#KelpDAOBridgeHacked 1. الثغرة التقنية "رسالة مزورة"

كان الهجوم درسًا في استغلال القابلية للتكوين. كانت الثغرة موجودة ضمن بنية الجسر (باستخدام LayerZero) الذي يربط rsETH الخاص بـ KelpDAO عبر عدة سلاسل.
التزوير: قام المهاجمون بصنع حمولة عبر سلسلة خبيثة تتجاوز طبقة التحقق. قام الجسر بشكل غير صحيح بـ"التحقق" من شرعية إيداع ضخم لم يحدث أبدًا على السلسلة المصدر.
السك: سمح ذلك للمهاجم بإنشاء 116,500 rsETH من لا شيء على السلسلة المستهدفة.
تصريف "الحلقة": بدلاً من بيع الـ rsETH (الذي كان سيؤدي إلى انهيار السعر على الفور)، قام القراصنة بإيداع الـ rsETH المزيف كضمان على Aave V3 و Compound و Euler. ثم اقترضوا ETH الحقيقي والعملات المستقرة ضده.
ديون سيئة: نظرًا لأن الضمان كان في الأساس "عديم القيمة" (غير مدعوم)، فإن بروتوكولات الإقراض تواجه الآن ديونًا سيئة مجمعة تزيد عن 230 مليون دولار، حيث لا يوجد أصل أساسي حقيقي للتصفية.
2. تأثير السوق والعدوى
يعكس رد فعل السوق خوفًا من "فشل نظامي في DeFi" بدلاً من خسارة بروتوكول واحد فقط.
3. حالة التعافي الحالية
حتى بعد ظهر الاثنين، 20 أبريل:
حالة البروتوكول: نجحت KelpDAO في إيقاف جميع عقود rsETH على الشبكة الرئيسية و Layer2s (بما في ذلك Unichain).
حدود الإقراض: قامت Aave و Compound بتجميد أسواق rsETH. لا يمكن للمستخدمين الإيداع أو الاقتراض أكثر، على الرغم من أن المراكز الحالية "محاصرة" حتى يتم التوصل إلى حل.
التحقيق: تعمل شركات الأمن Cyvers و PeckShield مع فريق LayerZero لتعقب الأموال، والتي يتم توجيهها حاليًا عبر خلاطات الخصوصية.
4. الدروس المستفادة لعام 2026
يمثل هذا الحدث أكبر استغلال في DeFi لعام 2026 ويبرز ثلاث إخفاقات حاسمة:
هشاشة الجسر: حتى الحلول "شاملة السلاسل" ليست قوية إلا من خلال أضعف ثغرة تحقق فيها.
مخاطر LRT: توكنات إعادة التثبيت السائلة (LRTs) تخلق مخاطر "تكرارية". عندما يُعاد استخدام أصل واحد خمس مرات كضمان، يمكن أن يهدد $300M اختراق سيولة تزيد عن 5 مليارات دولار.
مشكلة "السرعة": استغرق الأمر 46 دقيقة فقط لتصريف النظام. آليات التوقف التقليدية للأمان حالياً بطيئة جدًا لوقف هجمات تعتمد على الذكاء الاصطناعي أو برمجيات هجوم مؤتمتة بشكل كبير.