تورط التمويل اللامركزي في أسوأ مأزق للمحتالين في التاريخ

المؤلف: غو يو، ChainCatcher

بعد أكثر من 40 ساعة من السرقة، لا تزال ردود الفعل المتتالية التي أطلقتها Kelp DAO تتفاعل وتتصاعد، حيث لم تعد مشاريع معروفة مثل Aave وLayerZero وArbitrum وحدها متورطة، بل وصلت إلى حد أن بعض السرديات الشعبية تواجه حكم الموت.

قال شخصية مؤثرة معروفة باسم 风无向 على منصة X، إنه لم يبقَ آمنًا سوى ETH، وأن ARB أيضًا منح إذنًا بتجميد وتحويل أصول العملاء. لا يوجد لِـ L2 حقيقي الآن على ما يبدو. نشأ L2 مع Arbitrum، ومات أيضًا مع Arbitrum.

أما شخصية مؤثرة أخرى تُدعى 蓝狐 فذكرت أن أكبر خسارة في حادثة kelp ليست من Aave، ولا من Kelp، بل من LayerZero، لكنها كانت قصيرة النظر جدًا، ولم ترَ جوهر الحدث الحقيقي. جوهر هذا الحدث ليس إثبات زيف L2 (وهو أمر مقبول)، بل إثبات زيف الجسور عبر السلسلة.

تتصاعد الآراء المتشددة في الرأي العام، ويختلف الأطراف المعنية حول المسؤولية، مما جعل حادثة سرقة Kelp DAO نافذة نموذجية لمراقبة مسؤولية الحوادث الأمنية، والصراع بين البراغماتية والأيديولوجية التقنية.

أولاً، هل تم إثبات زيف L0؟ والجسور عبر السلسلة أصبحت أكبر الخاسرين

النقطة الحاسمة في الحدث كانت تقرير الهجوم المفصل الذي أصدرته LayerZero أمس، والذي رجح بشكل مبدئي أن المهاجمين من مجموعة Lazarus ذات الخلفية الكورية الشمالية. تم تنفيذ الهجوم عبر تسميم شبكة التحقق اللامركزية (DVN) التابعة، من خلال السيطرة على بعض عقد RPC، بالتعاون مع هجمات DDoS، مما أدى إلى تحويل النظام إلى عقد خبيثة، وبالتالي تزوير معاملات عبر السلسلة.

قال Samuel Tse، مدير الاستثمار والتعاون في Animoca Brands، إن “استخدام عقد مخترقة لتسميم بنية RPC الأساسية، ودمج ذلك مع هجمات DDoS على RPC غير المتأثرة لإجبار الانتقال، هو أسلوب معقد جدًا. في جوهره، هو نوع من حرب البنية التحتية.”

وفي نهاية التقرير، ذكرت LayerZero أن البروتوكول عمل تمامًا كما هو متوقع خلال الحادث، ولم يُكتشف أي ثغرات. الخاصية الأساسية لبنية LayerZero هي الأمان المعياري، وفي هذا الحالة، حققت الهدف المنشود بشكل مثالي، حيث عزلت الهجوم داخل تطبيق واحد — بدون انتقال العدوى إلى باقي النظام، ولم تتأثر أي من OFT أو OApp.

هذا الإقصاء التام للمسؤولية الذاتية أصبح شرارة رد فعل عنيف، حيث عبّر العديد من خبراء الصناعة عن استيائهم من أداء LayerZero في هذا الحدث.

قال الباحث المعروف CM: “LayerZero ينأى بنفسه تمامًا، ويحمل المسؤولية كاملة لـ KelpDAO بسبب سوء التكوين، بينما هو نفسه لا يواجه أي مشكلة. مذهل. سؤال: لماذا يُسمح بوجود تكوين 1/1؟ لماذا يمكن للمهاجمين الوصول إلى قائمة RPC الداخلية؟ لماذا يعتمد منطق الفشل الاحتياطي على RPC الملوثة بعد DDoS، دون إيقاف التحقق مباشرة، أو حتى اتخاذ خطوة بسيطة؟”

وأضاف: “هذا النهج المتعمد في التهرب يجعلني غير مرتاح. في البيان، مكتوب بوضوح أن ‘تشغيل البروتوكول يتوافق تمامًا مع التوقعات’. وُصف الهجوم بأنه اختراق لعقد RPC وتسميم RPC، لكن التسميم ليس هو الواقع، بل أن بنيتهم التحتية تعرضت للاختراق والتدمير. وبما أن البيان لم يوضح كيف حدث الاختراق، فلن أستعجل في إعادة تفعيل الجسور.”

كما أصدر فريق تطوير DeFi المعروف باسم banteg تعليقًا، قال فيه: “LayerZero الرسمي أكد أن تكوين التحقق الأحادي (1/1) ليس خيارًا يتجاهل النصائح، بل هو الإعداد الافتراضي في دليل LayerZero، والمهاجم استغل شبكة التحقق (DVN) الخاصة بـ LayerZero، وهي بنية تحتية مملوكة لهم.”

وبحسب تحليل Dune، فإن 47% من عقود OApp المبنية على LayerZero تستخدم تكوين 1/1 DVN، أي آلية التحقق الأحادي، مما يزيد بشكل كبير من مخاطر الصناعة.

والأسوأ من ذلك، أن الأطراف المعنية لا تعترف بالخطأ، وتتجنب المسؤولية. فـ LayerZero، باعتباره اللاعب الأبرز في تواصل السلسلة عبر الجسور وسردية Layer0، يستخدم بنيته التحتية لربط رموز وأصول سلاسل مختلفة، وإذا استمر في التكبر، فسيؤثر ذلك على ثقة الصناعة به.

الرأي العام يتفق على أن LayerZero، رغم أنه لم يُخترق مباشرة، إلا أن سمعته تضررت بشكل كبير — ويجب أن يدفع ثمن “السماح بتكوينات ضعيفة”، وإلا فإن سردية الجسور عبر السلسلة ستنهار.

وبالتالي، فإن LayerZero يحتاج إلى تقديم تحسينات تقنية واضحة، وأيضًا إلى تحمل مزيد من المسؤولية في خطة تعويض الأصول.

ثانيًا، هل ماتت Layer2؟ وتجميد Arbitrum غير العادي

أما النقاش حول Layer2 فكان حول إجراء التجميد الذي قامت به Arbitrum. اليوم، أصدرت لجنة الأمان في Arbitrum بيانًا قالت فيه إنها اتخذت إجراءات طارئة لإنقاذ 30,766 ETH مخزنة في عنوان Arbitrum One، وتبلغ قيمتها حوالي 71 مليون دولار.

وأضافت أن اللجنة، بعد تحقيقات تقنية ومراجعات، قررت تنفيذ خطة تقنية لنقل الأموال إلى مكان آمن، دون التأثير على حالة أي سلسلة أخرى أو على مستخدمي Arbitrum. العنوان الذي كان يملك الأموال لم يعد قادرًا على الوصول إليها، فقط إدارة Arbitrum يمكنها اتخاذ إجراءات لنقلها، وسيتم التنسيق مع الأطراف المعنية.

وفقًا لمحللين، استخدمت لجنة الأمان نوعًا من المعاملة ذات صلاحيات خاصة (جزء من نظام ArbOS، لكنه نادر الاستخدام)، سمحت للمهاجمين باستخدام مفاتيحهم الخاصة لتوقيع معاملات، لكن ETH في العنوان تم نقله بواسطة الشبكة نفسها.

هذا النوع الخاص من المعاملات يتجاوز تمامًا مفاتيح المهاجمين، حيث يمكن فقط للشبكة (عبر الـ sequencer / ترقية ArbOS، وتحت سيطرة لجنة أمان Arbitrum) إدخال المعاملات.

ويُذكر أن لجنة أمان Arbitrum تتكون من 12 شخصًا، يتم انتخابهم من قبل DAO الخاص بـ Arbitrum، وأي قرار يتطلب موافقة 9 من أصل 12.

أثار هذا الأمر ضجة كبيرة، حيث كان يُنظر سابقًا إلى Arbitrum، كممثل رئيسي لـ Layer2، على أنه لا يملك القدرة أو الصلاحية على التعامل مع أصول ETH للمستخدمين، وهو ما يتعارض مع روح اللامركزية في البلوكشين.

وفي حوادث الاختراق السابقة، غالبًا ما يتم تجميد USDT وUSDC من قبل Tether وCircle بسرعة، لتقليل خسائر المستخدمين. أما ETH، كأصل أصلي في السلسلة، فلم يُتوقع أن يُجمد أو يُنقل بواسطة الشبكة، وهو أمر يتجاوز توقعات معظم المستخدمين.

هناك من يدعم خطوة Arbitrum، ويقول: “كل شركة، وبنك، ومؤسسة مالية رسمية ستتبنى في النهاية بنية تحتية من طبقتين. العمل ككيان مركزي في اللحظات الحرجة ليس عيبًا، بل ميزة.” لكن بالنسبة للخبراء التقنيين، الأمر ليس كذلك.

قال أحدهم: “بدون مفاتيح خاصة، وبدون تفويض، يمكن فقط إجراء تحويلات مباشرة.” من وجهة نظر العديد، فإن خطوة Arbitrum تعيد تعريف مدى لامركزية Layer2، مما يثير قلقًا بشأن أمانها.

أما 蓝狐 فصرح أن هذا الحدث قد لمس مباشرة الخط الأحمر في أيديولوجية DeFi الأساسية: “ليس مفاتيحك، ليست عملاتك.”، وهو يعيد إلى الأذهان مشكلة قديمة في عالم التشفير: البراغماتية في الأمان مقابل الأمان المطلق واللامركزية.

الخاتمة

عندما تقول LayerZero إن “البروتوكول يعمل تمامًا كما هو متوقع”، فهي تحافظ على صحة التقنية، لكنها تخسر الثقة والرأي العام؛ وعندما تستخدم Arbitrum معاملة ذات صلاحيات خاصة لنقل 71 مليون دولار من ETH، فهي تنقذ أموال المستخدمين، لكنها تضر بسردية اللامركزية في Layer2.

أما حادثة سرقة Kelp، فهي تضع أكبر سرديتين شعبيتين أمام المحاكمة: هل الجسور عبر السلسلة هي بنية تحتية أم مفاقم للمخاطر؟ وهل Layer2 هو توسعة موثوقة لإيثريوم، أم بنك ثانوي يختبئ وراء ستار اللامركزية؟

وبسبب استغلال آلية التحقق الأحادي في LayerZero، واستخدام آلية التصويت المركزية في Arbitrum لتعويض الخسائر، تتكون دورة مغلقة ساخرة: بروتوكول يدعي اللامركزية، ينهار بسبب “نقطة ضعف واحدة”، وفي النهاية يعتمد على “امتياز مركزي” من بروتوكول آخر لإنهاء الأمر.

وهذا يفرض على الصناعة مواجهة سؤال لم يُجب عليه بشكل مباشر: عندما تصطدم مثالية اللامركزية مع تكلفة الأمان الواقعية، أي جانب نكون على استعداد للتضحية به؟

النقاش حول السردية الكبرى هو محور الرأي العام، بينما خطة تعويض المستخدمين هي محور آخر للجدل. حتى لو استعاد Arbitrum أكثر من 70 مليون دولار تقنيًا، لا تزال هناك ديون بقيمة حوالي 200 مليون دولار في Aave، فكيف يمكن حماية مصالح المستخدمين وضمان حقوقهم؟

في أغلب حوادث الاختراق، خسائر بملايين الدولارات تعتبر كارثة، وغالبًا ما تنتهي المطالبات بالتعويض دون جدوى. لكن، مع وجود مشاريع كبرى مثل Aave وLayerZero، فإن خطة معالجة الديون تثير اهتمامًا خاصًا.

اقترحت Aave اليوم خيارين لمعالجة الديون: الأول، تقاسم الخسائر بين جميع حاملي rsETH على السلسلة الرئيسية وL2 (تقسيم كامل)، مع تخفيض قيمة جميع rsETH (حوالي 15% من القيمة الأصلية)؛ الثاني، أن يتحمل حاملو rsETH على L2 كامل الخسائر، مع بقاء قيمة rsETH على السلسلة الرئيسية كما هي.

لكن، لم تتحدث Kelp DAO أو LayerZero رسميًا عن دورهما في خطة التعويض حتى الآن. ومن خلال موقف LayerZero في التقرير الذي يحاول التنصل من المسؤولية، يتضح أن المشروع يعتقد أنه لا مسؤولية عليه، وبالتالي لا التزام بالتعويض.

ومع أن بروتوكولًا بقيمة مليارات الدولارات ويُعتبر أساسًا لعدة مشاريع، يختار “التحصين التقني” عند مواجهة خسائر ضخمة ناتجة عن التكوين الافتراضي لـ DVN، فهو في الواقع يوجه إهانة كبيرة لمفهوم “البنية التحتية الأساسية”.

هذه حالة من معضلة السجين، حيث يسعى كل طرف في الأزمة إلى تقليل خسائره عبر “تقسيم المصالح”، بدلاً من تحمل المسؤولية المشتركة لإصلاح الثقة المفقودة في الصناعة.

وبالنظر إلى التأثير السلبي لهذا الحدث على جميع الأطراف، فإن هذا سيكون أخطر معضلة سجين في تاريخ DeFi.