بدأ أغلى هجوم على تطبيقات التمويل اللامركزي (DeFi) في عام 2026، ليس بخطأ في كود منصة “Aave”، بل من خلال جسر “rsETH” الخاص بخدمة “KelpDAO”. هذا ما تؤكده المنصة في تقريرها الرسمي الذي نُشر هذا الأسبوع، معتبرةً أن هذا الحادث يثبت حاجة قطاع العملات الرقمية إلى إعادة التفكير في طريقة قياس المخاطر.
أعلنت “Aave” أنها ستبدأ مراجعة شاملة لكل الأصول المدرجة في الإصدار الثالث من منصتها، وستعيد كتابة معايير إدراج الأصول الجديدة. جاء هذا القرار بعد اختراق أبريل الماضي الذي تسبب بخسارة 230 مليون دولار من رموز “rsETH”، والذي كشف عن نوع جديد من المخاطر في عالم التمويل اللامركزي.
وأوضح التقرير الرسمي للحادثة أن الهجوم لم يستغل ثغرة في عقود “Aave” الذكية، بل كان بسبب فشل في التحقق من الرسائل عبر جسر “LayerZero”. حيث سمح مُدقق واحد فقط بتمرير رسالة مُزيفة عبر السلاسل، مما أدى إلى إصدار 116,500 رمز “rsETH” غير مدعوم بأي أصول حقيقية.
في المستقبل، تقول “Aave” إن تقييماتها للضمانات ستدرس عوامل مثل الجسور، وخدمات التغذية بالسعر (Oracles)، وأمن الحفظ، والأمن التشغيلي، إلى جانب المخاطر المالية ومخاطر العقود الذكية التي كانت تركز عليها سابقًا.
كيف حدث الاختراق؟
“KelpDAO” هي خدمة “إعادة التخزين” (Restaking) التي تسمح للمستخدمين بأخذ عملات “الإيثر” (ETH) المحجوزة في شبكة “إيثريوم” لكسب مكافآت التخزين، وإعادة استخدامها كضمان للحصول على أرباح إضافية من منصات أخرى. ويمثل رمز “rsETH” حق المستخدم في الحصول على هذه العملات المعاد تخزينها.
لنقل رمز “rsETH” بين سلاسل الكتل المختلفة، تستخدم “KelpDAO” خدمة “LayerZero”، وهي جسر يمرر الرسائل بين الشبكات، بحيث يظهر الرمز الصادر على سلسلة واحدة على سلسلة أخرى.
وتعتمد الجسور على مجموعة من المُدققين المستقلين الذين يتحققون من صحة كل رسالة قبل أن تطلق السلسلة المستقبلة الرموز المكافئة. في هجوم أبريل، وافق واحد فقط من هؤلاء المُدققين على رسالة مزيفة، مما سمح للمخترق بإصدار 116,500 رمز “rsETH” على السلسلة المستقبلة دون أن تكون مدعومة بأي عملات “إيثر” حقيقية.
بعد ذلك، تم إيداع هذه الرموز المزيفة في منصة “Aave” – وهي منصة إقراض حيث يقترض المستخدمون مقابل ضمانات يقدمونها – واستخدمت للحصول على قروض لم تستطع “Aave” استردادها بعد اكتشاف أن رموز “rsETH” لا قيمة لها. كود “Aave” نفسه عمل تمامًا كما صُمم، لكن الضمان الذي قبله تبين أنه مزيف لأن الجسر الذي أوصله قد تم اختراقه.
دروس مستفادة وتغييرات شاملة
بينما اعترفت “LayerZero” في وقت سابق من هذا الشهر بأنها “ارتكبت خطأً” بالسماح لنظام التحقق الخاص بها بتأمين أصول عالية القيمة بتكوين فريد من نوعه، يذهب تقرير “Aave” إلى أبعد من ذلك، مستخدمًا الحادثة لتبرير إصلاح شامل لإدارة المخاطر في التمويل اللامركزي.
ترى المنصة أن المراجعات التقليدية التي تركز على التقلبات والسيولة وتدقيق العقود الذكية فشلت في رصد المخاطر التي تخلقها الجسور وشبكات التحقق والبنية التحتية الأخرى الموجودة خارج كود التطبيق.
بالإضافة إلى تدقيق العقود الذكية وتحليل المخاطر المالية، قالت “Aave” إنها ستقيم الآن:
- البنية التحتية للجسور
- اعتماديات خدمات التغذية بالسعر (Oracles)
- العقود الخارجية من الأطراف الثالثة
- ترتيبات الحفظ
- ممارسات الأمن التشغيلي
- سيولة السوق الثانوية
كما تبني المنصة دفاعات آلية جديدة مصممة للرد بشكل أسرع عندما تظهر على الأصول الضمانية علامات الاضطراب. من بين المقترحات الواردة في التقرير نظام يُقلل تلقائيًا نسبة القرض إلى القيمة (LTV) للأصل إلى الصفر بمجرد تجاوز الحدود المحددة مسبقًا للمخاطر، مما يزيل قدرته على الاقتراض قبل أن تنتشر الخسائر في السوق الأوسع.
منذ الاختراق، يقول فريق إدارة المخاطر في “Aave” إنه نفذ حوالي 295 تغييرًا على المعايير عبر أسواق الإصدار الثالث، بما في ذلك 168 تخفيضًا في سقف العرض و66 تخفيضًا في سقف الاقتراض، بهدف الحد من التعرض للأصول الفردية.
مع تزايد ترابط بروتوكولات التمويل اللامركزي، يشير تقرير “Aave” إلى أن القطاع قد يحتاج إلى فحص ليس فقط الأصول التي يدرجها، بل أيضًا البنية التحتية التي تعتمد عليها هذه الأصول.
الأسئلة الشائعة (FAQ)
س1: ما هو السبب الحقيقي وراء اختراق “Aave” في أبريل 2026؟
ج: السبب لم يكن خطأ في كود “Aave” نفسه، بل فشل في جسر “LayerZero” حيث سمح مُدقق واحد فقط بتمرير رسالة مزيفة أدت إلى إصدار رموز “rsETH” غير مدعومة، والتي تم استخدامها كضمان للحصول على قروض.
س2: كيف ستغير “Aave” من طريقة تقييمها للمخاطر بعد هذا الحادث؟
ج: ستوسع “Aave” تقييمها ليشمل الجسور، وخدمات التغذية بالسعر، وأمن الحفظ، والأمن التشغيلي، بالإضافة إلى المخاطر المالية والعقود الذكية. كما ستبني أنظمة دفاع آلية تلقائيًا تقلل قيمة الضمان إلى الصفر عند تجاوز حدود المخاطر.
س3: ما هو الدرس الأهم الذي تريد “Aave” أن تتعلمه صناعة التمويل اللامركزي من هذا الاختراق؟
ج: الدرس هو أن المخاطر لا تأتي فقط من العقود الذكية أو التقلبات المالية، بل أيضًا من البنية التحتية مثل الجسور وشبكات التحقق التي قد تبدو آمنة ولكنها قد تشكل نقطة ضعف خطيرة عندما تكون مترابطة مع بروتوكولات أخرى.
