مخاطر السلسلة والتدخل الطارئ في أزمة KelpDAO

النقاط الأساسية: أدى ثغرة جسر KelpDAO بقيمة 290 مليون دولار إلى سلسلة من ردود الفعل، حيث تم تجميد أكثر من 6.7 مليار دولار من سيولة WETH على خمس سلاسل، وتأثرت مستخدمون لم يتعاملوا من قبل مع rsETH. كما كشفت هذه الحادثة عن الحدود الفعلية لنظام “بدون إذن”: حيث قام مجلس أمن Arbitrum بترقية عقد الحوكمة المصرح به لتنفيذ تحويل قسري للحالة، دون حاجة توقيع المالك، لنقل 30,766 ETH.

في 18 أبريل 2026، تعرض جسر rsETH الخاص بـ KelpDAO لهجوم، وخسارة حوالي 290 مليون دولار، ليصبح أكبر حادث أمني في DeFi هذا العام. تشير التحقيقات الأولية إلى مجموعة Lazarus، وهي منظمة هجوم على البنية التحتية الرقمية ذات سجل طويل، وتعمل على مستوى الدولة [1]. لم يستغل الهجوم ثغرة في العقود الذكية، بل تم عبر تسميم عقد تحقق لامركزي واحد (DVN) يعتمد على بنية RPC، حيث تم تزوير رسائل عبر السلسلة، وأُطلق rsETH بدون حرق على السلسلة المصدر، في غياب عملية حرق مقابلة.

لقد أوضحت LayerZero [1] وKelpDAO [2] تفاصيل الهجوم بشكل مفصل. لكن هذا المقال يركز من زاوية أخرى: لا نعيد سرد تفاصيل الهجوم، بل ندرس ما حدث بعده: كيف أدى اعتماد بنية تحتية مركزية واحدة إلى تجميد سيولة بمليارات الدولارات على خمس سلاسل، وكيف أجبر هذا التفاعل على أن تتخذ أطر الحوكمة اللامركزية أدوارًا مركزية في ظل الرأي العام.

سلسلة الأسباب والنتائج لحادثة KelpDAO تمر عبر ثلاثة مستويات من تقنية “اللامركزية”: الاعتماد على نقطة واحدة في DVN جعل الهجوم ممكنًا؛ وتفاعلية DeFi (أي “ليجو DeFi”، حيث تتشابك البروتوكولات كقطع بناء) حولت ثغرة الجسر إلى أزمة سيولة نظامية؛ وحجم الأزمة بدوره كشف عن مدى استغلال إطار الحوكمة للسلطة المركزية في حالات الطوارئ.

خلفية: ملخص هجوم KelpDAO

KelpDAO هو جهة إصدار rsETH. rsETH هو رمز إعادة رهن سيولة (LRT)، يمثل مراكز رهن ETH موزعة عبر عدة مشغلين. لتحقيق تداول rsETH عبر السلاسل، دمجت KelpDAO بروتوكول الرسائل LayerZero. يعتمد هذا البروتوكول على DVN (شبكة التحقق اللامركزية) للتحقق من صحة رسائل العبور بين السلاسل قبل تنفيذها.

الاختيار الرئيسي في التكوين: يستخدم rsETH OApp الخاص بـ KelpDAO تكوين DVN واحد فقط (1-of-1)، وهو DVN تديره LayerZero Labs كالمحقق الوحيد. هذا يعني أن أمن العبور عبر السلسلة بالكامل يعتمد على كيان واحد فقط. توثيقات LayerZero توصي باستخدام تكوين متعدد DVN مع وجود نسخ احتياطية، وأكدت LayerZero أنها أبلغت KelpDAO بهذا المعيار الأفضل قبل الحادث [1]. وردت KelpDAO بأن التكوين 1/1 هو “مذكور في وثائق LayerZero ويُعتبر التكوين الافتراضي عند نشر أي OFT جديد”، وأنه “تم اعتباره مناسبًا خلال توسعة L2” [2].

قام المهاجم باختراق عقدي RPC الخاصين بـ LayerZero Labs، واستبدل ملفاتهم الثنائية بنسخة خبيثة. هذه العقد الخبيثة كانت ترد فقط بيانات مزورة عن الحالة على السلسلة، وتظهر بشكل طبيعي للمراقبة. في الوقت نفسه، هجوم DDoS على عقد RPC غير المخترق أدى إلى فشل النظام وتحويله إلى العقد المسممة. النتيجة: تأكيد DVN لرسالة عبور بين السلاسل لم تحدث أبدًا على السلسلة المصدر، وبدون حرق مقابل، أُطلق rsETH على جانب إيثريوم (0x85d4…8ef3) بمبلغ 116,500 rsETH [1، 3]. كانت المعاملة المفرَجة 0x1ae232…db4222. الأدلة على السلسلة واضحة: استقبلت نقطة النهاية على إيثريوم nonce 308، بينما كانت أعلى قيمة ل nonce خرجت من نقطة النهاية المصدر على Unichain لا تزال 307 [10].

تم اكتشاف الخلل خلال 46 دقيقة، وأوقفت KelpDAO جميع العقود ذات الصلة. هذا الإجراء حال دون هجمات لاحقة على 40,000 rsETH (حوالي 95 مليون دولار) [2]. لكن المهاجمين كانوا قد انتقلوا إلى المرحلة التالية: عبر بروتوكولات الإقراض اللامركزية، حولوا rsETH المسروق إلى أصول اقتراض.

من الرموز المزورة إلى الأصول المقترضة

لم يبيع المهاجمون rsETH المسروق مباشرة. تم توزيع 116,500 رمز على سبعة محافظ فرعية، وتحويلها عبر قنوات متعددة، بما في ذلك التبادل المباشر مقابل ETH، ومراكز إقراض Compound V3، والجسور إلى Arbitrum [10]. لكن المسار الأعمق تأثيرًا كان عبر منصة Aave: حيث قام المهاجمون بإيداع 89,567 rsETH (حوالي 221 مليون دولار) في سوقي إقراض على شبكتين: Ethereum Core وArbitrum. باستخدام ميزة E-Mode في Aave (وهي وظيفة تسمح بزيادة نسبة القرض إلى القيمة للصولات ذات الصلة)، اقترض المهاجمون 82,620 WETH و821 wstETH باستخدام rsETH كضمان [3].

تم رفع هذه المراكز إلى الحد الأقصى. كانت عوامل الصحة (Health Factors) لسبعة عناوين للمهاجمين تتراوح بين 1.01 و1.03، وهي فقط أعلى قليلاً من حد التصفية [3]. السبب في ذلك أن إعدادات E-Mode في Aave حددت نسبة LTV ل rsETH عند 93%، بينما كانت نسبة التصفية 95%، مع هامش أمان ضئيل يبلغ 2 نقطة مئوية.

تفاصيل العناوين على السوقين كالتالي:

الجدول 1: تفاصيل إيداعات rsETH وقروض WETH/wstETH للمهاجمين في سوقي Aave

المصدر: بيانات على السلسلة، من خلال Etherscan، Arbiscan، وDeBank، حتى 22-04-2026 16:51 UTC. قيمة الدولار تعكس أسعار الرموز وقت المعاملة.

تفاعل السلسلة: كيف أدت ثغرة الجسر إلى تجميد WETH على خمس سلاسل

يوضح الشكل التالي التفاعل الكامل للسلسلة. الخطوتان 1 و2 (ثغرة الجسر وإيداع الضمانات في Aave) تم شرحهما سابقًا. هذا القسم يركز على الخطوات 3 إلى 5: لماذا يجب تجميد WETH، وما هي المعلمات التي شكلت حدة التفاعل، وما هو الثمن الحقيقي للتجميد.

الشكل 1: من ثغرة الجسر إلى تفاعل تجميد WETH على خمس سلاسل

لماذا يجب تجميد WETH

في 19 أبريل، قام حارس بروتوكول Aave بتجميد جميع أسواق rsETH وwrsETH على إصداري V3 وV4، ومنع إيداع أو اقتراض WETH بضمان rsETH [8]. كانت هذه الخطوة الأولى المتوقعة.

أما المفاجأة فكانت في 20 أبريل: حيث جمدت Aave احتياطيات WETH على شبكات Ethereum، Arbitrum، Base، Mantle، وLinea [3، 8].

لماذا يجب تجميد WETH؟ لأنها أصل لم يتعرض للهجوم، ولا علاقة له بالجسر العابر. لأن rsETH الذي تم إيداعه تم إنشاؤه بدون وجود أصول مصدرية مقابلة على السلسلة المصدر. استمرت أوامر التقييم في Aave في تقييم هذه الرموز وفقًا للسعر السوقي الكامل، واعتبرتها ضمانات فعالة لا يمكن تمييزها عن rsETH الشرعي المعبّر عنه عبر الجسور. استغل المهاجمون هذا التفاوت في المعلومات، واقترضوا WETH الحقيقي بضمان رموز غير مضمونة، مما أدى إلى استنزاف سيولة WETH من برك الإقراض، وبلغت نسبة الاستخدام في السوق المتأثرة 100%. عند امتلاء نسبة الاستخدام، لم يعد بإمكان المودعين سحب أصولهم، ولم يتمكن المقرضون من تنفيذ عمليات التصفية. آلية التصفية، التي تعتبر خط الدفاع الرئيسي ضد الديون المعدومة، أصبحت غير فعالة [3].

إذا استمر اقتراض WETH، فإن السيولة المتبقية على باقي السلاسل يمكن أن تتعرض لنفس الاستنزاف: إيداع rsETH، اقتراض WETH، ثم المغادرة. لذلك، فإن تجميد WETH ليس خيارًا، بل هو الوسيلة الوحيدة للسيطرة على الضرر.

ثلاث معلمات تشكل التفاعل

شدة التفاعل لم تكن عشوائية. ثلاثة معلمات برمجية حددت حجم الضرر المباشر، ومدى انتشار التجميد.

1. نسبة LTV: كم من الأصول الملوثة يمكن سحبها لكل وحدة من الضمانات

حدد إعداد E-Mode في Aave نسبة LTV ل rsETH عند 93%، مما يعني أن إيداع دولار واحد من rsETH الملوث يمكن أن يقترض 0.93 دولار من WETH. بالمقارنة، كانت نسبة LTV لـ rsETH في Spark Protocol حوالي 72%، و75% في Fluid [3]. إذن، فإن إعدادات Aave هي الأكثر تطرفًا في السوق.

هذا قرار تصميم متعمد، وليس إهمالًا. في يناير 2026، قررت إدارة Aave رفع حد الإمداد لـ rsETH من 480,000 إلى 530,000 على Ethereum، ومن 52,000 إلى 70,000 على Mantle [3]. رغم أن ذلك لا يعني بالضرورة أن المهاجمين كانوا يخططون مسبقًا، إلا أن ذلك يوضح كيف أن التعديلات على المعلمات يمكن أن توسع نطاق التأثير المحتمل للأحداث المستقبلية.

2. عمق البركة: مدى هشاشة السوق على مستوى السيولة

نفس المبلغ المقترض يسبب تأثيرات مختلفة حسب عمق البركة المستهدفة.

الجدول 2: حجم احتياط WETH في أسواق Aave V3 وتأثير الاستنزاف المباشر للمهاجم

المهاجمون فقط أودعوا rsETH في سوقي Aave V3. أما Aave V4 (المُطلق على Ethereum في 30-03-2026) فهي أيضًا محمية بتجميد rsETH [8]، لكن لم يُذكر ذلك في الجدول. بيانات احتياط WETH من LlamaRisk [3]؛ بيانات القروض من تفاصيل العناوين أعلاه.

ركز المهاجمون على Ethereum Core وArbitrum. لكن الأهم هو ما حدث على السلاسل التي لم يلمسها المهاجمون. لأن rsETH مقبول كضمان على Mantle، Base، وLinea، فإن تعطيل الجسور الأساسية يهدد جميع مراكز المستخدمين التي تعتمد على rsETH كضمان، مع احتمالية حدوث ديون معدومة. قرار تجميد WETH بشكل وقائي على جميع الخمس سلاسل هو رد فعل منطقي: إذا استمرت الأسواق في العمل، فإنها ستتعرض لنفس آلية الاستنزاف التي ثبتت صحتها على Ethereum وArbitrum [3، 8].

3. عدد عمليات النشر عبر السلسلة: مدى انتشار التجميد

تم تصنيف rsETH كضمان في 11 من 23 سوقًا على Aave V3، مع وجود 7 أسواق ذات تعرض كبير [3]. المهاجمون اقتصروا على عمليتين على سلسلتين، لكن الانتشار الواسع لتجميد WETH أثر على ما لا يقل عن 5 سلاسل، بما يشمل الأسواق التي لم يودع فيها المهاجمون أية رموز. نسبة LTV تحدد مقدار السحب على كل سلسلة، وعمق البركة يحدد مدى تأثير كل سوق. لكن، في النهاية، فإن عدد السلاسل التي يُقبل فيها rsETH كضمان هو العامل الحاسم في مدى انتشار التجميد.

هذه المعلمات ليست ثابتة. قبل 9 أيام من الحادث، في 9 أبريل، زادت إدارة Aave الحد الأقصى لإمداد rsETH: على Ethereum من 480,000 إلى 530,000، وعلى Mantle من 52,000 إلى 70,000 [3]. رغم أن ذلك لا يثبت علاقة سببية مباشرة (ربما كانت التحضيرات من قبل المهاجمين قبل التعديلات)، إلا أنه يوضح كيف أن التعديلات على المعلمات يمكن أن توسع نطاق التأثير المحتمل للأحداث المستقبلية.

الأثر الحقيقي للتجميد

النتيجة: ثغرة جسر بقيمة 290 مليون دولار أدت إلى تجميد سيولة WETH على خمس سلاسل، مع إجمالي ودائع السوق المتأثرة يتجاوز 67 مليار دولار.

الخسائر المباشرة محدودة بمبالغ اقتراض المهاجمين. لكن في نظام الإقراض اللامركزي، التجميد ليس مجرد تعطيل بسيط، بل هو حبس للسيولة، يمنع السحب، ويعطل المراكز النشطة، ويقوض آليات الحماية من الديون المعدومة. معظم المستخدمين المتأثرين لم يتعاملوا مع rsETH أو KelpDAO أو أي جسر عابر، بل هم مودعو وقروض WETH على Aave، يشاركون في سوق إقراض واضح بالنسبة لهم.

WETH هو أصل السيولة الأساسي في DeFi. تجميده يعادل إغلاق أكبر بنك في المدينة، لأن جهة مالية أخرى استُخدمت فيها منتج غير معروف لمعظم المودعين، وتم الاحتيال عليه.

تقرير حادثة LlamaRisk [3] أنشأ نموذجين لسيناريوهات الديون المعدومة، وتوقعات لنقص السيولة على كل سلسلة، وهو أدق تحليل لنشر المخاطر حتى الآن. لكن، حتى هذا التحليل يركز على الديون المحتملة، وليس على التكاليف التشغيلية الأوسع الناتجة عن التفاعل، مثل حبس السحب، تعطيل المراكز، وتقليل قدرة الأسواق على التصفية. قياس الأثر الكلي للتفاعل لا يزال موضوعًا مفتوحًا.

إذا كانت التفاعلات معقدة، فإن عملية الاسترداد ليست سهلة أيضًا. فالتشابك يمنع الإصلاح، حيث لا يمكن لـ Aave “إلغاء التجميد بالكامل”. كل سوق يحتاج إلى تقييم مستقل، بناءً على تعرض rsETH المحلي، واستخدام WETH، ونشاط المهاجم، مع تقييم للمخاطر. الجدول الزمني يوضح ذلك:

19 أبريل: حارس البروتوكول يجمّد جميع أسواق rsETH وwrsETH على V3 وV4 [8].

20 أبريل: WETH يُجمّد على Ethereum، Arbitrum، Base، Mantle، وLinea [3، 8].

21 أبريل: يتم رفع تجميد WETH على Ethereum Core V3، مع إبقاء نسبة LTV عند 0 كإجراء وقائي. أما على Ethereum Prime، Arbitrum، Base، Mantle، وLinea، فالوضع لا يزال مجمدًا [8].

بعد أربعة أيام من الهجوم، تم رفع التجميد عن سوق واحد فقط. مسار الاسترداد يتبع نفس تعقيد مسار الهجوم: خطوة خطوة، سوق بسوق، مع حاجة مستمرة للحوكمة وتقييم المخاطر.

الاستجابة الطارئة: كيف نقلت Arbitrum 30,766 ETH بدون توقيع المالك

بينما كانت Aave تتعامل مع تفاعل الديون، كانت Arbitrum تنفذ استجابة موازية. في 21 أبريل، أعلن مجلس أمن Arbitrum عن إجراء طارئ، حيث جمد 30,766 ETH التي يملكها المهاجم على Arbitrum One [6]. تم نقل هذه الأموال إلى عنوان تجميد وسيط (0x…0DA0)، ولا يمكن التصرف فيها إلا عبر تصويت لاحق من حوكمة Arbitrum [7].

حوكمة الإجراءات

مجلس أمن Arbitrum هو جزء رسمي من هيكل حوكمة DAO الخاص بـ Arbitrum، وليس جهة خارجية أو لجنة مؤقتة. أعلن عن هذا الإجراء بشكل علني على منتدى الحوكمة، وتم تنفيذه بعد تأكيد هوية المهاجم، مع تقديم تفاصيل المعاملات للتحقق العام. عمل المجلس ضمن صلاحياته، مع موازنة بين “حماية أمن وسلامة مجتمع Arbitrum” و"عدم التأثير على مستخدمي أو تطبيقات Arbitrum" [7].

هذه ليست قرارات سرية، بل إجراءات مخولة من قبل الحوكمة، تنفذ بشكل شفاف، والأدلة على السلسلة واضحة.

[6] الآلية التقنية

ما يميز هذا الإجراء ليس قرار الحوكمة ذاته، بل طريقة تنفيذه على السلسلة. استنادًا إلى تحليل تتبع Phalcon من BlockSec [6]، استخدم المجلس عملية ثلاثية الخطوات:

قام منفذ الترقية مؤقتًا بترقية عقد inbox الخاص بإيثريوم (DelayedInbox)، وأضاف وظيفة جديدة باسم sendUnsignedTransactionOverride.

استخدمت هذه الوظيفة لإنشاء رسالة عبور عبر السلسلة تنتحل عنوان المهاجم. تم حقن الرسالة عبر Bridge.enqueueDelayedMessage، مع نوع = 3، والذي يتوافق مع L1MessageType_L2Message في Arbitrum Nitro. يسمح هذا النوع من الرسائل بتنفيذ L2MessageKind_UnsignedUserTx على L2. والأهم، أن هذا المسار لا يتطلب التحقق من التوقيع. يتم استبدال وسيط sender من مسار msg.sender القياسي إلى مدخلات يتحكم فيها المُنادي، مع تمرير عنوان المهاجم من خلال تحويل اسم عنوان L1→L2.

بعد تنفيذ التحويل على L2، يتم استعادة عقد inbox إلى النسخة الأصلية.

يمكن عرض معاملات L1 وL2 الناتجة على Phalcon Explorer. تظهر معاملات L2 على أنها “من المهاجم إلى 0x…0DA0”، لكن هذا ليس تحويل توقيع مستخدم عادي، بل هو تحويل حالة قسري عبر السلسلة: عبر ترقية صلاحيات البنية التحتية للحوكمة، تم نقل الأصول دون الحاجة لمفتاح خاص للمالك.

مأزق اللامركزية

مبدأيًا، الأمر بسيط: العقود القابلة للترقية تمنح قدرات غير محدودة. إذا كان العقد يمكن ترقيته، فإن سلوكه يمكن تعديله ليقوم بأي شيء، بما في ذلك نقل الأصول دون توقيع المالك. هذه قدرة متأصلة في أي نظام مبني على العقود القابلة للترقية. حالياً، يُحتجز 30,766 ETH في عنوان مجمد، ولا يمكن التصرف فيها إلا عبر تصويت لاحق من حوكمة Arbitrum. نمط الترقية-التنفيذ-الاستعادة التلقائي لا يترك أي تغييرات دائمة على عقد inbox، ولا يؤثر على مستخدمين أو تطبيقات أخرى [9].

من وجهة نظر تقييم معقولة، فإن تصرف مجلس أمن Arbitrum هو الصحيح. المهاجمون يُعرفون بأنهم جهات ذات مستوى وطني، وشارك جهات إنفاذ القانون، وعمليات الحوكمة شفافة، وتم استرداد أو إيقاف عمليات غسل الأموال لأكثر من 71 مليون دولار.

لكن القدرة التي سمحت بذلك ليست محدودة بهذا الحالة. نفس آلية الترقية-التنفيذ-الاستعادة يمكن، من حيث المبدأ، أن تُستخدم لنقل أي أصول على Arbitrum One. صلاحيات المجلس ليست مقتصرة على عنوان المهاجم أو الأموال المسروقة، بل هي قدرة عامة، تخضع لرقابة الحوكمة، وليست مقيدة بالكود فقط.

وهذا هو المأزق. عند تفاعل المستخدمين مع L2، يظنون بشكل ضمني أن “أصولي تحت سيطرة مفتاحي الخاص، ولا يمكن نقلها إلا بتوقيعي”. لكن استجابة KelpDAO تظهر أن هذا النموذج غير كامل. على Arbitrum وأي L2 يمتلك عقد جسر قابل للترقية ومجلس أمن، يمكن نقل الأصول عبر إجراءات حوكمة كاملة تتجاوز التحقق من التوقيع.

Arbitrum ليست استثناءً. عمليات تجميد السوق في Aave كانت أيضًا إجراءات طارئة مدفوعة بالحوكمة. في حادثة KelpDAO، استخدمت عدة بروتوكولات سلطات مركزية: أوقفت Aave الأسواق على خمس سلاسل، نفذ مجلس أمن Arbitrum نقلًا قسريًا، ووقفت KelpDAO جميع العقود على مستوى العالم. هذا الاستجابة في نظام “اللامركزية” هي في الواقع تنفيذ مركزي للسلطة بشكل منسق.

المسألة ليست فيما إذا كانت السلطات الطارئة ضرورية أم لا. حالة KelpDAO تقدم أدلة قوية على ضرورة وجودها. المشكلة تكمن في حدود هذه السلطات، وشروط تفعيلها، وآليات المساءلة، ودرجة الشفافية. على مستخدمي L2 أن يجيبوا على سؤال أساسي: متى يمكن لمجلس الأمن نقل أموالي؟ وما هي حقوقي في المطالبة؟

حالة الأموال المسروقة

تُظهر تتبع الأصول المسروقة على السلسلة (المرجع الكامل على MetaSleuth [4]) أن المهاجمين وزعوا 116,500 rsETH على 7 عناوين رئيسية، ومعظمها أُودع في Aave (Ethereum وArbitrum) كضمانات WETH وwstETH، وتم تبادلها عبر DEX إلى عناوين موحدة على الشبكتين 0x5d39…7ccc (Ethereum / Arbitrum). حتى 22-04-2026 05:42 UTC، توزعت الأموال المسروقة على أربع حالات:

الجدول 3: توزيع الأموال المسروقة حسب الحالة (حتى 22-04-2026 05:42 UTC)

حوالي 31% منها مجمدة أو محتجزة، و23% لا تزال في عنوان غير نشط على Ethereum، و46% تم أو تتجه نحو 103 عناوين فرعية على مستوى أدنى. المهاجمون لم يسحبوا rsETH من Aave، ولم يعيدوا WETH وwstETH المقترضين، وتركوا مراكز الإقراض مهجورة.

سلسلة الأسباب والنتائج لحادثة KelpDAO تظهر أن الاعتماد على نقطة واحدة في التقنية، وتفاعلية DeFi، وتوزيع الضمانات عبر السلاسل، كلها عوامل ساهمت في الأزمة. الاعتماد على DVN واحد، وتفاعل البروتوكولات، وتوزيع الضمانات، كلها عوامل أدت إلى تفاقم الأزمة، وأظهرت أن السلطة المركزية لا تزال متجذرة في أنظمة الترقية والتشغيل.

مواجهة هذه السلسلة من المشكلات تتطلب مشاركة جميع الأطراف:

• للمؤسسات: تعتمد الأمان الشامل على أضعف حلقة، والتي كانت في هذه الحالة بنية DVN الأساسية، وليس العقود الذكية [5]. يتطلب الأمان الشامل تقييمات أمنية شاملة، واختبارات اختراق، ورصد مستمر، مع سرعة استجابة عالية عند اكتشاف المخاطر، خاصة في عمليات التجميد والتتبع.

• للحوكمة على L2: يجب أن تكون الإجراءات الطارئة شفافة، مع معايير واضحة لتفعيلها، وحدود زمنية، وآليات مساءلة.

• للمستخدمين: يجب فهم أن التفاعلية في DeFi تحمل مخاطر نظامية، وأن وضع أصولهم في بروتوكولات تعتمد على الضمانات، أو على جسر عابر، يتطلب تقييم شامل للمخاطر، وليس الاعتماد على نموذج “مفتاح خاص فقط”.