ثغرة Kelp DAO تطيح بمليار دولار وتدفع DeFi لأدنى مستوياته

تسبب استغلال بروتوكول Kelp DAO في 18 أبريل 2026، والذي قام فيه المهاجمون بسك 116,500 من رموز rsETH غير المدعومة عبر تسميم عقدة واحدة للتحقق في LayerZero، في تحفيز خسائر تجاوزت 600 مليون دولار في قطاع DeFi خلال الأسابيع الأخيرة، مع اقتراب الأضرار التراكمية عبر البروتوكولات من مليار دولار.

وبات الأثر المترتب على ذلك واضحاً الآن عبر البيانات على الشبكة؛ حيث انهارت إجمالي القيمة المقفلة (TVL) عبر قطاع التمويل اللامركزي (DeFi) إلى أدنى نقطة لها منذ اثني عشر شهراً، وفقاً لبيانات DefiLlama، مع تسارع هروب رؤوس الأموال عبر بروتوكولات إعادة التخزين (restaking)، والإقراض، والجسور العابرة للشبكات.

السؤال الجوهري الذي يطرحه هذا الحادث ليس ما إذا كان Kelp DAO قد فشل – فقد فشل بالفعل من الناحية الهيكلية – بل السؤال هو ما إذا كانت عقدة تحقق واحدة سيئة التكوين قد كشفت عن هشاشة نظامية تكمن تحت كامل بنية DeFi العابرة للسلاسل.

كيف أطاحت عقدة تحقق واحدة بـ 600 مليون دولار في DeFi

كان الفشل هيكلياً وليس تأسيسياً، وهذا التمييز مهم لتقييم بقية البنية التحتية لـ DeFi العابرة للسلاسل. اعتمد جسر rsETH الخاص بـ Kelp DAO على عقدة واحدة من شبكة التحقق اللامركزية (DVN) لتوثيق رسائل LayerZero، وهو تكوين يعتمد على عنصر واحد (1-of-1) كانت شركة الأمن Halborn قد حذرت منه في تنبيهات سابقة.

وقام المهاجمون، الذين حددتهم LayerZero بأنهم مجموعة TraderTraitor التابعة لـ Lazarus، باختراق عقدتي RPC تغذيان ذلك المحقق بالبيانات، وشنوا هجمات DDoS ضد العقد الاحتياطية لإجبار النظام على الانتقال إليها، ثم حقنوا رسالة احتيالية أدت لسك 116,500 rsETH دون وجود أي ضمانات أساسية.

تحركت رموز rsETH المسروقة بسرعة؛ حيث تظهر البيانات على الشبكة أن المهاجم استبدلها بعملات ETH وArbitrum باستخدام قروض عبر Aave وSparkLend وFluid، مع استخدام Tornado Cash لإخفاء رسوم الغاز. كما قامت البرمجيات الخبيثة بحذف نفسها من عقد RPC المخترقة بعد الهجوم، مما أدى لمحو السجلات الجنائية عمداً.

تراكمت الخسائر بسرعة، حيث أدت رموز rsETH المسكوكه إلى تكوين ديون معدومة عبر أسواق الإقراض التي قبلت rsETH كضمان دون تحقق كافٍ من دعمها، وهو ما وصفته Halborn بأنه “غرفة صدى” للرسائل المزورة. وأشارت Allium، في تحليلها للفجوة بعد الحادث، إلى أن “الأدوات عملت كما هو مصمم لها، لكن الطريقة التي تم تكوينها بها لم تكن كذلك”.

هذه ليست مجرد ملاحظة هامشية؛ فهي تعني أن الاستغلال لم يتطلب ثغرة يوم الصفر (zero-day)، بل مجرد سوء تكوين تم توثيقه والتحذير منه مسبقاً. وأصبحت بنيات التحقق ذات نقطة الفشل الواحدة الآن سطح هجوم موثق، ولن يكون Kelp DAO البروتوكول الأخير الذي يعتمد عليها.

القيمة المقفلة عند أدنى مستوى في عام: ماذا تعني بيانات هروب رؤوس الأموال؟

كان إجمالي القيمة المقفلة (TVL) في DeFi يتقلص بالفعل خلال الربع الأول من عام 2026 تحت ضغوط الاقتصاد الكلي، لكن استغلال Kelp DAO سرّع التراجع ليتحول إلى هبوط حاد. وتظهر بيانات DefiLlama نزوحاً بقيمة 13 مليار دولار من TVL خلال 48 ساعة التي أعقبت هجوم 18 أبريل، وهي وتيرة باغتت بروتوكولات مثل Compound التي لم يكن لديها تعرض مباشر لـ rsETH ولكنها تأثرت بسحوبات العدوى على أي حال.

أرقام الخسائر في البروتوكولات الفردية كانت أكثر وضوحاً؛ فقد انهارت القيمة المقفلة في Aave من 26.4 مليار دولار إلى حوالي 18 مليار دولار بعد أن جمد البروتوكول أسواق rsETH، وهو تراجع بقيمة 8.45 مليار دولار مدفوعاً بمستخدمين يسعون لتقليل المخاطر قبل احتمال تبلور الديون المعدومة من مراكز الضمانات الملوثة.

يقوم فريق المخاطر في Aave الآن بنمذجة سيناريوهين للديون المعدومة اعتماداً على معدلات الاسترداد لرموز rsETH غير المدعومة التي استُخدمت كضمان للقروض قبل تجميد الأسواق.

ويضع انكماش TVL هذا سيناريوهين للمستقبل؛ فإذا استقرت التدفقات الخارجة ونشرت Kelp تقريراً جنائياً موثوقاً مع آلية تعويض، فقد يثبت المستوى الحالي أنه عدوى محصورة. أما إذا أظهرت نمذجة الديون المعدومة في Aave خسائر مادية وامتد الجدول الزمني لترقية LayerZero إلى الربع الثاني، فتوقع موجة ثانية من انخفاض TVL حيث سينتقل الباحثون عن العائد تماماً من بروتوكولات إعادة التخزين إلى بدائل أقل ترابطاً.

وتسعّر تقييمات رموز الحوكمة بالفعل السيناريو الأول على أنه متفائل، حيث فقد رمز AAVE أكثر من 20% منذ الاستغلال، وتعتمد فرضية التعافي كلياً على ما إذا كان بإمكان Aave إنهاء تعرضها لـ rsETH بشكل نظيف.