العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 30 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
ثغرة أمنية تهز كامل نظام التمويل اللامركزي (DeFi)
المؤلف: thedefinvestor الترجمة: شنو أوبا، كينغسيف كريديانسي
تحليل كامل لحدث هجوم rsETH
الأسبوع الماضي، تعرضت Kelp DAO لأحد أكبر هجمات سرقة التمويل اللامركزي في الآونة الأخيرة.
استغل القراصنة رسائل عبر السلسلة مزورة، وهاجموا جسر rsETH الخاص بـ Kelp DAO المدعوم تقنيًا من LayerZero، وخلقوا بشكل وهمي 11.65 ألف قطعة من rsETH، بقيمة حوالي 2.9 مليار دولار.
الهجوم وحده كان له عواقب وخيمة، وارتباط rsETH العميق في بيئة التمويل اللامركزي زاد من حجم الكارثة. على سبيل المثال، تم تصنيف rsETH سابقًا كأصل ضمان متوافق في Aave.
بعد أن قام القراصنة بخلق rsETH بشكل وهمي، قاموا على الفور باستخدامه كضمان في Aave لاقتراض ETH، مما أدى مباشرة إلى تكبد Aave ديونًا سيئة تتجاوز المليارات من الدولارات.
وليس فقط Aave، بل إن نطاق التأثير في هذا الحدث واسع جدًا: يشمل ذلك بروتوكولات مثل Compound، وخزائن EarnETH في Lido، وبعض برك الاقتراض في Morpho، ومنتج mHyperETH من Hyperithm، وخزان SuperWETH من Superform، وغيرها من البروتوكولات التي تأثرت بسبب امتلاكها أو اتصالها بـ rsETH بدرجات متفاوتة.
من المسؤول عن الحادث؟
مقارنة بحوادث هجمات سابقة مثل Drift، فإن تحديد المسؤولية في هذا الحادث أكثر تعقيدًا.
الاختراق تم عبر جسر rsETH الذي تديره LayerZero، وليس عبر ثغرة في عقود Kelp DAO الذكية. حاليًا، تتبادل الأطراف الاتهامات: LayerZero تتهم Kelp DAO، وKelp DAO ترى أن المسؤولية تقع بالكامل على LayerZero.
تحليل الحقائق الأساسية بشكل موضوعي:
اخترق القراصنة شبكة التحقق الموزعة (DVN) التي تعتمد عليها LayerZero، والتي تتكون من مزودين لخدمات RPC، وبهذا قاموا بتعديل البيانات وخلق عملة بشكل خبيث؛
يستخدم جسر rsETH الخاص بـ Kelp DAO آلية تحقق بواسطة توقيع واحد (1/1 DVN)، ويعتمد فقط على عقدة تحقق واحدة لمراجعة المعاملات، مما يسهل تمرير المعاملات المزورة؛
تتهم LayerZero Kelp DAO باختيار آلية تحقق ذات أمان منخفض تعتمد على عقدة واحدة، لكن LayerZero نفسها تسمح وتسمح لجميع المشاريع باستخدام نمط التحقق البسيط 1/1؛
قبل وقوع الهجوم، كانت 47% من التطبيقات اللامركزية التي تعتمد على البنية التحتية عبر LayerZero تستخدم إعداد DVN 1/1، وليس فقط Kelp DAO.
من الواضح، بغض النظر عن التفاصيل التقنية المعقدة: أن على LayerZero أن تتحمل المسؤولية الرئيسية، وأن تعترف بعيوب تصميمها.
الخطأ الذي ارتكبته Kelp DAO هو تبسيطها المفرط لإعدادات الأمان، حيث اعتمدت على عقدة تحقق واحدة فقط؛ لو كانت قد استخدمت تحقق متعدد التوقيعات والعقد، لكان من الممكن اعتراض الهجوم. لكن، في النهاية، لو لم يتم اختراق عقد RPC الخاص بـ LayerZero، لما حدثت عملية سرقة العملة برمتها.
التطورات المستقبلية وردود فعل الصناعة
لحسن الحظ، تم تجميد واسترداد حوالي ثلث الأصول التي سرقها القراصنة بواسطة Arbitrum، وقد قامت الجهات الرسمية بتجميد الأموال المرتبطة بالقراصنة.
من منظور مبدأ اللامركزية، هناك جدل حول قيام بروتوكولات السلسلة بتجميد الأصول بشكل نشط. لكن، من الناحية الواقعية، في ظل عدم إمكانية تحقيق اللامركزية الكاملة على الشبكات من الطبقة الثانية، فإن اتخاذ إجراءات لوقف الخسائر وحماية أصول المستخدمين هو أكثر أهمية من مجرد الحديث عن المبادئ.
وفي الوقت نفسه، تقوم Aave بتقييم عدة حلول، في محاولة لتعويض الديون السيئة التي نتجت عن هذا الحادث. اقترحت جهة الرقابة على المخاطر في Aave، وهي LlamaRisk، خطتين للتعامل:
تحميل الخسائر على الشبكة بأكملها: توزيع الخسائر بشكل موحد على جميع الشبكات التي تعمل عليها Aave، مع تحمل المقرضين على شبكة إيثريوم الرئيسية خسارة بنسبة 1.54%؛
عزل الخسائر: تقييد الخسائر في الشبكة الثانية التي يستخدم فيها القراصنة rsETH كضمان، مع احتمال أن تصل نسبة خسائر المقرضين على شبكة Mantle إلى 71%.
جميع الأرقام المذكورة أعلاه كانت تقديرات قبل تجميد Arbitrum لـ 30766 قطعة ETH، ومن المتوقع أن يكون حجم الخسائر الفعلي أقل بكثير.
بالإضافة إلى ذلك، لا تستبعد Aave استخدام أموال الخزانة لتغطية جزء من الديون السيئة، وقد أكدت شركة Mantle أنها تعمل على وضع خطط لاسترداد الأصول وتعويض المستخدمين.
أتمنى شخصيًا أن يكون الحل النهائي قادرًا على حماية حقوق المستخدمين إلى أقصى حد، وتحقيق خسارة صفرية أو خسائر ضئيلة جدًا. لطالما كانت Aave نموذجًا للاستثمار منخفض المخاطر في قطاع التمويل اللامركزي، وقد تضرر سمعتها بشكل كبير جراء هذا الحادث الأمني.
بعد انتشار الحدث، ظهرت أصوات كثيرة تتحدث عن تدهور الصناعة، وتعتقد أن العديد من البروتوكولات الكبرى قد تعرضت لانكشافات متتالية، وأن التمويل اللامركزي في طريقه للانهيار.
لكنني لا أوافق على هذا الرأي. فبمراجعة مسيرة تطور الصناعة، فإن قطاع التمويل اللامركزي مرّ بأزمات كبرى عدة مرات، لكنه دائمًا ما استطاع أن يتعافى ويطور نفسه ويعيد إحياء نفسه.
التمويل اللامركزي لن يختفي بسبب ذلك، لكن على الصناعة أن تواجه المشكلة بجدية: قبل السعي للابتكار وتحقيق الأرباح، يجب أن يكون بناء الأمان أولوية قصوى.