تحذير من خبير التدقيق الأول: جميع تطبيقات التمويل اللامركزي غير آمنة، أسرع بالانسحاب!

محتوى أصلي | صحيفة Odaily Planet (@OdailyChina)

المؤلف | Azuma (@azuma_eth)

"أعتقد أن جميع DeFi لم تعد آمنة."

هذه العبارة التي تركها مؤسس OpenZeppelin Manuel Aráoz على منصة X أمس، كانت بمثابة قنبلة موقوتة، مجددًا تضرب سوق DeFi الذي كان أصلاً في حالة من الجمود.

حتى أن Manuel قال إنه بدأ ينصح الأهل والأصدقاء بسحب أموالهم من أكبر بروتوكولات DeFi، بما في ذلك مثل Aave و MakerDAO و Compound، التي كانت تعتبر ذات مخاطر منخفضة وذات سمعة قوية.

وهذا ليس كلامًا من شخص غير مختص. على العكس، Manuel هو أحد أبرز بناة منظومة أمان DeFi، وOpenZeppelin واحدة من الشركات الرائدة في تدقيق الأمان في القطاع، حيث تتغلغل مكتبات العقود، والمعايير الأمنية، وأطر التدقيق الخاصة بها في جميع أنحاء عالم DeFi.

السبب الذي جعل مواقف Manuel تتغير بشكل جذري هو الذكاء الاصطناعي. يرى Manuel أن، قدرة وكلاء البرمجة المعتمدين على AI على التعرف على ثغرات العقود الذكية واستغلالها تتضاعف بشكل أسي.

وهذا يعني أن المشاكل التي كانت تتطلب فرق خبراء بيضاء مئات الأسابيع لاكتشافها، يمكن الآن أن يتم مسحها بواسطة AI خلال دقائق؛ وأن القراصنة كانوا يحتاجون إلى دراسة منطق البروتوكول لفترات طويلة، يمكن الآن أن يتم تحليلها تلقائيًا بواسطة AI لاكتشاف مسارات الهجوم؛ وأن شفافية DeFi كانت ميزة، أصبحت الآن بمثابة أفضل مصدر تدريب للمهاجمين.

كما أشار Manuel إلى مشكلة أكثر خطورة، وهي أن أمان العقود الذكية هو في جوهره لعبة غير متوازنة بشكل شديد — فالدفاع يجب أن يصلح جميع الثغرات، بينما المهاجم يحتاج فقط إلى ثغرة واحدة لسرقة الأموال. ومع بدء AI في تعزيز كفاءة الهجمات بشكل أسي، فإن هذا الاختلال يتسارع بسرعة.

الواقع القاسي: DeFi أصبح ماكينة سحب للهاكرز

عند مراجعة حوادث الأمان في DeFi خلال الأشهر الماضية، ستدرك أن مخاوف Manuel ليست مبالغ فيها.

أبريل كان تقريبًا أسوأ شهر في تاريخ DeFi.

• في يوم 1 أبريل، يوم كذبة أبريل، سرق بروتوكول Drift حوالي 2.8 مليار دولار بسبب اختراق صلاحيات المدير والتنفيذ عبر التوقيعات المتعددة (انظر 《نكتة كذبة أبريل؟ سرقة Drift Protocol تتجاوز 2.8 مليار دولار، قد تكون ثاني أكبر سرقة في نظام Solana》).
• وفي 19 أبريل، سرق هجوم على جسر Kelp DAO حوالي 2.92 مليار دولار (انظر 《DeFi يُسرق مرة أخرى 2.92 مليار دولار، هل أصبح Aave غير آمن أيضًا؟》)، حيث استغل القراصنة بروتوكولات إقراض مثل Aave للهروب، مما أدى إلى تراكم ديون سيئة وتأثيرات متتالية على السوق.

ومع دخول مايو، لم تتوقف الحوادث، بل زادت وتيرتها.

• في 15 مايو، تعرضت شبكة THORChain لهجوم، حيث استغل مشغلون جدد للعقدة ثغرة في توقيع GG20 (TSS)، وأعادوا بناء مفتاح الخزنة، وأجروا معاملات خارجية مباشرة، مما أدى إلى خسارة تزيد عن 10 ملايين دولار.
• في 18 مايو، تعرض بروتوكول الجسر Verus لهجوم، حيث زوّر المهاجم حمولة استيراد عبر السلسلة، وتجاوز التحقق وسحب أصول من احتياطي إيثريوم، مما سرق حوالي 11.58 مليون دولار.
• في 19 مايو، تعرض بروتوكول Echo على Monad لهجوم بسبب تسريب المفتاح الخاص، حيث قام المهاجمون بعمل 1000 eBTC (بقيمة 76.7 مليون دولار)، وسحبوا الأموال عبر مسار هجوم تم اختباره مسبقًا عبر Curvance.
• في 24 مايو، تعرضت شركة إصدار العملات المستقرة المنظمة تحت نظام MiCA، StablR، لهجوم، حيث استغل القراصنة إصدار EURR و USDR بشكل مفرط، محققين أرباحًا تزيد عن 2.8 مليون دولار، وأدى ذلك إلى انفصال سعر EURR و USDR عن قيمة المرجعية.
• في 25 مايو، تعرضت وحدة SquidRouter لهجوم، مما أدى إلى سرقة حوالي 3 ملايين دولار من 86 محفظة Gnosis Safe.
• في 27 مايو، تم تسريب مفتاح مطور StakeDAO على شبكة Arbitrum، حيث قام المهاجمون بعمل حوالي 5.45 تريليون وحدة من vsdCRV، وتحويل جزء منها إلى 43.7 إيثريوم للهروب.

هذه الحوادث الأمنية المتكررة أطلقت جرس الإنذار، من الشيفرات على السلسلة إلى إدارة ما بعد السلسلة، ويبدو أن DeFi يتعرض للانهيار على جميع الأصعدة.

الذكاء الاصطناعي أصبح سلاحًا نوويًا للهاكرز

لماذا تتسارع هجمات ودفاعات DeFi بشكل ملحوظ هذا الصيف؟ بالإضافة إلى تطور تقنيات الهاكر التقليدية، فإن التقدم السريع في قدرات نماذج الذكاء الاصطناعي العملاقة أصبح العامل الحاسم في كسر التوازن.

في الماضي، كان اكتشاف ثغرة معقدة في عقد ذكي (خصوصًا تلك المتعلقة عبر السلاسل، أو ذات منطق متداخل، أو ذات استدعاءات متكررة مخفية جدًا) يتطلب أسابيع أو شهور من تحليل الكود من قبل خبراء، لكن مع نضوج وكلاء AI ذات سياق طويل، واستنتاج منطقي قوي، وامتلاك أدوات ذاتية، حدثت ثورة.

• مسح خلال ثوانٍ واكتشاف ثغرات "صفر يوم" على مستوى الشبكة: يمكن للمهاجمين أن يمدوا مكتبات الكود المفتوحة لنموذج AI، الذي يستطيع خلال ثوانٍ أن يحاكي مئات السيناريوهات المتطرفة، ويحدد الثغرات التي يغفل عنها المدققون البشريون عند التعب، ويحدد حدود الأمان.
• توليد نصوص هجمات تلقائية: لا يكتشف AI الثغرات فحسب، بل يكتب ويختبر وينشر عقودًا ذكية للمهاجمة وجني الأموال.
• تنسيق العمليات التطويرية والاجتماعية خارج السلسلة: يمكن لـ AI أن يتنكر كمطور مثالي لاصطياد الضحايا، أو يراقب على مدار الساعة أنشطة GitHub الخاصة بفريق DeFi، وإذا قام الفريق برفع أكواد تحتوي على معلومات حساسة أو تصحيحات غير موثوقة، يشن AI هجومًا خلال ثوانٍ — بسرعة تفوق استجابة خبراء الأمان البشريين.

في معركة الأمان المدعومة بالذكاء الاصطناعي، يملك الهاكرز الآن ذخيرة غير محدودة وسرعة هجوم خلال ثوانٍ، بينما يظل نظام DeFi محدودًا ببطء عمليات الحوكمة، والتوقيعات المتعددة، والتدقيق الأمني المتأخر، مما يصعب عليه الرد بالمثل.

في الشهر الماضي، أعلنت شركة Anthropic المطورة لنموذج Claude عن إصدار الجيل الجديد من نماذج الذكاء الاصطناعي Mythos (انظر 《Anthropic أطلقت أقوى نموذج AI على الإطلاق، لكنها لا تجرؤ على النشر...》). وهو أول نموذج يتجاوز عدد معاييره مئة تريليون (مقارنةً بالنماذج السائدة التي تتراوح بين مئات المليارات إلى تريليونات)، وتكلفته التدريبية بلغت 10 مليارات دولار.

لكن، نظرًا لقدرة Mythos على التخصص في الأمن السيبراني (وقد كشفت Anthropic أن الشركة استطاعت خلال أسابيع تحديد آلاف الثغرات "صفر يوم" باستخدام Mythos)، فإن الشركة لا تجرؤ على نشر النموذج مباشرة، خوفًا من استغلاله من قبل مجموعات الهاكرز، وتخطط حاليًا لاختباره عبر خطة "جناح الزجاج" مع شركات كبرى للكشف عن الثغرات وإصلاحها مسبقًا.

الوضع الحالي لأمان DeFi لا يزال شديد الخطورة، ومن الصعب تصور ما قد يحدث بعد إصدار Mythos بشكل رسمي، وما هي التهديدات الجديدة التي ستواجهها الصناعة.

المشكلة الكبرى: نسبة المخاطر إلى العائد أصبحت غير متوازنة

بالنسبة للمشاركين العاديين في DeFi، ومزودي السيولة (LP)، والكبار، فإن السؤال الأهم الآن هو أن يجلسوا ويحسبوا الأمور.

لطالما كان سبب إيداع الأموال في DeFi هو الحصول على عوائد سنوية تفوق بكثير تلك في التمويل التقليدي. خلال فترات السوق الصاعدة أو فترات التعدين بالسيولة، كانت العوائد التي تصل إلى 10%، 20%، أو أكثر، كافية لتبرير المخاطر التقنية المحتملة.

لكن اليوم، هذا المنطق قد تزعزع أو انقلب تمامًا، وأصبحت نسبة المخاطر إلى العائد غير متوازنة. من ناحية العائد، مع دخول السوق في حالة من التوازن، وزيادة الاحتياطيات، انخفضت العوائد الحقيقية لمعظم البروتوكولات الموثوقة إلى خانة الأحاديات؛ ومن ناحية المخاطر، فإن رأس مال المستخدمين معرض لثغرات يمكن أن تُكتشف بواسطة AI، أو تُسرق عبر هجمات فورية، حيث يمكن أن تتعرض العملات الرقمية للانهيار، وتُسحب الأموال خلال دقائق، دون وجود حماية قانونية أو تأمينية أو مركزية.

المخاطرة بخسارة رأس المال بنسبة 100% مقابل عائد سنوي يقارب 5%، ليست صفقة مربحة على الإطلاق.

قد يقول Manuel كلامًا مطلقًا، لكنه كشف عن آخر ستار من ستائر DeFi. في ظل واقع أن الهاكرز يستخدمون AI كأداة عادية، وتكرار الحوادث الأمنية، إذا لم تكن مستعدًا لاحتمال خسارة 100% من رأس مالك مقابل عائد معين، فقد يكون "السحب المبكر للأرباح وتثبيت المكاسب" هو الخيار الأكثر عقلانية واتباعًا لمبادئ إدارة المخاطر في السوق الحالية.