العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
Bankless:هجوم rsETH يهز صناعة التمويل اللامركزي
المؤلف: جاك إنابينيت، كبير محللي بنكليس؛ الترجمة: @كوينزفياكس
بينما يواجه قطاع العملات المشفرة بصعوبة أحدث ثغرة أمنية في التمويل اللامركزي، يضطر المجال بأكمله لمواجهة مسألة حياة أو موت: هل تطبيقات التمويل اللامركزي حقًا آمنة؟
في نهاية الأسبوع الماضي، تعرض سوق الإقراض المشفرة الرئيسي لأكبر هجوم ثغرة أمنية في التمويل اللامركزي لهذا العام. قام مهاجم ماهر باختراق جسر كيلب داو المبني على LayerZero، واصطناع 11.65 ألف rsETH بشكل غير قانوني.
تم بعد ذلك إيداع هذه الرموز الجديدة (التي لا تدعمها أصول فعلية) بقيمة حوالي 290 مليون دولار في بروتوكولات إقراض رئيسية مثل أيف، واستخدمت كضمانات لاقتراض مئات الملايين من الدولارات من ETH، مما أدى في النهاية إلى ديون معدومة وأزمة سيولة على مستوى الصناعة.
1. أصل الحادث
تطور الهجوم على مرحلتين بسرعة: نجح المهاجم أولاً في استغلال ثغرة في جسر كيلب داو المبني على LayerZero، ثم سحب مئات الملايين من الدولارات من أيف باستخدام rsETH غير المدعوم بأصول.
المرحلة الأولى: انهيار دفاعات LayerZero
يعتمد جسر rsETH الخاص بكيلب داو على بنية نقل الرسائل في LayerZero.
المشكلة الأساسية هي أن: كيلب داو تبنت أثناء التكامل إعدادًا بأدنى مستوى أمان — وهو شبكة تحقق لامركزية من نوع 1/1 (DVN). هذا سمح لعقد تحقق واحد تديره LayerZero Labs بالحصول على كامل صلاحية الموافقة على الرسائل العابرة للحدود.
على الرغم من أن LayerZero زعم في تحليلات لاحقة أنه حذر من استخدام إعدادات أمان منخفضة، ونصح باستخدام عدة مدققين للجسور ذات القيمة العالية، إلا أن بروتوكوله لا يزال يسمح بنمط نشر 1/1.
الأهم من ذلك، أن حوالي 47% من بروتوكولات LayerZero تعتمد على نفس الإعداد.
استغل المهاجم هذا العيب في نقطة واحدة، واصطنع رسالة عبور حدود شرعية، مما أدى إلى أن جسر LayerZero الذي يديره، أصدر بشكل غير قانوني 11.65 ألف rsETH بدون دعم أصولي حقيقي إلى عنوان يسيطر عليه المهاجم.
على الرغم من أن عقد التوقيع المتعدد الخاص بكيلب داو قام على الفور بتجميد العقود الأساسية، إلا أن الضرر كان قد حدث، ولم يكن بالإمكان عكس الأضرار التي ستتبع ذلك…
المرحلة الثانية: سحب السيولة من أيف
باستخدام الرموز المسروقة، قام المهاجم على الفور بإيداع كميات كبيرة من rsETH في أيف V3 (وأودع بكميات أقل في SparkLend وFluid وغيرها من المنصات).
من خلال هذا المركز الافتراضي للضمانات، تمكن المهاجم من رهن رموز لا قيمة لها، واقتراض مبالغ ضخمة من WETH، مما أدى إلى تكوين ديون معدومة تقدر بأكثر من 262 مليون دولار على أيف.
ردًا على هذا الخطر، لم ينتظر المقرضون في التمويل اللامركزي أن تتآكل ديونهم، بل أطلقوا حملة سحب جماعية خلال عطلة نهاية الأسبوع. بعد الهجوم، فقدت البروتوكولات الرئيسية أكثر من 7 مليارات دولار من الأصول، منها 6.2 مليار دولار خرجت من أيف وحدها، وهو ما يمثل حوالي 23% من إجمالي قيمة القفل في سوق الإقراض.
انتشرت حالة الذعر بشكل كبير، مما أدى إلى ارتفاع نسبة الضمانات في عدة أسواق ETH وUSDC وUSDT على أيف إلى 100%، وتجميد السيولة بشكل فعلي، ولم يعد بإمكان المستخدمين سحب أصولهم بشكل إضافي.
2. الحالة الحالية
مع تجميد مئات المليارات من الدولارات من الأصول في سوق الإقراض المشفر، تتراكم المخاطر وتتصاعد بشكل مستمر.
المودعون غير قادرين على إدارة مراكزهم بشكل نشط بسبب رهن الأصول المقترضة، كما أن معدلات الفائدة التي تتأثر بنسبة الاستخدام تتصاعد بسرعة، مما يزيد من ضغط مراكز المقترضين. ومع انتشار الذعر وانعدام السيولة، تتزايد المخاوف من تراكم المزيد من الديون المعدومة وانتشار مخاطر التمويل اللامركزي بشكل أوسع.
للسيطرة على الخسائر، قام حوكمة أيف بتعطيل سوق rsETH في إصداري V3 وV4 بشكل كامل. ومع ذلك، فإن هذا إجراء تصحيحي لاحق، ويجب على البروتوكول معالجة ديونه غير المسددة التي تبلغ مئات الملايين من الدولارات قبل أن يتخلص من الثغرة الخطيرة هذه.
3. كيف ستتطور الأمور لاحقًا؟
يمتلك نموذج الرهن في أيف V3 حاليًا 201 مليون دولار من العملات المستقرة و56 مليون دولار من WETH، ويمكن استخدام جزء من هذه الأموال لتسوية الديون، للمساعدة في تغطية العجز الناتج عن ثغرة rsETH. بالإضافة إلى ذلك، يتضمن بروتوكول الأمان الأصلي رموز AAVE بقيمة 266 مليون دولار، والتي يمكن بيعها لتغطية باقي العجز.
على الرغم من أن حجم هذه الأموال الاحتياطية يبدو كافيًا لتغطية الخسارة دون أن يصبح أيف غير قادر على الوفاء بالتزاماته، إلا أن ثغرة rsETH أثارت مخاوف أعمق بشأن مرونة سوق الإقراض اللامركزي.
مثل هذا الصدمة الكبيرة قد تدفع المستخدمين إلى الامتناع عن الإقراض — ناهيك عن تحمل المخاطر عبر الرهن أو عبر وحدات الأمان — مما قد يهدد الثقة في استراتيجية السيولة الموحدة التي يعتمد عليها أيف V3.
كان من المفترض أن يُبنى النظام الاقتصادي المشفر على أساس من الصمود وتقليل الثقة، لكن في سباق تقديم تجربة مستخدم أكثر سلاسة أو ميزات أكثر إثارة، لجأت بعض الفرق إلى الاختصارات، وأدخلت نقاط ضعف في التصميم، كما هو الحال مع انهيار جسر LayerZero المبني على عقد تحقق فردية في كيلب داو.
تسلط هذه الأحداث الضوء على مخاطر أنظمة غير مصممة بشكل دقيق، وتكشف عن الثمن الباهظ الذي قد يترتب على الاختصارات في التصميم.
إذا كانت صناعة التشفير تريد الوفاء بوعودها، فعلى المطورين التخلي عن الهياكل الضعيفة، والعودة إلى مبدأ الأمان أولاً، بدلاً من الاعتماد على أنظمة توقيع متعددة أو توقيع واحد هش.