العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
تورط التمويل اللامركزي في أخطر مأزق السجين في التاريخ
بعد أكثر من 40 ساعة من السرقة، لا تزال ردود الفعل المتسلسلة التي أطلقها Kelp DAO تتفاعل بشكل مستمر، حيث لم تتورط مشاريع معروفة مثل Aave وLayerZero وArbitrum فحسب، بل وصلت حتى إلى درجة أن بعض السرديات الشعبية تعرضت لمحاكمات الموت.
قال شخصية مؤثرة معروفة باسم 风无向 على منصة X، إنه لم يبقَ آمنًا سوى ETH، وأن ARB أيضًا منح إذنًا بتجميد وتحويل أصول العملاء. لا يوجد لِـL2 حقيقي الآن، يجب أن يكون. نشأ L2 مع Arbitrum، واندثر أيضًا مع Arbitrum.
أما شخصية مؤثرة أخرى تُدعى 蓝狐 فذكرت أن أكبر خسارة في حادثة Kelp ليست من Aave ولا من Kelp، بل من LayerZero، لكنها كانت قصيرة النظر جدًا، ولم ترَ جوهر الحدث الحقيقي. جوهر هذا الحدث ليس إثبات زيف L2 (وحتى لو كان زائفًا، فالأمر لا يهم)، بل إثبات زيف الجسور عبر السلسلة.
تتصاعد الآراء المتشددة في الرأي العام، ويختلف الأطراف المعنية حول المسؤولية، مما جعل حادثة سرقة Kelp DAO نافذة نموذجية لمراقبة مسؤولية الحوادث الأمنية، والصراع بين البراغماتية والأيديولوجية التقنية.
أولاً، هل تم إثبات زيف L0؟ الجسور عبر السلسلة أصبحت أكبر الخاسرين
النقطة الحاسمة في الحدث كانت تقرير الهجوم التفصيلي الذي أصدرته LayerZero أمس، والذي رجح بشكل مبدئي أن المهاجمين من مجموعة Lazarus ذات الخلفية الكورية الشمالية. تم تنفيذ الهجوم عبر تسميم شبكة التحقق اللامركزية (DVN) التابعة، من خلال استغلال البنية التحتية لـ RPC التابعة، حيث سيطر المهاجمون على بعض عقد RPC وشنوا هجمات DDoS، مما أدى إلى تحويل النظام إلى عقد خبيثة، وبالتالي تزوير معاملات عبر السلسلة.
قال سامويل تسي، مدير الاستثمار والتعاون في Animoca Brands، تعليقًا على التقرير: “استخدام عقد مخترقة لتسميم البنية التحتية لـ RPC، وشن هجمات DDoS على RPC غير المتأثرة لإجبار الانتقال، هو أسلوب معقد جدًا. في جوهره، هو نوع من حرب البنية التحتية.”
وفي نهاية التقرير، ذكرت LayerZero أن البروتوكول عمل تمامًا كما هو متوقع خلال الحدث، ولم يتم اكتشاف أي ثغرات. الخاصية الأساسية لبنية LayerZero هي الأمان المعياري، وفي هذا الحالة، حققت الهدف المنشود بشكل مثالي، حيث عزلت الهجوم داخل تطبيق واحد — بدون انتقال العدوى إلى باقي النظام، ولم تتأثر أي من OFT أو OApp.
هذا الإقصاء الكامل للمسؤولية الذاتية أصبح سببًا في رد فعل عنيف من الرأي العام، حيث عبّر العديد من خبراء الصناعة عن استيائهم من أداء LayerZero في هذا الحدث.
قال الباحث المعروف CM: “LayerZero ينأى بنفسه تمامًا، ويحمّل مسؤولية الخطأ كله لـ KelpDAO بسبب سوء التكوين، وهو لا يواجه أي مشكلة على الإطلاق. مذهل. سؤال: لماذا يُسمح بوجود تكوين 1/1؟ لماذا يمكن للمهاجمين الوصول إلى قائمة RPC الداخلية؟ لماذا يثق نظام الفشل التلقائي في RPC الملوثة بعد DDoS، دون أن يتوقف عن التحقق، أو حتى أن يفعل شيئًا بسيطًا؟”
وأضاف: “هذا النهج المتعمد في التجنب يجعلني غير مرتاح. في البيان، مكتوب بوضوح أن ‘تشغيل البروتوكول يتوافق تمامًا مع التوقعات’. وُصف الهجوم بأنه اختراق لعقد RPC وتسميم RPC، لكن الأمر ليس كذلك، فالبنية التحتية الخاصة بهم تعرضت للاختراق والتدمير. وبما أن البيان لم يوضح كيف حدث الاختراق، فلن أستعجل في إعادة تفعيل الجسور.”
كما أصدر فريق تطوير DeFi المعروف باسم banteg تعليقًا، قال فيه: “LayerZero الرسمي أيضًا أدلى بتصريحات، وأكد أن تكوين التحقق الأحادي (1/1) ليس خيارًا غير مقصود، بل هو الإعداد الافتراضي في دليل LayerZero، وأن المهاجمين استغلوا شبكة التحقق (DVN) الخاصة بـ LayerZero، والتي هي بنية تحتية مملوكة لهم.”
وبحسب تحليل Dune، فإن 47% من عقود OApp المبنية على LayerZero تستخدم تكوين 1/1 DVN، وهو آلية التحقق الأحادي، مما يزيد بشكل كبير من مخاطر الصناعة.
الأمر الأكثر رعبًا من المشكلة هو أن الأطراف المعنية لا تعترف بالخطأ، وتتجنب المسؤولية. وLayerZero، باعتباره اللاعب الرئيسي في تواصل السلسلة عبر، وسردية Layer0، يستخدم مئات المشاريع بنيته التحتية لربط الرموز والأصول عبر سلاسل مختلفة. إذا استمر في التكبر، فسيؤثر ذلك حتمًا على ثقة الصناعة به.
ويُعتقد عمومًا أن LayerZero، رغم أنه لم يتعرض للاختراق بشكل مباشر، إلا أن سمعته تضررت بشكل كبير — ويجب أن يدفع ثمن “السماح بتكوين ضعيف”، وإلا فإن سردية الجسور عبر السلسلة ستنهار.
وبمعنى آخر، يحتاج LayerZero إلى تقديم تحسينات تقنية واضحة، وأيضًا تحمل مسؤولية أكبر في خطة تعويض الأصول.
ثانيًا، هل ماتت Layer2؟ تجميد Arbitrum غير العادي
أما النقاش حول Layer2 فكان حول تصرف Arbitrum في التجميد. اليوم، أصدرت لجنة الأمان في Arbitrum بيانًا قالت فيه إنها اتخذت إجراءات طارئة لإنقاذ 30,766 ETH مخزنة في عنوان Arbitrum One، وتبلغ قيمتها حاليًا 71 مليون دولار.
وأضافت أن اللجنة الأمنية، بعد تحقيقات تقنية موسعة، قررت تنفيذ خطة تقنية لنقل الأموال إلى مكان آمن، دون التأثير على حالة أي سلسلة أخرى أو على مستخدمي Arbitrum. لم يعد بإمكان العنوان الذي كان يملك الأموال الوصول إليها، فقط إدارة Arbitrum يمكنها اتخاذ إجراءات لنقلها، وسيتم التنسيق مع الأطراف المعنية.
وبحسب محللين، فإن لجنة الأمان في Arbitrum استخدمت نوعًا من المعاملة ذات صلاحية خاصة (وهي جزء من ArbOS، لكنها نادرًا ما تُستخدم)، مما سمح لمفتاح المهاجم بالتوقيع على معاملات، لكن ETH الخاص بهذا العنوان تم نقله بواسطة السلسلة نفسها.
هذه المعاملة الخاصة تتجاوز تمامًا مفتاح المهاجم، حيث يمكن فقط للسلسلة (عبر المُرتب / ترقية ArbOS، وتحت سيطرة لجنة أمان Arbitrum) أن تُدخل المعاملات.
ويُذكر أن لجنة أمان Arbitrum تتكون من 12 شخصًا، تم انتخابهم من قبل DAO الخاص بـ Arbitrum، ويحتاج أي قرار إلى موافقة 9 من 12.
أثار هذا الأمر ضجة كبيرة. في السابق، كان يُنظر إلى Arbitrum، كممثل رئيسي لـ Layer2، على أنه لا يملك القدرة أو الصلاحية على التعامل مع أصول ETH للمستخدمين، وهو ما يتعارض مع روح اللامركزية في البلوكشين.
وفي حوادث الاختراق السابقة، غالبًا ما يتم تجميد USDT وUSDC من قبل Tether وCircle على الفور، لتقليل خسائر المستخدمين. أما ETH، كأصل أصلي في السلسلة، فلم يُجمد أو يُنقل من قبل السلسلة من قبل، وهو أمر يتجاوز توقعات معظم المستخدمين.
هناك من يدعم تصرفات Arbitrum، مثل قولهم: “كل الشركات والبنوك والمؤسسات المالية الرسمية ستتبنى في النهاية بنية تحتية من مستويين. العمل ككيان مركزي في اللحظات الحرجة ليس عيبًا، بل ميزة.” لكن بالنسبة للخبراء التقنيين، الأمر ليس كذلك.
“بدون مفتاح خاص، وبدون تفويض، يمكن نقل الأموال مباشرة.” من وجهة نظر العديد، فإن تصرف Arbitrum يعيد تعريف مدى لامركزية Layer2، مما يثير قلقًا بشأن أمانها.
قال 蓝狐 بصراحة إن هذا الحدث وصل مباشرة إلى الخطوط الحمراء في فكر DeFi: “ليس مفاتيحك، ليست عملاتك”. هذا الحدث يعيد إلى الأذهان مشكلة قديمة في التشفير: البراغماتية في الأمان مقابل الأمان الكامل واللامركزية.
الختام
عندما تقول LayerZero إن “البروتوكول يعمل تمامًا كما هو متوقع”، فهي تحافظ على صحة التقنية، لكنها تخسر الرأي العام والثقة؛ وعندما تستخدم Arbitrum معاملة ذات صلاحية خاصة لنقل 71 مليون دولار من ETH، فهي تنقذ أموال المستخدمين، لكنها تضر بسردية اللامركزية في Layer2.
أما قضية سرقة Kelp، فهي تضع أكبر سرديتين شعبيتين أمام المحاكمة: هل الجسور عبر السلسلة هي بنية تحتية أم مفاقم للمخاطر؟ وهل Layer2 هو توسعة موثوقة لإيثريوم، أم بنك ثانوي يرتدي زي اللامركزية؟
وبسبب اختراق بواسطة آلية التحقق الأحادي في LayerZero، واستخدام Arbitrum لآلية تصويت مركزة لإنقاذ خسائر LayerZero وKelp DAO، تتكون الحلقة المفرغة بشكل ساخر: بروتوكول يزعم أنه لامركزي، ينهار بسبب نقطة ضعف واحدة، وفي النهاية يعتمد على بروتوكول آخر بامتياز مركزي لإنقاذه.
وهذا يفرض على الصناعة مواجهة سؤال لم يُجب عليه بشكل مباشر من قبل: عندما تصطدم مثالية اللامركزية مع تكلفة الأمان الواقعية، أي جانب نكون على استعداد للتضحية به؟
النقاش حول السردية الكبرى هو محور الرأي العام، بينما خطة تعويض المستخدمين هي محور آخر للجدل. حتى لو استعاد Arbitrum أكثر من 70 مليون دولار تقنيًا، لا تزال هناك ديون بقيمة حوالي ملياري دولار على Aave، فكيف يمكن حماية مصالح المستخدمين وضمان حقوقهم؟
في أغلب حوادث الاختراق، خسائر بملايين الدولارات تعتبر كارثة، وغالبًا ما تنتهي مطالبات التعويض بدون نتائج. لكن، مع وجود مشاريع كبرى مثل Aave وLayerZero، فإن خطة معالجة الديون تثير اهتمامًا خاصًا.
اقترحت Aave اليوم خيارين لمعالجة الديون: الأول، تقاسم الخسائر بشكل اجتماعي بين جميع حاملي rsETH (على الشبكة الرئيسية وLayer2)، مع تخفيض القيمة بنسبة حوالي 15%؛ والثاني، أن يتحمل حاملو rsETH على Layer2 كامل الخسائر، مع بقاء قيمة rsETH على الشبكة الرئيسية كما هي.
لكن، لم تتحدث Kelp DAO أو LayerZero رسميًا عن دورهما في خطة التعويض حتى الآن. ومن خلال موقف LayerZero في التقرير، يبدو أن المشروع يعتقد أنه لا مسؤولية عليه، وأنه لا يلتزم بالتعويض إذا لم يكن هناك مسؤولية.
ومع تقييم بمليارات الدولارات، وكونه يعتمد عليه مئات المشاريع، فإن اختيار “الاعفاء التقني” من قبل بروتوكول DVN الافتراضي عند مواجهة خسائر ضخمة هو في حد ذاته سخرية كبيرة من مفهوم “البنية التحتية الأساسية”.
وهذا يمثل معضلة السجين النموذجية، حيث يسعى الأطراف المعنية خلال الأزمة إلى تقليل خسائرها عبر “تقسيم المصالح”، بدلاً من تحمل المسؤولية المشتركة لإصلاح الثقة المفقودة في الصناعة.
وبالنظر إلى التأثير السلبي لهذا الحدث على جميع الأطراف، فإن هذا سيكون أخطر معضلة سجين على الإطلاق في مجال DeFi.