في 18 أبريل 2026، تعرضت KelpDAO لأكبر اختراق أمني في مجال التمويل اللامركزي (DeFi) خلال العام. استغل المهاجم جسرها عبر السلاسل المدعوم من LayerZero لسرقة نحو 116,500 rsETH، بقيمة تقارب $292 مليون. على عكس الثغرات التقليدية في العقود الذكية، كان هذا الحادث حدثًا أمنيًا منهجيًا تضخم بسبب فشل نموذج الثقة عبر السلاسل وقابلية التركيب في بروتوكولات التمويل اللامركزي.
تكمن العلة التقنية الأساسية في إعداد بنية التحقق عبر السلاسل الخاصة بـ LayerZero. استخدم جسر rsETH الخاص بـ KelpDAO حل LayerZero OFT (الرمز القابل للاستبدال عبر السلاسل)، والذي يعتمد على شبكة التحقق اللامركزية (DVN) للأمان. مع ذلك، كانت KelpDAO تعمل بإعداد عقدة تحقق واحدة (1-of-1)، أي أن توقيع مدقق واحد كان كافيًا لتأكيد الرسائل عبر السلاسل. قام المهاجم بتزوير رسالة عبر السلاسل، مما أدى إلى الإفراج التلقائي عن أصول بقيمة تقارب $292 مليون. تم تنفيذ العملية بكفاءة عالية: من أول استدعاء دالة حتى تحويل الأموال بالكامل، استغرق الأمر 46 دقيقة فقط.
بعد السرقة، أودع المهاجم الـ rsETH المسروق كضمان في Aave V3 وبروتوكولات إقراض أخرى، واقترض كمية كبيرة من ETH، مما أدى إلى تكوين ديون متعثرة بقيمة تقارب $196 مليون في دفاتر Aave. انخفض إجمالي القيمة المقفلة (TVL) في Aave من حوالي $26.4 مليار إلى $18.6 مليار، وتراجع رمز AAVE بنحو %20 في يوم واحد. بعد ذلك، نقل المهاجم حوالي 30,766 ETH إلى عنوان على سلسلة Arbitrum One، وهي خطوة أدت مباشرة إلى تدخل مجلس الأمن.
ما هو أساس تدخل مجلس الأمن؟
مجلس أمن Arbitrum هو هيئة مكونة من 12 عضوًا يتم انتخابهم من قبل DAO الخاص بـ Arbitrum. يتناوب الأعضاء من خلال انتخابات منتظمة، ويخدمون لفترات مدتها 12 شهرًا ضمن مجموعات متداخلة من ستة أشخاص. الوظيفة الأساسية للمجلس هي التحرك السريع في حالات الطوارئ، باستخدام محفظة متعددة التوقيعات 9 من 12 لحماية أمان ونزاهة منظومة Arbitrum.
في هذا الحادث، استند تدخل المجلس إلى تأكيد هوية المهاجم، بمساعدة من جهات إنفاذ القانون. وأشار الإعلان الرسمي لـ Arbitrum إلى أن المجلس تصرف "استنادًا إلى معلومات عن هوية المهاجم مقدمة من جهات إنفاذ القانون". من منظور الحوكمة، يتماشى هذا الإجراء مع تعريف "الطوارئ الكارثية" في وثائق اللامركزية التدريجية لـ Arbitrum، ما يمنح المجلس أساسًا قانونيًا للتدخل.
من المهم الإشارة إلى أن صلاحيات المجلس ليست مطلقة. وفقًا لميثاق DAO الخاص بـ Arbitrum، يمكن للمجلس تجاوز العمليات الحوكمية المعتادة فقط في حالات الطوارئ، ويتطلب ذلك موافقة 9 أعضاء على الأقل من أصل 12. في هذه الحالة، صوت تسعة أعضاء لتجميد الأموال، محققين الحد الأدنى المطلوب لمحفظة التوقيعات المتعددة. وأوضح العضو Griff Green عبر X أن القرار "لم يُتخذ باستخفاف، بل بعد ساعات لا تحصى من النقاش التقني والعملي والأخلاقي والسياسي".
كيف تم تنفيذ التجميد على السلسلة من الناحية التقنية؟
قدم Haseeb Qureshi، الشريك الإداري في Dragonfly، شرحًا مفصلًا للآلية التقنية. استخدمت معاملة التجميد نوع ArbitrumUnsignedTxType (EIP-2718 النوع 0x65/101)، وهي معاملة على مستوى النظام لا يمكن إنشاؤها من قبل الحسابات الخارجية العادية (EOAs) عبر توقيعات المفاتيح الخاصة. فقط مجلس الأمن، باستخدام حقن ArbOS، يمكنه تنفيذ مثل هذه المعاملات.
يعني ذلك أن العملية تختلف جذريًا عن المعاملات التقليدية على البلوكشين. فالمعاملات العادية تُصرح عبر مفاتيح المستخدمين الخاصة، بينما تستمد هذه المعاملة على مستوى النظام شرعيتها من قواعد إجماع السلسلة، وليس من توقيع مستخدم فردي. من خلال موافقة 9 من أصل 12 توقيعًا متعددًا، فعّل المجلس قدرات تعديل الحالة الأساسية لـ ArbOS، وقام بتغيير رصيد حساب محدد مباشرةً—حيث نقل 30,766 ETH من عنوان المهاجم إلى محفظة تجميد وسيطة. وقد فرض منطق تنفيذ السلسلة هذا التحويل.
ومن الجدير بالذكر أن هذا الإجراء لم يكن "تراجعًا" تقليديًا للسلسلة. لم يتم عكس أي كتل مؤكدة، ولم يُعاد كتابة سجل المعاملات. جميع السجلات على السلسلة أثناء الهجوم بقيت سليمة، مما حافظ على عدم قابلية تغيير البلوكشين. من منظور آلة الحالة، كان هذا "استردادًا على مستوى الحالة": لا يزال بإمكان مفتاح المهاجم الخاص توقيع المعاملات، لكن الأصول الأساسية في ذلك العنوان تم نقلها قسرًا إلى محفظة خاضعة لحوكمة الشبكة وفقًا لقواعد السلسلة. تتيح هذه المقاربة التقنية تدخلاً مستهدفًا مع الحفاظ على نزاهة سجل البلوكشين.
جاءت عملية التجميد بدقة عالية. وشددت Arbitrum على أن التحويل "لم يؤثر على أي حالة أخرى على السلسلة أو على مستخدمي Arbitrum"، ولم يتسبب في تعطيل أي تطبيقات على Arbitrum. واعتبارًا من الساعة 11:26 مساءً بتوقيت شرق الولايات المتحدة في 20 أبريل، تم نقل الأموال بنجاح إلى محفظة التجميد الوسيطة، ولم يعد لدى عنوان المهاجم الأصلي إمكانية الوصول إلى هذه الأصول. وأي حركة لاحقة للأموال لا يمكن أن تتم إلا من خلال إجراء منسق من قبل هيئة حوكمة Arbitrum.
كيف يتوازن تدخل الحوكمة مع مبادئ اللامركزية؟
رغم أن التجميد اعترض جزءًا من الأموال المسروقة بفعالية، إلا أنه أثار نقاشًا واسعًا حول حدود حوكمة الشبكات اللامركزية. فقد تدخل مجلس أمن من الطبقة الثانية، مدعومًا بجهات إنفاذ القانون، لتجميد أصول في عنوان محدد على السلسلة—مما شكل سابقة مهمة في تاريخ التمويل اللامركزي.
محور الجدل: هل عدم قابلية تغيير البلوكشين ومقاومة الرقابة مبادئ مطلقة، أم يمكن التنازل عنها في ظروف معينة؟ يرى المؤيدون أنه عندما تواجه أصول المستخدمين خسائر ضخمة، فإن تدخل الحوكمة في حالات الطوارئ أداة ضرورية لأمن المنظومة. وباعتبار المجلس هيئة منتخبة من المجتمع، فإن أفعاله تمثل الإرادة الجماعية في السيناريوهات القصوى. في المقابل، يرى المنتقدون أن أي تجميد للأصول على السلسلة يقوض الفلسفة الأساسية للبلوكشين. وعلى X، انتقد العديد من المستخدمين خطوة Arbitrum، متسائلين عن مدى استمرار لامركزية الشبكة إذا كان بإمكان المجلس تجميد الأموال بقرار منه.
من منظور تصميم الأنظمة، فإن سلطة مجلس أمن Arbitrum محددة بوضوح. ووفقًا لوثائق اللامركزية التدريجية لـ Arbitrum، لا يمكن للمجلس ممارسة هذه الصلاحيات إلا في "حالات الطوارئ الكارثية" ويجب تحقيق حد التوقيعات المتعددة 9 من 12. ويتم انتخاب أعضاء المجلس من قبل DAO ويمكن عزلهم عبر تصويت DAO أو استدعاء داخلي، ما يوفر نظامًا للضوابط والتوازنات. ومع ذلك، كشف هذا الحادث عن إشكالية غير محلولة: في غياب محفزات تلقائية على السلسلة، يبقى معيار تعريف "الطوارئ الكارثية" أمرًا ذاتيًا، مما يجعل نطاق سلطة المجلس مخاطرة حوكمية محتملة.
ما هي المخاطر المنهجية التي كشفتها البنية التحتية عبر السلاسل؟
يبرز حادث KelpDAO الأمني الهشاشة الهيكلية للبنية التحتية عبر السلاسل. ففي السنوات الأخيرة، شكلت اختراقات الجسور عبر السلاسل أكثر من $2.8 مليار من الأموال المسروقة—أي ما يقارب نصف إجمالي خسائر التمويل اللامركزي. ويعزز هذا الحدث ذلك الاتجاه: لم تكن الثغرة الأساسية في كود العقد الذكي، بل في نقطة فشل واحدة في نموذج الثقة الخاص بالتحقق عبر السلاسل.
أشارت تحقيقات LayerZero إلى أن إعداد DVN بمدقق واحد (1-of-1) لدى KelpDAO خالف أفضل الممارسات في القطاع. وقد أوصت LayerZero مرارًا بتكوين متعدد المدققين لتحقيق التكرار، لكن لم يتم تنفيذ هذه التوصيات. هذا الإعداد جعل اختراق مدقق واحد كافيًا للإفراج عن جميع أصول الجسر. ولخص David Schwartz، المدير التقني في Ripple، القضية عبر X: "كان الهجوم أكثر تعقيدًا مما كان متوقعًا، إذ استغل إغفال KelpDAO في الإعداد واستهدف بنية LayerZero التحتية".
في جوهره، يمثل نموذج الثقة للبنية التحتية عبر السلاسل "تسوية" لافتراضات اللامركزية في البلوكشين. ففي منظومة متعددة السلاسل، تتطلب عمليات نقل الأصول بين السلاسل وسيطًا للتحقق وترحيل الرسائل. سواء استخدم هذا الوسيط توقيعات متعددة أو DVN أو آلية أخرى، يصعب التخلص من الاعتماد على مجموعة محددة من المدققين. وتظهر حادثة KelpDAO أنه عندما يضيق هذا الاعتماد إلى نقطة واحدة، يصبح الجسر بأكمله ثغرة حرجة.
كيف سيعيد القطاع تشكيل أطر الأمن والحوكمة؟
يوفر هذا الحادث عدة دروس مهمة لصناعة التمويل اللامركزي.
على صعيد الأمن عبر السلاسل، يجب اعتبار إعدادات المدقق الواحد غير مقبولة. قامت LayerZero بإيقاف العقد المتأثرة وأعادت تشغيل عمليات DVN، لكن يبقى السؤال الأوسع: كم عدد البروتوكولات التي لا تزال تعمل بإعدادات مماثلة ذات نقطة فشل واحدة؟ يحتاج القطاع إلى معايير تدقيق أمني أكثر صرامة وإرشادات إعداد أوضح للبنية التحتية عبر السلاسل للقضاء على مخاطر الثقة المنهجية.
أما على صعيد الحوكمة، فلا يزال التوازن بين صلاحيات مجلس الأمن في حالات الطوارئ وحوكمة المجتمع بحاجة إلى مزيد من التطوير. حاليًا، يستند نطاق عمل المجلس في "الطوارئ الكارثية" إلى تقدير ذاتي، دون وجود محفزات واضحة على السلسلة أو آليات مراجعة لاحقة. وقد يكون التطور المستقبلي هو إطار استجابة طارئة متعدد المستويات، يطابق مستويات التفويض مع حدة الحادث، ويضيف لجان مراجعة مستقلة لتقييم مشروعية الإجراءات الطارئة بعد وقوعها.
وبالنسبة لتوزيع الخسائر، فقد بلغت الخسائر الإجمالية في حادث KelpDAO نحو $292 مليون، مع نجاح مجلس أمن Arbitrum في تجميد ما يقارب $71 مليون—أي حوالي ربع الإجمالي. ولا يزال التعامل مع الخسائر المتبقية—بما في ذلك ديون Aave المتعثرة البالغة $196 مليون، وآليات تقاسم الخسائر بين البروتوكولات، وتعويضات التأمين المحتملة—قيد التفاوض. وقد يدفع هذا الحدث بروتوكولات التمويل اللامركزي إلى تضمين آليات الاستجابة الطارئة وتقاسم الخسائر في تصميمها الأساسي، عوضًا عن البحث عن حلول مؤقتة بعد وقوع الحوادث.
الخلاصة
من استغلال جسر السلاسل إلى تجميد 30,766 ETH بواسطة مجلس الأمن، يقدم حادث KelpDAO نظرة شاملة على آليات الاستجابة الطارئة في التمويل اللامركزي عند مواجهة هجمات واسعة النطاق. المعضلة المركزية—عيوب نماذج الثقة عبر السلاسل مقابل حدود تدخل الحوكمة اللامركزية—ستوجه إصلاحات القطاع المستقبلية وترقيات الأمن. يمثل تجميد 30,766 ETH بنجاح علامة فارقة في استرداد الأصول، لكنه يثير أسئلة أكثر مما يجيب: من يحدد "الطوارئ الكارثية"؟ كيف يمكن فرض معايير التدخل الطارئ على السلسلة؟ كيف يمكن تحسين افتراضات الثقة عبر السلاسل لتحقيق الأمان واللامركزية معًا؟ ستحدد إجابات هذه الأسئلة مسار تطور منظومة التمويل اللامركزي لسنوات قادمة.
الأسئلة الشائعة (FAQ)
كيف تمكن مجلس أمن Arbitrum من تجميد الأموال بدقة دون التأثير على المستخدمين الآخرين؟
استخدم المجلس مقاربة تقنية على مستوى النظام استهدفت عنوانًا محددًا. من خلال تنفيذ معاملة ArbitrumUnsignedTxType عبر حقن ArbOS، نقلوا مباشرة 30,766 ETH من عنوان المهاجم إلى محفظة تجميد وسيطة. لم تؤثر هذه العملية على أي كتل تاريخية أو على أرصدة أو عقود المستخدمين الآخرين. وتكمن دقتها في تعديل حالة العنوان المستهدف فقط.
ما مصير الـ 30,766 ETH المجمدة؟
حاليًا، تحتفظ محفظة وسيطة بهذه الأموال وتخضع لسيطرة هيئة حوكمة Arbitrum فقط. وأي تحويلات لاحقة ستتطلب موافقة عبر عملية الحوكمة في Arbitrum والتنسيق مع الأطراف ذات الصلة. ولم يُعلن بعد عن خطة محددة لإعادة الأموال، ومن المرجح أن تعتمد على تقدم التحقيقات القانونية وإجراءات القضاء.
كيف أثر التجميد على معالجة حادث KelpDAO الأمني بشكل عام؟
نجح الإجراء في استعادة نحو $71 مليون من الأموال المسروقة—ما يقارب ربع إجمالي الخسائر—مما حد بشكل فعال من سيطرة المهاجم على هذه الأصول. ومع ذلك، لا تزال التسوية الكاملة لحادث KelpDAO—بما في ذلك معالجة ديون Aave المتعثرة البالغة نحو $196 مليون، وتوزيع المسؤولية بين KelpDAO وLayerZero، وترتيبات التعويض بين البروتوكولات—قيد المتابعة.
