أكبر عملية سرقة في مجال التمويل اللامركزي (DeFi) لعام 2026، حيث استغل المتسللون ثغرة في منصة Aave بسهولة

المؤلف: شياو بينغ، شينتشاو تيكفلو

في مساء يوم 18 أبريل الساعة 17:35 (بتوقيت غرينتش)، أرسلت محفظة كانت قد قامت بغسل أموال عبر Tornado Cash رسالة عبر السلاسل إلى عقد LayerZero EndpointV2.

كان معنى الرسالة بسيطًا: أراد مستخدم على سلسلة معينة تحويل rsETH مرة أخرى إلى الشبكة الرئيسية لإيثريوم. قامت LayerZero بنقل التعليمات بدقة وفقًا لتصميم البروتوكول. كما نفذ العقد الوسيط الذي نشرته Kelp DAO على الشبكة الرئيسية عملية الإصدار بدقة وفقًا للتصميم المحدد.

تم تحويل 116,500 رس ETH، والتي كانت تبلغ قيمتها حوالي 292 مليون دولار في ذلك الوقت، في معاملة واحدة إلى عنوان يتحكم فيه المهاجم.

المشكلة هي أنه لم يقم أحد على السلسلة الأخرى بإيداع هذا الرصيد من rsETH من قبل. هذا "الطلب عبر السلاسل" كان محض اختلاق؛ فقد صدقته LayerZero، وصدقته جسر Kelp أيضًا.

بعد ستة وأربعين دقيقة، ضغطت ميزة «التوقيعات المتعددة» في نظام «كيلب» للطوارئ أخيرًا على زر «الإيقاف المؤقت». وبحلول ذلك الوقت، كان المهاجم قد أكمل بالفعل النصف الثاني من العملية، مستخدماً عملة rsETH المسروقة — والتي لا تخضع لأي ضمانات في الأساس — كضمان في منصة Aave V3، ليقترض ما يقارب 236 مليون دولار من عملة wETH.

هذه هي أكبر عملية سرقة في مجال التمويل اللامركزي (DeFi) في عام 2026 حتى الآن، حيث تجاوزت قيمة الخسائر التي تكبدها بروتوكول «دريفت» (Drift) — الذي تعرض لهجوم من قِبل قراصنة كوريين شماليين في الأول من أبريل — والتي بلغت عدة ملايين من الدولارات؛ لكن ما يثير القلق الشديد في أوساط هذا القطاع ليس المبلغ فحسب.

كيف وقع الهجوم: ثلاث رهانات من الساعة 17:35 إلى 18:28

دعونا نعيد ترتيب الأحداث.

الساعة 17:35 بالتوقيت العالمي المنسق، النجاح الأول. قام المهاجم باستدعاء دالة lzReceive في عقد LayerZero EndpointV2، وأرسلت محفظة ممولة من Tornado Cash حزمة بيانات مزيفة عبر السلاسل إلى عقد التوصيل الخاص بـ Kelp. تمت الموافقة على التحقق من العقد، وتم تحويل مبلغ 116,500 rsETH إلى عنوان المهاجم. معاملة واحدة. نظيف.

الساعة 18:21 بالتوقيت العالمي المنسق (UTC)، أدى تجميد التوقيعات المتعددة في حالة الطوارئ الخاصة بـ Kelp إلى تجميد العقود الأساسية لـ rsETH على الشبكة الرئيسية والعديد من شبكات الطبقة الثانية (L2). بعد 46 دقيقة من وقوع الهجوم.

في الساعة 18:26 و18:28 بالتوقيت العالمي المنسق (UTC)، شن المهاجم محاولتين أخريين، حاول في كل منهما سحب 40,000 rsETH (ما يعادل حوالي 10 ملايين دولار) باستخدام حزمة بيانات LayerZero. تم التراجع عن كلا الأمرين؛ فقد كان العقد قد تم تجميده بالفعل، لكن من الواضح أن المهاجم كان لا يزال يحاول استنزاف السيولة المتبقية.

مرت قرابة ثلاث ساعات منذ تحقيق النجاح الأول وحتى صدور البيان العام لشركة كيلب.

لم يتم إرسال أول منشور لـ Kelp على منصة X إلا في الساعة 20:10 بالتوقيت العالمي المنسق (UTC)، وكان نصه مقتضبًا للغاية: تم الكشف عن نشاط مشبوه عبر السلاسل يتضمن rsETH، وتم تعليق عقود rsETH على الشبكة الرئيسية والعديد من شبكات الطبقة الثانية (L2)، كما أنهم يتعاونون مع LayerZero وUnichain ومدققي الحسابات وخبراء أمن خارجيين لتحليل الأسباب الجذرية.

ومع ذلك، وقبل صدور البيان الرسمي، أطلق زاك إكس بي تي (ZachXBT)، وهو محقق متخصص في تحليلات السلسلة، إنذارًا عبر قناته على تيليجرام قبل الساعة الثالثة بعد الظهر بتوقيت الساحل الشرقي، حيث أورد ستة عناوين لمحافظ مرتبطة بالسرقة، مشيرًا إلى أن المحفظة المهاجمة كانت قد أعدت الأموال عبر «تورنادو كاش» (Tornado Cash) قبل الشروع في عملياتها. لم يذكر اسم "Kelp DAO" صراحةً، لكن محللي السلسلة ربطوا بين العناوين في غضون ساعات قليلة.

كانت هذه **عملية مدبرة تم تنفيذها