نقض ۲۹۰ میلیون دلاری Kelp DAO مرتبط با گروه لازاروس و امنیت ضعیف بریج

نکات کلیدی

• تقریباً 290 تا 293 میلیون دلار از Kelp DAO به دنبال یک حمله پیچیده به نودهای RPC متصل به سیستم تأیید LayerZero سرقت شد
• ظاهراً Kelp DAO توصیات امنیتی LayerZero برای پیاده‌سازی تأیید کننده‌های متعدد را نادیده گرفت و تنها با یک تأیید کننده عمل می‌کرد
• شواهد اولیه به گروه لازاروس کره شمالی به عنوان عاملان این نقض امنیتی اشاره می‌کند
• نه پلتفرم DeFi، به ویژه Aave، آسیب‌های زنجیره‌ای را تجربه کردند و ارزش کل قفل شده (TVL) Aave 6 میلیارد دلار کاهش یافت
• از این پس، LayerZero اعلام کرده است که از پشتیبانی برنامه‌هایی که با پیکربندی تک تأیید کننده عمل می‌کنند، خودداری خواهد کرد

در آنچه که یکی از مهم‌ترین نقض‌های امنیتی امور مالی غیر متمرکز در سال 2026 را نشان می‌دهد، Kelp DAO در طول یک حمله آخر هفته متحمل خسارتی در حدود 290 تا 293 میلیون دلار شد. LayerZero، پروتکل پیام‌رسانی میان زنجیره‌ای که در این حادثه استفاده شد، آسیب‌پذیری را به تصمیمات زیرساختی Kelp نسبت داده است.

نقض بر مکانیزم انتقال توکن rsETH کلپ در شبکه‌های بلاک چین مختلف متمرکز بود. عملکرد با معماری تک تأیید کننده به این معنا بود که تنها یک مرجع برای تأیید انتقالات میان زنجیره‌ای نیاز داشت. طبق گفته LayerZero، این شرکت صراحتاً Kelp را در مورد این پیکربندی هشدار داده و بر اتخاذ منابع تأیید مستقل متعدد تأکید کرده بود.

هکرها به دو نود فراخوانی رویه از راه دور نفوذ کردند—سرورهای تخصصی که نرم‌افزار را قادر می‌سازند با داده‌های بلاک چین تعامل داشته باشند. این نودهای قانونی با نسخه‌های دستکاری شده جایگزین شدند که اطلاعات جعلی را به سیستم تأیید LayerZero ارسال می‌کردند در حالی که ظاهری عادی برای سایر اجزای زیرساختی حفظ می‌کردند.

از آنجا که فرآیند تأیید LayerZero همچنین نودهای خارجی قانونی را مشورت می‌کرد، مهاجمان یک کمپین حمله انکار سرویس توزیع شده را برای غیرفعال کردن آن سیستم‌ها راه‌اندازی کردند. این تاکتیک ترافیک شبکه را از طریق زیرساخت دستکاری شده در طی یک بازه 80 دقیقه‌ای از ساعت 10:20 صبح تا 11:40 صبح به وقت اقیانوس آرام در روز شنبه هدایت کرد.

هنگامی که مکانیزم جایگزینی فعال شد، نودهای مخرب تأیید یک تراکنش قانونی را به تأیید کننده منتقل کردند. پروتکل پل Kelp متعاقباً 116,500 rsETH را به کیف پول‌های مهاجمان آزاد کرد. نرم‌افزار خصمانه سپس خود را حذف کرد و تمام شواهد قانونی را از سرورهای آسیب دیده پاک کرد.

تأثیر زنجیره‌ای در سراسر اکوسیستم DeFi

توکن‌های rsETH سرقت شده به عنوان دارایی های وثیقه در پلتفرم‌های وام‌دهی مختلف مستقر شدند و مهاجمان را قادر ساختند دارایی‌های واقعی را برداشت کنند. Aave، پلتفرم وام‌دهی غیر متمرکز غالب، بیشترین آسیب را متحمل شد.

Aave در حالی که دارایی‌های ارزشمندی مانند ETH قبلاً از طریق مکانیزم‌های وام‌گیری استخراج شده بودند، خود را با دارایی های وثیقه rsETH غیرنقدشونده یافت. توکن های بومی Aave در یک دوره 24 ساعته تقریباً 15٪ سقوط کرد، در حالی که پروتکل تقریباً 6 میلیارد دلار برداشت را تجربه کرد زیرا شرکت‌کنندگان برای خارج کردن وجوه خود تلاش می‌کردند.

حداقل نه برنامه DeFi آسیب دیدند، از جمله Fluid، Compound Finance، SparkLend و Euler. شرکت امنیت سایبری Cyvers این حادثه را به عنوان یک "رویداد سرایت میان پروتکلی" توصیف کرد که بسیار فراتر از آسیب‌پذیری یک پلتفرم واحد گسترش یافته است.

با اطمینان اولیه، LayerZero این حمله را به گروه لازاروس کره شمالی، به طور خاص بخش TraderTraitor آن، مرتبط کرده است. همین سازمان در نقض 285 میلیون دلاری پروتکل Drift در 1 آوریل دخیل بود، که نشان می‌دهد لازاروس بیش از 575 میلیون دلار از امور مالی غیر متمرکز در یک دوره 18 روزه با استفاده از دو روش حمله متمایز استخراج کرده است.

تعدیلات پروتکل امنیتی

LayerZero هیچ مدرکی از گسترش آسیب‌پذیری به برنامه‌هایی که با معماری‌های چند تأیید کننده عمل می‌کنند، گزارش نمی‌دهد. این شرکت سرویس تأیید خود را بازیابی کرده و یک سیاست دائمی مبنی بر خودداری از پردازش پیام‌ها برای هر برنامه‌ای که از پیکربندی‌های تک تأیید کننده استفاده می‌کند، اعلام کرده است.

مایکل اگوروف، بنیانگذار Curve Finance، تأکید کرد که این نقض ریسک‌های ذاتی اتکا به منابع تأیید تراکنش منفرد را نشان می‌دهد. او همچنین در مورد استفاده از زیرساخت میان زنجیره‌ای مگر اینکه از نظر عملیاتی ضروری باشد، هشدار داد.

Kelp در مورد نسخه رویدادهای LayerZero ساکت مانده و به این موضوع نپرداخته است که چرا پروتکل علی‌رغم دریافت هشدارهای امنیتی صریح، به عملکرد با معماری تک تأیید کننده ادامه داد.

پست نقض 290 میلیون دلاری Kelp DAO مرتبط با گروه لازاروس و امنیت ضعیف پل ابتدا در Blockonomi ظاهر شد.