مؤسس Cardano يحذر: اختراق KelpDAO يكشف أضعف حلقة في بلوكتشين الإيثريوم

استخدم مؤسس كاردانو تشارلز هوسكينسون أحدث بث مباشر له للحجاج بأن عملية استغلال KelpDAO البالغة نحو 292 مليون دولار لم تكن مجرد فشل جسر عابر للسلاسل آخر، بل تحذير أوسع نطاقاً حول كيف يمكن لإعادة التحقق من الرهن في الإيثريوم ورسائل التبادل العابر للسلاسل ومنظومة الإقراض أن تحوّل اختراقاً واحداً إلى عدوى تطال النظام بأكمله.

في رواية هوسكينسون، كشف هجوم 18 أبريل عما يراه الجزء الأكثر هشاشة في DeFi (التمويل اللامركزي) الحديث: ليس بالضرورة العقود الذكية على مستوى التطبيقات، بل طبقات التحقق والترابطات البينية التي تقع بين البروتوكولات. وقال إن عملية الاستغلال، التي تضمنت استنزال نحو 116,500 rsETH من ضمان إيداع KelpDAO على بلوكتشين الإيثريوم، ينبغي أن تفرض على الصناعة نقاشاً أوسع حول افتراضات الثقة في جسر عبر السلاسل، وتصميم أجهزة التحقق، والسرعة التي يمكن بها أن ينتشر الضمان الرديء عبر أسواق الإقراض.

مؤسس كاردانو يحذر من خلل خطير في قلب DeFi الإيثريوم

بدلاً من تقديم تقرير لاحق للحادثة بالمعنى المعتاد، قال هوسكينسون إنه أخذ مواد تقرير الحادث الداخلي واستخدم الذكاء الاصطناعي لتحويلها إلى موقع إلكتروني يأخذ المشاهدين عبر آليات الاستغلال. وقد أطّر هذا الهيكل نقطته الأكبر: الفشل، كما وصفه، لم يبدأ بخلل في حسابات العقد داخل KelpDAO نفسها، ولا بخلل محاسبي واضح في LayerZero. بل قال إنه تمحور حول رسالة مزورة للتبادل العابر للسلاسل تم قبولها باعتبارها شرعية وسمحت بالإفراج عن الأموال على بلوكتشين الإيثريوم.

"إذن، لم تكن هذه مشكلة في العقد الذكي مع Kelp ولم تكن مشكلة في العقد الذكي مع LayerZero، بل كانت تزويراً لرسالة التبادل العابر للسلاسل"، قال هوسكينسون. "إذن كان هذا شيئاً جديداً ومختلفاً."

عاد مؤسس كاردانو مراراً إلى خيار تصميمي بعينه: الاستخدام المُبلَّغ عنه لتهيئة جهاز تحقق واحد-من-واحد. في شرحه، تكون أفضل الممارسات نموذجاً متعدد أجهزة التحقق كثلاثة-من-خمسة، لكن إعداد KelpDAO اعتمد على DVN نشط واحد. وقال إن ذلك خلق نقطة فشل وحيدة غير مقبولة في نظام مثقل بالفعل بأغلفة الرهن وبروتوكولات إعادة الرهن وجسور عبر السلاسل وأماكن الإقراض.

"كان الفشل في منطق التحقق، لا في منطق التطبيق"، قال. "لقد فعل Kelp كل شيء صحيحاً من حيث عقوده. وهي خضعت لتدقيق العقود الذكي. وهي تعمل بشكل جيد. والتطبيق يعمل بشكل جيد. المشكلة في تهيئة الجسر." كما أكد هوسكينسون أن الصناعة لا تزال تفتقر إلى رواية محسومة حول أين تقع المسؤولية بالضبط.

وفقاً لملخصه، ظهرت ثلاثة تحليلات منفصلة للسبب الجذري بعد عملية الاستغلال: واحدة من LayerZero، وواحدة من KelpDAO، وواحدة مرتبطة بنقاشات LlamaRisk وحوكمة Aave، لكن لا توجد اتفاقية كاملة بينها. وهذا يترك الأمر مفتوحاً حول ما إذا كان الاختراق قد وقع في طبقة الرسائل، أو إعداد جهاز التحقق، أو منطق القبول في KelpDAO، أو في المناطق الفاصلة بينها.

ما جعل الحدث بالغ الأهمية بشكل خاص، في رأيه، لم يكن السرقة ذاتها فحسب، بل ما جرى بعدها. بدلاً من إغراق rsETH المسروق في البورصات اللامركزية، استخدمه المهاجم على ما يُزعم ضماناً في أسواق الإقراض للاستدانة بأصول أكثر سيولة. وقد حوّل ذلك الاستغلال إلى مشكلة في الميزانية العمومية لبروتوكولات أخرى، تاركاً ما وصفه هوسكينسون بالضمان المسموم خلفه.

أطلق على تلك الديناميكية اسم الجدة الحقيقية للحادثة. "لم يكن مجرد اختراق جسر عبر السلاسل. انتشر إلى الإقراض مما أوجد عدوى الديون المعدومة داخل بروتوكولات الإقراض هذه. أحدث هرولة مصرفية وشهدنا سحب 13 مليار دولار من إجمالي القيمة المغلقة (TVL) في فترة قصيرة جداً بسبب اختراق بقيمة 290 مليون دولار."

قال مؤسس كاردانو إن صدمة السيولة الأوسع في DeFi (التمويل اللامركزي) امتدت إلى ما هو أبعد بكثير من KelpDAO نفسها. مستشهداً بتقارير عامة أشار إليها في جولته التوضيحية، أشار إلى ما لا يقل عن تسعة بروتوكولات متضررة مباشرة، وقال إن Aave وحدها شهدت خسائر تتراوح بين 6.6 مليار دولار و8.45 مليار دولار، فيما تداول rsETH في نطاق متذبذب بين نحو 1,600 دولار و2,500 دولار خلال الـ24 ساعة التالية للهجوم.

كما أثار احتمال تورط Lazarus، وإن اعترف بأن نسب الهجوم لا يزال غير مؤكد. "هناك الكثير من الأدلة على وجود روابط مع Lazarus"، قال، قبل أن يضيف أن أي شركة جنائية مستقلة لم تثبت ذلك بشكل قاطع.

وقت كتابة هذا التقرير، كان Cardano (ADA) يتداول عند 0.2504 دولار.