تحليل معمق لعملية السطو المتسلسلة بقيمة 292 مليون دولار على Kelp DAO: التفاوت الكبير بين مخاطر وفوائد التمويل اللامركزي، وما هو طريق حل إدارة الأصول المشفرة؟

تساقط سيف دمكريلس في غابة DeFi المظلمة مرة أخرى خلال أسابيع قليلة بعد حادثة الاختراق التي بلغت 285 مليون دولار في بداية الشهر.

مؤخرًا، تعرض مشروع Kelp DAO الرائد في مسار إعادة الرهن (LRT) لكارثة هجوم إلكتروني مدمر، حيث تم نهب ما يقرب من 292 مليون دولار من الأصول. لم تقتصر هذه العاصفة على استنزاف خزينة Kelp DAO فحسب، بل انتقلت بسرعة عبر قابلية التراكب في DeFi (ليجو DeFi) إلى عملاق الإقراض Aave، مما أدى إلى تحميله ديونًا هائلة تتجاوز 200 مليون دولار.

عندما هدأت المعركة، دخلت الأطراف المعنية في جدل اتهامات متبادل لا نهاية له. كفريق متخصص في إدارة الأصول الرقمية المؤسسية والامتثال، ترى Cactus Custody أن فك غموض “تسميم RPC” يكشف عن سؤال جوهري يطرح نفسه على الصناعة بأكملها: هل أدت العوائد المنخفضة جدًا والمخاطر العالية جدًا في DeFi إلى اختلال كبير في التوازن؟ وفي ظل موجة إدارة الأصول المؤسسية المستقبلية، هل أصبح “اللامركزية المطلقة” مجرد ستار يخفي ثغرات أمنية؟

واحدة، استعادة الحادث: تسميم الطبقة الأساسية، والتوقيع الفردي، واحتفال القراصنة

استنادًا إلى المعلومات الرسمية وتحليلات خبراء الأمن، فإن هذا الهجوم كان بمثابة “ضربة منخفضة الأبعاد” مخططة بعناية.

1. أسلوب الهجوم: تسميم عقدة RPC (RPC Poisoning)

وفقًا لبيان رسمي من LayerZero وتحليلات خبراء مثل SlowMist وCosine، فإن نقطة الاختراق لم تكن عيبًا في شفرة العقود الذكية بحد ذاتها، بل كانت استيلاء أو تلوث لعقدة RPC الأساسية من قبل القراصنة. أدى ذلك إلى أن LayerZero أثناء نقل المعلومات عبر السلسلة، استقبلت وتعاملت مع بيانات مزورة خبيثة.

2. الثقب الأسود الدفاعي القاتل: آلية التوقيع الفردي 1/1

لكن، تلوث العقدة وحده لا يكفي لسرقة ما يقرب من 3 مليارات دولار في لحظة واحدة. كما أشار أحد مؤثري التشفير، Richard Heart، بشكل حاسم: أن الحلقة الأساسية المعنية كانت تحتوي على إعداد صلاحيات 1/1 (توقيع فردي). هذا يعني أن خزينة السيولة التي تدير مئات الملايين من الدولارات كانت مغلقة بقفل عادي. لا يوجد قفل زمني، ولا نظام توقيع متعدد، وعندما تتلوث البيانات الأساسية، يصبح القراصنة وكأنهم حصلوا على “تصريح مرور لا يقهر”، مما يسمح لهم بتنفيذ انتقالات ضخمة للتمويل بشكل سريع.

3. تتبع الأموال: شبكة غسيل الأموال لمجموعة Lazarus

تؤكد تحليلات Chainalysis وWu Blockchain أن هوية المهاجمين تتطابق مع مجموعة Lazarus، وهي منظمة قرصنة على مستوى الدولة الكورية الشمالية. تظهر بيانات Chainalysis أن الأموال المسروقة تم تجميعها بشكل منهجي في وقت قصير، ثم نقلها عبر جسور التبادل ومرشحات العملات المشفرة، متبعة مسارات غسيل أموال معروفة لدى القراصنة الكوريين الشماليين، وسرعان ما انتقلت إلى شبكة إيثريوم الرئيسية. دخول منظمة على مستوى الدولة كهذه يجعل دفاعات DeFi الهشة أصلًا، كالورق، غير قادرة على الصمود.

اثنين، تأثير التواطؤ والجدل: هشاشة نظام ليجو DeFi

بعد الحادث، بدأ جدل حول “من يتحمل المسؤولية” في الظهور.

• تبادل الاتهامات بين Kelp DAO و LayerZero: اتهمت Kelp DAO LayerZero بأنها السبب في الكارثة، معتبرة أن ثغرة بنيتها التحتية عبر السلسلة هي السبب؛ بينما أصرت LayerZero على أن بروتوكول النقل عبر السلسلة سليم، وأن الخطأ يقع على عاتق فريق المشروع في الثقة العمياء ببيانات عقد RPC.
• إصابة Aave دون ذنب: الأكثر درامية وتأملًا هو وضع Aave. حيث أن أصول Kelp DAO مثل rsETH كانت تستخدم كضمانات على منصة Aave، وعند سرقتها، فقدت تلك الضمانات قيمتها تمامًا. كما قال العديد من المراقبين: “هذه ليست مشكلة Aave”. فخط الدفاع الخاص بـ Aave تم تفكيكه من قبل شركاء النظام البيئي من الخارج، وعلى الرغم من أن Aave يعتزم استخدام صندوق الحماية Umbrella لتعويض الخسائر، إلا أن ذلك كشف عن أزمة “التواطؤ” في نظام ليجو DeFi.

كما أكد تحذير Zach Rynes من مجتمع Chainlink: أن مسار إعادة الرهن (Restaking) يضيف الكثير من الرافعة المالية على إيثريوم، وإذا انهارت الطبقة الأساسية، فسيكون الضرر نظاميًا لا يُحمد عقباه.

ثلاثة، سؤال الوجدان: هل أدت عوائد DeFi ومخاطره إلى اختلال كبير؟

في خضم هذه الأزمة، طرح Yishi من OneKey نقطة جوهرية: أن السوق ستعيد تقييم المخاطر بسرعة.

لطالما سعى المتداولون الأفراد والمؤسسات في DeFi وراء عوائد سنوية تصل إلى أرقام فردية أو “نقاط” غير ملموسة، مع تحملهم بشكل صامت خطر خسارة رأس مالهم بالكامل. هذا التفاوت الكبير بين المخاطر والعوائد، الذي يُخفيه جنون السوق الصاعد، يظهر جليًا تحت سيف القراصنة.

الأسباب الأعمق تكمن في أن بروتوكولات DeFi تتبع عادة نمط “تكاليف منخفضة” لجذب TVL (إجمالي القيمة المقفلة). إيرادات البروتوكول الضئيلة لا تكفي لدعم استثمارات أمنية عالية الثمن، خاصة تلك التي يطلبها القراصنة على مستوى الدولة. إدارة المشاريع بأطر بسيطة جدًا، مع أصول بمئات الملايين من الدولارات، تمثل نموذجًا غير مستدام، حيث “الربح خاص والخطر عام”.

أربعة، مستقبل إدارة الأصول المؤسسية: ضرورة الامتثال والتوثيق

عندما لا تستطيع العقود الذكية والإدارة اللامركزية حماية رؤوس أموالنا، يجب على الصناعة أن تواجه واقعًا: هل نحتاج إلى إعادة تبني الاعتماد على إدارة مركزية مستقلة ومتخصصة للأموال الضخمة المستقبلية؟

في سياق Web3، قد يُنظر إلى “الاعتماد على إدارة مركزية” على أنه قرار غير سياسي. لكن مأساة Drift Protocol وKelp DAO تعلمنا أن خلط منطق الأعمال (العقود الذكية) مع إدارة الأموال (مفتاح خاص) هو أمر خطير جدًا.

بالنسبة للمشاريع التي تدير أموالًا ضخمة، وللصناديق والبنى التحتية المؤسسية، فإن إدخال خدمات إدارة الامتثال مثل Cactus Custody ليس تراجعًا عن التاريخ، بل هو خطوة ضرورية نحو نضوج البنية التحتية المالية:

القضاء على نقطة الفشل الوحيدة: فصل الصلاحيات والمسؤوليات

يجب أن يركز مطورو البروتوكولات على ابتكار منطق الأعمال، مع نقل إدارة الخزينة والأصول الأساسية إلى جهة مستقلة مرخصة وملتزمة بالامتثال. غالبًا ما تمتلك شركات إدارة الأصول أنظمة رقابة داخلية صارمة وسير عمل للموافقة، مما يقضي على ممارسات التوقيع الفردي العشوائية.

الرقابة على نية النظام بشكل مستقل عن المنطق على السلسلة

يمكن للقراصنة خداع عقد RPC أو استغلال ثغرات في الشفرة، لكنهم لا يستطيعون تجاوز نظام الرقابة المستقل الذي توفره جهة إدارة الامتثال. عندما يكتشف النظام عملية تحويل غير طبيعية بقيمة 292 مليون دولار، فإن استراتيجية الرقابة لدى جهة الإدارة ستقوم بالاعتراض القوي، مع فرض التحقق من خلال خدمة العملاء، والمراجعة الامتثالية، والتحقق عبر قنوات متعددة، للحفاظ على الأموال في آخر خط دفاع.

العزل عن الإفلاس والحماية من الثقة

كونها جهة مرخصة وملتزمة، تخضع Cactus Custody لرقابة صارمة، وتفصل أصول العملاء عن أصول الشركة بشكل كامل من الناحية القانونية والمالية (عزل الإفلاس). هذا النوع من الحماية المالية، الذي لا يمكن أن توفره أي شفرة لامركزية، هو أساس الثقة الذي يبني استدامة النظام.

ختام

إن مبلغ 2.92 مليار دولار التي خسرها Kelp DAO ليست مجرد درس قاسٍ، بل كشفت أيضًا عن زيف الازدهار في مسار إعادة الرهن. مع دخول المؤسسات بكميات كبيرة، يجب على DeFi أن تتخلى عن نمط إدارة الأموال “الورشية”.

الأمان والرقابة يتطلبان استثمارًا حقيقيًا وأنظمة مهنية. في المستقبل، أي بروتوكول DeFi لا يمكنه الاندماج مع إدارة امتثال، أو تقديم حماية أصول مؤسسية، سيُترك خلف الركب من قبل رأس المال السائد. اختيار حلول إدارة الامتثال هو مسؤولية على الأصول، وأساس بقاء البروتوكول في غابة الظلام على المدى الطويل.