أعلنت LayerZero Labs تقرير الحادث الخاص بهجوم جسر KelpDAO، قائلة إن المهاجمين سرقوا نحو 292 مليون دولار من rsETH بعد أن قاموا بتسميم بنية RPC التحتية المستخدمة بواسطة شبكة التحقق لديها، وإجبار تغييرات في السياسات حول إعدادات مفردة المُوقّع.
الملخص
- قالت LayerZero إن KelpDAO استُغل مقابل نحو 290 مليون دولار، أو ما يعادل تقريبًا 116,500 rsETH، في هجوم معزول ضمن إعداد DVN أحادي لـ rsETH.
- قالت الشركة إن المؤشرات الأولية تشير إلى TraderTraitor المرتبط بكوريا الشمالية، ووصفَت الاستغلال بأنه اختراق للبنية التحتية وليس خللاً في البروتوكول.
- قالت LayerZero إنها ستتوقف عن توقيع الرسائل للتطبيقات التي تستخدم إعدادات 1/1 DVN، وتدفع المُدمجين المتأثرين نحو تكرار متعدد DVN لضمان قدر من الاعتمادية.
نشرت LayerZero Labs شرحًا تفصيليًا للاختراق في KelpDAO، مؤكدة أن المهاجمين سرقوا نحو 116,500 rsETH، بما يعادل حوالي 292 مليون دولار، عبر اختراق البنية التحتية اللاحقة المرتبطة بطبقة التحقق المستخدمة في إعداد KelpDAO عبر السلاسل.
قالت الشركة إن الحادث كان مقتصرًا على إعداد rsETH في KelpDAO لأن التطبيق اعتمد إعداد DVN واحدًا من واحد (1-of-1) مع LayerZero Labs كمُتحقق وحيد، وهو تصميم قالت LayerZero إنه يتعارض بشكل مباشر مع توصيتها القائمة بأن تستخدم التطبيقات إعدادات DVN متعددة ومُتنوعة مع وجود قدر من التكرار.
في بيانها، قالت LayerZero إنه "لا يوجد عدوى" لأصول أو تطبيقات أخرى عبر السلاسل، مُجادلة بأن بنية الأمان المعيارية للبروتوكول احتوت نطاق الانفجار حتى مع تعطل إعداد على مستوى تطبيق واحد.
كيف عمل الهجوم {#how-the-attack-worked}
وفقًا لتقرير LayerZero، استهدف هجوم 18 أبريل 2026 بنية RPC التحتية التي تعتمدها LayerZero Labs DVN، بدلًا من استغلال بروتوكول LayerZero أو إدارة المفاتيح أو برنامج DVN نفسه.
قالت الشركة إن المهاجمين حصلوا على إمكانية الوصول إلى قائمة RPCs المستخدمة بواسطة DVN، واختَرَقوا عقدتين تعملان على مجموعتيْن منفصلتين، واستبدلوا الثنائيات على عقد op-geth، ثم استخدموا حمولة خبيثة لتغذية بيانات معاملات مزورة إلى المُتحقق مع إرجاع بيانات صحيحة إلى نقاط نهاية أخرى، بما في ذلك خدمات المراقبة الداخلية.
ولإتمام الاستغلال، شنّ المهاجمون أيضًا هجمات حجب خدمة DDoS على نقاط نهاية RPC غير مخترقة، ما أدى إلى التحويل الاحتياطي نحو العقد المُسمومة، وسمح لـ LayerZero Labs DVN بالتحقق من معاملات لم تحدث فعليًا.
وتطابق أعمال الطب الشرعي بشكل عام ذلك الوصف. وقالت Chainalysis إن المهاجمين المرتبطين بمجموعة Lazarus في كوريا الشمالية، تحديدًا TraderTraitor، لم يستغلوا خللًا في عقد ذكية، بل قاموا بدلًا من ذلك بتزوير رسالة عبر السلاسل عبر تسميم عقد RPC الداخلية وإغراق العقد الخارجية ضمن إعداد تحقق يعاني من نقطة فشل واحدة.
تغييرات أمنية {#security-changes}
قالت LayerZero إن الاستجابة الفورية شملت إهمال واستبدال جميع عقد RPC المتأثرة، واستعادة عمل LayerZero Labs DVN، والتواصل مع وكالات إنفاذ القانون أثناء العمل مع شركاء في الصناعة وSeal911 لتتبع الأموال المسروقة.
والأهم من ذلك، أن الشركة تغيّر طريقة تعاملها مع الإعدادات عالية الخطورة. في البيان، قالت LayerZero إن DVN "لن توقّع أو تُقرّ بالرسائل من أي تطبيق يستخدم إعداد 1/1"، وهو تحول مباشر في السياسة بهدف منع تكرار وضع فشل KelpDAO.
كما تتواصل الشركة مع مشاريع لا تزال تستخدم إعدادات 1/1 لترحيلها إلى نماذج متعددة DVN مع وجود قدر من التكرار، وهو ما يمثل اعترافًا عمليًا بأن مرونة الإعدادات دون ضوابط أمان مفروضة كانت متساهلة بصورة زائدة.
كما تقوّت صورة الإسناد. ربطت Chainalysis الاستغلال بمجموعة Lazarus التابعة لكوريا الشمالية وتحديدًا TraderTraitor، بينما قالت Nexus Mutual إن الرسالة المزورة استنزفت 292 مليون دولار من جسر KelpDAO خلال أقل من 46 دقيقة، ما يجعلها واحدة من أكبر خسائر DeFi في عام 2026.
وتُفضي النتيجة إلى درس مألوف لكنه قاسٍ لبنية البنية التحتية عبر السلاسل: يمكن للعقود الذكية أن تظل سليمة، وقد يفشل البروتوكول في الواقع إذا كانت طبقة الثقة خارج السلسلة ضعيفة بما يكفي. تحاول LayerZero الآن إثبات أن العبرة الصحيحة من سرقة جسر بقيمة 292 مليون دولار ليست أن الأمان المعياري فشل، بل أن السماح لأي شخص بتشغيل إعداد مُوقّع واحد هو الخطأ الحقيقي.
