290 مليون دولار من اختراق Kelp DAO مرتبط بمجموعة Lazarus وضعف Bridge Security

جدول المحتويات فيما يمثل أحد أهم الخروقات الأمنية المالية اللامركزية لعام 2026، تكبد Kelp DAO خسائر يبلغ مجموعها حوالي 290-293 مليون دولار خلال هجوم نهاية الأسبوع. وقد عزا LayerZero، وهو بروتوكول المراسلة عبر السلسلة المستخدم في الحادث، الثغرة الأمنية إلى قرارات البنية التحتية لشركة Kelp. في وقت سابق من اليوم، حددنا نشاطًا مشبوهًا عبر السلسلة يتضمن rsETH. لقد قمنا بإيقاف عقود rsETH مؤقتًا عبر الشبكة الرئيسية والعديد من شبكات L2 أثناء التحقيق. نحن نعمل مع @LayerZero_Core و @unichain ومدققينا وكبار خبراء الأمان في RCA. سنبقيك… — Kelp (@KelpDAO) 18 أبريل 2026 ركز الاختراق على آلية نقل الرمز المميز rsETH الخاصة بـ Kelp عبر شبكات blockchain المختلفة. إن التشغيل باستخدام بنية تحقق واحد يعني الحاجة إلى سلطة واحدة فقط للتحقق من صحة عمليات النقل عبر السلسلة. وفقًا لـ LayerZero، حذرت الشركة Kelp صراحةً من هذا التكوين وحثت على اعتماد مصادر تحقق مستقلة متعددة. LayerZero: KelpDAO تخسر ما يقرب من 290 مليون دولار أمريكي في الاستغلال، المنسوبة إلى Lazarus Group في كوريا الديمقراطية، أفادت LayerZero أنه في 18 أبريل 2026، عانت KelpDAO من استغلال أدى إلى خسائر تبلغ حوالي 290 مليون دولار أمريكي، تُعزى مبدئيًا إلى Lazarus Group (TraderTraitor) في كوريا الديمقراطية. الهجوم مسموم… pic.twitter.com/mfhQRaC2p9 — Wu Blockchain (@WuBlockchain) 20 أبريل 2026 تسلل المتسللون إلى عقدتين لاستدعاء الإجراءات عن بعد — خوادم متخصصة تمكن البرامج من التفاعل مع بيانات blockchain. تم استبدال هذه العقد الشرعية بإصدارات مخترقة قدمت معلومات احتيالية إلى نظام التحقق الخاص بـ LayerZero مع الحفاظ على المظهر الطبيعي لمكونات البنية التحتية الأخرى. وبما أن عملية التحقق الخاصة بـ LayerZero استشارت أيضًا العقد الخارجية الشرعية، فقد أطلق المهاجمون حملة موزعة لرفض الخدمة لتعطيل تلك الأنظمة. أعاد هذا التكتيك توجيه حركة مرور الشبكة عبر البنية التحتية المخترقة خلال نافذة مدتها 80 دقيقة من الساعة 10:20 صباحًا إلى الساعة 11:40 صباحًا بتوقيت المحيط الهادئ يوم السبت. عند تنشيط آلية تجاوز الفشل، ترسل العقد الضارة تأكيدًا للمعاملة المشروعة إلى جهة التحقق. أطلق بروتوكول جسر Kelp لاحقًا 116,500 rsETH إلى محافظ المهاجمين. ثم قام البرنامج العدائي بالقضاء على نفسه، ومحو جميع الأدلة الجنائية من الخوادم المتضررة. وتم نشر رموز rsETH المسروقة كضمان عبر منصات الإقراض المختلفة، مما مكن المهاجمين من سحب الأصول الحقيقية. وقد استوعبت منصة الإقراض اللامركزية المهيمنة Aave الضرر الأكبر. وجدت Aave نفسها تمتلك ضمانات rsETH غير سائلة بينما تم بالفعل استخراج أصول قيمة مثل ETH من خلال آليات الاقتراض. انخفض رمز Aave الأصلي بنسبة 15٪ تقريبًا خلال فترة 24 ساعة، في حين شهد البروتوكول عمليات سحب بقيمة 6 مليارات دولار تقريبًا حيث سارع المشاركون لإزالة أموالهم. تعرض ما لا يقل عن تسعة تطبيقات DeFi للضرر، بما في ذلك Fluid وCompound Finance وSparkLend وEuler. ووصفت شركة الأمن السيبراني Cyvers الحادث بأنه "حدث عدوى عبر البروتوكولات" يمتد إلى ما هو أبعد من ثغرة أمنية واحدة في النظام الأساسي. وبثقة أولية، ربطت LayerZero هذا الهجوم بمجموعة Lazarus Group في كوريا الشمالية، وتحديدًا قسم TraderTraitor التابع لها. وقد تورطت هذه المنظمة نفسها في انتهاك بروتوكول الانجراف بقيمة 285 مليون دولار في الأول من أبريل، مما يشير إلى أن Lazarus قد استخرج أكثر من 575 مليون دولار من التمويل اللامركزي خلال فترة 18 يومًا باستخدام منهجيتين مختلفتين للهجوم. لا يُبلغ LayerZero عن أي دليل على انتشار الثغرات الأمنية إلى التطبيقات التي تعمل باستخدام بنيات متعددة التحقق. استعادت الشركة خدمة التحقق الخاصة بها وأعلنت عن سياسة دائمة ترفض معالجة الرسائل لأي تطبيق يستخدم تكوينات التحقق الفردي. أكد مؤسس Curve Finance، مايكل إيجوروف، أن هذا الاختراق يوضح المخاطر الكامنة في الاعتماد على مصادر التحقق من المعاملات الفردية. بالإضافة إلى ذلك، حذر من استخدام البنية التحتية عبر السلسلة ما لم يكن ذلك ضروريًا من الناحية التشغيلية. وفقًا لـ Ledger CTO Charles Guillemet، سيكون عام 2026 "على الأرجح أسوأ عام من حيث الاختراقات". لقد تجاوزت خسائر الاختراقات الأمنية المتعلقة بالعملات المشفرة بالفعل 482 مليون دولار خلال الربع الأول من عام 2026. وقد ظل Kelp صامتًا فيما يتعلق بإصدار LayerZero للأحداث ولم يتناول سبب استمرار البروتوكول في العمل ببنية تحقق واحد على الرغم من تلقي تحذيرات أمنية صريحة.