بزرگترین هک کریپتو ۲۰۲۶ رسماً ثبت شد؛ مهاجمان ناشناس موفق شدند مبلغ ۲۹۲ میلیون دلار از پروتکلهای KelpDAO و LayerZero تخلیه کنند و صنعت داراییهای دیجیتال را با یکی از سهمگینترین بحرانهای امنیتی تاریخ خود روبرو سازند. این حادثه نگرانیهای جدی در مورد امنیت پروتکلهای بریج و قراردادهای هوشمند بینزنجیرهای مطرح کرده است.
جزئیات حمله: چگونه ۲۹۲ میلیون دلار تخلیه شد؟
براساس گزارشهای اولیه منتشرشده توسط Rekt News، این حمله در دو مرحله هماهنگشده اجرا شد. در مرحله نخست، مهاجمان از یک آسیبپذیری بحرانی در لایه پیامرسانی LayerZero بهره بردند. این آسیبپذیری به مهاجمان اجازه داد تا پیامهای جعلی بینزنجیرهای ارسال کرده و قراردادهای هوشمند KelpDAO را فریب دهند. در مرحله دوم، با دسترسی ساختگی به مکانیزم ریاستیکینگ KelpDAO، توکنهای rsETH و سایر داراییهای قفلشده به آدرسهای کنترلشده توسط هکرها منتقل شدند.
تحلیلگران امنیتی معتقدند این حمله از چندین هفته پیش برنامهریزی شده بود. مهاجمان ابتدا مقادیر کمی دارایی را آزمایشی جابجا کردند تا از کارکرد صحیح اکسپلویت اطمینان حاصل کنند. سپس در یک بازه زمانی کوتاهتر از ۴۵ دقیقه، کل عملیات اصلی را اجرا کردند. تیمهای امنیتی هر دو پروتکل دیر متوجه حمله شدند و تا زمانی که قراردادها را متوقف کردند، بخش اعظم داراییها پیشتر از طریق میکسرهای بلاکچینی پولشویی شده بود.
KelpDAO و LayerZero: چرا این پروتکلها هدف قرار گرفتند؟
KelpDAO یکی از برجستهترین پروتکلهای ریستیکینگ و لیکویید استیکینگ در اکوسیستم اتریوم محسوب میشود. این پروتکل به کاربران اجازه میدهد داراییهای استیکشده خود را مجدداً در پروتکلهای دیگر به کار گیرند و بازدهی چندلایه کسب کنند. همین پیچیدگی معماری، سطح حمله را بهطور قابلتوجهی افزایش میدهد. از سوی دیگر، LayerZero بهعنوان یک پروتکل پیامرسانی بینزنجیرهای، نقش محوری در انتقال داراییها میان شبکههای مختلف بلاکچین ایفا میکند. بریجها و پروتکلهای بینزنجیرهای از دیرباز بهعنوان نقاط آسیبپذیر صنعت کریپتو شناخته شدهاند، زیرا باید با چندین محیط اجرایی متفاوت تعامل داشته باشند.
در این حمله خاص، مهاجمان از سه نقطه ضعف همزمان بهرهبرداری کردند: اول، نبود تأیید کافی در لایه اوراکل LayerZero؛ دوم، منطق ناقص در قراردادهای هوشمند KelpDAO هنگام پردازش پیامهای بینزنجیرهای؛ و سوم، نبود محدودیت نرخ تراکنش برای جلوگیری از برداشتهای مکرر در بازه زمانی کوتاه.
آسیبپذیری پروتکلهای بریج: بحران ساختاری صنعت
این حادثه نشان میدهد که بریجهای بینزنجیرهای همچنان ضعیفترین حلقه در زنجیره امنیت کریپتو باقی ماندهاند. از سال ۲۰۲۱ تاکنون، بیش از ۳ میلیارد دلار از طریق حملات به پروتکلهای بریج به سرقت رفته است. معماری این پروتکلها ذاتاً پیچیده است؛ آنها باید بهطور همزمان با چندین شبکه بلاکچین ارتباط برقرار کنند، قراردادهای هوشمند روی هر زنجیره مدیریت کنند، و از صحت پیامهای منتقلشده اطمینان حاصل نمایند. هر نقطه تماس اضافی، یک بردار حمله بالقوه محسوب میشود.
کارشناسان امنیتی بلاکچین توصیه میکنند که پروتکلهای بریج باید از مدلهای اثبات رمزنگاری قویتر مانند Zero-Knowledge Proofs برای تأیید تراکنشهای بینزنجیرهای استفاده کنند. همچنین اجرای سیستمهای چند امضایی با تأخیر زمانی برای برداشتهای بزرگ میتواند خسارات احتمالی را محدود سازد.
واکنش بازار و تأثیر بر توکنهای مرتبط
پس از اعلام رسمی این حمله، ارزش توکنهای مرتبط با هر دو پروتکل دچار سقوط شدیدی شد. توکن KEP در عرض چند ساعت بیش از ۶۵ درصد از ارزش خود را از دست داد و قیمت ZRO نیز با افت ۴۰ درصدی مواجه شد. ترس و بیاعتمادی در میان کاربران سراسر اکوسیستم DeFi موج زد و حجم برداشت از پروتکلهای مشابه بهطور قابلتوجهی افزایش یافت. شاخص ترس و طمع بازار کریپتو در کمتر از ۲۴ ساعت به منطقه «ترس شدید» سقوط کرد.
اقدامات فوری تیمهای توسعهدهنده
تیمهای KelpDAO و LayerZero پس از شناسایی حمله، قراردادهای هوشمند خود را بهصورت اضطراری متوقف کردند. هر دو پروتکل اعلام کردند که با شرکتهای امنیتی Chainalysis و TRM Labs برای ردیابی وجوه سرقتی همکاری میکنند. KelpDAO همچنین یک صندوق جبران خسارت اضطراری به مبلغ ۵۰ میلیون دلار تأسیس کرد تا بخشی از زیان کاربران آسیبدیده را پوشش دهد. LayerZero نیز متعهد شد که پس از اتمام حسابرسی امنیتی کامل، نسخه بازنگریشده پروتکل خود را با معماری امنیتی تقویتشده منتشر خواهد کرد.
چه کاری باید انجام دهید؟ راهنمای کاربران آسیبدیده
اگر داراییهای شما در این پروتکلها قفل شده است، رعایت نکات نکات امنیتی کریپتو در این شرایط بیش از هر زمان دیگری اهمیت دارد. اول، هرگز روی لینکهای ناشناس که ادعا میکنند جبران خسارت ارائه میدهند کلیک نکنید؛ کلاهبرداران فیشینگ معمولاً از بحرانهای اینچنینی سوءاستفاده میکنند. دوم، منتظر اطلاعیههای رسمی از کانالهای تأییدشده پروتکلها باشید. سوم، در صورت داشتن دارایی در سایر پروتکلهای بریج یا ریاستیکینگ، تنوعبخشی به سبد دارایی و استفاده از پروتکلهایی با سابقه حسابرسی امنیتی معتبر را جدی بگیرید.
درسهای امنیتی برای آینده DeFi
این حادثه یکبار دیگر نشان داد که امنیت داراییهای دیجیتال نباید صرفاً به تیمهای توسعهدهنده سپرده شود. کاربران باید پیش از سپردن داراییهای خود به هر پروتکلی، وضعیت حسابرسیهای امنیتی آن را بررسی کنند، میزان TVL و بیمه پروتکل را در نظر بگیرند، و هرگز تمام داراییهای خود را در یک پروتکل متمرکز نسازند. متخصصان امنیت بلاکچین همچنین توصیه میکنند که پروتکلها باید برنامههای باگباونتی فعالتر و با پاداشهای بالاتر داشته باشند تا محققان امنیتی را به یافتن آسیبپذیریها قبل از مهاجمان تشویق کنند. بزرگترین هک کریپتو ۲۰۲۶ نهتنها یک فاجعه مالی، بلکه یک زنگ اخطار جدی برای کل صنعت است.
سوالات متداول
آیا کاربران آسیبدیده از KelpDAO و LayerZero خسارت خود را پس میگیرند؟
KelpDAO یک صندوق جبران خسارت اضطراری ۵۰ میلیون دلاری راهاندازی کرده است، اما این مبلغ تنها بخشی از کل خسارت ۲۹۲ میلیون دلاری را پوشش میدهد. جزئیات دقیق نحوه توزیع و واجدین شرایط دریافت خسارت بهزودی از طریق کانالهای رسمی این پروتکلها اعلام خواهد شد.
چرا پروتکلهای بریج بینزنجیرهای اینقدر آسیبپذیر هستند؟
پروتکلهای بریج باید با چندین محیط بلاکچینی مختلف تعامل داشته باشند که هر کدام منطق و قوانین اجرایی خاص خود را دارند. این پیچیدگی معماری، احتمال وجود آسیبپذیریهای ناشناخته را بهشدت افزایش میدهد. علاوه بر این، مقادیر بالای داراییهای قفلشده در این پروتکلها، آنها را به اهداف جذابی برای مهاجمان تبدیل میکند.
چگونه میتوان داراییهای کریپتو را در برابر حملات مشابه محافظت کرد؟
برای محافظت از داراییهای دیجیتال توصیه میشود: تنها از پروتکلهایی استفاده کنید که حسابرسی امنیتی معتبر دارند، داراییهای خود را میان چندین پروتکل توزیع کنید، مبالغ بزرگ را در پروتکلهای نسبتاً جدید و تستنشده سپردهگذاری نکنید، و از اخبار و هشدارهای امنیتی پروتکلهایی که در آنها سرمایهگذاری کردهاید مطلع بمانید.
