عملاء الإنترنت في كوريا الشمالية يسرقون ما يقرب من 300 مليون دولار في عملية سرقة عبر السلاسل تستهدف بروتوكول LayerZero الخاص بـ KelpDAO
الحقائق الرئيسية بدأ الاختراق الذي أفرغ جسر KelpDAO عبر السلسلة في 18 أبريل 2026 قبل ستة أسابيع. في 6 مارس، قام أحد مطوري LayerZero Labs باستنساخ مستودع GitHub الضار، وقام بتثبيت البرامج الضارة FLATROOF وROOOFDECK على جهاز الشركة. أعطت البرامج الضارة للمهاجمين إمكانية الوصول عن بعد وسمحت لهم بالحصول على مفاتيح الجلسة للبنية التحتية لاستدعاء الإجراء البعيد (RPC) الخاصة بـ LayerZero.
ونسبت شركتا الأمن السيبراني Mandiant وCrowdStrike الهجوم بثقة عالية إلى UNC4899، المعروفة أيضًا باسم TraderTraitor - وهي مجموعة تهديد مرتبطة بالدولة في كوريا الشمالية. بلغ إجمالي المبلغ المسروق 292 مليون دولار بأسعار السوق في يوم الاختراق، وفقًا لتقرير حادثة LayerZero النهائي المنشور في 18 مايو 2026.
أصدرت رسالة عبر سلسلة مزورة 116,500 rsETH بعد اختراق عقدة تحقق واحدة. تعتمد بنية LayerZero على شبكات التحقق اللامركزية (DVNs) للتأكد من شرعية الرسائل عبر السلسلة قبل تحرير الأموال من عقود الجسر. في 18 أبريل، قام المهاجمون بحقن تعليمات برمجية ضارة في اثنتين من مجموعات خوادم RPC الداخلية الخاصة بـ LayerZero. جعلت التعليمات البرمجية التي تم إدخالها تلك الخوادم تعيد حالة blockchain المزورة إلى خدمة توقيع DVN بينما تبدو طبيعية لأدوات المراقبة.
وفي الوقت نفسه، أطلق المهاجمون هجومًا موزعًا لرفض الخدمة ضد موفر RPC الخارجي الخاص بـ LayerZero. وقد أجبر ذلك DVN على التراجع حصريًا إلى العقدتين الداخليتين المخترقتين. أنتجت DVN شهادة صالحة لرسالة عبر سلسلة مزورة، وأصدر عقد جسر Ethereum 116,500 rsETH – رمز إعادة تخزين السوائل الخاص بـ KelpDAO – إلى عنوان المهاجم. ولم يتأثر أي تطبيق آخر على شبكة LayerZero.
تعترف LayerZero بأنها فشلت في مراقبة كيفية تأمين أداة التحقق الخاصة بها لعمليات نقل عالية القيمة، حيث كان جسر KelpDAO يعمل سابقًا مع اثنين من شبكات DVN المطلوبة للتصديق على كل رسالة - تكوين 2 من 2. لقد تم تغييره ليتطلب أداة تحقق واحدة فقط، وهي LayerZero Labs DVN نفسها، مما أدى إلى إنشاء نقطة فشل واحدة. نسبت LayerZero المسؤولية في البداية إلى اختيار تكوين KelpDAO. وقد عكست هذا الموقف في 8 مايو 2026.
"لقد ارتكبنا خطأ عندما سمحنا لشبكة DVN الخاصة بنا بالعمل كـ 1/1 DVN للمعاملات ذات القيمة العالية. لم نراقب ما كانت شبكة DVN الخاصة بنا تؤمنه، مما خلق خطرًا لم نكن نراه ببساطة. نحن نملك ذلك."، 8 مايو 2026.
- مختبرات لاير زيرو
بعد القبول، ذكرت LayerZero أن DVN الخاص بها لن يقوم بعد الآن بتوقيع الشهادات لأي تطبيق باستخدام تكوين 1 من 1. تم رفع الإعدادات الافتراضية للبروتوكول عبر جميع المسارات إلى ما لا يقل عن 3 من 3 أدوات تحقق.
يقوم بروتوكول Solv بنقل 700 مليون دولار من البنية التحتية لجسر Bitcoin المرمز بعيدًا عن LayerZeroSolv Protocol، الذي يدير منتجات Bitcoin المرمزة، وأعلن أنه سينقل أكثر من 700 مليون دولار من البنية التحتية للجسر بعيدًا عن LayerZero بعد إجراء مراجعة أمنية. قامت شركة Kelp أيضًا بترحيل جسر rsETH الخاص بها بعيدًا عن معيار Omnichain Fungible Token الخاص بـ LayerZero إلى بروتوكول بديل عبر السلسلة. جاء كلا الإعلانين بعد الكشف العلني عن الاستغلال واعتراف LayerZero بالخطأ.
تواجه معايير أمان جسر DeFi التدقيق حيث يمتص Ethereum التداعيات، حيث تم تداول Ethereum عند 1,980 دولارًا في وقت النشر، بانخفاض 5.5٪ خلال الأيام السبعة الماضية (CoinPaprika، 2 يونيو 2026). يستضيف النظام البيئي الأوسع لـ Ethereum DeFi الجزء الأكبر من البنية التحتية للجسر عبر السلسلة من حيث القيمة الإجمالية المقفلة ويعيد تقييم الافتراضات الأمنية في أعقاب الحادث.
كشف اختراق KelpDAO عن خطر يمتد إلى ما هو أبعد من LayerZero وحده. أي جسر يعتمد على أداة تحقق واحدة للتصديق على الرسائل عبر السلسلة عالية القيمة يحمل تعرضًا هيكليًا مكافئًا. قام مجلس أمن Arbitrum بتجميد 30,766 ETH من الأموال المرتبطة بالمهاجم في 20 أبريل 2026، مما حد جزئيًا من التأثير الأوسع للاختراق على السوق.
المصدر الأساسي: LayerZero Labs - اعتذار متأخر، 8 مايو 2026، أرجعت شركتا الأمن السيبراني Mandiant وCrowdStrike الهجوم بثقة عالية إلى UNC4899، المعروف أيضًا باسم TraderTraitor - وهي مجموعة تهديد مرتبطة بالدولة في كوريا الشمالية. بلغ إجمالي المسروقات 292 مليون دولار بأسعار السوق في يوم الاختراق، وفقًا لحادثة LayerZero الأخيرة.