أكبر عملية سرقة في التمويل اللامركزي (DeFi) لعام 2026، قام الهاكر بسرقتها ثم استغلها لخداع منصة Aave.

في مساء 18 أبريل الساعة 17:35 (UTC)، أرسل محفظة تم غسل أموالها عبر Tornado Cash رسالة عبر عقد EndpointV2 الخاص بـ LayerZero إلى عقد الواجهة عبر السلسلة.

هذه الرسالة تحمل معنى بسيطًا: مستخدم على إحدى السلاسل يرغب في نقل rsETH مرة أخرى إلى شبكة إيثريوم الرئيسية. وفقًا لتصميم البروتوكول، نقلت LayerZero الأمر بأمانة. وعقد الجسر الخاص بـ Kelp DAO المنشور على الشبكة الرئيسية نفذ الأمر أيضًا بأمانة وفقًا للتصميم، وأطلق عملية الإفراج.

تم تحويل 116,500 من rsETH، بقيمة تقريبية تبلغ 292 مليون دولار وفقًا للسعر حينها، إلى عنوان يسيطر عليه المهاجم في عملية واحدة.

المشكلة أن هناك سلسلة أخرى لم يُودع فيها أي شخص هذه الـ rsETH. هذا “طلب عبر السلسلة” تم تزويره من العدم، وLayerZero صدق به، وعقد الجسر الخاص بـ Kelp صدقه أيضًا.

بعد 46 دقيقة، أوقف توقيع الطوارئ متعدد التوقيعات الخاص بـ Kelp العملية. في تلك اللحظة، أكمل المهاجم النصف الثاني من العملية، حيث وضع rsETH المسروقة، التي أصبحت بلا مرساة، كضمان في Aave V3، واقترض ما يعادل حوالي 236 مليون دولار من wETH.

هذه أكبر عملية سرقة في DeFi حتى عام 2026، تتفوق على هجوم هكر من كوريا الشمالية على بروتوكول Drift في 1 أبريل بعدة ملايين من الدولارات، لكن ما يجعل الأمر يثير القشعريرة في العموم ليس فقط المبلغ.

كيف حدثت عملية الاختراق: ثلاث محاولات من 17:35 إلى 18:28

لنُعيد رسم الخط الزمني.

17:35 UTC، تم التنفيذ لأول مرة. قام المهاجم باستدعاء وظيفة lzReceive على عقد EndpointV2 الخاص بـ LayerZero، وهو محفظة مدعومة بأموال Tornado Cash، وأرسل حزمة بيانات عبر السلسلة مزورة إلى عقد الجسر الخاص بـ Kelp. تم التحقق من صحة العقد، وتم الإفراج عن 116,500 من rsETH إلى عنوان المهاجم. عملية واحدة. نظيفة.

18:21 UTC، أوقف توقيع الطوارئ متعدد التوقيعات الخاص بـ Kelp عقود rsETH الأساسية على الشبكة الرئيسية وعدة شبكات Layer2. بعد 46 دقيقة من وقوع الهجوم.

18:26 و18:28 UTC، حاول المهاجم مرتين أخريين، كل مرة يحمل حزمة بيانات من LayerZero تحاول سحب 40,000 من rsETH (حوالي 100 مليون دولار). كلا المحاولتين تم إلغاؤهما، والعقود مجمدة، لكن المهاجم لا يزال يحاول سحب السيولة المتبقية.

من أول عملية تنفيذ حتى إصدار بيان علني من Kelp، مرّ قرابة ثلاث ساعات.

أصدر Kelp أول منشور على تويتر عند الساعة 20:10 UTC، وكان كلامه متحفظًا جدًا: “تم اكتشاف نشاط مشبوه عبر السلسلة يتعلق بـ rsETH، وتم إيقاف عقود rsETH على الشبكة الرئيسية وLayer2، ونعمل مع LayerZero وUnichain والجهات المدققة وخبراء أمن خارجيين لتحليل السبب الجذري.”

لكن من سبقه في إصدار استنتاجات هو ZachXBT، المحقق على السلسلة، الذي أصدر تنبيهًا على قناة Telegram الخاصة به قبل الساعة 3 مساءً بالتوقيت الشرقي، وذكر ستة عناوين محافظ مرتبطة بالسرقة، وأشار إلى أن المحافظ التي بدأت العمل قبل الهجوم كانت قد أعدت أموالها عبر Tornado Cash. لم يسمِّ Kelp DAO، لكن محللي السلسلة ربطوا العناوين خلال ساعات قليلة.

هذه عملية مخططة ومنفذة بدقة زمنية دقيقة. محافظ تم تمويلها مسبقًا، حزم بيانات عبر السلسلة مصممة بعناية، عمليات متتالية من الاقتراض والاقتراض المضاد، كل خطوة كأنها تتبع إيقاعًا مضبوطًا.

بعد السرقة، يخطط المهاجم لعملية احتيال أخرى

لو كانت الثغرة في الجسر فقط، وسرق 116,500 من rsETH ثم فرّ، لكانت مجرد حادثة كبيرة في 2026. يتحمل Kelp الخسارة، وتبتلع المجتمع الأمر خلال أيام، ويستمر القطاع في التقدم.

لكن المهاجم يبدو أنه حسب حساباته. السيولة الثانوية لـ rsETH ليست وفيرة، وإذا باع 292 مليون دولار مباشرة في DEX، فإن الانزلاق السعري سيأكل جزءًا كبيرًا من الأرباح. طريقة أكثر أناقة للخروج، هي تغليف هذه الـ rsETH “المحصلة من العدم” كضمان يبدو محترمًا، ثم اقتراض أصول ذات سيولة حقيقية من بروتوكولات الإقراض.

لذا، قام المهاجم بالخطوة الثانية: وضع rsETH المسروقة كضمان في Aave V3، واقترض كمية كبيرة من wETH.

لماذا تعتبر هذه الخطوة قاتلة؟ لأن عقد Aave في تلك اللحظة كان لا يزال يحسب قيمة الضمان بناءً على سعر أوتوماتيكي لـ rsETH، بينما احتياطيات الجسر قد تم تفريغها، وهذه الـ rsETH لم تعد لها قيمة اقتصادية حقيقية. بروتوكول الإقراض لا يزال يمنح قروض على أساس أن الضمان “ذو قيمة 100%”، لكن الضمان أصبح ورقة بدون رصيد.

النتيجة: حول المهاجم مخاطر تحويل الأموال إلى أصول سائلة، إلى كومة من الديون على مخزون wETH الخاص بـ Aave.

مخزون wETH في Aave V3 الآن يتعامل مع الديون المعدومة، وذكر مطور Solidity والمراجع الأمني 0xQuit على X أن ودائع wETH قد تضررت، وأن بعض عمليات السحب لن تكون ممكنة إلا بعد أن تتسوى عجزات وحدة Umbrella التابعة لـ Aave.

أحدث تقديرات حجم الديون المعدومة تصل إلى حوالي 177 مليون دولار، وهذه فقط على جانب شبكة إيثريوم الرئيسية.

اختبار كبير متوقع لأول مرة

بالنسبة لمتداولي DeFi القدامى، هناك شعور بالحنين، ففي انهيار لونا عام 2022، كانت وحدة الأمان في Aave V2 تلعب دورًا مشابهًا.

لكن هذه المرة، كانت Umbrella هي التي تلعب الدور. أطلقت Aave في نهاية 2025 نظام احتياطي جديد بديل لوحدة الأمان القديمة، وهذه الحادثة هي أول اختبار حقيقي لضغط نظام تغطية الديون المعدومة التلقائي في Umbrella.

منطق Umbrella بسيط جدًا: يتم رهن أصول مثل aWETH، وaUSDC، وGHO في صندوق التأمين الخاص بـ Umbrella، ويكسب المودع حوافز إضافية، ولكن عندما تظهر عجزات في تلك الأصول، يتم خصم جزء من الرهن بشكل نسبي (slashing) لتعويض الثغرات.

هذه التصميمات تبدو مثالية على الورق، وخلال أول شهر من تشغيل Aave v3.3، بلغ العجز الكلي حوالي 400 دولار، مقابل ديون غير مسددة بقيمة تقارب 9.5 مليار دولار، والنسبة صغيرة جدًا لدرجة أنها تكاد تكون غير ملحوظة.

لكن الديون المعدومة التي تقدر بـ 177 مليون دولار تمثل حجمًا مختلفًا تمامًا. بالنسبة للمستخدمين الذين رهنوا aWETH في Umbrella، فإنهم سيشعرون لأول مرة بوزن عبارة “تحمل مخاطر الخصم” بشكل حقيقي. بيان Aave الرسمي كان حذرًا جدًا: إذا حدثت ديون معدومة، فإن خطة Aave هي استخدام أصول Umbrella لتعويض أي فجوة مالية. لكن هل يمكنها أن تغطي بالكامل؟ وما نسبة الخصم التي ستُفرض؟ وما مقدار خسارة رأس مال المودعين؟ كل هذه الأسئلة ستتضح بعد انتهاء التسوية.

جريمة أصلية في الجسر عبر السلسلة

الأمر الأكثر إثارة للقلق هو هوية الـ rsETH المسروقة.

تم نشر rsETH على أكثر من 20 شبكة، بما في ذلك Base وArbitrum وLinea وBlast وMantle وScroll، وتتم عملية النقل عبر LayerZero باستخدام معيار OFT. الـ rsETH المسروق من الجسر الذي تم تفريغه هو بالضبط ما يدعم جميع “نسخ” rsETH المغلفة على تلك الشبكات.

هذه التصميمات تبدو عادية جدًا في البداية: خزينة الشبكة الرئيسية تمتلك احتياطيًا بنسبة 1:1، ومالكو rsETH على شبكات Layer2 يمكنهم في أي وقت استرداده عبر الشبكة الرئيسية. لكن هذا يعتمد على أن الخزينة لديها أموال فعلًا.

الآن، الخزينة فارغة بنسبة 18%. حوالي 18% من إجمالي عرض rsETH الدائري الخاص بـ Kelp فقدت بشكل مفاجئ احتياطاتها خلال ليلة واحدة.

وهذا يخلق حلقة تغذية مرتدة: إذا بدأ مالكو Layer2 في سحب أموالهم بشكل هلعي، فإن الضغط سينتقل إلى جانب إيثريوم غير المتأثر، مما قد يجبر Kelp على فك مراكز re-staking لتلبية طلبات السحب.

فك مراكز re-staking ليس عملية زر واحدة. سحب EigenLayer يتطلب فترة انتظار، وخروج المدققين من الشبكة يتطلب ترتيبًا زمنيًا. إذا اندفع مالكو rsETH على Layer2 نحو نافذة السحب، قد لا يكون Kelp مستعدًا بشكل كافٍ لتسوية المدفوعات على الشبكة الرئيسية.

هذه مشكلة جوهرية في نموذج احتياطي الجسر: طالما أن الشبكة الرئيسية تعاني من مشكلة، فإن ضغط التدفق من الشبكات الفرعية كلها سيزداد. وكل مالك rsETH على أي شبكة Layer2 يواجه الآن خيارًا: هل يهرب أولًا، أم يثق في قدرة Kelp على التغطية؟

تسارعت عمليات الذعر خلال ساعات، وأدت إلى تدمير كامل لقطاع الإقراض في DeFi.

تم تجميد سوق rsETH في Aave V3 وV4، وأُغلقت عمليات الإيداع الجديدة والاقتراض المبني على rsETH.

تبع ذلك تجميد سوق rsETH في SparkLend وFluid.

على الرغم من أن Ethena أعلنت أنها لا تمتلك تعرضًا مباشرًا لـ rsETH وأنها تحافظ على نسبة ضمان تفوق 101%، إلا أنها أوقفت بشكل احترازي جسر LayerZero OFT الخاص بها من إيثريوم، لمدة تقارب ست ساعات، وهو رد فعل مثير للاهتمام: حتى الجهات التي لا تمتلك تعرضًا مباشرًا أوقفت جسور LayerZero.

كما أوقفت Lido Finance عمليات الإضافة الجديدة إلى منتجات earnETH (نظرًا لاحتوائها على rsETH)، مع التأكيد على أن stETH وwstETH غير متأثرين، وأن بروتوكول الستاكينج الرئيسي الخاص بـ Lido غير مرتبط بالحادثة.

وأوقفت Upshift عمليات الإيداع والسحب في خزائن High Growth ETH وKelp Gain.

وهذا القائمة لا تزال تتوسع.

تعليق Deep Tide: طريق أمان DeFi لا يزال طويلاً

حتى كتابة هذا المقال، لا تزال تحليلات السبب الجذري لـ Kelp DAO جارية. كم من الـ rsETH المسروق يمكن استرداده عبر فرق الأمان أو عبر المتبرعين البيض؟ هل يمكن لـ Aave’s Umbrella أن يتحمل هذا العجز؟ هل سيؤدي ذلك إلى عمليات سحب جماعية من مالكي rsETH على Layer2؟ وهل ستستقر أسعار AAVE وrsETH قبل نهاية الأسبوع؟

لكن هناك بعض الأسئلة التي برزت بالفعل.

مثل: هل يمكن أن تستمر LRT (رمز إعادة الرهن السائل) في أن يكون ضمانًا مقبولًا في بروتوكولات الإقراض؟

رمز إعادة الرهن السائل (Liquid Restaking Token) كان نجمًا في دورة سابقة من بيئة إيثريوم. أطلقت EigenLayer مفهوم “كسب عوائد متعددة من ETH واحد”، وطبقت بروتوكولات مثل Kelp وether.fi وPuffer هذا المفهوم بشكل صناعي. النتيجة النهائية: تم إدراج LRT في قوائم الأصول المضمونة في العديد من بروتوكولات الإقراض.

هذا القرار يعتمد على فرضية أن آلية ربط LRT قوية بما يكفي، وأن مخاطر التداخل متعدد الطبقات للأصول الأساسية يمكن نمذجتها وعزلها بشكل كامل عبر العقود الذكية.

لكن حادثة Kelp كشفت خلال ساعة واحدة ثغرة كبيرة في هذه الفرضية. مخاطر LRT لا تأتي فقط من العقود الذكية الأساسية، بل من بنية التوزيع عبر السلسلة؛ ولا من بروتوكول واحد فقط، بل من كل الاعتمادات بينه وبين EigenLayer وLayerZero وAave. كل قطعة من قطع الليجو في DeFi تبدو آمنة عند النظر إليها بشكل فردي، لكن تركيبها معًا يشكل مخاطر تتضاعف، لا تتجمع.

على مدى الأشهر القادمة، ستعيد جميع بروتوكولات الإقراض التي لا تزال تعتبر LRT ضمانًا عالي المستوى تقييم مخاطرها. ستنخفض حدود الإمداد، وسيتم توسيع هامش التسوية، وربما ستقوم بعض البروتوكولات بإزالة LRT من قوائم الأصول المضمونة.

حصن DeFi المسمى “القدرة على التكوين” يتعرض الآن لتذكير: أن التكوين هو سلاح ذو حدين. الشبكة التي تفخر بتأثيرها الشبكي، يمكن أن تصبح مضاعفًا للضرر في يد المهاجم.

الهجوم هذا المسبق كان مدروسًا، مع خطة واضحة للانسحاب، وليس مجرد سرقة، بل استخدام التكوين في DeFi كسلاح، وكلما زادت الاعتمادات بين البروتوكولات وتنوعت التكوينات، زادت مساحة الهجوم، وكلما زادت أدوات التمويل التي يمكن للمهاجم استدعاؤها.

الأمان في DeFi لا يزال أمامه طريق طويل.