سرقة مذهلة بقيمة 293 مليون دولار تكشف لحظة بلوغ DeFi سن الرشد

لسنوات عديدة، باع التمويل اللامركزي نفسه بناءً على وعد بسيط: القانون هو القانون. ومن شأن العقود الذكية، غير القابلة للتغيير والشفافة، أن تزيل نقاط الضعف البشرية التي يعاني منها التمويل التقليدي.

لكن استغلال KelpDAO الذي تبلغ قيمته 293 مليون دولار والذي حدث الشهر الماضي كشف عن حقيقة غير مريحة لمنشئي البنية التحتية للعملات المشفرة: فأكبر نقاط الضعف في الصناعة لا علاقة لها على نحو متزايد بالعقود الذكية نفسها.

وبدلاً من ذلك، يكمن الخطر الآن في الشبكة المترامية الأطراف من الجسور وأنظمة الحوكمة والأمن التشغيلي وتبعيات الطرف الثالث التي تتوضع حول الكود، والطبقة البشرية والبنية التحتية الفوضوية التي تدعم التمويل اللامركزي الحديث.

قال يوجين مامين، كبير الخبراء التقنيين في مؤسسة Lido Labs، لموقع CoinDesk: "إن العقود في معظم هذه الحالات فعلت بالضبط ما طلب منهم مؤلفوها القيام به". "لم يكن المؤلفون الأشخاص الشرعيين في هذه الحالة."

أصبح استغلال KelpDAO، المرتبط بالثغرة الأمنية التي تنطوي على البنية التحتية لجسر LayerZero، لحظة حاسمة بالنسبة لصناعة التمويل اللامركزي التي تتصارع مع نضجها.

بالنسبة لمؤسسي البروتوكول والباحثين الأمنيين، عزز الحادث تحولًا أوسع نطاقًا يجري عبر العملات المشفرة: لم يعد التمويل اللامركزي يكافح في المقام الأول أخطاء البرمجة. إنها تحارب تعقيدها الخاص.

في السنوات الأولى لـ DeFi، كانت عمليات الاستغلال تنبع عادةً من عيوب في كود العقد الذكي، أو أخطاء إعادة الدخول، أو التلاعب بالأوراكل، أو المنطق الخاطئ. واليوم، تحدث العديد من أكبر حالات الفشل في الصناعة في مكان آخر تمامًا.

قال سام ماكفيرسون، الرئيس التنفيذي لشركة Phoenix Labs، المطور وراء منصة التمويل اللامركزي Spark: "إن مخاطر العقود الذكية هي مشكلة تم حلها إلى حد كبير". "في الآونة الأخيرة، كانت جميع عمليات الاختراق ناجمة عن سوء الأمن التشغيلي."

هذا لا يعني أن العقود الذكية مثالية. لكن أدوات التدقيق، والتحقق الرسمي، وبرامج مكافآت الأخطاء، ومراجعة التعليمات البرمجية بمساعدة الذكاء الاصطناعي، جعلت العقود الأساسية أكثر قوة بشكل ملحوظ مما كانت عليه خلال دورة النمو الهائلة لـ DeFi، وفقًا لكلا المديرين التنفيذيين.

تكمن المشكلة في أن التمويل اللامركزي نفسه قد تطور إلى آلة مالية شديدة الترابط. تعتمد البروتوكولات على الجسور. تعتمد الجسور على أدوات التحقق من الصحة وأنظمة المراسلة. تعتمد أنظمة الحوكمة على multisigs والبنية التحتية السحابية ومقدمي SaaS والفرق المنتشرة عبر الولايات القضائية.

كل طبقة مضافة تخلق نقطة فشل أخرى. وقال مامين من شركة ليدو: "عندما تعيد استخدام البنية التحتية لشخص آخر، فإنك ترث نموذج التهديد الخاص به".

لقد أظهر استغلال KelpDAO مدى خطورة تلك المخاطر الموروثة. ولم تظل نقاط الضعف في البنية التحتية للجسور المشتركة معزولة، بل امتدت إلى الخارج في بروتوكولات مبنية فوقها.

وقال ماكفيرسون من شركة Phoenix Labs: "يمكن أن يتحول التركيز بهدوء إلى مخاطر نظامية". "إذا كان جزء كبير جدًا من السوق يعتمد على نفس البنية التحتية، فإن الفشل يتوقف عن العزلة ويبدأ في التتالي".

"مملة" كميزة جذابة لـ DeFi

وقال مامين إنه يعتقد أن هذا الاستغلال يقع أيضًا في وقت أصبح فيه مستثمرو العملات المشفرة أقل تسامحًا مع التجارب شديدة المخاطر.

وقال مامين: "إن البروتوكولات التي يثق بها الناس فعلياً برأس مال جدي هي تلك التي تفعل الشيء نفسه بنفس الطريقة، كما هو متوقع، لسنوات". "الممل هو ميزة."

عادةً ما تكافئ بروتوكولات التمويل اللامركزي (DeFi) أقصى قدر من النمو والرافعة المالية والعائد. كان يُنظر إلى التعقيد في كثير من الأحيان على أنه ابتكار. الآن، بعد سنوات من الاستغلال والتصفيات والإخفاقات المتتالية، يبدو أن المستخدمين ينجذبون نحو شيء أقل إثارة بكثير: القدرة على التنبؤ.

وقال ماكفيرسون إن السوق بدأت في مكافأة الأنظمة المصممة للمرونة بدلاً من تحقيق أقصى قدر من الاتجاه الصعودي.

وقال: "لفترة طويلة، كافأت التمويل اللامركزي النمو بأي ثمن". "ولكن عندما تشتد الظروف، تصبح المقايضات الخفية مرئية".

شهدت شركة سبارك مؤخرًا ارتفاعًا في الودائع، ويرجع ذلك جزئيًا إلى تحول المستخدمين إلى أسواق إقراض أكثر تحفظًا وهياكل ضمانات أبسط، وفقًا لماكفيرسون.

درس آخر مهم من حادثة KelpDAO هو أن العديد من نواقل الهجوم الأكثر خطورة في DeFi تشبه الآن مشكلات الأمن السيبراني العادية.

وأشار مامين إلى نقاط الضعف في أجهزة الكمبيوتر المحمولة الشخصية ومنصات SaaS وأنظمة الإدارة الرئيسية وسلاسل توريد البرامج باعتبارها من أكبر المخاطر التي لم يتم حلها في الصناعة.

وقال: "لقد عاد سطح الهجوم إلى جذور web2 بدلاً من أن يتقلص".

وهذا يخلق تناقضًا غريبًا في قلب العملات المشفرة. قد تكون طبقة onchain شفافة بشكل جذري، لكن الكثير من البنية التحتية الداعمة لها تظل مبهمة ويصعب تدقيقها خارجيًا.

أصبح من الصعب على المستخدمين تجاهل هذا المضمون: يعتمد الأمان في DeFi بشكل متزايد بشكل أقل على ما إذا كان البروتوكول قد تم تدقيقه وأكثر على ما إذا كان الأشخاص الذين يقومون بتشغيله منضبطين. وهذا يعني التوقيعات المتعددة الموزعة جغرافيًا، والأقفال الزمنية، وخطط الاستجابة للحوادث التي تم التدريب عليها، والممارسات الأمنية التشغيلية الصارمة وأنظمة الحوكمة التي تقلل الاعتماد على أي جهة فاعلة منفردة.

على الرغم من سلسلة الاستغلالات، لا يعتقد مامين ولا ماكفيرسون أن هذه الحوادث تُبطل التمويل اللامركزي DeFi تمامًا. بطريقة ما