في السابق، كان مستثمرو التجزئة مستهدفين، لكن منصات التمويل اللامركزية تقدم الآن نقاط ضعف جديدة لهذا المزيج.
قامت بروتوكولات العائد الآلي ببناء عرض البيع بالتجزئة الأكثر إقناعًا لـ DeFi والذي كان الإيداع في قبو هو كل ما يحتاج المستخدم إلى القيام به، مع تعامل البروتوكول مع كل شيء آخر.
بالنسبة للمستخدمين الراغبين في التعرض لعائدات Curve المعززة دون إدارة أقفال CRV بالدولار وقوة التصويت والأغلفة والمقاييس والحوافز يدويًا، قدمت Stake DAO منتجًا يجمع المجموعة الكاملة خلف واجهة بسيطة، ومن خلال القيام بذلك، قام أيضًا بتعبئة ما يمكن أن ينكسر.
وفقًا لـ Blockaid، قام أحد المهاجمين بسك ما يزيد عن 5.4 تريليون vsdCRV على Arbitrum من خلال اختراق مشتبه به لمفتاح النشر وبدأ في مبادلة الرموز المميزة مقابل ETH بالدولار.
قام المهاجم بتغيير تكوين النظير المرتبط بـ LayerZero لتزوير رسالة عبر السلسلة قبل سك 5,446,744,073,709 vsdCRV، وتحويل جزء إلى ما يقرب من 43.78 دولارًا ETH، مع تقييد السيولة للاستخراج المحقق أقل بكثير من السعر الاسمي.
طلبت Stake DAO من المستخدمين عدم التفاعل مع vsdCRV أثناء نشاط الوضع. امتد الحادث إلى Curve، الذي حذر المستخدمين في سوق Arbitrum LlamaLend المتأثر، وأوقف Beefy Finance مؤقتًا قبوًا متصلاً مع التعرض لـ Curve وConvex.
تسمح Liquid Lockers الخاصة بـ Stake DAO للمستخدمين بإيداع الرموز المميزة للحوكمة مثل $CRV، واستلام sdTokens السائلة، والوصول إلى العائد المعزز والتعرض للحوكمة دون إدارة مكدس Curve-locking مباشرة.
تخفي واجهة القبو كل ذلك، وبذلك، تخفي أيضًا مفاتيح النشر، وثقة المراسلة عبر السلسلة، ومحاسبة الرمز المميز، وتبعيات أوراكل التي مرت عبرها الاستغلال.
رسم بياني يقارن بين الخطوات الأربع التي يراها المستخدمون في خزائن العائد الآلية وطبقات المخاطر السبع المخفية التي ورثوها تحتها.
يؤدي العائد التلقائي إلى نقل تعقيد التمويل اللامركزي بعيدًا عن الأنظار، وهي عملية نقل تصبح مرئية فقط عندما ينكسر شيء ما في الطبقة المخفية.
قام إيدو بن ناتان، المؤسس المشارك والرئيس التنفيذي لشركة Blockaid، بوضع إطار للانفصال الأمني في مذكرة:
"أينما توجد قيمة على السلسلة، سيكون هناك مهاجمون يحاولون استغلالها، وهذا صحيح بغض النظر عن مدى بساطة أو تعقيد استراتيجية البروتوكول. هناك شيئان مهمان هنا. أولاً، ما إذا كانت البروتوكولات تتمتع بالبنية التحتية المناسبة للحوكمة لضمان عدم وجود نقطة فشل سهلة للاستغلال. ثانيًا، وجود أدوات أمان على السلسلة في الوقت الفعلي تتحقق من صحة كل معاملة قبل التنفيذ."
والحساب الأوسع
كان أبريل 2026 هو أسوأ شهر لهجمات DeFi، حيث تم استخراج ما يقرب من 635 مليون دولار عبر 28 حادثة، مدفوعة بالهندسة الاجتماعية وانتحال الجسور والاستطلاع بمساعدة الذكاء الاصطناعي.
كتب مانويل أراوز، الذي شارك في تأسيس OpenZeppelin وعمل مديرًا للتكنولوجيا فيها حتى عام 2019، أنه يعتبر الآن "جميع" التمويل اللامركزي غير آمن لأن وكلاء تشفير الذكاء الاصطناعي أصبحوا "خارقين" في العثور على نقاط الضعف، في حين يجب على المدافعين إصلاح كل خطأ ويحتاج المهاجمون إلى خطأ واحد فقط.
رسم بياني يوضح شهر أبريل 2026 باعتباره أسوأ شهر استغلال لـ DeFi، مع خسارة 635 مليون دولار في 28 حادثة و5.4 تريليون vsdCRV وهمية.
رفضت OpenZeppelin هذا الادعاء علنًا، مشيرة إلى أن منشورات Aráoz لا تعكس موقف الشركة. ومع ذلك، فإن عدم التماثل الذي وصفه قد لفت انتباهًا جديًا إلى ما هو أبعد من نزاع الإسناد.
يضع بن ناتان الميزة الدفاعية في الأدوات في الوقت الفعلي واكتشاف التهديدات التكيفية:
"يستفيد المتسللون بشكل متزايد من الذكاء الاصطناعي للتحرك بشكل أسرع والعثور على نواقل هجوم جديدة. ومع ذلك، يتمتع موفرو الأمن السيبراني على السلسلة مثل Blockaid بخبرة عميقة في استخدام الذكاء الاصطناعي للبقاء في المقدمة. نحن نحلل باستمرار أنماط التهديدات الجديدة ونتكيف معها في الوقت الفعلي، باستخدام عوامل الذكاء الاصطناعي للتحقيقات والمحاكاة ومطابقة الأنماط الضارة."
هذه الإمكانية في الوقت الفعلي تجعل التحقق من صحة المعاملات إجراءً مضادًا قابلاً للتطبيق للسرعة التي يكتسبها المهاجمون، وبالنسبة لبروتوكولات العائد الآلي، أصبحت ضوابط الإدارة والمراقبة هي طبقة الأمان الفعلية التي تعتمد عليها واجهة الخزينة.
القبو القادم
في حالة الهبوط، تؤدي المزيد من التنازلات الرئيسية، وحوادث الجسر، وعدوى أوراكل، وتوقفات الخزنة مؤقتًا إلى خصم التجريد في منتجات العائد الآلي.
يطالب المستخدمون بعوائد أعلى للتعويض عن مخاطر المكدس المخفية، مما يجعل من الصعب الحفاظ على عرض العائد بنقرة واحدة دون الكشف الصريح عن المخاطر، وتفقد الخزائن الأصغر حجم TVL عندما تصبح عمليات التكامل محفوفة بالمخاطر.
يمتد نمط الحوادث الذي حدد شهر أبريل إلى بقية العام، وكل حادث جديد يعزز التصور بأن مخاطر حزم الأتمتة التي لا يمكن للمستخدمين تقييمها بشكل مستقل.
في الحالة الصاعدة، تعتمد البروتوكولات البنية التي يصفها بن ناتان، والتي تتكون من ضوابط الحوكمة التي تقضي على نقاط الفشل السهلة، والتحقق من صحة المعاملات في الوقت الفعلي، والمراقبة المستمرة لأنماط التهديد، ويستمر العائد الآلي في شكل أكثر توحيدًا.
يصبح التحقق الرسمي، وضوابط التوقيع المتعدد، ومراقبة وقت التشغيل هي البنية الأساسية الافتراضية، والمنتجات التي تحتفظ بثقة التجزئة هي تلك التي تكشف عن مكدس التبعية وتديره.
يتم تضمين موردي الأمان ولوحات معلومات المخاطر في واجهة المخزن نفسها، كما يتم توفير الميزة التنافسية