سرقة جسر كيلب داو عبر السلسلة بقيمة 292 مليون دولار: من يجب أن يدفع الثمن

معدّل المسؤولية المشترك: 60/40

مؤلف أصلي: يي هاوتيان، محامي

في 18 أبريل 2026، سرق مهاجم خلال 46 دقيقة 116,500 من rsETH من جسر كربتد من KelpDAO، بقيمة تقدر بحوالي 292 مليون دولار. وهو أكبر حادث أمني في DeFi حتى ذلك الحين في عام 2026. تم بعد ذلك إيداع العملات المسروقة كضمانات في بروتوكولات إقراض مثل Aave V3، حيث تم اقتراض حوالي 236 مليون دولار من ETH، مما أدى إلى تكبد منصة Aave خسائر تتراوح بين 177 و200 مليون دولار، وأثار سلسلة من ردود الفعل التي طالت أكثر من تسعة بروتوكولات DeFi، مع تلاشي إجمالي القيمة المقفلة (TVL) على منصة Aave بمقدار حوالي 60 مليار دولار خلال ليلة واحدة.

تم تغطية تفاصيل الحادث على نطاق واسع، ولن أكررها هنا. في الواقع، أنا شخصياً أواجه صعوبة في سحب عدة آلاف من الدولارات… لذلك، لدي دافع كبير للبحث في هذا الموضوع. ما أريد مناقشته هنا هو مسألة مختلفة: من المنظور القانوني المدني، من يجب أن يتحمل المسؤولية؟ هل يمكن للضحية أن تتلقى تعويضًا حقيقياً؟

الجواب أكثر تعقيداً بكثير من الاتهامات المتبادلة التي كانت سائدة في مجتمع التشفير في البداية. بعد تحليل منهجي للإطار القانوني المعمول به، أعتقد أن: KelpDAO وLayerZero Labs يتحملان مسؤولية مشتركة (concurrent liability)، مع نسبة خطأ تقريبية تبلغ 60% لـKelpDAO و40% لـLayerZero؛ بالإضافة إلى ذلك، فإن حدود المسؤولية في شروط الخدمة الخاصة بكلا البروتوكولين تكاد تكون غير قابلة للتنفيذ.

المسألة الأساسية للمسؤولية: فشلان، هجمة واحدة

الجدل حول هذا الهجوم دائماً يبدأ من نفس النقطة: هل الخطأ من جانب KelpDAO (اختيار تكوين DVN 1-of-1)، أم من جانب LayerZero (تسميم بنية RPC الخاصة بـDVN التي تديرها)؟

الجواب هو: كلاهما مسؤول.

(أ) ما الذي أخطأ فيه KelpDAO

يستخدم بروتوكول الرسائل عبر السلاسل من LayerZero شبكة مدققين لامركزية (DVN, Decentralized Verifier Network) للتحقق من صحة الرسائل المرسلة من سلسلة بلوكشين إلى أخرى. تم تصميم هذا البروتوكول ليكون مرنًا للغاية: يمكن لكل تطبيق يُنشر على LayerZero اختيار عدد المدققين الذين يجب أن يتفقوا على رسالة معينة ليتم اعتبارها موثوقة. توصي وثائق LayerZero باستخدام تكوين 2-of-3 على الأقل، أي أن اثنين من بين ثلاثة مدققين مستقلين يجب أن يؤكدوا الرسالة قبل قبولها.

اختارت KelpDAO أدنى تكوين ممكن: 1-of-1. مدقق واحد. بدون تحمل خطأ.

هذا يعني أن أي شخص يستطيع، إذا تمكن من اختراق أو خداع أو السيطرة على هذا المدقق الوحيد، تزوير أي رسالة عبر السلاسل، بما في ذلك رسالة تشير إلى أن جسر KelpDAO أطلق جميع rsETH الخاص به إلى عنوان يتحكم فيه المهاجم. وهذا هو بالضبط ما حدث في الواقع.

هذه الحالة سخيفة للغاية: جسر KelpDAO يقفل على أكثر من عشرين شبكة بلوكشين قيمة إجمالية تقارب 1.6 مليار دولار. اختارت البروتوكول الاعتماد على نقطة فشل واحدة (single point of failure) لحماية هذه الأصول، وهو أمر يعادل وضع قفل على خزينة البنك، مع أن المصنع ينصح بشكل واضح باستخدام نظام أقفال متعدد.

في إطار القانون التقليدي للضرر (tort law)، يُعرف الإهمال (negligence) بأنه تصرف يقل عن معيار العناية الذي وضعه القانون لحماية الآخرين من الأذى الناتج عن مخاطر غير معقولة. ( بالنسبة للمحترفين، فإن مشغلي البروتوكولات التي تدير أصولاً بمليارات الدولارات بلا شك ينتمون لهذا التصنيف، حيث يُرفع معيار العناية ليشمل المهارات والمعرفة التي يمتلكها العاملون في هذا المجال. )

أشهر إطار لتحليل المخاطر والمنفعة هو الذي اقترحه القاضي ليرنيد هاند في محكمة الاستئناف الأمريكية الثانية في قضية “كارول تروينغ” (United States v. Carroll Towing Co.):[1] إذا كانت تكلفة الوقاية (B) أقل من احتمال وقوع الضرر (P) مضروبًا في حجم الضرر (L)، فإن عدم اتخاذ التدابير الوقائية يُعد إهمالاً. بمعنى آخر: عندما يكون B < P×L، فإن عدم الوقاية يُعد إهمالاً.

في هذه الحالة، لا يوجد شك في صحة المعادلة:

P (احتمال): هجمات الجسور عبر السلاسل من أكثر أنواع الهجمات شيوعًا والأكثر خسارة في عالم DeFi. مثل هجوم Wormhole (3.2 مليار دولار، 2022)، وRonin (6.25 مليار دولار، 2022)، وNomad (1.9 مليار دولار، 2022)، وDrift Protocol (2.85 مليار دولار، 1 أبريل 2026، قبل 17 يومًا فقط من الهجوم الحالي)، كلها تشير إلى أن أمان الربط بين السلاسل هو تهديد معروف وفعال.

L (حجم الضرر): خسارة مباشرة قدرها 292 مليون دولار، بالإضافة إلى خسائر متتالية بمئات الملايين من الدولارات في البروتوكولات التابعة.

B (تكلفة الوقاية): تغيير تكوين DVN للجسر من 1-of-1 إلى 2-of-3. تكلفة إضافية: تأخير بسيط في التحقق (ثوانٍ قليلة) وتكاليف DVN (بالنسبة لقيمة الأصول المحمية، يمكن تجاهلها تقريبًا).

لا يوجد أي من مشغلي البروتوكولات العقلانيين يمكنه الدفاع عن استخدام تكوين 1-of-1 لمثل هذا الحجم من الأصول. تكلفة الوقاية ضئيلة، والخسارة المتوقعة كارثية.

ومن الجدير بالملاحظة أن ممارسات الصناعة تقدم مرجعًا هامًا. على سبيل المثال، يحدد SparkLend نسبة قرض rsETH (LTV) عند 72%، وFluid عند حوالي 75%، وكلاهما أقل بكثير من 93% التي حددتها Aave. هذا الموقف المحافظ يعكس على الأرجح وعي الصناعة بمخاطر الربط الخاص بـrsETH. إذا كانت حتى بروتوكولات الإقراض حذرة من مخاطر الربط بـrsETH، فمن الطبيعي أن يتحمل مشغل الجسر، KelpDAO، معايير أمان أعلى. لكن الواقع هو العكس تمامًا: الطرف الذي يدير الجسر اختار أدنى تكوين أمني.

هناك دفاع مهم آخر يجب مناقشته: دفاع الشفافية على السلسلة. تكوين DVN 1-of-1 هو بيانات عامة على السلسلة، ويمكن لأي مستخدم يمتلك قدرات تقنية كافية التحقق من معلمات أمان الربط عبر استعلام عقدة LayerZero EndpointV2. قد يدعي KelpDAO أنه بما أن التكوين علني، فإن المستخدمين لديهم فرصة (ومسؤولية) لتقييم أمان الربط قبل إيداع الأصول. هذا يشكل دفاعًا عن مخاطر يتحملها المستخدم (assumption of risk)، وهو مختلف عن التنازل عن حقوق بموجب شروط الخدمة (سيتم تحليله في الجزء الثاني). قوة هذا الدفاع تعتمد على كيفية تقييم المحكمة لمعيار “الاعتدال” لمستخدمي DeFi، وهل يمكن توقع أن يقوم المستخدم العادي بفحص تكوين DVN قبل الإيداع؟ قد يكون هذا الدفاع فعالًا للمؤسسات والمستثمرين الكبار (whales) ذوي التقنية العالية؛ أما للمستثمرين الأفراد العاديين، فالحجة أقل إقناعًا.

(ب) ما الذي أخطأ فيه LayerZero

لكن اختيار تكوين KelpDAO نفسه لا يكفي لإحداث الضرر. فالهجوم يتطلب أيضًا خداع DVN الخاص بـLayerZero ليوقع على معاملة غير حقيقية لم تحدث أبدًا. وهنا تظهر المخاطر القانونية على LayerZero بشكل واضح.

وفقًا لتحليل مفصل نشره مؤسس شركة SlowMist للأمن السيبراني، Cos (الذي يُعرف أيضًا باسم “الجيب” - Cosine)، [2] لم يكن هذا الهجوم اختراقًا لمفاتيح DVN أو استغلالًا لثغرة في بروتوكول LayerZero. بل استهدف البيانات الواردة من مصدر البيانات الخاص بـDVN: عقد RPC الذي يقرأ حالة الشبكة.

تم تنفيذ الهجوم عبر خمس خطوات:

1. حصل المهاجم على قائمة عقد RPC التي يستخدمها DVN من LayerZero.

2. اخترق مجموعتين مستقلتين من عقد RPC، واستبدل ملف op-geth الشرعي بآخر مخترق.

3. استخدم الملف المخترق خدعة انتقائية (selective spoofing): يرد على الطلبات القادمة من عناوين IP الخاصة بـDVN ببيانات مزورة، بينما يرد على جميع العناوين الأخرى، بما في ذلك خدمات المراقبة الخاصة بـLayerZero، ببيانات حقيقية. هذا النمط من الاستجابة الانتقائية بناءً على IP يجعل التسميم غير مرئي للمراقبة العادية.

4. شن هجوم DDoS على العقد غير المخترقة، مما يجبر DVN على التبديل إلى عقد RPC المخترقة.

5. بعد إتمام التحقق المزيف، يقوم الملف الخبيث بحذف نفسه ومسح جميع السجلات، لإخفاء الأدلة.

هذه النقطة حاسمة: تدير LayerZero هذا الـDVN. هذا ليس برمجية غير نشطة تم نشرها بشكل مستقل من قبل KelpDAO. LayerZero تدير بنشاط بنية التحقق، تختار مزودي RPC، تضبط منطق التبديل، وتوقع على أدلة التحقق. عندما يقرأ DVN حالة الشبكة المزيفة من عقد RPC المخترقة ويوقع على معاملة غير موجودة، فإن ذلك يعكس فشل البنية التحتية لـLayerZero.

وهذا النمط من الهجمات ليس جديدًا. كما أشار Cos، “هجمات تسميم RPC قديمة، وتعرضت لها البورصات منذ سنوات.”[3]

وفقًا لـ"إعادة صياغة القانون المدني (الطبعة الثانية)"، يجب على الفاعل أن يحدد المخاطر التي يمكن للمعتدلين في وضعه أن يكتشفها. [4] هجمات تسميم RPC معروفة في مجتمع أمان البلوكشين. من المفترض أن يكون مزودو البنية التحتية الذين يديرون DVN مسؤولين عن اتخاذ تدابير وقائية، بما في ذلك: [5]a[6] استخدام مصادر RPC متعددة ومستقلة جغرافيًا؛ (b) تنفيذ التحقق المتقاطع بين عقد RPC للكشف عن البيانات غير المتسقة؛ © مراقبة أنماط الاستجابة الانتقائية بناءً على IP؛ (d) تعزيز منطق التبديل لتجنب العودة إلى عقد غير موثوقة تحت ضغط هجمات DDoS؛ (e) تطبيق اكتشاف استثنائي على طلبات التحقق من DVN (مثل تمييز المعاملات الكبيرة بشكل غير معتاد).

علاوة على ذلك، فإن مبدأ الالتزام غير القابل للتفويض (non-delegable duty doctrine) ينطبق على هذه الحالة. وفقًا لإعادة صياغة القانون المدني (الطبعة الثانية)، بعض الوظائف الأمنية الحرجة لا يمكن تفويضها بالكامل إلى طرف ثالث، ويجب على الطرف الذي يتحمل هذه المسؤولية أن يضمن أداؤها بشكل كافٍ. ( عندما تدعي LayerZero أنها توفر بنية التحقق للمعاملات عالية القيمة عبر السلاسل، لا يمكنها أن تتجنب المسؤولية فقط بالإشارة إلى مزودي RPC كمقاولين مستقلين. فهي تختار هؤلاء المزودين، وتضبط منطق التبديل، وتدير عقد التحقق. المسؤولية تقع على عاتق المشغلين.

يمكن أن نُقارن ذلك بمفهوم قانوني تقليدي وهو مسؤولية مشغلي البنية التحتية المالية. على سبيل المثال، SWIFT (الاتحاد العالمي للبنك والتسوية) يوفر بنية لنقل الرسائل بين البنوك. إذا تم اختراق نظام التحقق من رسائل SWIFT وأدى ذلك إلى تنفيذ أوامر تحويل زائفة، لا يمكن لـSWIFT أن تعفى من المسؤولية فقط لأنها “بروتوكول خالٍ من الثغرات”. فهي تدير بنية التحقق، ويجب أن تتحمل مسؤولية معقولة عن ضمان سلامة النظام. RoleLayerZero في بيئة DeFi يشبه ذلك تمامًا: فهي ليست مجرد مرخص برمجيات، بل مشغل لبنية التحقق من الرسائل عبر السلاسل.

كما يجب أن نأخذ في الاعتبار أن هجوم Drift Protocol في 1 أبريل 2026، الذي تعرض لخسارة 285 مليون دولار، وقع قبل 17 يومًا فقط من هجوم KelpDAO. على الرغم من أن تفاصيل الهجوم قد تختلف، إلا أنه يرسل إشارة واضحة إلى أن بنية الربط عبر السلاسل تتعرض لتهديدات متقدمة مستمرة (APT). في هذا السياق، يجب أن تكون LayerZero في حالة تأهب عالية، وفشلها في تعزيز أمان البنية التحتية بعد هجوم Drift يعزز فرضية الإهمال.

أقوى دفاع لـLayerZero هو أن المهاجمين من مستوى الدولة، وأن الهجوم يتطلب تعقيدًا استثنائيًا، مثل استبدال الملفات التنفيذية، والتسميم الانتقائي بناءً على IP، وهجمات DDoS، وإزالة الأدلة بعد التنفيذ. وفقًا لـ"إعادة صياغة القانون المدني (الطبعة الثانية)"، فإن التدخلات الإجرامية ذات التعقيد العالي تتجاوز نطاق الوقاية المعقولة. إذا قررت المحكمة أن مستوى التعقيد يتجاوز المعايير المعقولة لمزود البنية التحتية الخاص، فإن مسؤولية LayerZero قد تُخفف أو تُعفى بشكل كبير.

لكن هناك حجج مضادة قوية: كما أشار Cos، فإن مكونات هذا الهجوم معروفة جيدًا، حتى لو كانت مجموعتها جديدة. هجمات تسميم RPC، وهجمات DDoS، واستبدال الملفات التنفيذية كلها تقنيات معروفة. من المفترض أن يكون مزودو البنية التحتية المعقولون قد اتخذوا تدابير دفاعية ضد هذه التهديدات المعروفة، حتى لو لم يتوقعوا التوليف المحدد لهذه الهجمات.

(ج) العلاقة السببية المشتركة وتوزيع الخطأ 60/40

هذه حالة من نوع العلاقة السببية المشتركة (concurrent causation). فشل تكوين DVN 1-of-1 لـKelpDAO وفشل بنية LayerZero لـRPC هما شرطان ضروريان لنجاح الهجوم. إذا أزلت أحدهما، فسيفشل الهجوم:

• لو استخدمت KelpDAO تكوين 2-of-3 مستقل، لكان على المهاجم أن يخترق مسارات تحقق متعددة، مما يزيد بشكل كبير من تكلفة وتعقيد الهجوم.

• لو لم يتم تسميم بيانات RPC الخاصة بـLayerZero، فتكوين 1-of-1 كان يمكن أن يعمل بشكل طبيعي، ولن يتم التحقق من رسائل غير مصرح بها.

وفقًا لإعادة صياغة القانون المدني (الطبعة الثانية)، عندما تتسبب أسباب متعددة بشكل مشترك في ضرر واحد لا يمكن تقسيمه، يُعتبر كل سبب “عاملًا جوهريًا” (substantial factor) في التسبب بالضرر، ويكون كل طرف مسؤولاً. ) لن يقطع المهاجم سلسلة السببية، لأن هجمات الجسور ذات نقطة فشل واحدة هي المخاطر التي يوصي بها نظام تكوين DVN متعدد، ويجب أن يكون من المتوقع أن يؤدي إليها.

في ولايات نيويورك وكاليفورنيا، يُطبق نظام المقارنة النقية للخطأ (pure comparative fault). [7] هذا يعني أن مسؤولية كل طرف تقل بنسبة خطئه، ولكن لا تُلغى تمامًا.

كيف يُوزع الخطأ إذن؟ أقدّر أن النسبة تكون حوالي 60% لـKelpDAO و40% لـLayerZero، استنادًا إلى ثلاثة أسباب:

1. أن KelpDAO اتخذ قرارًا نشطًا، في ظل توصية واضحة من LayerZero باستخدام 2-of-3، واختار 1-of-1. هذا قرار حوكمة، وليس قيدًا تقنيًا من LayerZero. البروتوكول لديه القدرة على اختيار مستوى أمان أعلى، لكنه لم يفعل. هذا الاختيار النشط يحمل وزنًا كبيرًا في أي تحليل للمسؤولية النسبية.

2. أن تكوين 1-of-1 هو الشرط الأساسي لنجاح الهجوم. بدون ذلك، سيكون على المهاجم أن يواجه تحديًا مختلفًا (وأصعب بكثير). هجمات تسميم RPC تنجح فقط لأن هناك مسار تحقق واحد فقط يحتاج إلى الاختراق.

3. مع ذلك، فإن مسؤولية LayerZero لا يمكن أن تكون صفرًا. فهي تدير بنية التحقق الخاصة بها، وتختار مزودي RPC، وتضبط منطق التبديل، وتوقع على أدلة التحقق. عندما يقرأ DVN حالة الشبكة المزيفة من عقد RPC المخترقة ويوقع على معاملة غير موجودة، فإن ذلك يعكس فشل البنية التحتية لـLayerZero.

نسبة 40% تعكس واقع أن LayerZero تدير بنية تحتية فاشلة، وتستخدم تصميمًا معروفًا بوجود ثغرات، ولم تتخذ تدابير دفاعية مناسبة ضد أنواع الهجمات المعروفة.

هل يمكن لشروط الخدمة أن تنقذهم؟

كلا من KelpDAO وLayerZero يملكان شروط خدمة (ToS) ذات مسؤولية محدودة بشكل متطرف. حددت KelpDAO حد مسؤوليتها الإجمالي إلى المبلغ المدفوع خلال الاثني عشر شهرًا السابقة أو 200 دولار، أيهما أكبر. [8] أما LayerZero، فحدها 50 دولارًا. [9] كلاهما يتضمن إخلاء مسؤولية “كما هو” (AS IS) وشروط تحمل المخاطر على نطاق واسع.

إذا كانت هذه الحدود فعالة، فإن كل التحليل المدني أعلاه يصبح مجرد حبر على ورق. الحد البالغ 200 دولار على خسارة قدرها 292 مليون دولار يجعل KelpDAO محصنًا بشكل عملي من أي مطالبات ذات معنى.

لكن هذه الشروط لن تدعمها المحكمة، للأسباب التالية:

(أ) مبدأ عدم العدالة الظاهرة (Unconscionability)

لطالما اعترف القانون أن بعض الشروط غير عادلة بشكل جوهري لدرجة أن المحكمة ترفض تنفيذها. مبدأ عدم العدالة الظاهرة منصوص عليه بوضوح في “إعادة صياغة العقود (الطبعة الثانية)”، ويتيح للمحكمة إلغاء شروط العقد التي تظهر فيها عيوب إجرائية وموضوعية معًا. [10]

• العيوب الإجرائية (procedural unconscionability): تتعلق بوجود فرصة حقيقية للتفاوض أو رفض الشروط. عقود الخدمة في DeFi غالبًا ما تكون عقود نمطية (adhesion contracts): تُعرض على المستخدمين بشكل إجباري، بدون فرصة للتفاوض، وغالبًا تكون مخفية في صفحات غير مقروءة على مواقع الويب. معظم مستخدمي DeFi يتفاعلون مباشرة مع العقود الذكية عبر محافظ مثل MetaMask، ولم يطلعوا على شروط الخدمة أو يوافقوا عليها بشكل صريح.

• الفرق القانوني بين “نقر بالموافقة” (clickwrap) و"تصفح ووافق" (browsewrap) قد تم تثبيته. [11] في قضية “Specht ضد Netscape” (Specht v. Netscape)، قضت المحكمة أن روابط الشروط في أسفل صفحة التنزيل غير كافية لإثبات موافقة المستخدم إذا لم تكن واضحة وملحوظة. وفي قضية “Nguyen ضد Barnes & Noble”، أكدت المحكمة أن الموقع يجب أن يوفر إشعارًا واضحًا وفرصة للمراجعة؛ مجرد وجود شروط على الموقع غير كافٍ.

• تفاعلات بروتوكولات DeFi أقرب إلى حالة “Specht” من حالة “Meyer ضد Uber” (حيث اعتبرت المحكمة أن صفحة التسجيل التي تحتوي على روابط واضحة كانت إشعارًا فعالًا). لم يُحكم بعد بشكل قاطع أن التفاعل مع العقود الذكية يُعد موافقة على شروط الموقع، لكن السوابق القضائية الحالية تميل لصالح عدم تنفيذ شروط التصفح بدون تأكيد صريح من المستخدم.

• العيوب الموضوعية (substantive unconscionability): تتعلق بمدى قسوة الشروط، بحيث “تثير الاشمئزاز” (shock the conscience). الحد البالغ 200 دولار على مسؤولية قدرها 292 مليون دولار، بنسبة تقريبية 1:1,460,000، هو مثال صارخ على عدم العدالة الموضوعية. الحد البالغ 50 دولارًا من LayerZero أكثر تطرفًا. في قضية “Williams ضد Walker-Thomas Furniture”، أُقرت المحكمة أنه عندما يكون لدى الطرف الآخر خيار محدود، فإن المحكمة لا تنفذ الشروط غير العادلة. [12] التعليقات على “إعادة صياغة العقود” تؤكد أن “الاختلاف الشديد في المعاملة” هو دليل مباشر على عدم العدالة.

(ب) استثناء الإهمال الجسيم (Gross Negligence)

حتى لو اعتبرت المحكمة أن شروط الخدمة قابلة للتنفيذ بشكل عام، فإن حدود المسؤولية لا تنطبق على الإهمال الجسيم أو السلوك المتعمد (willful misconduct). هذا مبدأ ثابت في قوانين نيويورك وDelaware.

• وفقًا لإعادة صياغة القانون المدني (الطبعة الثانية)، فإن الشروط التي تعفي طرفًا من المسؤولية عن الأفعال المتهورة (reckless) أو المتعمدة تُعد غير قابلة للتنفيذ لأنها تتعارض مع السياسات العامة. ( المحكمة العليا في نيويورك أكدت مرارًا أن الشروط التي تتعلق بالإهمال الجسيم لا تشملها، وتطبق معيار “إهمال المعرفة” (reckless disregard). )

• هل تكوين DVN 1-of-1 الخاص بـKelpDAO يُعد إهمالًا جسيمًا؟ الأدلة قوية. الإهمال الجسيم يتطلب تجاهلًا متهورًا للمخاطر المعروفة، ويتجاوز مجرد نقص العناية. اختارت KelpDAO تكوينًا منخفض الأمان لحماية أصول تتجاوز 1 مليار دولار، مخالفًا التوصيات الواضحة لمزود البنية التحتية. خطر نقطة الفشل الواحدة معروف جيدًا. الفرق بين 1-of-1 و2-of-3 ليس مجرد اختلاف في مستوى المخاطر، بل هو اختلاف جوهري.

• إذا اعتبرت المحكمة أن اختيار 1-of-1 يُعد إهمالًا جسيمًا وليس مجرد إهمال، فإن الحد البالغ 200 دولار يصبح غير صالح، بغض النظر عن نتائج تحليل عدم العدالة الظاهرة.

• استثناء الإهمال الجسيم مهم لأنه يتجاوز مسألة صحة شروط الخدمة. حتى لو وافقت المحكمة على أن المستخدمين وافقوا على الشروط (مثل عبر آلية clickwrap)، وحتى لو اعتبرت أن الحد البالغ 200 دولار غير غير عادل في سياق تجاري، فإن استثناء الإهمال الجسيم يظل ساريًا. إنه مبدأ من مبادئ السياسات العامة (public policy), لا يخضع لاتفاق الأطراف. في قانون نيويورك، تم تأكيد ذلك مرارًا، [13] وهو يمثل ثاني أقوى هجوم على شروط الخدمة.

(ج) رفض قانون الأوراق المالية (Securities Law)

هناك مسار ثالث يجعل حدود المسؤولية غير سارية، وهو الأكثر قوة.

إذا تم تصنيف rsETH كأوراق مالية (security) بموجب القانون الفيدرالي، فإن شروط الحد من المسؤولية وشروط التحكيم ستكون باطلة بموجب القانون (by operation of law). [14] ينص قانون الأوراق المالية (Securities Act) على أن “أي شرط ينص على التنازل عن الالتزام بأي مادة أو قاعدة من هذا القانون يكون باطلًا”. [15] ويشمل قانون التبادل (Exchange Act) نفس الأحكام. [16] هذه الشروط لا يمكن تجنبها بعقد. فهي تتفوق على قانون التحكيم الفيدرالي (Federal Arbitration Act). ولا تخضع لتحليل عدم العدالة الظاهرة على مستوى الولاية. إنها أوامر ملزمة من القانون الفيدرالي.

هل يُصنف rsETH كأوراق مالية؟ وفقًا لاختبار Howey، وهو المعيار الأساسي، فإن عقد الاستثمار (investment contract) يُعتبر كذلك إذا توافرت الشروط التالية: [17] 1[18] استثمار مالي، [19] 2[20] في مشروع مشترك، [21] 3[21] مع توقع أرباح، [22] 4[23] من خلال جهود الآخرين.

يحقق rsETH كل شرط من هذه الشروط. المستخدمون يودعون ETH (استثمار مالي) في مجموعة على EigenLayer، ويقومون بإعادة الرهن (re-staking) لتحقيق أرباح (توقع أرباح). استراتيجيات إعادة الرهن، واختيارات المشغل، وبنية الربط، كلها تُدار من قبل فريق KelpDAO، والمستثمرون الأفراد لا يملكون أي سيطرة (أي أن الجهود من طرف آخر).

المعقد هو أن قضية “Ripple” (Ripple case) تميزت بقرار منقسِم (split holding). [24] في 2023، قضت محكمة المنطقة الجنوبية في نيويورك أن البيع المباشر من قبل المؤسسات (وهو ما يمثل البيع المباشر لـrsETH) يُعد أوراقًا مالية (security)، بينما البيع في السوق الثانوية (مثل التداول في DEX أو إيداع في Aave) لا يُعد كذلك. معظم معاملات rsETH تتم في السوق الثانوية، وليس مباشرة من KelpDAO. وفقًا لنموذج Ripple، قد لا يفي المشترون في السوق الثانوية بشرط “جهود الآخرين”. لكن، هذا قرار من محكمة إقليمية وهو قيد الاستئناف أمام المحكمة الثانية، ولم يُختبر بعد تطبيقه على رموز الرهن السائلة (liquid staking tokens).

إذا تم تصنيف rsETH كأوراق مالية، فسيغير ذلك بشكل جذري مسار المطالبة بالتعويض. ستُلغى شروط الحد من المسؤولية، وتُلغى شروط التحكيم، ويحق للمشترين المباشرين المطالبة بإلغاء فردي (rescission). ( جميع من اشتروا بناءً على تصريحات KelpDAO حول أمان الربط يمكنهم رفع دعاوى احتيال (fraud claims). )

وهنا، من المهم شرح قوة هذه الأداة القانونية: في القانون الأمريكي، شروط التحكيم والتنازل عن الدعاوى الجماعية (class action waiver) تحظى بحماية قوية. في قضية “AT&T ضد Concepcion” و"Epic Systems ضد Lewis"، أكد أعلى محكمة في البلاد أن قانون التحكيم الفيدرالي يتفوق على قوانين الولاية التي قد تمنع شروط التنازل عن الدعاوى الجماعية. في قضية “American Express ضد Italian Colors”، حدّدت المحكمة أن “الوسائل الفعالة للانتقام” (effective vindication) لا يمكن إلغاؤها إلا إذا كانت شروط التحكيم تمنع المطالبة بالحقوق القانونية، وليس فقط بسبب التكاليف العالية للمحاكمات.

وهذا يعني أنه إذا كانت شروط التحكيم الخاصة بـLayerZero سارية، فإنها ستجبر الضحايا على التحكيم الفردي، مع حد أقصى للمطالبة يبلغ 50 دولارًا لكل شخص، وهو في الواقع بمثابة حاجز مسؤولية كامل. لن يبدؤوا إجراءات تحكيم فردية للمطالبة بمبلغ 50 دولارًا.

لكن، الأحكام المضادة للتنازل عن الحقوق بموجب قانون الأوراق المالية (anti-waiver provisions) توفر وسيلة لتجاوز هذا الحاجز. إذا كانت rsETH أوراقًا مالية، فإن القانون الفيدرالي يلغى مباشرة شروط التحكيم والتنازل عن الدعاوى الجماعية، دون الحاجة إلى الاعتماد على مبدأ عدم العدالة الظاهرة. ( هذا هو السبب في أن تصنيف rsETH كأوراق مالية هو “السلاح النووي” في التحليل بأكمله.

مزودو عقد RPC: أدوار مساعدة

مزودو عقد RPC الذين تم تسميمهم في هذه الحالة يحتلون موقعًا خاصًا في سلسلة المسؤولية. هم يوفرون البيانات المزيفة التي يعتمد عليها DVN. لكن مسؤوليتهم محدودة بعدة عوامل:

وفقًا لإعادة صياغة القانون المدني (الطبعة الثانية)، فإن مزودي المعلومات في العمليات التجارية، إذا لم يتخذوا تدابير معقولة، فإنهم مسؤولون عن الأضرار الناتجة عن الاعتماد المعقول عليهم، ولكن فقط بالنسبة للجمهور المحدود المتوقع أن يتلقى منهم المعلومات. ) في نيويورك، قضت محكمة “Credit Alliance ضد Arthur Andersen” أن مسؤولية مزود المعلومات تتحدد بثلاثة معايير: هل كان من المتوقع أن يتلقى الطرف المتلقي المعلومات من قبل مزود الخدمة، وهل كان من الممكن التحقق من صحة المعلومات، وهل كان من المعقول الاعتماد عليها.

بالنسبة لهذا الحال، مسؤولية مزود RPC قد تقتصر على LayerZero (الذي يختار ويعتمد عليها مباشرة)، ولا تمتد إلى المستخدمين النهائيين أو حاملي rsETH. هذا يعني أن مسؤولية مزود RPC تركز على مطالبة LayerZero بالتعويض (contribution claim)، وهو آلية لنقل جزء من الخطأ (40%) إلى مزود الخدمة، وليس مسارًا مباشرًا للمطالبة من الضحية.

هناك عائق عملي آخر: هوية مزود RPC غير معلنة بعد. قد يكونون أنفسهم ضحايا لهجمات من مستوى الدولة، وتعقيد الهجوم (استبدال الملفات التنفيذية، التسميم الانتقائي بناءً على IP، DDoS، إزالة الأدلة) يشير إلى قدرات تتجاوز المجرمين العاديين. إذا كان المزودون أنفسهم ضحايا، فإن إثبات خطأهم يصبح صعبًا، حيث لا يُتوقع من الكيانات التجارية العادية الدفاع عن هجمات من مستوى عسكري.

النتيجة المحتملة: مسؤولية مزود RPC تبقى خلف الكواليس، وقد تُوزع بين KelpDAO وLayerZero في إطار مطالبات التعويض، لكنها ليست المسار الرئيسي للمطالبة من الضحية.

مخاطر نسبة 93% من قيمة القرض في Aave: مسألة واجب الثقة (Fiduciary Duty)

الهجوم سرق 292 مليون دولار من جسر KelpDAO، لكن التأثيرات العدوى، بما في ذلك خسائر 177-200 مليون دولار، وانخفاض TVL بمقدار 60 مليار دولار، وخسائر رأس المال للمودعين، تفاقمت بسبب قرارات إدارة Aave.

(أ) إعدادات المعلمات الجريئة

في يناير 2026، وافقت إدارة Aave على الاقتراح رقم 434، برفع نسبة القرض إلى القيمة (LTV) لـ rsETH من 92.5% إلى 93%. هذا يعني أن كل 100 دولار من rsETH يمكن اقتراض 93 دولار من ETH.

مقارنة بمنافسي Aave: يحدد SparkLend نسبة LTV لـ rsETH عند 72%، وFluid عند حوالي 75%. الفرق 21 نقطة مئوية، وهو فرق جوهري يعكس فلسفة مخاطر مختلفة.

عند 93%، فإن هامش الأمان هو 7%. أي انخفاض في قيمة الضمان بأكثر من 7% سيؤدي إلى خسائر، وتتحملها ودائع Aave، وليس المقترضين. بالنسبة لأصل ضمان يعتمد على جسر عبر السلاسل بنقطة فشل واحدة، فإن هامش الأمان هذا غير كافٍ بشكل موضوعي.

(ب) الإطار القانوني: DAO كشريك عام (general partnership)

تغيرت بشكل كبير خلال العامين الماضيين الصورة القانونية لمسؤولية حوكمة DAO.

في قضية “Samuels ضد Lido DAO”(، قضت محكمة في كاليفورنيا في 2024 أن Lido DAO يُعتبر بشكل معقول شركة شراكة عامة (general partnership) بموجب قوانين كاليفورنيا. المشاركون في الحوكمة، أي حاملو الرموز، قد يُعتبرون شركاء عامين، ويتحملون مسؤولية شخصية عن الالتزامات. وفي قضية “Sarcuni ضد bZx DAO”)، قضت محكمة أخرى مماثلة أن حاملي رموز الحوكمة يتحملون مسؤولية مشتركة (jointly and severally liable).

وفقًا لقانون الشراكة الموحد في كاليفورنيا (RUPA)، فإن الشركاء يتحملون واجبات العناية والولاء (fiduciary duties of care and loyalty)، ويكونون مسؤولين بشكل مشترك عن جميع الالتزامات. (

(ج) واجب الرقابة Caremark

في ديلاوير، يوفر إطار مسؤولية الولاء (fiduciary duties) الأكثر صلة، ويضع معيارًا دقيقًا للانتباه. في قضية “Caremark”، أُقِر أن مجلس الإدارة ملزم بإنشاء ومراقبة أنظمة الامتثال وإدارة المخاطر. وفي قضية “Stone ضد Ritter”، أكد أن مسؤولية الرقابة تتطلب إثبات أن المديرين إما )1[25] فشلوا تمامًا في إنشاء نظام مراقبة، أو [26]2[27] أن لديهم نظامًا لكنهم تجاهلووا بشكل متعمد نتائج عمله، مما يُعد سوء نية (bad faith).

حالة Aave تتشابه مع الحالة الثانية. فهي لم تفتقر إلى وجود نظام إدارة مخاطر، لأنها استأجرت شركة Chaos Labs لمدة ثلاث سنوات، لكن في 6 أبريل 2026، أعلنت الشركة عن مغادرتها بشكل علني، وصرحت أن هناك “اختلافات جوهرية في استراتيجيات المخاطر”. [28] بعد أربعة عشر يومًا، وقع الهجوم.

هذه الصدفة قوية جدًا في الأدلة: أن مغادرة Chaos Labs كانت نتيجة خلاف استراتيجي، وأنه بعد ذلك، خلال أسبوعين، انهارت قيمة الضمانات بشكل كارثي، مع وجود أدلة على أن إدارة المخاطر لم تكن على علم بالمخاطر الحاسمة، خاصة أن تكوين LTV عند 93% كان يتجاهل بشكل واضح أن جسر rsETH يعتمد على نقطة فشل واحدة (DVN 1-of-1). وفقًا لقانون “Van Gorkom”، عندما يوافق مجلس الإدارة على قرار كبير بدون معلومات كافية، يُعد ذلك قرارًا غير مسؤول (business judgment rule) يُلغى. إذا لم تقم إدارة Aave بتقييم أمان جسر rsETH قبل الموافقة على LTV، خاصة أنها لم تكن على علم بأن الجسر يعتمد على تكوين 1-of-1، فإن ذلك يُعد قرارًا غير واعٍ، وهو ما يطعن فيه قانون Van Gorkom.

(د) القيود العملية

نظرية مسؤولية إدارة Aave في إطار واجب الرقابة قوية من الناحية القانونية، لكنها محدودة من الناحية العملية. لا يمكن للمساهمين المجهولين التصعيد للمطالبة بالتعويض، ولا يمكن استرداد الأموال من المحافظ المجهولة. قضية Lido DAO نفسها لا تزال في إجراءات قانونية، ومن المحتمل أن تُلغى.

لكن، ليس كل المشاركين في الحوكمة مجهولين. المندوبون المؤسساتيون، مثل صناديق المخاطر، والخزائن، وخدمات الحوكمة الاحترافية، إذا صوتوا على الاقتراح رقم 434، فهم كيانات يمكن التعرف عليها، ويتحملون مسؤولية شخصية بموجب إطار Lido/bZx. بالنسبة لهؤلاء، يمكن تطبيق نظرية المسؤولية.

هنا، من المهم أن نفهم لماذا يُعد واجب الرقابة مهمًا جدًا. في القانون التجاري التقليدي، يمثل واجب الرقابة أدنى مستوى من الرقابة، حيث لا يُطلب من المديرين إدارة الشركة بشكل تفصيلي، بل فقط ضمان وجود نظام معلومات وتقارير فعال. عندما [29]1[30] يفشل المديرون في إنشاء نظام، أو [31]2[32] أنشأوه لكنهم تجاهلوا تحذيراتهم، فإنهم يخرقون واجب الرقابة.

في سياق Aave، يعني ذلك: هل قامت إدارة الحوكمة بمراجعة أمان جسر rsETH قبل قبوله كضمان؟ هل كان هناك أي مشارك في الحوكمة، أو لجنة مخاطر، أو مندوبون يعرفون أن الجسر يعتمد على DVN 1-of-1؟ إذا كانت الإجابة لا، وهو الأمر المرجح في ممارسات DeFi الحالية، فإن إدارة Aave كانت تتخذ قرارًا غير واعٍ، وهو ما يُعد خرقًا لواجب الرقابة.

الأمر الأكثر عمقًا هو أن مغادرة Chaos Labs لم تكن مجرد صدفة. فهي كانت بمثابة إنذار واضح، لأنها كانت شركة استشارية معروفة، وتعرف جيدًا إطار مخاطر Aave. عندما أعلنت عن مغادرتها، كانت بمثابة إشارة تحذير. من المفترض أن تتخذ إدارة Aave إجراءات فورية، مثل مراجعة معلمات المخاطر، أو تعليق إضافة أصول عالية المخاطر، خاصة بعد هجوم Drift. لكن لم يحدث شيء من ذلك.

المسألة الأعمق في حوكمة Aave هي أن نظام الحوكمة قد يكون عرضة لانتقادات منهجية، خاصة إذا ثبت أن المشاركين في التصويت يتحملون مسؤولية شخصية عن قراراتهم، خاصة تلك التي أدت إلى خسائر بمليارات الدولارات. إذا ثبت أن التصويت على LTV 93% كان قرارًا غير مسؤول، فإن ذلك قد يغير