من سرقة بقيمة 290 مليون دولار؟ Kelp DAO ترد وتتهم: "الإعداد الافتراضي" لـ LayerZero هو السبب

موجة هجمات قرصنة بلغت قيمتها معًا 292 مليون دولار، لم تقتصر على تسجيل أكبر عملية سرقة في مجال التمويل اللامركزي (DeFi) هذا العام فحسب، بل أثارت أيضًا في عالم العملات المشفرة جدلاً حول تحميل المسؤولية. في مواجهة الانتقادات الشديدة من الخارج، أصدر بروتوكول إعادة الرهن liquidity إعادة الرهن Kelp DAO يوم الاثنين بيانًا رداً على الاتهامات الموجهة إليه، ووجه اللوم بشدة إلى مزود تقنية السلسلة المتقاطعة LayerZero، الذي اتهمه بفتح ثغرة أمنية. نظرة على 18 أبريل، حين تعرضت Kelp DAO المبنية على تقنية السلسلة المتقاطعة LayerZero للاختراق بشكل مروع، حيث خسرت ما يصل إلى 116,500 من رموز rsETH، بقيمة إجمالية تقدر بحوالي 292 مليون دولار، مسجلة أكبر حادثة قرصنة في مجال DeFi هذا العام. ردًا على هذا الهجوم، أصدرت LayerZero يوم الأحد أول تقرير تحقيق مبدئي، أشار فيه إلى أن الجهة المسؤولة المحتملة وراء الهجوم هي منظمة القرصنة الشهيرة من كوريا الشمالية، “مجموعة لازاروس (Lazarus Group)”. يكشف التقرير أن القراصنة أولاً اخترقوا قائمة عقد RPC (التي تتحكم في التحقق من صحة رسائل السلسلة المتقاطعة) المستخدمة في شبكة التحقق اللامركزية (DVN، المسؤولة عن التحقق من صحة رسائل العبور بين السلاسل)، ثم قاموا بتسميم اثنين من عقد RPC، وشنوا هجمات DDoS على باقي العقد، مما أجبر النظام على التبديل إلى عقد مخترقة، مما سمح لـ DVN باستقبال رسائل عبور زائفة، وفي النهاية وقعوا على معاملة سرقة العملات غير المصرح بها. وفي التقرير، انتقدت LayerZero اعتماد Kelp DAO على تكوين “DVN واحد من واحد (1-of-1)”، وهو تكوين هش للغاية. وأكدت LayerZero أن هذا التصميم يفتقر إلى آلية تحقق مستقلة، مما يزرع ثغرة قاتلة تسمح بوجود “نقطة فشل واحدة” في النظام، مما يمنع الشبكة من اعتراض الرسائل الزائفة العابرة بين السلاسل. وأشارت LayerZero إلى: “لقد نصحنا خبراؤنا الخارجيون مرارًا وتكرارًا بأن على Kelp DAO تنويع عقد DVN لزيادة الأمان، ولكن على الرغم من هذه النصائح، أصرت Kelp على اعتماد تكوين DVN واحد من واحد.” ردًا على الاتهام الشديد بـ"عدم الاستماع للنصائح"، ردت Kelp DAO على منصة X، متهمة أن هذا التكوين المسبب للمشكلة، وهو “DVN واحد من واحد”، هو في الواقع نتيجة مباشرة لتدخل رسمي من LayerZero. وردت Kelp DAO في بيانها: التكوين المعروف باسم التحقق من نقطة واحدة، مكتوب بوضوح في الوثائق التقنية الرسمية لـ LayerZero، وهو في الأصل “الخيار الافتراضي” عند إنشاء رموز موحدة عبر السلسلة (OFT، معيار رموز يسمح بنقل سلس بين عدة سلاسل). منذ يناير 2024، كانت Kelp تعمل على بنية LayerZero، وتواصلت دائمًا مع فريق LayerZero بشكل مفتوح. وأضافت Kelp DAO أن الطرفين ناقشا بشكل معمق تكوين DVN عند توسعة البروتوكول إلى Layer 2، وأن الإعداد الافتراضي لعقدة التحقق الوحيدة حصل على “تأكيد واضح” من قبل فريق LayerZero في ذلك الوقت. وتختتم Kelp DAO بالقول: “إن عملية استعادة الأحداث بشكل متفق عليه ودقيق بين الطرفين هي الأساس لاتخاذ إجراءات تصحيحية صحيحة معًا”، في إشارة ضمنية إلى أن LayerZero لا ينبغي أن تتملص من المسؤولية في هذه اللحظة. رغم أن الطرفين لا زالا يتبادلان الاتهامات حول مسؤولية الثغرة الأمنية، أكدت Kelp DAO أن فريقها اتخذ إجراءات حاسمة فور وقوع الحادث، بما في ذلك إيقاف تشغيل العقود الذكية ذات الصلة بشكل طارئ، ووضع جميع عناوين المحافظ المرتبطة بالهاكر في القائمة السوداء، مما ساعد على السيطرة على الوضع، ومنع تفاقم الخسائر.