أفضل 20 بلوكشين في التمويل اللامركزي (DeFi): تراجع القيمة الإجمالية المقفلة (TVL) وأزمة الثقة في الجسور عبر الس

شهد قطاع التمويل اللامركزي (DeFi) أخطر أزمة أمنية خلال عام 2026 في شهر أبريل. ففي 18 أبريل 2026، حوالي الساعة 17:35 بالتوقيت العالمي، تعرض جسر rsETH متعدد السلاسل الخاص بـ Kelp DAO، والمبني على LayerZero، لهجوم واسع النطاق. قام المهاجم بسكّ نحو 116,500 rsETH من العدم على شبكة Ethereum الرئيسية، بقيمة تقارب $292 مليون في ذلك الوقت، أي حوالي %18 من إجمالي المعروض المتداول من rsETH. لم يكن هذا أكبر حادث أمني منفرد في قطاع DeFi لعام 2026 فحسب، بل أدى أيضًا إلى موجة هروب رؤوس الأموال عبر الصناعة. انخفض إجمالي القيمة المقفلة (TVL) في التمويل اللامركزي من نحو $110 مليار في بداية 2026 إلى حوالي $82.4 مليار، أي تراجع بنسبة %25 ليصل إلى أدنى مستوى له خلال عام كامل. وعلى خلاف الهجمات السابقة التي استهدفت بروتوكولًا واحدًا، كشف هذا الحدث عن تأثير مركب لثلاث ثغرات رئيسية: مخاطر إعدادات البنية التحتية متعددة السلاسل، عيوب منطق الضمانات في إعادة التخزين، والبنية المتشابكة للبروتوكولات اللامركزية. هذا التهديد الثلاثي يستدعي تدقيقًا جادًا على مستوى الصناعة.

الهجوم حدث خلال 46 دقيقة فقط

بدأ الهجوم في 18 أبريل 2026، الساعة 17:35 بالتوقيت العالمي. بعد حصول المهاجم على الأموال الأولية عبر Tornado Cash، قام باستدعاء دالة lzReceive في عقد LayerZero EndpointV2، وأرسل رسالة متعددة السلاسل مزورة إلى عقد جسر Kelp DAO على شبكة Ethereum الرئيسية. ادعت الرسالة زورًا أن أصول rsETH مقفلة على السلسلة المصدر وطلبت الإفراج عن كمية مكافئة على السلسلة الهدف. أخفق العقد في التحقق الصارم من مصدر الرسالة متعددة السلاسل ونفذ عملية الإفراج، محولًا 116,500 rsETH إلى عنوان يسيطر عليه المهاجم.

الخطر الحقيقي كان في الخطوة التالية للمهاجم. بدلًا من بيع rsETH في الأسواق الثانوية — حيث السيولة ضعيفة والبيع الكبير يؤدي إلى انزلاق سعري شديد — قام المخترق بإيداع الأصول كضمان في بروتوكولات الإقراض الكبرى مثل Aave V3 وV4، وCompound V3، واقترض ما يقارب $236 مليون من WETH/ETH الحقيقي.

بعد حوالي 46 دقيقة من بدء الحادث، فعّل Kelp DAO إيقافًا طارئًا عبر توقيع متعدد، ونجح في منع محاولتين إضافيتين لسحب حوالي 80,000 rsETH إضافية، مما حال دون خسائر أخرى. لاحقًا، قامت Aave بتجميد جميع الأسواق المتعلقة بـ rsETH على V3 وV4 بشكل عاجل، وأوقفت عدة بروتوكولات — منها Ethena وCurve Finance وether.fi — أو جمدت وظائف LayerZero متعددة السلاسل.

جدول أحداث الهجوم

نظرة عامة على البيانات على السلسلة: أكبر 20 بلوكشين تحت ضغط TVL

وفقًا لأحدث بيانات DeFiLlama (حتى 21 أبريل 2026)، انخفض إجمالي TVL في التمويل اللامركزي إلى حوالي $82.4 مليار بعد الهجوم، بتراجع يومي يقارب %5.6. هذا الانخفاض اليومي يُصنف ضمن أعلى %2 من الانخفاضات منذ عام 2024. بحسب القطاعات، كانت أسواق الإقراض الأكثر تضررًا، حيث انخفض TVL بنحو %13؛ التخزين السائل تراجع بحوالي %3.4؛ وشهدت البورصات اللامركزية وبروتوكولات المشتقات انخفاضات بين %2 و%3.

استحوذت Ethereum على %53.91 من إجمالي TVL في التمويل اللامركزي، وشهدت انخفاضًا بنسبة %17.91 في TVL خلال الثلاثين يومًا الماضية. يبلغ TVL الحالي حوالي $46.17 مليار، بانخفاض حاد عن أكثر من $56 مليار قبل الهجوم. من بين أكبر 20 بلوكشين، أظهر عدد قليل فقط نموًا إيجابيًا طفيفًا، بينما شهدت معظمها تراجعات شهرية وتسارعت وتيرة خروج رؤوس الأموال بعد الحادث.

أولًا، عزز الهجوم اتجاهًا قائمًا لخروج رؤوس الأموال. بلغ التراجع الشهري في Ethereum نسبة %17.91، وكانت بالفعل تحت ضغط بسبب انخفاض شهية المخاطر في السوق بشكل عام. ثانيًا، أظهرت بعض البلوكشينات انتعاشًا أسبوعيًا طفيفًا (مثلاً، Sei +%7.85 خلال 7 أيام؛ PulseChain -%0.24 خلال 7 أيام ولكن +%13.77 شهريًا)، مما يشير إلى أن رأس المال لم يغادر النظام بالكامل بل أعيد تخصيصه لإدارة المخاطر. ثالثًا، كانت أكبر التراجعات الشهرية في السلاسل المرتبطة ارتباطًا وثيقًا بنظام إعادة التخزين في Ethereum أو بنية الجسور متعددة السلاسل، مثل Mantle (-%52.01)، Ethereal (-%18.55)، وHyperliquid L1 (-%17.73)، مما يعكس موجات الصدمة المستهدفة عبر ترابط البروتوكولات.

السبب الجذري: إعداد نقطة واحدة تم تجاهلها

لم تكن الثغرة الأساسية في هذا الهجوم خطأ في العقد الذكي، بل كانت سوء إعداد في معايير النشر. استخدم عقد rsETH متعدد السلاسل الخاص بـ Kelp DAO إعداد 1/1 DVN (شبكة التحقق اللامركزية)، أي أن عقدة تحقق واحدة يمكنها الموافقة على الرسائل متعددة السلاسل. بالمقابل، توصي وثائق LayerZero الرسمية بإعداد افتراضي متعدد المحققين 2/2.

المسار التقني للمهاجم: أولًا، حصل على قائمة عقد RPC المستخدمة من قبل DVN في LayerZero، واخترق مجموعتين مستقلتين من عقد RPC، واستبدل ملفات op-geth الخاصة بها. ثم، قام بتزوير الردود بشكل انتقائي — أرسل حزم بيانات خبيثة مزورة فقط إلى DVN، بينما أعاد بيانات حقيقية إلى عناوين IP الأخرى لتجنب الكشف. في الوقت نفسه، شن هجمات DDoS على عقد RPC غير المخترقة، مما أجبر DVN على التحول إلى العقد المسمومة. بعد التحقق من الرسالة المزورة، قامت الملفات التنفيذية الخبيثة بتدمير نفسها ذاتيًا لمسح السجلات.

أشار تقرير LayerZero Labs بعد الحادث إلى أن الهجوم نُسب مبدئيًا إلى مجموعة TraderTraitor، التابعة لمجموعة Lazarus الكورية الشمالية، والتي ارتبطت أيضًا بهجوم Drift Protocol في وقت سابق من الشهر. أكدت LayerZero أن هذا الحادث أثر فقط على إعداد rsETH الخاص بـ Kelp DAO؛ بينما لم تتأثر التطبيقات الأخرى التي تستخدم تعدد DVN، ولم يكن هناك ثغرات في البروتوكول ذاته.

خلافات حول المسؤولية

بعد الحادث، نشأت خلافات بسرعة بين Kelp DAO وLayerZero وAave حول المسؤولية. رأت LayerZero أن استخدام Kelp DAO لإعداد 1/1 DVN هو السبب المباشر — "نقطة فشل واحدة" ذات خلل جوهري. اعترف مؤسس Kelp DAO، Charlie، عبر منصة X بأن الفريق استخدم إعداد 1/1 DVN عن طريق الخطأ، وأكد أنهم سيعوضون جميع المستخدمين المتضررين بالكامل، رافضًا صراحةً نهج "الخسارة الاجتماعية" الذي يخشاه الجميع.

في المقابل، تحدى مطور Yearn Finance الأساسي banteg وصف LayerZero للحدث بأنه "تسمم RPC"، معتبرًا أن المهاجم اخترق حدود الثقة في LayerZero وأن خطورة الحادث تم التقليل منها. أشار محللون مستقلون إلى أنه رغم اختيار Kelp DAO إعداد 1/1 DVN، فإن LayerZero، كمصمم للبروتوكول متعدد السلاسل، تتحمل أيضًا بعض المسؤولية الهيكلية.

جدير بالذكر أن فريق المخاطر السابق في Aave، BGD Labs، كان قد أشار إلى مشكلة إعداد DVN في Kelp DAO منذ يناير العام الماضي. ومع أن Kelp DAO قبل النصيحة، لم يجرِ أي تغيير جوهري، ولم تواصل Aave مراقبة الوضع. يبرز هذا التاريخ فجوة هيكلية بين إصدار التحذيرات الأمنية وتطبيقها فعليًا.

تأثير الصناعة: ديون متعثرة في Aave وانتشار العدوى بين البروتوكولات

تضررت Aave بشكل أكبر من الحادث. استخدم المهاجم rsETH المسروق كضمان لاقتراض ETH على Aave، مما أدى إلى ديون متعثرة تتراوح بين $177 مليون و$196 مليون لا يمكن استردادها عبر آليات التصفية المعتادة. بلغ استخدام ETH في عدة أسواق Aave V3 نسبة %100 لفترة وجيزة، مما أدى إلى موجة سحب ضخمة.

خلال 48 ساعة من الهجوم، انخفض TVL في Aave من حوالي $26.4 مليار إلى $17 مليار — تدفق خارجي قصير الأمد بقيمة $9.45 مليار، وهو الأكبر في تاريخ البروتوكول. تراجع سعر رمز AAVE بنسبة تتراوح بين %10 و%20 عقب الحدث.

حتى 21 أبريل 2026، تظهر بيانات سوق Gate أن سعر AAVE يبلغ حوالي $105.73، وETH حوالي $2,309. جميع الأسعار مبنية على بيانات منصة Gate اللحظية، ومقومة بـ USD.

قائمة انتشار العدوى

خارج Aave، اتخذت عدة بروتوكولات رئيسية إجراءات طارئة. مددت Ethena تعليق جسر LayerZero OFT؛ أوقفت Curve Finance بنية LayerZero، مما أثر على جسر CRV من BNB وSonic وAvalanche وسلاسل أخرى؛ ether.fi وTron DAO جمدتا أيضًا جسور LayerZero OFT الخاصة بهما؛ SparkLend وFluid جمدتا مراكز rsETH في الوقت ذاته. تحمل Compound V3 ديونًا متعثرة بنحو $39.4 مليون، وEuler حوالي $840,000.

كشفت هذه السلسلة من الأحداث عن ثغرة هيكلية في التمويل اللامركزي: تعتمد الأصول المغلفة من نوع LRT (مثل rsETH) بشكل أساسي على أمان الجسور. عندما تقبل بروتوكولات الإقراض الكبرى هذه الأصول عالية المخاطر كضمان، يمكن لأي استغلال أساسي أن ينتشر فورًا عبر الروابط بين البروتوكولات في النظام الإقراضي بأكمله. تعزز قابلية التركيب "الشبيهة بالليغو" في DeFi انتقال المخاطر بشكل غير متوازن للغاية.

ثلاثة مسارات لمعالجة الديون المتعثرة — ومأزق

حدد مؤسس DeFiLlama، 0xngmi، ثلاثة سيناريوهات محتملة لمعالجة تداعيات Kelp DAO:

المسار الأول: الخسائر الاجتماعية. يفرض Kelp DAO خصمًا موحدًا يقارب %18.5 على جميع حاملي rsETH. في هذا السيناريو، تُمسح جميع مراكز الضمان الخاصة بـ rsETH على شبكة Aave الرئيسية، مما يؤدي إلى ديون متعثرة بنحو $216 مليون. يمكن لبروتوكول Umbrella تغطية حوالي $55 مليون، ويستوعب خزينة Aave حوالي $85 مليون، ويبقى فجوة قدرها $76 مليون على Kelp DAO سدها عبر الاقتراض أو بيع الرموز.

المسار الثاني: التخلي عن مستخدمي L2. يحمي Kelp DAO فقط حاملي rsETH على الشبكة الرئيسية، ويعتبر rsETH على L2 بلا قيمة. تحتفظ Aave L2 حاليًا بضمانات rsETH بقيمة حوالي $359 مليون؛ إذا كانت جميعها مستغلة بأقصى درجة، سينتج عن ذلك ديون متعثرة بنحو $341 مليون، دون تغطية من بروتوكول Umbrella. من المحتمل أن تتخلى Aave عن الأسواق الأكثر تضررًا على L2 مثل Arbitrum وMantle وBase.

المسار الثالث: تعويض بناءً على لقطة ما قبل الهجوم. يعوض Kelp DAO بالكامل فقط أولئك الذين كانوا يحملون rsETH قبل الهجوم، بناءً على لقطة، بينما يتحمل المشترون أو المحولون بعد الهجوم الخسارة. لكن نظرًا لتحرك الأموال بشكل مكثف بعد الهجوم، وكون بروتوكولات التمويل اللامركزي أساسها تجمعات السيولة، يصبح من شبه المستحيل التمييز بين المودعين من دفعات مختلفة، مما يجعل هذا الخيار غير ممكن تقنيًا.

لكل مسار مزايا وعيوب: المسار الأول هو الأكثر عدالة لكنه يضع عبئًا ماليًا كبيرًا على خزينة Aave وKelp DAO؛ المسار الثاني يقلل التأثير على شبكة Aave الرئيسية لكنه يضر بمصداقية نظام L2 ويؤدي إلى مزيد من الانتشار؛ المسار الثالث يحد نظريًا من الانتشار لكنه شبه مستحيل التنفيذ. حتى 21 أبريل 2026، رغم تعهد مؤسس Kelp DAO بتعويض المستخدمين بالكامل، لا تزال تفاصيل خطة التعويض ومصادر التمويل غير معلنة، والحل النهائي لم يتضح بعد.

الخلاصة

أدى هجوم جسر Kelp DAO، بخسارة فردية قدرها $292 مليون، إلى أكبر موجة خروج رؤوس أموال منهجية في قطاع التمويل اللامركزي لعام 2026. انخفضت TVL عبر أكبر 20 بلوكشين، وشهدت Aave سحوبات بمليارات الدولارات، واتخذت عدة بروتوكولات رئيسية إجراءات طوارئ — مما رسم صورة لانكماش السيولة على مستوى الصناعة.

الأهم من ذلك، أن جوهر الحادث لم يكن خللًا منفردًا في العقد الذكي، بل ثغرات مركبة في إعدادات البنية التحتية متعددة السلاسل، منطق الضمانات في إعادة التخزين، وترابط البروتوكولات العالي. تشكل مخاطر التحقق من نقطة واحدة، سوء مواءمة أصول LRT، والفجوات في تدقيق الأمان المتعلقة بإعدادات النشر مجموعة من التحديات الهيكلية المتداخلة.

من منظور الأمان، تحتاج الصناعة بشكل عاجل إلى معايير تدقيق شاملة تغطي كود العقد الذكي، إعدادات النشر، وبنية التحقق متعددة السلاسل. يجب أن تشمل نطاقات التدقيق الإلزامية إعدادات عتبة DVN وتكرار عقد RPC. بالنسبة للمستخدمين، ينبغي أن يتضمن المشاركة في بروتوكولات إعادة التخزين تقييم العوائد فقط، بل أيضًا التدقيق في إعدادات أمان الجسر (مثل عدد المحققين والعتبات)، شفافية احتياطي الأصول الأساسية، وسجل فريق البروتوكول في التعامل مع الحوادث الأمنية السابقة.

تعتمد الصحة طويلة الأمد للتمويل اللامركزي ليس فقط على استمرار السيولة ونمو العوائد، بل على تحسينات منهجية في بنية الأمان وآليات عزل المخاطر. كل حادث أمني كبير يكشف عن ثغرات هيكلية ويشكل اختبارًا لآليات الحوكمة والاستجابة للأزمات في الصناعة. لا تزال قصة حادثة Kelp DAO تتكشف. وستحدد فعالية ما بعد الحادث والإصلاحات المؤسسية ما إذا كان هذا الحدث سيصبح نقطة تحول في مسار التمويل اللامركزي نحو النضج — أم مجرد اختراق أمني آخر يُنسى.