصفية تعمل بصورة طبيعية. وعندما ينشأ الضمان من اختراقات جسور تنتج أصولًا بلا قيمة، تفشل الأسس الاقتصادية—إذ يصبح ما يبدو كإقراض موثق بضمانات كافية خسارة للمنصة. وقد أظهر الاختراق أن منصات الإقراض الكبرى ينبغي أن تدير معًا هياكل إصدار الأصول الخارجية وبنى الجسور ومخاطر المدققين.

صندوق تعافٍ موحّد لـ DeFi يفوق الخسائر

لمعالجة تداعيات الحادث، أسست صناعة DeFi بقيادة Aave مبادرة تعافٍ جماعية باسم “DeFi United”. يستفيد هذا الصندوق من مساهمات Ethereum من عدة بروتوكولات ومشاركين لاستعادة ضمانات rsETH وتمكين المستخدمين المتضررين من استرداد أصولهم.

وحتى 30 أبريل، تجاوز صندوق التعافي قيمة الخسارة. وبحسب موقع DeFi United، تم جمع ما يقارب 137,610 ETH، بما يعادل 307.15 مليون دولار—أي بنسبة تقارب 6% فوق مبلغ السرقة البالغ 290 مليون دولار. ومن أبرز المساهمين شبَكة Ethereum Layer 2 Arbitrum، وشركة البنية التحتية Ethereum Consensys ومؤسسها Joseph Lubin، ومشروع Layer 2 Mantle، وAave ومؤسسه Stani Kulechov، وبروتوكول إعادة التحصيص EtherFi، وLayerZero، ومشروع Ethereum liquid staking Lido، ومشروع التخزين اللامركزي Golem. ومع ذلك، لا تزال أجزاء من الأموال المجمعة خاضعة لتصويت DAO وإجراءات إطلاق الأموال المجمدة في Arbitrum، ما يشير إلى أن التعويض سيتم توزيعه على مراحل. وبذلك، يعمل كبار أصحاب المصلحة في النظام البيئي على إغلاق فجوة الاختراق فعليًا عبر مساهمات منسقة.

تحديات استعادة الثقة: الحوكمة والتهديدات المعززة بالذكاء الاصطناعي

يحذر خبراء من أن إعادة بناء ثقة DeFi سيتطلب وقتًا رغم نجاح استرداد الأموال. أثناء احتواء الحادث، قام Aave بتجميد rsETH، كما جمّد “لجنة أمن Arbitrum” ما يقارب 30,766 ETH ضمن أموال المهاجمين. ورغم أن هذه الإجراءات الطارئة حالت دون وقوع أضرار إضافية، فقد أثارت في الوقت نفسه تساؤلات حول مركزية/لا مركزية ما تؤكد عليه DeFi. قال Mong Seo-woo، الشريك المؤسس لـ Undefined Labs، في 30 أبريل لـ Digital Asset: “لقد زاد هذا الحادث من الشكوك بشأن ما الذي يميز DeFi عن التمويل التقليدي إذا كانت لجان بعينها أو هياكل حوكمة بعينها قادرة على تجميد الأموال خلال الأزمات. وفيما بعد، يتعين على المجتمعات مناقشة أطر الحوكمة اللامركزية بجدية أكبر للحالات الاستثنائية مثل حوادث الاختراق”.

كما تسلط التحليلات المتخصصة الضوء على مدى تعقيد هجمات DeFi المعززة بالذكاء الاصطناعي. يلاحظ الباحثون أن الذكاء الاصطناعي يسرّع اكتشاف الثغرات، وإنشاء أكواد خبيثة، وهجمات التصيد الاحتيالي، والهندسة الاجتماعية. وحذرت Verena Ross، رئيسة هيئة الأوراق المالية والأسواق الأوروبية (ESMA)، في 24 أبريل من أن الذكاء الاصطناعي يمكن أن يزيد مخاطر وسرعة الهجمات السيبرانية على القطاع المالي. ونشرت وسيلة أمنية أميركية Wired في 22 أبريل أن مجموعات هاكرز كورية شمالية استفادت من الذكاء الاصطناعي لكتابة أكواد خبيثة وإنشاء مواقع شركات احتيالية لسرقة الأصول الرقمية.

وقال Song Chang-seok، مدير Web3 في Blob، لـ Digital Asset: “في النهاية، لا يمكن لـ DeFi استعادة الثقة بالاعتماد فقط على التبرعات أو تدابير التجميد بعد وقوع الحادث. يجب على الصناعة تقليل هياكل المدقق الواحد، والمراقبة المستمرة للبنى التحتية الحيوية مثل الجسور وRPC والـ oracles، ونشر أنظمة كشف الشذوذ المدعومة بالذكاء الاصطناعي والحظر الفوري لمواجهة الهجمات الآلية.”

الأسئلة الشائعة

س: ما القيمة الإجمالية لاختراق Kelp DAO؟
ج: اشتملت السرقة على 290 مليون دولار قيمة من رموز rsETH، ما يجعله أكبر اختراق للأصول الرقمية في العام من حيث حجم تدفقات الأموال الخارجة حتى أبريل 2024.

س: كيف استغل المهاجم جسر LayerZero؟
ج: وفقًا لبيان LayerZero الصادر في 20 أبريل، عبث المهاجم ببنية RPC في الطبقة الأدنى المستخدمة لدى Kelp DAO ضمن DVN واحدة، ثم نفذ هجمات DDoS على نقاط نهاية شرعية لإجبار آلية التحويل الاحتياطي إلى البنية المخترقة، ما أتاح معالجة معاملات غير موثقة على أنها معاملات صحيحة.

س: هل نجح صندوق التعافي DeFi United في تعويض الخسائر؟
ج: نعم، حتى 30 أبريل، كانت قيمة الصندوق قد بلغت نحو 137,610 ETH (307.15 مليون دولار)، متجاوزة خسارة 290 مليون دولار بنسبة تقارب 6%، على الرغم من أن التوزيع الكامل ما يزال خاضعًا لإجراءات الحوكمة.