بروتوكولات العائد الآلي في عالم التمويل اللامركزي (DeFi) بنت أقوى رسالة تسويقية للمستخدم العادي، وهي أن إيداع الأموال في خزنة هو كل ما يحتاجه المستخدم، بينما يتولى البروتوكول كل شيء آخر.
المستخدمون الذين أرادوا الاستفادة من العوائد المعززة لبروتوكول Curve بدون إدارة يدوية لقفل رموز $CRV أو قوة التصويت أو الحوافز، وجدوا في Stake DAO منتجًا يجمّع كل هذه التعقيدات خلف واجهة بسيطة. لكنه في نفس الوقت، جمع أيضًا ما يمكن أن يتعطل.
وفقًا لشركة Blockaid، قام مخترق بصك أكثر من 5.4 تريليون رمز vsdCRV على شبكة Arbitrum، من خلال اختراق مشتبه به لمفتاح النشر الخاص بالبروتوكول. ثم بدأ المخترق في استبدال هذه الرموز بعملة $ETH.
المخترق غيّر إعدادات LayerZero المتعلقة بالتواصل بين الشبكات لصنع رسالة مزيفة، ثم قام بصك 5,446,744,073,709 رمزًا من vsdCRV، وحوّل جزءًا منها إلى ما يقارب 43.78 عملة $ETH. لكن السيولة المحدودة في السوق حالت دون تحويل الكمية الضخمة كاملة.
وجهت Stake DAO تحذيرًا للمستخدمين بعدم التعامل مع رمز vsdCRV أثناء التحقيق. امتد الحادث إلى Curve الذي حذّر المستخدمين في سوق LlamaLend المتأثر على Arbitrum، كما أوقفت منصة Beefy Finance خزنة مرتبطة بالحادث ومعرضة لبروتوكولي Curve و Convex.
كيف تعمل خزائن السوائل (Liquid Lockers)؟
تتيح خزائن Stake DAO للمستخدمين إيداع رموز الحوكمة مثل $CRV، والحصول على رموز sdTokens السائلة مع إمكانية الوصول إلى عوائد معززة وحوكمة بدون الحاجة لإدارة عملية القفل المعقدة يدويًا.
الواجهة الأمامية للخزنة تخفي كل هذه التفاصيل. لكنها في نفس الوقت، تخفي أيضًا مفاتيح النشر، وموثوقية الرسائل بين الشبكات، ومحاسبة الرموز المغلّفة، وتبعيات أوراكل التي استخدمها المخترق لتنفيذ هجومه.
العائد الآلي يخفي تعقيدات DeFi بعيدًا عن الأنظار، وهو إخفاء لا يصبح مرئيًا إلا عندما يتعطل شيء ما في الطبقة المخفية.
إيدو بن ناتان، المؤسس المشارك والرئيس التنفيذي لشركة Blockaid، وصف هذه الفجوة الأمنية قائلاً: “الواجهة البسيطة تخفي كل شيء، وعندما تكتشف الخلل، يكون الأوان قد فات”.
المشكلة الأكبر في DeFi
كان شهر أبريل 2026 هو الأسوأ في تاريخ DeFi من حيث الاختراقات، حيث سُرقت حوالي 635 مليون دولار عبر 28 حادثة، بسبب الهندسة الاجتماعية وانتحال شخصية الجسور والاستطلاع المدعوم بالذكاء الاصطناعي.
مانويل أراوث، المؤسس المشارك لشركة OpenZeppelin، كتب أنه يعتبر الآن أن “كل” DeFi غير آمن، لأن وكلاء الذكاء الاصطناعي أصبحوا “خارقين” في إيجاد الثغرات، بينما يجب على المدافعين إصلاح كل خطأ، بينما المهاجمون يحتاجون لخطأ واحد فقط.
OpenZeppelin رفضت هذا الادعاء رسميًا، لكن المشكلة التي وصفها تجذب اهتمامًا كبيرًا خارج نطاق الخلاف على التصريحات.
بن ناتان يرى أن الميزة الدفاعية تكمن في الأدوات الفورية والكشف التكيفي عن التهديدات. هذه القدرات تحوّل التحقق من المعاملات إلى سلاح فعال ضد سرعة المهاجمين المتزايدة.
الخزنة القادمة
في السيناريو السلبي، المزيد من اختراقات المفاتيح، حوادث الجسور، وانتشار الأوراكل يؤدي إلى خصم من ثقة المستخدمين في منتجات العائد الآلي.
- المستخدمون يطالبون بعوائد أعلى لتعويض مخاطر الطبقة المخفية.
- يصبح من الصعب الحفاظ على فكرة العائد بنقرة واحدة بدون إفصاح صريح عن المخاطر.
- الخزائن الصغيرة تفقد أموالها عندما تصبح عمليات التكامل محكومة بفحص المخاطر.
في السيناريو الإيجابي، تتبنى البروتوكولات التصميم الذي وصفه بن ناتان: ضوابط حوكمة تزيل نقاط الفشل السهلة، تحقق فوري من المعاملات، ومراقبة مستمرة لأنماط التهديدات.
- التحقق الرسمي، الحوكمة متعددة التوقيع، والمراقبة التشغيلية تصبح البنية التحتية الأساسية.
- المنتجات التي تحتفظ بثقة المستخدمين هي تلك التي تفصح عن تبعياتها وتديرها.
- الميزة التنافسية تنتقل من إخفاء التعقيد إلى إثبات أي أجزاء منه تحت السيطرة.
وعد العائد الآلي للمستخدم العادي كان دائمًا عن نقل التعقيد إلى الخلفية. لسنوات، تحملت البروتوكولات هذا العبء بصمت. لكن اختراق Stake DAO يظهر ماذا يحدث عندما تنكسر الطبقة المخفية، وأرقام شهر أبريل تظهر أن هذا الكسر يحدث بتواتر متزايد.
منتج العائد الآلي التالي الذي سيكسب ثقة المستخدمين، سيفعل ذلك بإظهار أي أجزاء من التبعيات تحت المراقبة والتحكم والعزل، وماذا يفعل البروتوكول عندما يفشل أي جزء منها.
الأسئلة الشائعة (FAQs)
س: ماذا حدث في اختراق Stake DAO؟
ج: اخترق مهاجم مفتاح النشر الخاص بالبروتوكول وصك أكثر من 5.4 تريليون رمز vsdCRV على شبكة Arbitrum، ثم بدأ بتحويلها إلى عملة $ETH. الحادث أثر أيضًا على بروتوكولات Curve و Beefy Finance.
س: كيف تؤثر هذه الاختراقات على مستخدم العوائد الآلية العادي؟
ج: تظهر هذه الاختراقات أن واجهة “نقرة واحدة” تخفي مخاطر كبيرة مثل مفاتيح النشر، الثقة بين الشبكات، وتبعيات الأوراكل. بعد كل اختراق، يزداد طلب المستخدمين على عوائد أعلى وإفصاح أوضح عن المخاطر.
س: ما الحل الذي يقترحه الخبراء لجعل العوائد الآلية أكثر أمانًا؟
ج: يقترح الخبراء تطبيق تحقق فوري من المعاملات، مراقبة مستمرة للتهديدات، حوكمة متعددة التوقيع، وعزل التبعيات الخطرة. المنتجات التي ستكسب الثقة هي تلك التي تظهر للمستخدم أي أجزاء من النظام تحت المراقبة والتحكم.
