هذه الحادثة الأمنية في Drift يمكن القول إنها أعطت درسًا قويًا لصناعة DeFi بأكملها.

الكثيرون كانت ردود أفعالهم الأولى هي "مرة أخرى ثغرة في العقود الذكية"، لكن هذه المرة الأمر مختلف. المشكلة الحقيقية ليست في الكود، بل في نظام الصلاحيات.

جوهر الأمر بسيط جدًا: المهاجم لم يجد الثغرة بشكل عشوائي، بل حصل مسبقًا على القدرة على التنفيذ بشكل قانوني. من خلال توقيع معاملات مسبقًا والثغرات في تصميم الصلاحيات، تمكن من إتمام عملية تحويل الأموال مرة واحدة في الوقت المناسب.

بعبارة أخرى، ليست عملية اختراق تقليدية، بل أن النظام سمح بحدوث ذلك من الناحية المنطقية.

وهذا هو الجزء الأكثر رعبًا.

لطالما ركزت الصناعة على شيء واحد: كيفية حماية المفاتيح الخاصة بشكل آمن.
لكن ما كشفته هذه الحادثة هو مشكلة أخرى — حتى لو كانت المفاتيح الخاصة آمنة، فإن طبقة التنفيذ قد تُستغل.

التوقيع صحيح، والأشخاص أيضًا على حق، لكن النتيجة النهائية كانت خاطئة.

هذا يعني أن مخاطر DeFi قد انتقلت من "ثغرات في الكود" إلى "تصميم الصلاحيات".

الكثيرون يعتقدون أن التوقيع متعدد الأوقع هو ضمان للأمان، لكن الواقع أن التوقيع متعدد الأوقع يوزع المخاطر فقط، ولا يقضي عليها. إذا تم التخطيط مسبقًا لبنية الصلاحيات، أو تم اختراق المشاركين، فإن التوقيع متعدد الأوقع يمكن استغلاله أيضًا.

وهذا هو السبب في أن هذه الحادثة كان لها تأثير كبير على السوق.

الانخفاض في الأسعار هو مجرد سطح، أما ما انهار حقًا فهو الثقة.
عندما يدرك المستخدمون أن "القواعد نفسها قد تُتجاوز"، فإن توقعات أمان النظام بأكمله ستُعاد ضبطها.

إيقاف العمليات، تجميد الأموال، كلها نتائج، لكنها ليست السبب الجذري.

السبب الجذري هو أن العديد من البروتوكولات عند تصميمها، اعتبرت "سلطة التنفيذ" أمرًا بسيطًا جدًا.

طالما أن هناك مساحة للتدخل البشري في النظام، فهناك دائمًا احتمال للاستغلال.

هذه الحادثة تذكر الجميع بشيء واحد:
البلوكتشين لا تعني الأمان المطلق.

طالما هناك بشر يشاركون، فإن سطح الهجوم دائمًا موجود.

والبروتوكولات التي ستنجو في المستقبل ليست تلك التي تكتب الكود بشكل أكثر تعقيدًا، بل تلك التي تفصل تمامًا بين الصلاحيات، والتنفيذ، ومنطق التحقق.

الأمان ليس فقط في حماية من القراصنة، بل أيضًا في حماية النظام من نفسه.