استجابة LayerZero لحدث Kelp DAO بقيمة 292 مليونًا: يشير إلى أن Kelp قامت بتكوين 1-of-1 DVN اختياريًا، وأن المهاجم هو Lazarus التابع لكوريا الشمالية

بروتوكول رسائل عبر السلاسل LayerZero، بتوقيت تايوان ظهرًا في 20 أبريل، أصدرت بيانًا رسميًا عبر مقال طويل على منصة X الرسمية، ردًا على حادثة الاختراق التي تعرض لها Kelp DAO بمبلغ 292 مليون دولار قبل يومين. ووفقًا لما ورد في تقرير CoinDesk، نسب LayerZero بوضوح سبب الحادث إلى اختيار Kelp DAO لـ«اختيار استخدام تكوين DVN واحد 1-of-1 (مُتحقّق واحد)»، وللمرة الأولى نسب الهجوم إلى فرقة TraderTraitor التابعة لمجموعة Lazarus الكورية الشمالية — وقد اعتُبر أيضًا أن نفس المجموعة من المتسللين هي المنفّذ لحادثة Drift Protocol البالغة 285 مليون دولار في 1 أبريل.

ما هو 1-of-1 DVN

يعتمد LayerZero v2 بنية DVN (Decentralized Verifier Network). عند نشر المشروع، يمكنه اختيار عدد «عُقد المُتحققين المستقلين» التي تُشكّل الإجماع، بدءًا من 1-of-1 (عقدة واحدة) وصولًا إلى M-of-N (يتطلب موافقة الأغلبية). يحدد عدد DVN حدود التسامح مع الأعطال: يشير 1-of-1 إلى أنه بمجرد اختراق هذه العقدة الواحدة، يمكن تزوير رسائل عبر السلاسل؛ بينما يتطلب M-of-N اختراق أكثر من نصف العُقد من أجل تزويرها.

أشار LayerZero في بيانه إلى: «يختار KelpDAO استخدام تكوين 1-of-1 DVN. سيتطلب إطار عمل مُتحققين متعددين تم ضبطه بشكل صحيح التوصل إلى إجماع بين عدة DVN مستقلة؛ حتى إذا تم اختراق أي مُتحقق واحد، فإن الهجوم سيظل غير فعّال». القائمة الرسمية للفحوصات المتكاملة والتواصل المباشر مع Kelp كانا قد أوصيا أيضًا باعتماد تصميم مع تكرار مُتحققين متعددين.

أسلوب الهجوم: استبدال الثنائيات في عقد RPC، وخداع انتقائي

كشف LayerZero عن تفاصيل تقنية للهجوم. اخترق المهاجم اثنين من عقد RPC (Remote Procedure Call) يستخدمهما مُتحققو LayerZero لقراءة وكتابة البيانات على السلسلة — إذ يستخدم مُتحققو LayerZero مزيجًا من عقد RPC داخلية وخارجية لزيادة التكرار. قام القراصنة باستبدال البرنامج الثنائي الأصلي الذي يعمل على هاتين العقدتين بنسخة خبيثة تم تعديلها.

يتميز تصميم الثنائيات الخبيثة بالدهاء الشديد: فهو يكذب فقط على مُتحقق LayerZero برسالة مفادها إن «معاملة عبر سلاسل مزوّرة قد حدثت»، لكنه بالنسبة لجميع الاستعلامات الأخرى التي تستعلم عن نفس العقدة (بما في ذلك نظام المراقبة الخاص بـ LayerZero عند استخدامه عناوين IP مختلفة) يواصل إرجاع البيانات الصحيحة. إن هذا «الكذب الانتقائي» جعل الهجوم شبه غير مرئي تقريبًا على طبقة المراقبة في LayerZero.

Lazarus يسحب 575 مليون دولار من DeFi خلال 18 يومًا

نسب LayerZero الهجوم إلى فرقة TraderTraitor التابعة لمجموعة Lazarus الكورية الشمالية، ووسمها بـ«نسبة عالية مبدئيًا من الترجيح في إسناد المسؤولية». وقد تم اعتبار نفس الفرقة سابقًا المنفّذ لحادثة Drift Protocol البالغة 285 مليون دولار في 1 أبريل — وبين الحادثتين 18 يومًا، بمجموع سُحبت من سوق DeFi أكثر من 575 مليون دولار.

بنية مسارات الهجومين كانت مختلفة تمامًا: كان Drift عبر هجوم هندسة اجتماعية يستهدف مُوقّعي الحوكمة (تقمّص كوريا الشمالية لهويات مزيفة لإقناع محافظي متعددة التوقيع بالتوقيع على معاملة خبيثة)؛ أما Kelp فكان عبر خداع بروتوكول التحقق من خلال إصابة طبقة البنية التحتية (عقد RPC). وهذا يعني أن قدرات Lazarus على هجمات DeFi قد تجاوزت الحدود التقليدية لـ«ثغرات العقود الذكية»، وتعمل على التوسع في اتجاهين متوازيين: «مهاجمة الأشخاص» و«مهاجمة البنية التحتية».

الإعلانات الثلاثة لسياسات LayerZero

قدّم LayerZero في بيانه ثلاثة مواقف واضحة. أولًا، كان مصدر الحادث هو خيار إعدادات Kelp وليس ثغرة على مستوى البروتوكول؛ ثانيًا، بعد الفحص الشامل تبيّن عدم وجود أي مخاطر تبعية على جميع التطبيقات الأخرى على البروتوكول (فإن التطبيقات التي تستخدم معيار OFT + مُتحققين متعددين لم تتأثر بالكامل)؛ ثالثًا، اعتبارًا من اليوم، لن يوقّع LayerZero بعد الآن على أي رسائل لأي تطبيق يستخدم تكوين مُتحقق واحد 1-of-1، ما يجبر جميع المُدمجين على الترقية إلى بنية مُتحققين متعددين.

هذه هي المرة الأولى التي يضع فيها LayerZero «حدًا أدنى للأمان» على مستوى البروتوكول — ففي الماضي كانت بنية مُتحققين متعددين مجرد «توصية»، والآن أصبحت شرطًا إلزاميًا. يُعدّ هذا الإجراء فصلًا للمسؤولية عن حادثة Kelp، وفي الوقت نفسه إشارة لرفع الأمان الجماعي للمنظومة البيئية بأكملها في DeFi. أما بالنسبة للقلة من المشاريع التي لم تنتقل بعد إلى تكوين مُتحققين متعددين، فقد تواجه خطر الإزالة من الخدمة خلال هذا الأسبوع.

ما تزال مسؤولية الإسناد محل جدل

وجّه LayerZero المسؤولية بشكل واضح إلى خيار إعدادات Kelp، لكن آراء المجتمع الخارجي ليست متفقة. أشار بعض مراقبي DeFi إلى أنه طالما أن البروتوكول يدعم افتراضيًا تكوين 1-of-1 شديد الهشاشة، ولا يوفّر حدًا أدنى إلزاميًا لـ DVN، فلا يمكن تحميل كل المسؤولية للمستخدمين فقط. كما توجد أنماط مماثلة يمكن رؤيتها في حدث RAVE الذي وقع قبل هذا الأسبوع — حيث أصبحت حدود المسؤولية بين موفري البنية التحتية (البورصات/البروتوكولات) وبين طبقة التطبيقات (مشاريع إصدار الرموز/المشاريع) نزاعًا بنيويًا في بيئة DeFi لعام 2026.

بالنسبة لخطر التصفية للمستخدمين المتضررين في Kelp DAO ولـ Aave وSparkLend وFluid وغيرها من بروتوكولات الإقراض، لم يقدّم LayerZero أي حل لتعويض الخسائر؛ ولم يعلن Kelp DAO رسميًا بعد تفاصيل التعويض. وستكون بؤرة المراقبة للأسبوع المقبل هي: توقيت نفاذ سياسة LayerZero الإلزامية للـمُتحققين متعددين، وعدد المشاريع التي ما تزال تستخدم 1-of-1، وما إذا كان بإمكان Kelp تعويض المستخدمين جزئيًا من الاحتياطيات الداخلية أو بمساعدة من LayerZero للتخفيف من خسائر المستخدمين.

تتناول هذه المقالة رد LayerZero على حادثة Kelp DAO البالغة 292 مليون دولار: تشير إلى أن Kelp اختار تكوين 1-of-1 DVN، وأن المتسللين هم Lazarus الكورية الشمالية، وأول ظهور لـ Lazarus كان في سلسلة الأخبار ABMedia ضمن السلسلة.