#rsETHAttackUpdate

واجهت صناعة التمويل اللامركزي العديد من الحوادث الأمنية على مر السنين، لكن استغلال جسر rsETH في 18 أبريل 2026 يبرز كواحدة من أخطر الهجمات وأكثرها تعليمًا التي شهدها النظام البيئي. لم يكن مجرد اختراق بروتوكول آخر—بل كان هجومًا مباشرًا على بنية الثقة التي تدعم التمويل عبر السلاسل، وإعادة الستاكينغ السائلة، والإقراض القائم على الضمان عبر إيثريوم.

أصبح KelpDAO، أحد أهم بروتوكولات إعادة الستاكينغ السائلة في نظام إيثريوم، محور الاهتمام بعد أن استغل المهاجمون بنيته التحتية للجسر المدعوم من LayerZero واصدروا 116,500 رمز rsETH غير مدعوم. بلغت القيمة الإجمالية للاستغلال حوالي 292 مليون دولار، مما يجعله أحد أكبر هجمات DeFi لهذا العام وأحد أخطر الأمثلة على فشل الجسور.

لفهم حجم هذا الحدث، من المهم فهم rsETH نفسه. يتيح KelpDAO للمستخدمين إيداع ETH واستلام rsETH مقابل ذلك، وهو رمز إعادة الستاكينغ السائل الذي يمثل إيثريوم المكدس مع السماح للمستخدمين بنشر تلك القيمة عبر تطبيقات DeFi مثل الإقراض، والزراعة، واستراتيجيات الرافعة المالية. هذا يجعل rsETH متكاملًا بشكل كبير عبر بروتوكولات متعددة.

بدأت المشكلة في نظام التحقق من الجسر. بدلاً من نموذج أمان لامركزي قوي، اعتمد الجسر على إعداد تحقق خطير من نوع 1-من-1. هذا يعني أن مُحققًا واحدًا فقط كان مسؤولًا عن تأكيد ما إذا كانت رسالة تحويل عبر السلاسل شرعية أم لا. بمجرد أن تم اختراق نقطة الثقة تلك، تمكن المهاجم من إنشاء تأكيدات تحويل مزيفة.

لم يكن هناك حاجة لسرقة مفتاح خاص. لم يكن هناك حاجة لثغرة في العقود الذكية. عملت العقود تمامًا كما هو مصمم—الضعف الحقيقي كان في نموذج الثقة نفسه.
من خلال تزوير رسالة جسر زائفة، خدع المهاجم النظام ليقوم بعمل رموز rsETH لم تكن مدعومة أبدًا من ودائع ETH الحقيقية. بكلمات بسيطة، دخل ضمان زائف إلى نظام DeFi متنكرًا كقيمة شرعية.

ما جعل هذا الهجوم استراتيجيًا بشكل خاص هو الخطوة التالية للمهاجم. بدلاً من بيع rsETH المسروق على الفور وانهار سعر الرمز، استخدم الرموز الجديدة كضمان عبر بروتوكولات الإقراض مثل Aave ومنصات متكاملة أخرى. سمح لهم ذلك باقتراض ETH الحقيقي وأصول قيمة أخرى مع إبقاء الذعر السوقي مؤقتًا متأخرًا.

أسفر هذا الأسلوب عن مشكلة أعمق بكثير من تفريغ رمزي عادي. فجأة، وجدت منصات الإقراض نفسها تحمل مسؤوليات مضمونة بأصول لم تكن حقيقية أبدًا. على الرغم من أن تلك البروتوكولات كانت تحتوي على أنظمة تصفية فعالة وفحوصات ضمان طبيعية، إلا أنها كانت لا تزال معرضة للخطر لأن الضمان نفسه كان زائفًا.

ردت Aave وعدة أسواق إقراض بسرعة عن طريق تجميد المراكز المتأثرة وإيقاف العمليات الخطرة. ساعدت أدوات الطوارئ في منع توسع الضرر، لكن مشكلة الديون السيئة كانت قد دخلت بالفعل إلى النظام. وأبرز ذلك أحد أكبر المخاطر الخفية في DeFi: القابلية للتكوين.

تُربط بروتوكولات DeFi مثل الدومينو. يمكن أن تتسبب نقطة ضعف في بروتوكول واحد بسرعة في أزمة لبروتوكول آخر. أثبت استغلال rsETH أن فشل الجسر لا يظل معزولًا—بل ينتشر عبر أنظمة الإقراض، والرافعة المالية، والتخزين، والسيولة عبر النظام البيئي.

كما أثار هذا الحدث مخاوف جدية حول معايير أمان الجسور عبر السوق بأكمله. تركز العديد من البروتوكولات بشكل كبير على تدقيق العقود الذكية مع تجاهل افتراضات المُحققين، واعتمادات الأوراكل، وهياكل التحقق من الرسائل. في الواقع، غالبًا ما يكون تكوين الثقة أكثر خطورة من ثغرات الكود.

بالنسبة للمستخدمين، الدرس واضح: مخاطر DeFi ليست فقط تقلبات سعر الرموز. فهي تشمل مخاطر البنية التحتية، والتعرض للجسور، وافتراضات الثقة بالمحققين، والاعتمادات الخفية بين البروتوكولات.
بالنسبة للبنائين، الرسالة أقوى. يجب القضاء على نقاط الفشل الأحادية. التحقق من متعدد المُحققين، وهندسة الجسر الأقوى، وأنظمة الاستجابة للطوارئ الأبطأ، وضوابط مخاطر الضمان الأكثر صرامة لم تعد اختيارية—بل ضرورية للبقاء على قيد الحياة.

استغلال rsETH مؤلم، لكنه أيضًا نداء استيقاظ. كل هجوم كبير يجبر DeFi على النضوج. قد يكون هذا هو اللحظة التي تغير بشكل دائم كيفية تعامل الصناعة مع أمان الجسور.
لأن هذا لم يكن مجرد استغلال بقيمة 292 مليون دولار.
بل كان تحذيرًا لعالم DeFi بأكمله.
والبروتوكولات التي تتعلم منه ستبقى على قيد الحياة في الدورة القادمة—بينما تلك التي تتجاهله قد تصبح العنوان الرئيسي التالي.