LayerZero تتهم مجموعة Lazarus باختراق Kelp DAO بقيمة 292 مليون دولار

نسبت منصة LayerZero عملية اختراق Kelp DAO إلى مجموعة Lazarus التابعة لكوريا الشمالية، محددة وجود “نقطة فشل واحدة” في إعدادات التحقق الخاصة بالبروتوكول كسبب جذري تقني جعل الهجوم ممكناً.

تسبب الخرق في استنزاف ما يقدر بنحو 292 مليون دولار من مجمع rsETH الخاص بـ Kelp DAO في 18 أبريل، مما يجعله أكبر اختراق لقطاع التمويل اللامركزي (DeFi) في عام 2026 حتى الآن. وأدى الحادث إلى انخفاض إجمالي القيمة المحجوزة (TVL) عبر قطاع DeFi بنسبة 7% خلال 24 ساعة لتصل إلى 85 مليار دولار، وفقاً لبيانات DefiLlama.

لا يأتي هذا الاتهام كاستنتاج نهائي بل كادعاء احتمالي؛ حيث ذكرت LayerZero أن Lazarus هي الجاني المرجح، وليست المؤكدة. ويبقى السؤال الذي تجيب عليه هذه القصة هو ما يعنيه هذا التمييز للبروتوكول ومستخدميه ونموذج أمان السلاسل المتقاطعة.

نتائج LayerZero حول Kelp DAO وLazarus: ماذا يعني فشل النقطة الواحدة في بنية السلاسل المتقاطعة

كانت آلية الاختراق متعددة الخطوات ودقيقة للغاية. قام المهاجمون بتسميم بنية RPC التحتية التي تغذي شبكة التحقق اللامركزية الخاصة بـ LayerZero، ثم شنوا هجوماً لتعطيل الخدمة (DDoS) مصمماً لإجبار النظام على الانتقال إلى عقد احتياطية مخترقة.

ومع إعادة توجيه شبكة التحقق، قام النظام بالمصادقة على معاملات وهمية عبر السلاسل، وخرجت 292 مليون دولار من عملة rsETH من مجمع Kelp DAO قبل اكتشاف الاحتيال.

كان الممكن الحاسم هنا هو تشغيل Kelp DAO لإعدادات DVN بنسبة 1-من-1، مما يعني أن عقدة تحقق واحدة فقط كانت تقف بين البروتوكول والفشل الكارثي. وكانت LayerZero قد نبهت إلى أن هذه البنية غير كافية – عدة مرات وفقاً للتحقيق – وأوصت بإعدادات DVN متعددة تماشياً مع أفضل الممارسات في الصناعة لضمان التكرار والأمان، إلا أن Kelp DAO لم تستجب لتلك التوصيات.

كان من شأن إعداد DVN المتعدد أن يتطلب من المهاجمين اختراق عدة عقد تحقق مستقلة في وقت واحد، وهو جهد تقني أصعب بكثير. لكن إعداد 1-من-1 أزال هذا الحاجز تماماً. وكما قال ديفيد شوارتز، المدير التكنولوجي لشركة Ripple، عبر منصة X: “كان الهجوم أكثر تعقيداً مما توقعت واستهدف بنية LayerZero التحتية مستغلاً تكاسل KelpDAO”.

كانت استجابة LayerZero دقيقة؛ حيث قام الفريق بإيقاف تشغيل جميع عقد RPC المتضررة بعد الحادث واستعاد عمليات DVN بالكامل دون انتقال العدوى إلى بروتوكولات أخرى تستخدم نفس البنية التحتية. لم يتم اختراق كود بروتوكول LayerZero، ولم تتعرض أي مفاتيح خاصة للكشف. كان الفشل معمارياً وليس أساسياً – وهو تمييز يهم كثيراً لمصداقية البروتوكول، لكنه لا يفعل شيئاً لاسترداد الـ 292 مليون دولار.

لماذا يغير اتهام كوريا الشمالية نموذج التهديد لقطاع DeFi بالكامل

إن اتهام LayerZero لمجموعة Lazarus في قضية Kelp DAO، والذي صيغ كأمر مرجح وليس مؤكداً، يتماشى مع نمط ثابت ومتسارع من الهجمات.

تم تحديد مجموعة TraderTraitor الفرعية، وهي وحدة عمليات معروفة تابعة لـ Lazarus، بشكل أولي في التحليل الجنائي. وتتعاون LayerZero بنشاط مع جهات إنفاذ القانون العالمية لتتبع الأموال، مما يشير إلى أن الاتهام يحمل وزناً أدلتياً كافياً لإشراك موارد تحقيقية على مستوى الدول.

ارتبط اسم Lazarus ببعض أكبر سرقات الكريبتو المسجلة، بما في ذلك اختراق شبكة Ronin بقيمة 625 مليون دولار في عام 2022، وسلسلة من اختراقات بروتوكولات DeFi التي حولت مليارات الدولارات بشكل جماعي إلى برامج الأسلحة في كوريا الشمالية، وفقاً لتقديرات وزارة الخزانة الأمريكية والأمم المتحدة.

تمتد عمليات كوريا الشمالية في مجال الكريبتو إلى ما هو أبعد من الاختراقات المباشرة؛ حيث قام النظام أيضاً بزرع عملاء داخل شركات Web3 بهويات مزيفة، وهو مسار موازٍ يوسع سطح الهجوم ليتجاوز البنية التحتية وحدها.

تعد بروتوكولات السلاسل المتقاطعة أهدافاً جذابة من الناحية الهيكلية لهذا النوع من الفاعلين، فهي تقع عند تقاطعات عالية القيمة بين سلاسل متعددة، وغالباً ما تحمل سيولة مجمعة تفوق رصيد أي تطبيق منفرد، وتعتمد أمنها على شبكات تحقق يمكن أن تتحول إلى نقاط فشل واحدة عند إساءة تكوينها. ويمثل تكتيك تسميم الـ RPC ضد شبكات التحقق تصعيداً جديداً – يقول الباحثون الأمنيون إنه أصبح الآن موثقاً وقابلاً للتكرار.