يُزعم أن مهاجماً استغل ثغرة في رمز إعادة الرهن السائل rsETH التابع لـ KelpDAO في 18 أبريل 2026، ما أدى إلى سحب ما يُقدّر بنحو 280 مليون دولار أو أكثر عبر شبكتي Ethereum وArbitrum.
أبرز النقاط:
- قام ZachXBT بالإبلاغ عن سرقة بما يزيد على 280 مليون دولار عبر بروتوكولات التمويل اللامركزي DeFi على Ethereum وArbitrum في 18 أبريل 2026.
- خلّف استغلال KelpDAO ديوناً معدومة على Aave V3، مع انخفاض سعر رمز AAVE بنحو 10-13% تقريباً.
- لم تؤكد KelpDAO وقوع الاستغلال؛ ويقوم محللون بمراقبة ست محافظات محددة للمهاجمين بحثاً عن أدلة قد تساعد في الاسترداد.
استغلال Ethereum DeFi: هجوم rsETH لدى KelpDAO يستنزف أكثر من 280 مليون دولار
نشر المحقق على السلسلة ZachXBT التنبيه الأول في قناة Telegram العامة الخاصة به قبل الساعة 3 مساءً بتوقيت ET بقليل، حيث سرد ست عناوين محافظ مرتبطة بالسرقة، وأشار إلى أن محافظ المهاجمين كانت ممولة عبر Tornado Cash قبل بدء عملية السحب. واستشهد منشوره بخسائر تتجاوز 280 مليون دولار عبر عدة بروتوكولات DeFi دون تسمية KelpDAO مباشرةً، لكن محللي السلسلة ربطوا العناوين خلال ساعات.
كتب ZachXBT: «يبدو أن KelpDAO تعرضت لسرقة تزيد عن 280 مليون دولار قبل ساعة واحدة على Ethereum وArbitrum. تمت تمويل عناوين الهجوم عبر Tornado Cash.»
تشير تقارير إلى أن المهاجمين استغلوا خللاً في البنية التحتية الخاصة بـ rsETH لدى KelpDAO، ما أدى إلى الإفراج غير المصرح به عن حجم كبير من رمز الرهن السائل دون إيداع ضمانات جديدة. ثم تم إيداع rsETH المكتسب في أسواق الإقراض ضمن Aave V3 على كل من Ethereum وArbitrum، حيث اقترض المهاجم مبالغ كبيرة من ETH وأصولاً أخرى مقابل ذلك.
وبمجرد التشكيك في صحة الضمانات، تركت تلك المراكز Aave يحمل ديوناً معدومة. تراوحت تقديرات المجتمع لإجمالي الخسائر بين 100 مليون دولار ونحو 293 مليون دولار، بما يعادل تقريباً 116,500 rsETH بأسعار اليوم.
انخفض AAVE بشكل حاد على خلفية الخبر. تُظهر بيانات السوق أن التراجع تراوح بين 10% و13% خلال ساعات من التنبيه الأولي، بينما كانت السوق تقيم احتمال التعرض لديون معدومة عبر مسابح الإقراض الخاصة بالبروتوكول. ووفقاً لبيانات على السلسلة، جمد الوصي multisig الخاص بـ AAVE rsETH على أسواق الإقراض.
تقع رموز إعادة الرهن السائل مثل rsETH في قلب قابلية التشغيل البيني داخل DeFi. إذ تُقبل كضمان في عدة أسواق إقراض في آن واحد، ما يعني أن الاستغلال يمكن أن ينشر الخسائر بسرعة عبر منصات متعددة. وتوضح حادثة KelpDAO هذا الخطر بشكل مباشر.
أظهرت محافظ المهاجمين التي سردها ZachXBT حيازات كبيرة من ETH لدى Aave وCompound. ووفقاً لما ورد، امتلك عنوان واحد وحده حوالي 120 مليون دولار من ETH على Aave وقت اكتشاف الواقعة. وتم نقل الأموال بسرعة بعد عملية السحب.
إن استخدام Tornado Cash لتمويل محافظ تشغيل مسبقاً قبل الهجوم يُعد تكتيكاً شائعاً للمهاجمين الذين يحاولون طمس مصادر الأموال. لا يشير ذلك إلى تقنية جديدة، لكنه يؤكد أن العملية كانت مقصودة ومخططاً لها.
حتى نحو الساعة 3 مساءً بتوقيت ET في 18 أبريل، لم تكن KelpDAO قد نشرت بياناً رسمياً أو تقريراً لاحقاً بعد الحادث. كان المجتمع يراقب حساب مشروع X وموقعه بحثاً عن رد، كما كان يراقب قنوات حوكمة Aave لأي إجراءات طارئة.
لم تكن شركات أمن DeFi، بما في ذلك Peckshield وSlowmist وغيرها، قد نشرت بعد تفاصيل تفصيلية في وقت كتابة هذا التقرير، ما يعكس مدى سرعة تطور الوضع. ولم يكن ZachXBT قد نشر متابعة تسمي KelpDAO بشكل صريح في القنوات العامة، لكن تداخل العناوين رسم خطاً واضحاً.
تعد هذه الحادثة منفصلة عن استغلال Drift Protocol الذي أبلغت عنه أولاً Bitcoin.com News في 1 أبريل 2026، والذي شمل سحباً يقدر بنحو 280 مليون دولار تم في المقام الأول على Solana قبل ربط USDC إلى Ethereum عبر CCTP. وتختلف آليات العملية والسلاسل الزمنية عن بعضها البعض.
كان يُنصح أي شخص يحتفظ بـ rsETH أو مراكز مرتبطة به على Aave أو Compound أو غيرهما من أسواق الإقراض بمراجعة مستوى تعرضه بينما ظل الوضع غير محسوم.
ما زالت محافظ المهاجمين الست التي حددها ZachXBT أهدافاً نشطة لتتبع الأموال على السلسلة، بينما يعمل المحللون على رسم خريطة إلى أين تحركت الأموال بعد مغادرتها Aave.
ملاحظة المحرر: تم تحديث هذه المادة في الساعة 4 مساءً بتوقيت ET للإشارة إلى أن وصي Aave multisig قام بتجميد rsETH على أسواق إقراض محددة.
