على الرغم من كل الحديث عن التمويل اللامركزي والمستقل وغير المرخص، إلا أن رد فعل قطاع التمويل اللامركزي (DeFi) على اختراق Kelp DAO الذي بلغت خسائره 290 مليون دولار يوم السبت يروي قصة مختلفة تمامًا.
الشركات المعنية تلعب لعبة إلقاء اللوم البشرية الفوضوية للغاية حول المسؤولية عن تداعيات الخسائر البالغة 14 مليار دولار.
بينما تتهرب المشاريع من مسؤولياتها، يجد المستخدمون أموالهم عالقة فيما كان يُعتبر الجانب الآمن والممل والمريح من التمويل اللامركزي، وقد يواجهون تخفيضات في أصولهم لتغطية الديون المعدومة.
وفي الوقت نفسه، وسط حالة عدم اليقين هذه، تفقد الصناعة بأكملها مصداقيتها.
أصوات مؤثرة تحث الأطراف الثلاثة الرئيسية على الاجتماع معًا وإيجاد طريق للمضي قدمًا. ولكن حتى الآن، يبدو أن الشركات مصممة على لعب دور المتشدد.
شركة LayerZero تلقي باللوم على اختيار Kelp DAO لإعدادات المدقق (Validator)، بينما تقول Kelp DAO إنها اتبعت الإعدادات الافتراضية لـ LayerZero. شركة Aave تبقى على الحياد، على أمل العودة إلى العمل كالمعتاد مع تجنب دورها في دفع التكامل العميق لرمز rsETH.
دعونا نلقي نظرة على القضية ضد كل مشروع من المشاريع المعنية.
Kelp DAO
بدءًا من Kelp DAO، الذي تم اختراق رمزه rsETH يوم السبت، ليس هناك الكثير لنعرفه.
ظلت الشركة صامتة لمدة 48 ساعة بعد اعترافها الأولي بالاختراق.
المستخدمون الذين كانوا ينتظرون سماع كيفية توزيع الخسائر حصلوا أخيرًا على بيان موجز لم يقدم أي معلومات جديدة.
لقد أكد فقط آلية الاختراق، وهنأ نفسه، وأشار إلى أن تكوين Kelp DAO 1/1 DVN هو “الإعداد الافتراضي لأي نشر جديد لـ OFT”، وهنأ نفسه على منع محاولة اختراق أخرى بقيمة 95 مليون دولار.
لقد بدا البيان ضعيفًا إلى حد ما، بالنظر إلى الهجوم المحتمل على LayerZero الذي تم التلميح إليه في اليوم السابق.
أما بالنسبة لتوزيع الخسائر، فتقول الشركة إنها “تقيّم حاليًا الخطوات التالية المحتملة.”
في مديحها لقرار Arbitrum بمصادرة الإيثر المسروق (ETH)، لم تكشف عن الكثير، قائلة إنها “تتبع جميع السبل المتاحة… للتخفيف من تأثير الحادث عبر نظام DeFi البيئي.”
سنواصل الانتظار إذًا.
LayerZero
واجهت LayerZero الكثير من الانتقادات، ليس فقط من Kelp DAO، بأن هيكلها المعماري يلقي بعبء الأمان على عاتق فرق المشاريع الفردية، أو “يمكّن كل تطبيق ومُصدر أصول من تحديد وضعهم الأمني الخاص”، كما تقول LayerZero.
بينما تدعي الشركة أنها توصي مُصدري الأصول الفردية باختيار إعداد آمن، يشير تحليل من Dune إلى أن ما يقرب من نصف أكثر من 2500 عقد جسر OApp يستخدمون تكوين 1/1 DVN.
أحد الأمثلة، التي أبرزها خبير أمن البلوكتشين تايلور موناهان، ينص صراحةً على “استخدام الإعدادات الافتراضية لـ LZ” في تعليقات الكود الخاص به.
في الواقع، في أعقاب حادث يوم السبت، أوقفت العديد من مشاريع العملات الرقمية والتمويل اللامركزي المعروفة جسر أصولها عبر LayerZero، بما في ذلك Ethena وEtherFi وWBTC وTron وCurve.
نقطة خلاف أخرى هي عدم الإفصاح عن ناقل الهجوم المحدد الذي منح الوصول إلى بنيتها التحتية مما أدى إلى التلاعب بـ DVN، التي تديرها LayerZero نفسها.
Aave
على الرغم من كونها الأبعد عن السرقة الفعلية، إلا أن بروتوكول DeFi الأول سابقًا (الذي خسر المركز الأول الآن بسبب التدفقات الخارجة الأخيرة) هو من خلق الظروف لمثل هذا الضرر الواسع النطاق.
استخدام rsETH كضمان في الوضع الخاص (e-mode) مع قيمة إجمالية مقفلة مستهدفة من خلال السماح بالرفع المالي العالي لرموز (إعادة) التخزين السائلة المرتبطة بـ ETH، وهو أحد الاستخدامات الرئيسية لـ Aave.
تقييمات المخاطر لهذه الإعدادات ركزت على “مخاطر السوق والسيولة”، مع اعتبار تكوينات الجسر “ميزة هيكلية للقابلية للتركيب وليس سؤالاً عن النطاق.”
كان لرمز rsETH المُجسّر نفس المعاملات الموجودة على الشبكة الرئيسية، متجاهلاً تمامًا أي مخاطر عبر السلاسل.
يبدو من المحتمل أن rsETH كان مستهدفًا تحديدًا بسبب سيولته العميقة، وهو إنجاز تحقق بفضل هذه القرارات.
بدت Aave بعيدة المنال قبل بضعة أشهر فقط، لكن الاضطرابات الأخيرة، والنظر إلى الوراء على الغطرسة السابقة، وهجوم المساهمين على المنافسين، ترسم صورة مختلفة تمامًا.
الجانب المشرق من Arbitrum
في وقت سابق من اليوم، تمكن مجلس أمان Arbitrum من إنقاذ أكثر من 30,000 إيثر (71 مليون دولار) من أرباح المخترق في الوقت المناسب.
بعد ذلك بوقت قصير، بدأت غسيل الأموال على شبكة إيثريوم. أكد محللو السلاسل تورط كوريا الشمالية (DPRK)، واكتشفوا روابط لاختراقات أخرى مرتبطة بـ TraderTraitor، وBTC Turk، وByBit.
بينما قد يكون لدى بعض متعصبي اللامركزية في DeFi مشكلة مع هذه الخطوة، فإن القدرة على مصادرة الأموال غير المشروعة وعدم القيام بذلك سيكون أسوأ الاحتمالين، كما جادل مايكل إيغوروف من Curve Finance.
مثل هذه الخطوة ليست بدون سابقة، بعد كل شيء. في عام 2023، تم استرداد عائدات اختراق Wormhole في العام السابق بمساعدة Oasis، وفي عام 2024، صادرت Blast 97 مليون دولار من مطور مارق.
يأمل banteg من Yearn أيضًا أن يكون Arbitrum قد أخاف الآن المحاولات المستقبلية من قبل Lazarus.
تبقى أسئلة مهمة حول إمكانية اتخاذ إجراءات مماثلة في المستقبل، تتمحور حول الحاجة إلى أمر من المحكمة أو عتبة محددة للتدخل.
لكن الأكثر إلحاحًا، يبقى سؤال كيفية إعادة توزيع الأموال المصادرة دون إجابة أيضًا.
الأسئلة الشائعة (FAQ)
- س: ماذا حدث بالضبط في اختراق Kelp DAO؟
ج: تعرض بروتوكول Kelp DAO لاختراق أدى إلى سرقة حوالي 290 مليون دولار من رمز rsETH. السبب الرئيسي هو خلاف حول إعدادات الأمان بين Kelp DAO وشركة LayerZero المسؤولة عن الجسر، مما أدى إلى تعليق أموال المستخدمين وتوزيع الخسائر المحتملة عليهم. - س: ما هو دور كل من LayerZero وAave في هذه المشكلة؟
ج: تلقي LayerZero باللوم على Kelp DAO لاستخدامها إعدادات افتراضية غير آمنة، بينما تقول Kelp DAO إنها اتبعت تعليمات LayerZero. أما Aave فتُتهم بخلق بيئة سمحت بسيولة عميقة لرمز rsETH دون مراعاة مخاطر الجسر، مما جعله هدفًا جذابًا للمخترقين. - س: كيف تعاملت Arbitrum مع الموقف وما هي الخطوة التالية؟
ج: قام مجلس أمان Arbitrum بمصادرة أكثر من 71 مليون دولار من الأموال المسروقة قبل أن يتم غسلها. لا يزال مصير هذه الأموال وكيفية إعادتها للمستخدمين غير واضح، لكن هذه الخطوة تعتبر سابقة مهمة لردع قراصنة المستقبل.
