الصفحة الرئيسية
الأخبار
التفاصيل

سرقة 116,500 rsETH في اختراق Aave عبر استغلال LayerZero

iconMetaEra
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,392.87‮‭3.19‎‎‬%‬
This is the logo of the coin.
AAVE
$94.241‮‭3.07‎‎‬%‬
AI summary iconملخص

expand icon
استغلال في DeFi استهدف بروتوكول LayerZero للرسائل بين السلاسل أدى إلى اختراق عملات رقمية تم فيه تزوير 116,500 rsETH واستخدامها كضمان على Aave لاقتراض WETH. وأثار الحادث أزمة ديون سيئة، مما دفع Aave إلى تجميد الأسواق على Ethereum وArbitrum وBase وMantle وLinea. وأبرز الهجوم المخاطر المرتبطة بالجسور بين السلاسل وLRTs، بينما تصدت تصميمات السوق المعزولة من Morpho بشكل أفضل. ورد Fluid Protocol بإطلاق برنامج استرداد aWETH للمستخدمين على Aave.
سيولة سوق الإقراض بالكامل تتعطل فجأة.

مؤلف المقال والمصدر: 0x9999in1، ME News

ملخص

  • النوعية: أكبر حدث سوداء في بداية عام 2026. قام المهاجمون بتجهيز رسائل عبر سلسلة LayerZero بدون تكلفة، وسحبوًا 116,500 rsETH من العدم. هذا ليس مجرد ثغرة في الكود، بل هو فشل شامل لآلية الثقة عبر السلاسل.
  • سلسلة فخ: هدف القراصنة ليس rsETH نفسه، بل الأموال الحقيقية داخل Aave. باستخدام "شهادات هواء" كضمان، سحبوا كميات هائلة من WETH. وما تبقى لـ Aave هو فجوة ضخمة من الديون غير المضمونة.
  • الاختبار الهيكلي: تحت ضغط الاختبار، تظهر الطبيعة الأساسية للبروتوكول. نجح "السوق المعزول بالكامل" في Morpho بسهولة مع مخاطر لا تزيد عن مليون دولار فقط؛ بينما اضطر Aave إلى تجميد سيولته العالمية بالكامل، مما كشف عن ضعف منهجي.
  • الاستغلال في أوقات الأزمات والإنقاذ الذاتي: تطلق Fluid بسرعة بروتوكول استرداد aWETH، وتستهدف بدقة مستخدمي Aave المتضررين، في مثال نموذجي لهجوم ماصّ السيولة.
  • تأمل أساسي: إن تراكب LRT (إعادة تأمين السيولة) مع الجسور المتعددة السلاسل (OFT) يخلق "مشتقات أصول سامة" في عالم DeFi. كلما زاد ارتفاع تجميع الليغو، زادت قوة السقوط. بعد الأزمة، أصبح إعادة هيكلة معايير التبادل بين السلاسل ضرورة لا مفر منها.

عطلة نهاية أسبوع مروعة: عندما تُسمع إنذاراتها عبر شبكة الويب المظلمة

الرأس المال لا ينام. المخترقون أيضًا.

في يوم السبت، كان شبكة إيثريوم تبدو كآلة طباعة نقدية دقيقة، تبتلع الكتل بهدوء. لكن مجموعة من السجلات التجارية الغريبة مزقت هذه الهدوء فجأة. 116,500 من rsETH.这不是一笔小数目。这是天文数字。

من أموال هذا؟ إنها أموال عرق مستخدمي Kelp DAO من إعادة تأمين السيولة.

كيف اختفى؟ لأن بروتوكول الاتصال لجسر LayerZero تم خداعه.

تخيل أنك صاحب مصرف رهونات. شخص ما يحمل شيكًا مزورًا من بنك سويسرا، ويبتعد بهدوء بطنّ من الذهب من متجرك. هذا هو ما حدث في عطلة نهاية الأسبوع. لم يهاجم القراصنة الخزنة، ولم يكسروا المنطق الرياضي الأساسي للعقد الذكي. بل فعلوا شيئًا أكثر ذكاءً وأكثر فتكًا: زوروا رسائل LayerZero عبر السلاسل.

يقول الرسالة: "أودعت أموالي على تلك السلسلة، رجاءً قم بإعطائي قرضًا على هذه السلسلة."

تمت ثقة عقد الجسر. فتح بابه بهدوء.

116,500 رسيث تتدفق الآن إلى جيوب القراصنة. هذه أكبر حادثة قرصنة DeFi منذ بداية عام 2026. لكن انتبه، فهذا مجرد بداية الكابوس. ما يريده القراصنة ليس رسيث، وهو رمز مشتق مرتبط ارتباطًا وثيقًا بالعمل. إنهم يبحثون عن نقد صلب. إنهم يبحثون عن ويث.

وبالتالي، تم توجيه مقصود بندقية الصيد نحو أكبر بنك مركزي في عالم DeFi — Aave.

خطة متسلسلة قاتلة: Aave و"الضمانات الوهمية"

سلسلة منطق القراصنة مخيفة في وضوحها.

الخطوة الأولى: خلق الهواء. من خلال ثغرة في الجسر متعدد السلاسل، اختراع rsETH من العدم.

الخطوة الثانية: تحويل الهواء إلى نقد. أودع هذه "rsETH الوهمية" التي لا تدعمها أي أصول أساسية في Aave.

الخطوة الثالثة، تجفيف الدم. استخدم rsETH كضمان للاقتراض الجامح لـ WETH.

عقد Aave الذكي يفهم الرياضيات، لكنه لا يفهم النفس البشرية، ولا يفهم الخلفيات الخفية وراء الجسور المتسلسلة. في عيني أوراكل Aave، لا يزال سعر rsETH مرتبطًا بالإيثريوم. نسبة الضمان صحية. قم بالإقراض. قم بالإقراض. استمر في الإقراض.

Boom. The building is about to collapse.

عندما أدرك Kelp DAO و LayerZero ما حدث، كان قد فات الأوان. كانت خزائن Aave ممتلئة بـ "rsETH الأشباح" عديمة القيمة هذه، بينما تم سرقة كل WETH النقي الذي يعود للمستخدمين الحقيقيين من قبل القراصنة.

ما هذا؟ في المالية التقليدية، يُسمى هذا الديون السيئة النظامية. في DeFi، يُسمى هذا بداية الحلقة المفرغة.

لم يكن رد فعل Aave بطيئًا على الإطلاق. تجميد. تجميد كامل. إيثريوم، Arbitrum، Base، Mantle، Linea. تم إيقاف جميع احتياطيات WETH وأصول rsETH في الأسواق المتضررة، سواء كانت من الإصدار V3 أو V4. تدّعي Aave رسميًا أن "rsETH على الشبكة الرئيسية مدعوم بالكامل"، لكن هذه الجملة تبدو عاجزة في هذا اللحظة. بالفعل، rsETH على الشبكة الرئيسية مدعوم، لكن ماذا عن rsETH الذي تم إنشاؤه عبر السلاسل من خلال الثغرة؟ من سيملأ الفراغ الذي خلفه WETH الذي تم سحبه؟

أُجبرت Aave على الدخول في حالة "الديون الميتة لشريدنغر". قبل إجراء مراجعة شاملة واسترداد الأموال، لا أحد يعرف حجم هذا الثقب الأسود. إن تجميد Aave، كأساس أدنى من ألعاب DeFi، يعني توقفًا مفاجئًا في السيولة لسوق الإقراض بأكمله.

الخزان المعزول والقنابل المتسلسلة: مشهد DeFi

عندما ينحسر المد، يمكنك ليس فقط أن ترى من يسبح عاريًا، بل أيضًا من صنع سفينة بها غرف مقاومة للتسرب.

حدث rsETH كان كقنبلة عميقة، كشف عن الفروق الهائلة في هياكل إدارة المخاطر بين بروتوكولات DeFi. أداء البروتوكولات المختلفة أمام الأصول السامة العابرة للسلاسل كان بمثابة سجل مرير للبقاء المالي.

دعونا نكشف أوراق هذه البروتوكولات باستخدام جدول.

فهمت؟ هذه هي قواعد اللعبة في النصف الثاني من DeFi.

انتصار Morpho: لماذا تدّعي Morpho أنها آمنة؟ لأنها لا تستخدم نموذج "القدر المشترك". إن نموذج Aave يجمع جميع الأموال في خزانة واحدة، لذا إذا فشلت أصل واحد، فقد تُستخدم أموال الخزانة بأكملها لتعويض الديون المتعثرة. أما Morpho فتستخدم "تصميم أسواق معزولة بالكامل". إذا كنت سامًا؟ فأنت عالق في خزانتك الصغيرة، بينما طريقي الرئيسي يظل مفتوحًا. إن مخاطر قدرها مليون دولار فقط لا تمثل حتى جرحًا سطحيًا بالنسبة إلى Morpho. هذا هجوم تكتيكي من خلال تصميم آلي.

خطة فلويد الاستراتيجية: بينما تدافع جميع البروتوكولات، سحبت فلويد سكينها. فقد أعلنت عن إطلاق بروتوكول استرداد aWETH. ما هذا؟ إنه يرش الملح على جرح Aave وفي نفس الوقت يمتص دمها. هل علقت أصول ETH الخاصة بك في Aave ولا يمكنك سحبها؟ لا مشكلة، فلويد تقدم لك التحصيل. قم بتحويل ديونك إليّ، وسأحولها فورًا إلى wstETH أو weETH، مما يحرر سيولتك. سعة أولية قدرها مليار دولار، إنها صرخة مباشرة لمستخدمي Aave: "اترك الظلام واتبع النور!" إنها حرب تجارية نقية، باردة، فعالة، وتستهدف النقاط الحساسة مباشرة.

حدود Reserve: أظهر رد فعل Reserve جمال التمويل المُنظَّم. حتى في ظل الظروف القصوى، تأثر حاملو DTF لديهم بشكل شبه معدوم. لماذا؟ لأنهم صمّموا مُقَرِضي RSR كـ"رأس مال أول خاسر" (First-loss capital). هذا يشبه وسادة الأمان في النظام المالي: عند التصادم، يُدمَّر وسادة الأمان أولاً لحماية كابينة القيادة.

أما البيانات الصادرة عن بروتوكولات مثل Polygon وEtherFi وMaple، فهي أكثر كونها إجراءات علاقات عامة تهدف إلى الإعلان عن السلامة، بهدف تهدئة مزودي السيولة (LP) داخل كل نظام بيئي.

مصدر السم: لقاء قاتل بين LRT المتكرر وجسر العبور المتعدد السلاسل

إذا كنت ترى هذا الحدث فقط على أنه هجوم قرصاني عادي، فأنت متفائل جدًا. في جوهره، هذا انهيار لا مفر منه ناتج عن "التمويل المفرط".

دعونا نركز على بطل الحدث: rsETH.

ما هو rsETH؟ إنه رمز إعادة تأمين السيولة (LRT) الذي أصدره Kelp DAO.

هذا الشيء نفسه عبارة عن دمية روسية. يقوم المستخدم برهن ETH على شبكة إيثريوم، ويحصل على LST (مثل stETH). ثم يرهن LST على بروتوكولات مثل EigenLayer، ويحصل على LRT (مثل rsETH).

لماذا نقوم بهذا الجهد؟ من أجل العائد. من أجل استخراج آخر فائدة من الإيثريوم.

هذا في حد ذاته ليس خطأ. إن سعي رأس المال للربح هو طبيعة. لكن المشكلة تكمن في الخطوة التالية: عبر السلاسل.

بسبب تجمد بيئة DeFi متعددة السلاسل، قام Kelp DAO بدمج معيار LayerZero OFT (العملة المتجانسة متعددة السلاسل) لتمكين rsETH من التداول على جميع الشبكات من الطبقة الثانية (L2).

الآن أصبحت الأمور على ما يرام. لقد انخفضت أمان الأصول التي كانت محمية سابقًا بواسطة توافق صارم على شبكة إيثريوم الرئيسية إلى مستوى أمان الجسر المتعدد السلاسل.

هل لاحظت؟ على سلسلة رافعة مالية طويلة، ما إن يسقط أحد الروابط، حتى ينهار النظام بالكامل.

جسر العبور بين السلاسل كان دائمًا عقبة أخيليس في عالم DeFi. من سرقة رونين الكبرى عام 2022 (625 مليون دولار أمريكي)، إلى PolyNetwork، ثم Wormhole. أثبتت التاريخ مرارًا وتكرارًا أن نقل دفاتر أصول بقيمة عشرات المليارات بين سلسلتين غير موثوقتين عبر مجموعة من العقد الثالثة (المُعادِلة/المُنبئين) أمر بالغ الخطورة.

زعمت LayerZero أن "لها فهمًا شاملاً لحادثة الثغرة وتعمل بشكل نشط مع KelpDAO لإصلاحها". لكننا سمعنا هذا التبرير مرارًا وتكرارًا. إصلاح ثغرة واحدة لا يمنع تعقيد الهيكل من خلق ثغرة أخرى. عندما يمكن تزوير رسائل العبور بين السلاسل، يصبح معيار OFT مجرد شيك فارغ يمكن ملؤه بأي شكل.

الخاتمة: من سيتحمل التكلفة؟

لقد وصلنا إلى هذا الحد، وكل شيء في فوضى.

ما الذي سيملأ الفجوة البالغة 116,500 وحدة rsETH؟

هل تتحمل خزينة Kelp DAO التكلفة من جيبها الخاص؟ هل LayerZero تخسر أموالاً لجذب الانتباه؟ أم أن حاملي رمز الحوكمة الخاص بـ Aave يُجبرون على تخفيف حقوقهم لتغطية الديون المتعثرة؟ أم أن الخسارة النهائية تقع على عاتق المستخدمين العاديين الذين لم يفعلوا شيئًا خاطئًا، ولكنهم أبقوا أموالهم في الخزانة بسبب جذب عائد سنوي بضع نقاط؟

لا أحد يرغب في أن يكون ضحية. لكن في النهاية، سيكون هناك من يُسفك دمه.

ماذا تركت لنا هذه العاصفة؟

إنه يعلن بطريقة دموية للغاية: في الغابة المظلمة لـ DeFi، لا يوجد شيء " كبير جدًا ليُسقط". نموذج السيولة الشامل لـ Aave بدا ثقيلًا جدًا أمام مخاطر الذيل المتطرفة؛ بينما فكرة حواجز التجزئة الخاصة بـ Morpho، ربما تكون الحل الصحيح للدورة القادمة.

كما كشفت أيضًا الغطاء عن إعادة تأمين السيولة (LRT). لقد كنا مهووسين ببناء مكعبات ليغو، ومهووسين بالعوائد المرفوعة المُستمدة من العدم، لكننا تجاهلنا الأساس الأساسي الذي أصبح مثقوبًا في كل مكان. عندما سُمح باستخدام LRT التي تحمل مخاطر عبور السلاسل كضمان لبروتوكولات الإقراض الرائدة، تم زرع هذه القنبلة الزمنية بالفعل.

ليس هناك شيء جديد تحت الشمس. الكود هو القانون، لكن القانون دائمًا ما يحتوي على ثغرات.

عندما ترى من خلال هذا الطبقات المتعددة من الأغطية المالية، ستفهم أن كل شيء ليس سوى لعبة قطة وفأر لا تنتهي بين طمع البشر وعدم كمال التقنية.

الجولة القادمة، تم توزيع الأوراق بالفعل. أنت، ما زلت على طاولة الورق؟

المصدر:

  1. منتدى حوكمة Aave. (2026). "تحديث الحادث: تجميد سوق rsETH وتقييم الديون السيئة."
  2. مدونة Fluid Protocol الرسمية. (2026). "تقديم aWETH: استرداد السيولة للمقرضين الذين يمتلكون ETH."
  3. Morpho Labs Security Post. (2026). "تحليل ما بعد الحدث: لماذا حمت الأسواق المعزولة Morpho من استغلال rsETH."
  4. LayerZero Communications. (2026). "الرد على استغلال Kelp DAO rsETH وتحديثات أمان OFT."
  5. وثائق بروتوكول الحجز. (2026). "فهم رأس المال الخاسر الأول في آليات DTF."
المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.