#Gate13周年现场直击

أكبر استغلال في ديFi لعام 2026 حدث للتو وما زالت التداعيات تنتشر.

في 18 أبريل 2026، الساعة 17:35 بالتوقيت العالمي، قام مهاجم بتفريغ 116,500 رمز rsETH بقيمة تقريبية $292 مليون من جسر كيلب داو المدعوم من LayerZero عبر الجسر العابر للسلاسل. المبلغ المسروق يمثل حوالي 18 في المئة من إجمالي عرض rsETH المتداول البالغ 630,000 رمز، وتم تأكيد أن الاختراق هو الأكبر في ديFi لعام 2026 رسميًا. لم يكن هذا هجوم عشوائي وسريع. كان هجوم بنية تحتية دقيقًا، مخطط له لعدة أشهر، وتم تنفيذه في أقل من 46 دقيقة.

كيف عمل الهجوم:
قام المهاجمون بتمويل ست محافظ مسبقًا عبر Tornado Cash قبل حوالي 10 ساعات من التفريغ. ثم اخترقوا اثنين من عقد RPC التي يعتمد عليها مدقق LayerZero لتأكيد المعاملات عبر السلاسل، واستبدلوا برمجيات العقد بنسخ خبيثة أبلغت عن بيانات معاملات زائفة للمدقق. وأجبر هجوم DDoS متزامن على فشل النظام، مما أدى إلى انتقال العقد المخترقة إلى مسار التحقق. وبخداع المدقق، أطلق جسر كيلب 116,500 rsETH إلى عنوان يسيطر عليه المهاجم.
أوقف مفتاح الطوارئ متعدد التوقيعات الخاص بكيلب العقود الأساسية بعد 46 دقيقة من التفريغ. تم حظر محاولتين لاحقتين في 18:26 و18:28 بالتوقيت العالمي، كل منهما استهدفت حوالي 40,000 rsETH بقيمة تقريبية $100 مليون. لم يتم لمس عقود إعادة التثبيت الأساسية. كان الاختراق محصورًا تمامًا في طبقة الجسر.

السبب الجذري: نقطة فشل واحدة
نجح الهجوم فقط لأن كيلب كان يعمل بتكوين مدقق واحد فقط، مما يعني أن LayerZero Labs كانت الكيان الوحيد الذي يتحقق من الرسائل إلى ومن جسر rsETH. في إعداد متعدد-مدقق محصن بشكل صحيح، يتطلب الأمر توافقًا عبر عدة مدققين مستقلين للموافقة على أي رسالة عبر السلسلة. لن يكون من الكافي اختراق عقد واحد لتزوير تعليمات صالحة. قالت LayerZero إن قائمة التحقق من تكاملها العامة والتواصل المباشر مع كيلب منذ يوليو 2024 لم توضح توصية محددة بتغيير تكوين DVN الخاص بـ rsETH. وتوجه دليل البداية السريع الخاص بـ LayerZero وتكوين GitHub الافتراضي إلى إعداد DVN واحد فقط، ويستخدم حوالي 40 بالمئة من البروتوكولات على LayerZero نفس التكوين. الآن، اللعبة العامة للوم بين مزودي البنية التحتية الرئيسيين في ديFi أصبحت قصتها الخاصة.

الجهة الممولة من الدولة: مجموعة لازاروس
تقرأ بيان حادث LayerZero: "تشير المؤشرات الأولية إلى نسبتها إلى جهة دولة عالية التطور، من المحتمل أن تكون مجموعة لازاروس الكورية الشمالية، وتحديدًا TraderTraitor." تم ربط مجموعة لازاروس الآن بكل من استغلال بروتوكول Drift في 1 أبريل وهجوم كيلب في 18 أبريل، مما يعني أن الوحدة ذاتها من كوريا الشمالية استولت على أكثر من $575 مليون من ديFi خلال 18 يومًا عبر استراتيجيتين هجوميتين مختلفتين، وهما الهندسة الاجتماعية لموقعي Drift وسموم RPC للبنية التحتية في كيلب. تواصل LayerZero مع العديد من وكالات إنفاذ القانون عالميًا وتتعاون مع Seal911 لتعقب الأموال المسروقة.

العدوى: أواي، TVL، والديون السيئة
قام المهاجم بإيداع rsETH المسروق على Aave V3 كضمان واقترض إيثريوم مغلف ضده، تاركًا حوالي $196 مليون في ديون سيئة مركزة في زوج rsETH-WETH على إيثريوم. يوضح تقرير حادث Aave نتيجتين محتملتين، خسائر تقارب $123 مليون إذا تم تقاسم الضرر عبر جميع رموز rsETH، أو حتى $230 مليون إذا اقتصر على شبكات Layer 2، ويعتمد التأثير النهائي على كيفية تخصيص كيلب داو للعجز.

انخفض إجمالي القيمة المقفلة على Aave إلى 17.5 مليار دولار، بانخفاض قدره 8.8 مليار دولار خلال يومين. كما شهد قطاع ديFi الأوسع تدفقات خارجة كثيفة، مع انخفاض إجمالي القيمة المقفلة عبر جميع السلاسل من أكثر من $99 مليار إلى حوالي $86 مليار. أوقفت SparkLend و Fluid و Lido Finance أسواق rsETH الخاصة بهم. أغلقت Ethena جسورها الخاصة بـ LayerZero على شبكة إيثريوم الرئيسية كإجراء احترازي رغم عدم تعرضها المباشر لـ rsETH.

يتم نشر rsETH عبر أكثر من 20 شبكة بما في ذلك Arbitrum و Base و Linea و Blast و Mantle و Scroll. مع تفريغ احتياطي الجسر، يواجه حاملو الرموز على كل نشر من طبقة L2 الآن حالة من عدم اليقين حول ما إذا كانت رموز rsETH المغلفة لديهم مدعومة بالكامل، مما يخلق حلقة ضغط على الاسترداد قد تجبر كيلب على فك مراكز إعادة التثبيت EigenLayer لتلبية عمليات السحب.

ماذا يعني هذا لـ DeFi:
هذا الاختراق ليس مجرد قصة كيلب داو. إنه تحذير هيكلي. تظل الجسور العبرية للسلاسل هي السطح الأكثر استغلالًا باستمرار في ديFi، ويُظهر هذا الهجوم أن البنية التحتية للرسائل التي تم اختبارها في المعركة مثل LayerZero يمكن أن تُستخدم كسلاح من خلال فشل التكوين على مستوى التكامل. يُظهر استغلال كيلب أن مجموعة لازاروس من كوريا الشمالية تتطور وتتجاوز الاختراقات المعزولة، وتغير استراتيجياتها بسرعة من الهندسة الاجتماعية إلى استغلال نقاط الضعف الهيكلية في بنية التشفير، مما يشير إلى حملة مستمرة مدفوعة من الدولة بدلاً من حوادث فردية. لم تعد بنية المدققين المتعددين، وإعدادات RPC الزائدة، والتدقيقات الأمنية المستقلة لتكوينات الجسر مجرد ممارسات مثالية، بل أصبحت متطلبات بقاء بعد 18 أبريل 2026.