اهتزت مناظر التمويل اللامركزي DeFi بسبب تعثر المعاملات المزيفة في منصة Aave's Ethereum Liquid Stake في الشهر الماضي

كشفت ثغرة مدمرة يوم 18 أبريل 2026 عن ضعف صارخ في البنية التحتية للجسر الذي يربط أسواق Aave، وتحديدًا جسر Kelp rsETH LayerZero V2 الذي يربط Unichain بـ Ethereum. من خلال تزوير رسالة عبر السلسلة، تمكن المهاجم من إطلاق مبلغ كبير قدره 116,500 rsETH في النظام البيئي لإيثريوم دون حرق مماثل على Unichain، ثم استخدم هذه الرموز المميزة كضمان للحصول على قروض عبر عدة مراكز Aave V3. ومن حسن الحظ أن جهود التعافي السريعة والمنسقة أعقبت ذلك، الأمر الذي أدى في نهاية المطاف إلى إعادة الأسواق إلى حالتها الطبيعية وضمان الدعم الكامل.

يكمن جذر المشكلة في بنية الجسر، التي تعتمد بشكل كبير على أداة تحقق واحدة لمصادقة جميع الرسائل الواردة عبر السلسلة، مما يؤدي بشكل أساسي إلى إنشاء نقطة فشل واحدة. أثبت هذا التكوين، المعروف باسم شبكة التحقق اللامركزية واحدة من واحدة، أنه عرضة للتلاعب الخارجي عندما تم استهداف أداة التحقق من خلال هجوم تسميم RPC، مما يسمح للمهاجم بتشويه رؤيته لحالة السلسلة المصدر. في الساعة 17:35 بالتوقيت العالمي يوم 18 أبريل، قبلت نقطة نهاية إيثريوم رسالة واردة تحتوي على nonce 308، مما أدى إلى تحرير 116,500 rsETH المذكورة أعلاه، بينما استمرت نقطة نهاية Unichain في عرض nonce 307 الصادر فقط، مما يشير إلى عدم حدوث أي حرق في سلسلة المصدر.

لم يكن نجاح الاستغلال ناجمًا عن خلل في كود العقد الذكي الخاص بـ Aave، بل كان بسبب اعتماد الجسر على أداة تحقق واحدة وقابليته للتلاعب الخارجي، وهي ثغرة أمنية كانت موجودة خارج بروتوكول Aave. بعد إصدار رموز rsETH، قام المهاجم بتوزيعها بسرعة عبر سبعة عناوين للمستلمين، مع نشر 89,567 rsETH كضمان عبر ثمانية مواقع Aave V3 على Ethereum Core وArbitrum، مما أدى إلى تأمين قروض يبلغ مجموعها 82,650 WETH و821 wstETH. حافظ المهاجم بعناية على العوامل الصحية بين 1.01 و1.03، متجنبًا التصفية التلقائية بفارق ضئيل.

نشأ تعرض Aave للاستغلال من إدراجها لـ rsETH كضمان بموجب شروط الضمان الزائد القياسية، مما أدى إلى إنشاء اعتماد مباشر على البنية التحتية للتحقق من الجسر، وهو أمر خارج عن سيطرة Aave. ردًا على ذلك، بدأ Aave Protocol Guardian في العمل، حيث قام بتجميد rsETH وwrsETH عبر Aave V3 وضبط نسبة القرض إلى القيمة (LTV) إلى الصفر بحلول الساعة 19:00 بالتوقيت العالمي في 18 أبريل. بالإضافة إلى ذلك، تم تجميد Kelp Spoke على Aave V4 بالكامل، وتم إلغاء تنشيط اقتراض WETH على الفور.

ومع تقدم جهود الاستجابة، نجح Kelp في إيقاف 43,373 rsETH متصل بالبرمجية بين الساعة 18:00 و19:00 بالتوقيت العالمي المنسق، مما حد من المزيد من الضرر. على مدار اليومين التاليين، تم تنفيذ تدابير وقائية إضافية، بما في ذلك تجميد WETH عبر عمليات نشر متعددة، مثل Ethereum Core وEthereum Prime وArbitrum وBase وMantle وLinea في 20 أبريل. وقام مجلس أمن Arbitrum أيضًا بتجميد 30,766 ETH مرتبطة بالمهاجم في 21 أبريل. وبحلول 23 أبريل، تم إيقاف احتياطيات rsETH مؤقتًا بالكامل عبر عمليات نشر متعددة، مما أتاح التصفية المحتملة لمواقع المهاجمين و استرداد الأصول للمستخدمين المتأثرين، وبالتالي التخفيف من تأثير الاستغلال.