ZachXBT بهره‌برداری ۲۸۰ میلیون دلار+ KelpDAO را که بازارهای وام‌دهی دیفای اتریوم را هدف قرار داده است، افشا کرد

نکات کلیدی:

• ZachXBT در ۱۸ آوریل ۲۰۲۶ سرقتی بیش از ۲۸۰ میلیون دلار را در میان پروتکل‌های دیفایِ اتریوم و آربیتروم پرچم‌گذاری کرد.
• نقص مینتینگ rsETH در KelpDAO باعث ایجاد بدهی معوق در Aave V3 شد و توکن AAVE حدود ۱۰ تا ۱۳٪ افت کرد.
• KelpDAO هنوز این سوءاستفاده را تأیید نکرده است؛ تحلیل‌گران شش کیف پول شناسایی‌شده مهاجم را برای یافتن سرنخ‌های بازیابی زیر نظر دارند.

سوءاستفاده دیفای اتریوم: حمله به rsETH در KelpDAO بیش از ۲۸۰ میلیون دلار تخلیه کرد

بازپرس آنچین ZachXBT کمی پیش از ساعت ۳ بعدازظهر به وقت شرقی، هشدار اولیه را در کانال عمومی تلگرام خود منتشر کرد؛ او شش آدرس کیف پول مرتبط با سرقت را فهرست کرد و گفت کیف پول‌های مهاجم پیش از آغاز تخلیه، از طریق Tornado Cash تأمین مالی شده بودند. پست او به خسارت‌هایی بیش از ۲۸۰ میلیون دلار در چندین پروتکل دیفای اشاره داشت، بدون آنکه مستقیماً نام KelpDAO را بیاورد، اما تحلیل‌گران آنچین ظرف چند ساعت آدرس‌ها را به هم مرتبط کردند.

«به نظر می‌رسد KelpDAO یک ساعت پیش در اتریوم و آربیتروم بیش از ۲۸۰ میلیون دلار سرقت شده است،» ZachXBT نوشت. «آدرس‌های حمله از طریق Tornado Cash تأمین مالی شده بودند.»

این حمله از یک الگوی تکراری و شناخته‌شده پیروی کرد. گزارش‌ها می‌گویند مهاجمان ظاهراً از یک نقص در منطق مینتینگ rsETH سوءاستفاده کرده‌اند و حجم بزرگی از این توکن لیکوئید رِستیکینگ را بدون ارائه وثیقه مناسب ایجاد کرده‌اند. سپس rsETH بادشده به بازارهای وام‌دهی Aave V3 در هر دو شبکه اتریوم و آربیتروم واریز شد و مهاجم با اتکا به آن، مقادیر قابل‌توجهی ETH و سایر دارایی‌ها را وام گرفت.

پس از آنکه وثیقه به‌عنوان بی‌ارزش شناسایی شد، این موقعیت‌ها Aave را با بدهی معوق مواجه کرد. برآوردهای جامعه از مجموع خسارت‌ها از ۱۰۰ میلیون دلار تا حدود ۲۹۳ میلیون دلار متغیر بود؛ معادل تقریبی ۱۱۶٬۵۰۰ ETH با قیمت‌های فعلی.

AAVE با انتشار این خبر به‌شدت سقوط کرد. داده‌های بازار نشان می‌دهد افت قیمت طی چند ساعت پس از هشدار اولیه بین ۱۰٪ تا ۱۳٪ بوده است، در حالی که بازار در حال سنجش میزان مواجهه احتمالی با بدهی معوق در استخرهای وام‌دهی این پروتکل بود.

توکن‌های لیکوئید رِستیکینگ مانند rsETH در عمق قابلیت ترکیب‌پذیری دیفای قرار دارند. آن‌ها هم‌زمان در چندین بازار وام‌دهی به‌عنوان وثیقه پذیرفته می‌شوند؛ یعنی یک سوءاستفاده در مینتینگ می‌تواند به‌سرعت زیان‌ها را در پلتفرم‌های مختلف پخش کند. حادثه KelpDAO این ریسک را به‌طور مستقیم نشان می‌دهد.

کیف پول‌های مهاجم که ZachXBT فهرست کرده بود، نشان می‌دادند موقعیت‌های بزرگ ETH روی Aave و Compound نگهداری می‌شود. گفته می‌شود تنها یک آدرس در زمان شناسایی، حدود ۱۲۰ میلیون دلار ETH روی Aave در اختیار داشت. پس از تخلیه، وجوه به‌سرعت جابه‌جا شدند.

استفاده از Tornado Cash برای تأمین مالی اولیه کیف پول‌های عملیاتی پیش از حمله، یک تاکتیک رایج برای مهاجمان است که می‌خواهند منشأ وجوه را پنهان کنند. این موضوع نشان‌دهنده تکنیک جدیدی نیست، اما تأیید می‌کند عملیات عمدی و برنامه‌ریزی‌شده بوده است.

تا حدود ساعت ۳ بعدازظهر به وقت شرقی در ۱۸ آوریل، KelpDAO هیچ بیانیه رسمی یا گزارش پس از حادثه منتشر نکرده بود. جامعه در حال رصد حساب X و وب‌سایت پروژه برای دریافت پاسخ بود و همچنین کانال‌های حاکمیت Aave را برای هر اقدام اضطراری دنبال می‌کرد.

شرکت‌های امنیتی دیفای، از جمله Peckshield، Slowmist و دیگران، تا زمان نگارش هنوز تحلیل‌های تفصیلی منتشر نکرده بودند؛ امری که بازتاب‌دهنده سرعت شکل‌گیری و تحول این وضعیت است. ZachXBT نیز در کانال‌های عمومی به‌طور مشخص پستی در نام بردن از KelpDAO منتشر نکرده بود، اما همپوشانی آدرس‌ها ارتباط را روشن می‌کرد.

این رویداد جدا از سوءاستفاده Drift Protocol است که نخستین بار در ۱ آوریل ۲۰۲۶ توسط Bitcoin.com News گزارش شد؛ رویدادی که طی آن حدود ۲۸۰ میلیون دلار عمدتاً روی سولانا تخلیه شد، پیش از آنکه USDC از طریق CCTP به اتریوم بریج شود. سازوکارها، زنجیره‌ها و زمان‌بندی‌ها متفاوت هستند.

به هر کسی که rsETH یا موقعیت‌های مرتبط در Aave، Compound یا دیگر بازارهای وام‌دهی در اختیار داشت، از سوی اعضای جامعه توصیه می‌شد تا زمانی که وضعیت حل‌وفصل نشده است، میزان مواجهه خود را بررسی کند.

شش کیف پول مهاجم که ZachXBT شناسایی کرده است همچنان اهداف فعال رهگیری آنچین هستند، زیرا تحلیل‌گران در تلاش‌اند مسیر جابه‌جایی وجوه پس از خروج از Aave را ترسیم کنند.