عندما تواجه "الأسهم الرائدة" في التمويل اللامركزي مشكلة، من سيدفع الثمن؟

المؤلف: Route 2 FI المصدر: بلاك سوانز الترجمة: شنو أوبا، كينغز فينانس

لقد تعرضت Aave لضربة قوية للتو، ولم يعد الأمر بسيطًا كـ “بروتوكول معين تم اختراقه”.

حادثة هجوم عبر سلسلة rsETH، في سوق العملات الرقمية الذي كان من المفترض أن يكون الأكثر أمانًا في DeFi، تركت فجوة ديون بمبالغ تصل إلى أرقام من تسعة أرقام.

الآن، يتعين على الصناعة بأكملها مواجهة مشكلة قاسية: عندما تنهار DeFi ذات الشركات الكبرى، من سيدفع الثمن في النهاية؟

عندما تواجه “DeFi” الكبرى مشكلة، من سيدفع الثمن؟

في نهاية الأسبوع الماضي، استيقظت بروتوكول DeFi المعتبر “بلو تشين” Aave، وظهرت فجأة ثغرة كبيرة في ميزانيتها.

استخدم المهاجم ثغرة في جسر rsETH الخاص بـ KelpDAO — عبر تطبيقها عبر سلسلة LayerZero — وخلق كمية هائلة من rsETH بدون ضمانات، ووضعها كضمان في Aave. ثم اقترض من خلال سحب WETH الحقيقي والخروج. النتيجة النهائية: أصبحت مجموعة معاملات WETH الأساسية في Aave مثقلة بديون ضخمة.

من الناحية البرمجية، يبدو أن العقد “يعمل بشكل طبيعي”. لكن الواقع أعطى درسًا لـ DeFi: قدرة البروتوكول على السداد تعتمد على تصميم الجسور عبر السلاسل، وتحفيز الحوكمة، وإدارة المخاطر، وقد ينتهي الأمر بالمودعين ليكونوا من يتحملون الخسارة.

نظرة سريعة على الحدث: ماذا حدث بالضبط؟

1. تم اختراق تطبيق rsETH المبني على LayerZero في طبقة نقل الرسائل

2. حث المهاجم الجسر عبر السلسلة على إصدار rsETH بدون ضمانات حقيقية

3. تم وضع هذه rsETH غير المضمونة في Aave V3 كضمان

4. استخدم المهاجم هذا الضمان لاقتراض مبالغ ضخمة من WETH وأصول أخرى ثم اختفى

5. بعد كشف الثغرة، أصبحت ضمانات rsETH تعتبر أصولًا غير ذات قيمة، وعجزت آليات التسوية عن إصلاح قدرة السداد

وفي النهاية، وقعت Aave في وضع كهذا:

• تحمل ديون WETH من المستخدمين

• لكن الضمان هو rsETH الذي لم يعد مقبولًا في السوق، والفارق بين الاثنين هو الخسارة غير المحققة.

لماذا هذا الحدث يضر بـ DeFi بشكل كبير؟

هذا ليس مجرد “خطأ في تكوين جسر عبر السلسلة لبروتوكول معين” بسيط.

1. “الثقة في الكود وليس في البشر” فشلت

الكود ينفذ التعليمات بدقة، المشكلة تكمن في تكامل أنظمة متعددة: رمز مميز عبر سلسلة (LST) مع معايير اقتراض محفزة، متصل بفريق إدارة مخاطر ومساهمين رئيسيين غادروا سوق العملات الرقمية بالفعل.

2. DeFi هو بنية تحتية، وليس تطبيقًا عاديًا

Aave ليست مجرد تجمع صغير من المعدنين، بل هي مركز رئيسي للمؤسسات، والصناديق، والحيتان، والمستخدمين العاديين الذين يودعون ETH لتحقيق أرباح. عندما يظهر مثل هذا النظام ديونًا ضخمة، فإن القول بأن DeFi أصبح بنية أساسية آمنة وموثوقة يتهاوى من تلقاء نفسه.

بعد كشف الثغرة، بدأ المستخدمون العاديون الذين أودعوا ETH والعملات المستقرة في Aave في سحب أموالهم بشكل عاجل، مما أدى إلى ارتفاع معدل استخدام تجمع WETH إلى 100%. الوصول إلى 100% يعني أن السيولة داخل التجمع قد نفدت تمامًا — حتى لو أظهرت الحسابات أن الودائع لا تزال موجودة، لا يمكن سحبها، ويجب الانتظار حتى يسدد المقترض أو تدخل أموال جديدة. بالإضافة إلى ذلك، قامت Aave بتجميد سوق rsETH والأصول ذات الصلة كإجراء وقائي، مما زاد من حالة الذعر من حبس الأموال.

عدم قدرة ديون rsETH على التسوية بشكل طبيعي أدى إلى فجوة في تجمع WETH الخاص بـ Aave، وغياب آلية تلقائية لتعويض السيولة. قبل أن تحل الحوكمة أو خطة الطوارئ محل الخسائر، فإن حدود سحب بعض تجمعات الأموال تعتمد كليًا على الفرق بين التدفقات الداخلة والخارجة من السيولة.

الأخطر من ذلك هو ردود الفعل المتسلسلة التالية: اكتشف المستخدمون أن ودائعهم لا يمكن سحبها، لكن لديهم حدود اقتراض، ولتجنب أن يكونوا هم من يتحملون المخاطر في النهاية، بدأوا في اقتراض أكبر قدر ممكن من العملات المستقرة وETH. المنطق بسيط: بما أنه لا يمكن سحب الودائع، يتم سحب القيمة عبر الاقتراض. من المقرضين الصافيين، أصبحوا فجأة المقترضين الصافيين.

هذه موجة من الاقتراض على شكل سحب، زادت من عبء السيولة على التجمعات، مما أدى إلى ارتفاع المخاطر النظامية بشكل كبير. الرفع المالي العالي وديون الخسائر يرفعان تكلفة تصفية المخاطر وإعادة هيكلة رأس المال لاحقًا.

تقترب معدلات استخدام أكبر تجمعات الأموال (WETH، USDC، USDT) من 100%، مع مئات المليارات من الدولارات غير القابلة للسحب، ويتم سحب التدفقات الجديدة بسرعة.

انتشرت أزمة الثقة بسرعة:

• سحب الحيتان والمؤسسات بين 50 و80 مليار دولار من Aave

• هبوط سعر رمز AAVE بشكل كبير

• انخفاض إجمالي القيمة المقفلة (TVL) في جميع أنحاء الصناعة، مع انسحاب الأموال من بروتوكولات الإقراض والجسور عبر السلاسل المماثلة (Morpho، Sky، Fluid، Kamino، وغيرها)

توقف بروتوكولات أخرى التي تتكامل مع rsETH أو تستخدم LayerZero عن العمل، وأوقفت الجسور عبر السلاسل أو شددت المعايير، مما زاد من ضيق السيولة، وتوقف تدفق رأس المال بين البروتوكولات.

إذا بدأ المؤسسات والمستخدمون في اعتبار “سوق العملات الرقمية الكبرى” في DeFi كمنتج عالي المخاطر، فإن تكلفة رأس المال في السوق ستصعد بشكل كبير: تقليل الودائع، ارتفاع معدلات الفائدة، وشروط ضمان أكثر صرامة، وكل المنتجات التي تعتمد على أصول عبر السلاسل وLST ستنخفض قيمتها باستمرار.

3. “الكود هو القانون” انهزم أمام “الحوكمة هي لعبة”

وقع الهجوم بسرعة، لكن الخطر الكامن كان قد تم زرعه منذ شهور في قرارات الحوكمة:

• رفع نسبة قرض rsETH (LTV) بشكل مستمر

• تقليص الاحتياطي الآمن

• السعي المفرط للتوسع في الحجم

• تآكل فريق إدارة المخاطر والحوكمة بشكل متزامن

أين يكمن ثقب ديون Aave؟

ببساطة:

• بعض المستخدمين يودعون WETH لتحقيق أرباح

• المهاجم يستخدم الثغرة لخلق rsETH كضمان، ويقترض WETH

• بعد الهجوم، لا يمكن تسوية rsETH بالسعر الأصلي، ويظهر نقص في WETH للمودعين

هذا هو الفارق غير المحقق، وهو الخسارة الحقيقية. جوهريًا:

• تجمع WETH غير كافٍ كضمان

• إجمالي حقوق المودعين > قيمة الأصول المتبقية في النظام

في تجارب DeFi السابقة، كانت هناك ثلاث طرق لحل هذه المشكلة:

1. استخدام الخزانة أو تخفيف التوكنات (تحمل البروتوكول الخسارة)

2. تقليل حقوق المودعين (تحمل المستخدمين الخسارة)

3. الجمع بين الاثنين، مع قصة “توكنات استعادة” (Recovery Tokens)

لكن Aave غيرت آلية الضمانات خلال السنوات الماضية، مما زاد الأمر تعقيدًا.

من سيدفع الثمن؟

الجدل بسيط: من يتحمل مسؤولية ضمان قدرة Aave على السداد الآن؟

نموذج Aave الكلاسيكي

• يضمن المودعون عبر وحدة الأمان البروتوكول

• عند وجود فجوة في التمويل، يتم تقليل أو بيع بعض رموز AAVE لإعادة التوازن

• كمقابل، يحصل المودعون على أرباح وحقوق حوكمة

هذه هي العقود الافتراضية: المودعون يوفرون السيولة ويحققون أرباح؛ والمودعون المضمونون يتحملون المخاطر النهائية ويحصلون على تعويضات.

الواقع تغير تمامًا

مع انتقال Aave إلى بنية ومنتجات جديدة:

• آلية تقليل وحدة الأمان الأساسية أصبحت غير فعالة

• تحول المخاطر إلى هياكل “مظلة” مرتبطة مباشرة بأصول وأسواق معينة (مثل aWETH)

• في بعض الهياكل الجديدة، رأس المال المخاطر لم يعد من رموز AAVE المودعة، بل من أصول المودعين أنفسهم

لذا، فإن ترتيب تحمل الخسائر في سوق WETH المتأثرة أقرب إلى:

1. المودعون في التجمع: يتحملون الخسائر عبر تجميد السيولة، تقليل الأصول، أو المشاركة في إعادة الهيكلة

2. مستوى البروتوكول: يقرر الحوكمة ما إذا كان سيتم استخدام الخزانة أو تصميم خطة إعادة التوازن

3. مالكو AAVE: يتأثرون فقط عندما يتم تنفيذ التخفيض أو التخفيف بشكل فعلي، وليس بشكل مباشر كما في السابق

هذه عقدة سرية مختلفة تمامًا. إذا كنت قد أودعت ETH في Aave، وكنت تعتقد أن “المودعين المضمونين من AAVE سيقومون بالتعويض”، فربما تكتشف الآن أنك أنت من يتحمل الخسارة. هذا التفاوت في الإدراك يضر بسمعة DeFi بشكل كبير — فخطر النموذج المعلن عنه، مع تطور الحوكمة المعقدة، أصبح بعيدًا عن الواقع العملي.

لماذا يغير هذا الأمر تمامًا فهم مخاطر DeFi؟

قد يظن البعض: “مجرد هجوم بقيمة 3 مليارات دولار، وسيمر بسرعة.” لكن تأثير هذا الحدث عميق جدًا، حيث ستعيد المؤسسات المالية تقييم مخاطر DeFi من عدة أبعاد.

1. الشركات الكبرى ليست بالضرورة منخفضة المخاطر من حيث الحجم، والخبرة، والعلامة التجارية، بل قد تؤدي إلى تقليص الاحتياطي الآمن من أجل تحقيق أرباح أكبر، والاعتماد على “الهالة التجارية”.

2. الجسور عبر السلاسل وLST تحمل مخاطر نظامية، فاختراق تطبيق واحد يمكن أن يسبب أزمة في قدرة السوق على السداد. أي بروتوكول يعتمد على أصول متعددة عبر السلاسل كضمانات عالية الجودة سيخضع لمراجعة صارمة.

3. يجب أن يتم تسعير مخاطر الودائع بشكل واضح: إذا كان المودعون يتحملون الخسائر قبل حاملي الرموز، فإن “صندوق الأمان” يكون سعره خاطئًا. الأموال التي كانت تعتبر ودائع في Aave على السلسلة يجب أن يتم تصحيح منطقها بشكل كامل. في التمويل التقليدي، هذا يشبه أن تكتشف أن “الودائع المؤمن عليها” تأتي بأولوية أدنى من الأوراق المالية المعقدة التي تصدرها البنوك نفسها.

تأثير الهجوم خلال 24 ساعة مباشرة

• انخفض إجمالي القيمة المقفلة في DeFi بأكثر من 100 مليار دولار خلال 24 ساعة

• تلاشى حجم قفل Aave بمقدار 66 مليار دولار، مسجلًا أكبر سحب يومي في تاريخ DeFi

• هبط سعر رمز AAVE من 118 دولارًا إلى 90 دولارًا

• حجم ديون Aave غير المحققة حوالي 196 مليون دولار (وتحديث لاحق إلى 236 مليون دولار)

• وصلت نسبة استخدام WETH في Aave إلى 100%

ماذا سيحدث بعد ذلك؟

يجب على الحوكمة الإجابة على ثلاثة أسئلة رئيسية، وسيحدد ذلك مدى الضرر الذي أصاب DeFi في هذه المرة:

1. هل يمكن للمودعين الحصول على تعويض كامل؟

• تعويض كامل: باستخدام الخزانة أو تخفيف التوكنات، لحماية ثقة المستخدمين، لكن ذلك يضر بملاك AAVE والنموذج الاقتصادي على المدى الطويل

• تقليل جزئي: يسبب ضررًا طويل الأمد لعلامة AAVE، لكنه يتماشى مع منطق “المودع يتحمل مخاطر البروتوكول بشكل افتراضي”

2. هل ستُستخدم رموز AAVE فعليًا كضمان؟ أم أن السرد قد انتهى؟

• إذا لم يتم تفعيل التخفيضات بشكل جوهري بسبب ديون بمليارات الدولارات، فإن وظيفة AAVE كمصدر للمخاطر تصبح بلا معنى

• إذا تم تفعيل الضمان الحقيقي، فإن Aave يمكن أن يحافظ على مصداقيته، ويثبت أن حاملي الرموز هم من يتحملون المخاطر فعليًا

3. هل ستتعلم الصناعة درسًا حقيقيًا؟

• استنتاج سطحي: لا تستخدم LayerZero، أو الجسور عبر السلاسل، أو LST

• الدرس الحقيقي: إذا كانت طبقة الضمان تعتمد على رسائل عبر السلاسل وLTV محفز بشكل مفرط، فستتحمل مخاطر نظامية، ويجب أن تتوافق مع تسعير مناسب

أي طريق تختاره Aave، فإنه سيفتح سابقة. باقي بروتوكولات العملات وسلاسل LST تراقب عن كثب — هذه أول أزمة دفع حديثة على مستوى الشبكة الكاملة في عصر السلسلة الكاملة.

الخلاصة

حادثة rsETH–Aave مهمة لأنها كشفت الفجوة بين الدعاية والواقع في DeFi:

DeFi يروج لنفسه على أنه شفاف ومنظم بقواعد، لكن في الواقع، السؤال الأهم هو: من يتحمل الخسائر؟ في النهاية، الأمر يعتمد على لعبة التوازن، والتحفيز، والحوكمة.

ديون غير محققة أصبحت واضحة، وسيكون هناك من سيدفع الثمن. السؤال الوحيد هو: هل هم المودعون الموجه إليهم أن يتحملوا الخسائر (ملاك AAVE)، أم المودعون الذين يودعون ETH لتحقيق أرباح فقط (المودعون العاديون).