اختراق KelpDAO بـ 293 مليون دولار: جرس إنذار حول مخاطر التعقيد في DeFi

أتابع مجال التمويل اللامركزي (DeFi) منذ عام 2019، وإذا تعلمت شيئاً واحداً طوال هذه الفترة، فهو أن كلمة "ابتكار" غالباً ما تكون مجرد وصف مهذب لـ "لقد أضفنا طبقة أخرى من المخاطر لا يفهمها أحد بشكل كامل". اختراق KelpDAO الأخير الذي بلغت قيمته 293 مليون دولار ليس مجرد حادثة أخرى في قائمة طويلة من الثغرات، بل هو مثال حي على ما أسميه مخاطر التعقيد في DeFi. هذا يثبت أن الصناعة بدأت تصطدم بحائط حيث تصبح الحسابات والعمليات متشابكة جداً لدرجة يصعب معها إدارتها بأمان. سبق وأن تحدثت عن مخاطر محافظ DeFi لمن يريد معرفة المزيد من الخلفيات.

ماذا حدث فعلياً مع KelpDAO؟

بالنسبة لمن ليسوا متعمقين في تفاصيل "إعادة الرهن السائل" (liquid restaking)، فقد صُممت KelpDAO لتسمح للمستخدمين بالحفاظ على سيولتهم مع كسب مكافآت على الأصول المرهونة. المشكلة هي أن إعادة الرهن السائل ليست عملية بسيطة، فهي تتضمن طبقات من العقود الذكية، وبروتوكولات من أطراف ثالثة، وحلقات تكرارية من الضمانات.

في هذه الحالة، لم يجد المهاجم مجرد خطأ بسيط في سطر واحد من الكود. بل استغل الطريقة التي تتفاعل بها المكونات المختلفة للبروتوكول مع بعضها البعض. ومن خلال التلاعب بحالة النظام، تمكنوا من سحب ما يقرب من 300 مليون دولار. لم يكن هذا هجوماً تقليدياً عبر "القروض السريعة" (flash loans)، بل كان فشلاً في النظام في التعامل مع تسلسل أحداث محدد ومعقد.

ما هي مخاطر التعقيد في DeFi ولماذا تهمنا؟

عندما أتحدث عن مخاطر التعقيد، فأنا أقصد مشكلة "قطع الليغو". في البداية، كان البروتوكول يقوم بشيء واحد فقط؛ Uniswap يبدل العملات، وAave يقرضها. الأمر كان بسيطاً. لكننا الآن نرى بروتوكولات تُبنى فوق بروتوكولات أخرى، والتي بدورها تُغلف في رمز مميز آخر، ثم تُودع في مُحسن للعوائد.

كل طبقة جديدة هي نقطة فشل جديدة. حتى لو كان كل جزء من الكود "مدققاً" و"آمناً" بشكل منفرد، فإن طريقة تفاعل هذه القطع معاً قد تخلق ثغرات مفاجئة. الأمر يشبه بناء ناطحة سحاب حيث كل مسمار فيها قوي، لكن التصميم المعماري العام غير مستقر لدرجة أن نسمة هواء في الاتجاه الخاطئ قد تسقط المبنى بالكامل.

لقد رأيت هذا النمط من قبل. تناولنا سابقاً اختراق بروتوكول Drift، حيث لم تكن المخاطرة في الكود فحسب، بل في العنصر البشري ومفاتيح الإدارة. أما KelpDAO فالموضوع مختلف لأن المخاطرة كانت مغروسة في صلب منطق المنتج نفسه.

أين يكمن فشل الصناعة؟

المشكلة الأكبر هي أن معظم المستخدمين (وحتى بعض المطورين) يتعاملون مع التدقيق الأمني (Audit) كأنه "ختم موافقة". يرون ملف PDF من شركة أمنية مرموقة فيفترضون أن أموالهم في أمان. لكن التدقيق هو مجرد لقطة زمنية محددة، ولا يأخذ في الاعتبار كيف يتصرف البروتوكول عندما يتفاعل مع خمسة بروتوكولات أخرى في سوق متقلب.

بصراحة، لقد سئمت من عقلية "تحرك بسرعة واكسر الأشياء" عندما تكون هذه "الأشياء" التي تُكسر هي مدخرات حياة الناس. تظهر بيانات السوق الحالية حالة من الحياد مع مؤشر خوف وجشع عند 43، وهيمنة للبيتكوين تصل إلى 60.25%. يهرب الناس إلى BTC لأنهم أدركوا أن "العوائد المرتفعة" في DeFi غالباً ما تأتي بتكلفة خفية من المخاطر النظامية الشديدة. وبالنسبة لنا في المنطقة العربية، حيث يميل الكثيرون للبحث عن عوائد سريعة، يجب أن نكون أكثر حذراً من هذه الوعود.

كيف تحمي نفسك من الفشل النظامي؟

إذا كنت قد سئمت من مشاهدة 300 مليون دولار تختفي في بضع كتل (blocks)، فعليك تغيير طريقة الاحتفاظ بأصولك. لا يمكنني إخبارك أي بروتوكول هو "الآمن" لأنه في نظام معقد، الأمان مجرد وهم. ما يمكنني قوله هو ألا تترك أبداً أصولك الأساسية في بروتوكول لا تفهم منطقه الأساسي.

بالنسبة للأصول التي تخطط للاحتفاظ بها على المدى الطويل، أخرجها من الشبكة وضعها في محفظة أجهزة (Hardware Wallet). أنا شخصياً أفضل Ledger Flex لأن شاشة E Ink تجعل من الصعب جداً التوقيع على معاملة خبيثة عن طريق الخطأ. تكلفتها 249 دولاراً، وهو مبلغ زهيد مقارنة بخسارة كل شيء بسبب ثغرة تعقيد.

رأيي النهائي

أجبرت DeFi أخيراً على النضج. عصر تكديم عشرة بروتوكولات مختلفة لمطاردة عائد 20% ينتهي الآن لأن المخاطرة أصبحت واضحة جداً. أعتقد أننا سنرى تحولاً نحو "DeFi الممل"؛ البروتوكولات البسيطة، الشفافة، والمجربة بكثافة هي التي ستنتصر على تلك المبهرة والمعقدة.

وحتى يحدث ذلك، افترض أن أي بروتوكول يعد بعوائد "محسنة" أو "متعددة الطبقات" هو في الأساس تجربة ضخمة بأموالك. إذا لم تستطع رسم تدفق الأموال على ورقة في ثلاثين ثانية، فمن المرجح أنه معقد جداً ليكون آمناً.

تداول الأخبار عبر منصتنا المختارة: MEXC