۷۱ میلیون دلار منجمد، ۱۷۵ میلیون دلار قبلاً از دست رفته: چگونه هکر Kelp DAO در حال شستشوی ۲۹۲ میلیون دلار اتر سرقت‌شده است

آربیتروم به سرعت وارد عمل شد. شامگاه دوشنبه، شورای امنیت آربیتروم بیش از 30,766 اتر (تقریباً 71 میلیون دلار) را که در کیف پولی در Arbitrum One و مستقیماً به بهره‌برداری KelpDAO مرتبط بود، مسدود کرد. این شورا اعلام کرد که با مشورت نهادهای قانونی و بر اساس آنچه هویت بهره‌بردار (هکر) می‌دانستند، اقدام کرده‌اند و این عمل بر هیچ یک از کاربران یا برنامه‌های دیگر آربیتروم تأثیری نداشته است. محیط‌های دیفای (DeFi) به ندرت می‌توانند چنین سطح از مداخله درون‌زنجیره‌ای (on-chain) را در زمان واقعی انجام دهند، بنابراین این یک اقدام واقعاً قاطعانه برای آربیتروم بود.

هکر حتی سریع‌تر عمل کرد. پیش از اینکه خبر آربیتروم منتشر شود، شرکت اطلاعات بلاکچین آرکام (Arkham) ردیابی کرد که مظنون 75,701 اتر (تقریباً 175 میلیون دلار) را از آدرس‌های اتریوم خارج و به کیف پول‌های تازه ایجاد شده منتقل کرده است. دو انتقال انجام شد، یکی به مبلغ 117 میلیون دلار و دیگری 58 میلیون دلار، که هر دو در ساعات معاملاتی اروپا در روز سه‌شنبه صورت گرفت. محقق درون‌زنجیره‌ای ZachXBT به من تأیید کرد که وجوه غیرقانونی به دست آمده شروع به جابجایی بین زنجیره‌ها کرده‌اند. مرحله پولشویی آغاز شده است.

در حالی که آربیتروم تقریباً 25 درصد از کل مبلغ سرقت شده را مسدود کرد؛ 75 درصد باقیمانده همچنان به طور فعال در حال جابجایی است.

چگونه حمله صورت گرفت

برای کسانی که از دست دادند، در روز شنبه، 18 آوریل، یک مهاجم از نقص در بریج (پل) میان‌زنجیره‌ای Kelp DAO مبتنی بر LayerZero سوءاستفاده کرد که به او اجازه داد 116,500 rsETH (به ارزش حدود 291 میلیون دلار در آن زمان) – تقریباً 18 درصد از کل rsETH در گردش در آن زمان – را برداشت کند. مهاجم با ارائه دستورات جعلی به بریج، باعث شد تا rsETH را به آدرسی که تحت کنترل او بود، آزاد کند. سپس مهاجم توکن‌های سرقت شده را در Aave، Compound و Euler سپرده‌گذاری کرد تا از آنها به عنوان وثیقه برای قرض گرفتن صدها میلیون اتر رپ شده (wrapped ether) اضافی استفاده کند.

بریج Kelp دارای ذخایری بود که از rsETH در بیش از 20 شبکه پشتیبانی می‌کرد، بنابراین این حادثه بلافاصله اثرات دومینویی (ripple effects) ایجاد کرد. تا به امروز، حداقل 9 پروتکل مجبور شده‌اند بازارهای خود را مسدود کنند یا اقدامات اضطراری دیگری انجام دهند. تنها آوه (Aave) شاهد خروج 6.6 میلیارد دلار در TVL (ارزش کل قفل شده) از پلتفرم خود در عرض چند ساعت بود و ارزش توکن آن 16 درصد کاهش یافت. اکنون که آوه گزارش حادثه خود را منتشر کرده است، تخمین می‌زند که میزان بدهی بد آن بین 123 میلیون دلار تا 230 میلیون دلار باشد، بسته به اینکه Kelp DAO چگونه کسری خود را بین موقعیت‌های لایه 2 خود تقسیم می‌کند.

بدین ترتیب، این هک دیفای اکنون از هک دریفت (Drift) که دو هفته پیش رخ داده بود، پیشی گرفته و آن را به بزرگترین هک دیفای سال 2026 تاکنون تبدیل کرده است.

بازی سرزنش بین Kelp و LayerZero

Kelp DAO و LayerZero درگیر یک نزاع عمومی هستند بر سر اینکه چه کسی مسئول خطای پیکربندی (configuration mistake) است که منجر به حمله شد، در حالی که بازرسان همچنان در حال بررسی چگونگی از دست رفتن پول هستند. یکی از دلایل، وجود یک مالک واحد بود که به عنوان تنها تأییدکننده (verifier) اعتبار هر پیام ارسالی بین زنجیره‌های مختلف عمل می‌کرد. اگر این مالک واحد به خطر بیفتد، کل بریج به خطر می‌افتد.

LayerZero اصرار دارد که زیرساخت لازم برای توسعه را به Kelp DAO ارائه کرده است. Kelp DAO اصرار دارد که استفاده آنها از یک مالک واحد بر اساس پیکربندی استاندارد LayerZero برای SV بوده است، به این معنی که این انتخابی از سوی Kelp DAO نبوده است. نتیجه اینکه چه کسی مسئول است، برای هرگونه راه‌حل قانونی آینده مهم است، اما بر زیان‌های مالی متحمل شده توسط کسانی که پول خود را از دست داده‌اند، تأثیری نخواهد داشت.

آنچه هر دو طرف اکنون، عملاً، اعتراف می‌کنند این است که یک پیکربندی (configuration) وجود داشته که به طور فاجعه‌بار قادر به مقاومت در برابر نفوذ نبوده و در حال اجرا در تولید بر روی یک بریج با ارزش صدها میلیون دلار از دارایی‌های میان‌زنجیره‌ای بوده است (این همان چیزی است که هر دو طرف را به هم مرتبط می‌کند). کسی باید این مشکل را تشخیص می‌داد، اما هیچ کس این کار را نکرد.

سایه کره شمالی

محققان امنیتی و نشریات متعدد تشخیص داده‌اند که الگوی سوءاستفاده Kelp، مقیاس آن و سرعت پولشویی وجوه، به شدت نشان‌دهنده شیوه عملکرد (modus operandi) مرتبط با گروه لازاروس (Lazarus Group) کره شمالی است. روی هم رفته، سوءاستفاده‌های دریفت و Kelp بیش از 500 میلیون دلار از دارایی‌های تخلیه شده را در کمتر از 2 هفته به ارمغان آورد. تحلیلگران بر این باورند که این تخلیه مالی منعکس‌کننده نیاز یک کشور تحریم شده به وجوه است، نه هکرهای فرصت‌طلب که با این سرعت عمل می‌کنند.

گروه لازاروس با برخی از بزرگترین سرقت‌های ارز دیجیتال تاریخ، از جمله هک 625 میلیون دلاری شبکه رونین (Ronin Network) که در سال 2022 رخ داد، مرتبط بوده است. این گروه به استفاده از تنظیمات تأییدکننده (verifier) به خطر افتاده برای سوءاستفاده از زیرساخت‌های میان‌زنجیره‌ای، و همچنین انتقال سریع‌تر و کارآمدتر وجوه سرقت شده خود از طریق ابزارهای مختلف حفظ حریم خصوصی و پرش‌های زنجیره‌ای (chain hops) برای مختل کردن توانایی محققان در ردیابی دارایی‌های سرقت شده، شناخته شده است. سوءاستفاده Kelp با این شیوه‌های عملکرد همخوانی دارد. در حالی که انتساب به گروه لازاروس تأیید نشده است، واضح است که نهادهای قانونی اطلاعات کافی در مورد هویت بهره‌بردار Kelp به شورای امنیت آربیتروم ارائه داده‌اند تا اجازه مسدودسازی فوق را صادر کنند – که این بدان معناست که محققان پیشرفت بیشتری نسبت به آنچه در اظهارات عمومی منعکس شده، داشته‌اند.

چه خواهد شد

هیچ کس بدون تأیید حاکمیت آوه (Aave's Governance) قادر به دسترسی به 70 میلیون دلار وجوه مسدود شده آربیتروم نخواهد بود. این مبلغ قابل توجهی است که بازیابی شده و سرعت وقوع همه اینها به طور ویژه چشمگیر است. با این حال، 175 میلیون دلار به کیف پول‌های جدید منتقل شده است که بازیابی را بسیار دشوارتر می‌کند تا زمانی که تنها در یک بلاکچین اتفاق می‌افتاد. FBI و IRS-CI احتمالاً با توجه به ارزش کلی بالای وجوه سرقت شده، در مورد تحقیقات با هم همکاری می‌کنند، اما تبدیل این تحقیقات به دارایی‌های واقعی ماه‌ها یا سال‌ها طول خواهد کشید، نه فقط چند روز.

در مورد بازیابی بدهی‌های بد/وام‌ها برای آوه، سوال اولیه آنها این خواهد بود که چگونه با این ضرر برخورد کنند. ممکن است بخشی از آن با استفاده از "ذخیره ایمنی چتر" (Umbrella Safety Reserve) پوشش داده شود، اما در غیر این صورت، هرگونه ضرر اضافی باید از دارندگان stkAAVE، از طریق مکانیسم حمایتی پروتکل (backstop mechanism)، تأمین شود. این امر برای اولین بار فشار قابل توجهی بر حاکمیت آوه وارد می‌کند تا به روشی بی‌سابقه برای محافظت از دارندگان stkAAVE در برابر ضرر اقدام کند.

در حال حاضر، تنها حدود 72 ساعت از وقوع سوءاستفاده Kelp می‌گذرد. تحقیقات ادامه دارد؛ پولشویی وجوه سرقت شده در حال انجام است؛ و مبلغ کل ضرر ناشی از سوءاستفاده هنوز مشخص نشده است. واضح است که عامل سوءاستفاده Kelp قبل از اجرای هک، طرحی پیچیده را برای سوءاستفاده از این شرایط آماده کرده بود.