أزمة أمان DeFi: مؤسس OpenZeppelin يحذر من أن جميع البروتوكولات عرضة للخطر

أصلي | Odaily Star Daily (@OdailyChina)

المؤلف | Azuma (@azuma_eth)

أعتقد أن جميع مشاريع DeFi لم تعد آمنة.

العبارة التي تركها مانويل أراوز، مؤسس OpenZeppelin، على X أمس، مثل قنبلة غاطسة، أعادت صدمة سوق DeFi الذي كان بالفعل هادئًا كالماء الراكد.

كما أشار مانويل إلى أنه بدأ بالفعل بتشجيع أصدقائه وأفراد عائلته على سحب أموالهم من بروتوكولات DeFi المختلفة، بما في ذلك بروتوكولات تم اعتبارها منخفضة المخاطر ورائدة مثل Aave و MakerDAO و Compound.

هذا ليس تهويلًا من شخص غير متخصص. على العكس، فإن مانويل نفسه أحد أبرز المُبنين الأساسيين لنظام أمان DeFi، وOpenZeppelin هي واحدة من أكثر شركات التدقيق الأمني انتشارًا في الصناعة، حيث تُستخدم مكتبات العقود ومعايير الأمان وإطارات التدقيق الخاصة بها تقريبًا في جميع أنحاء عالم DeFi.

السبب الذي أدى إلى تغيير مانويل لاتجاهه بشكل جذري هو الذكاء الاصطناعي. يرى مانويل بتشاؤم أن قدرة عامل ترميز الذكاء الاصطناعي على تحديد واستغلال ثغرات العقود الذكية تتزايد بشكل أسّي.

هذا يعني أن المشكلات التي كانت تتطلب من فرق البيض الرائدة أسابيع لاكتشافها، يمكن الآن لـ AI اكتشافها في دقائق؛ وأن المخترقين الذين كانوا بحاجة إلى دراسة طويلة منطق البروتوكول، يمكنهم الآن تحليل مسارات الهجوم تلقائيًا بواسطة AI؛ وأن "الشفافية المفتوحة" لـ DeFi، التي كانت ميزة في الماضي، أصبحت الآن أفضل مادة تدريب للمهاجمين.

كما أشار مانويل إلى مشكلة أكثر فتكًا، حيث إن أمان العقود الذكية هو في جوهره لعبة غير متكافئة تمامًا — فالطرف المدافع يجب أن يصلح جميع الثغرات، بينما يكفي المهاجم أن يجد ثغرة واحدة فقط لسرقة الأموال. وبعد بدء الذكاء الاصطناعي في تعزيز كفاءة الهجمات بشكل أسّي، فإن هذا عدم التوازن يزداد سرعة في الانهيار.

عند مراجعة حوادث أمان DeFi في الأشهر القليلة الماضية، ستجد أن مخاوف مانويل ليست مبالغة.

كان أبريل تقريبًا أسوأ شهر في تاريخ DeFi.

• في أول أبريل، تم سرقة 280 مليون دولار من Drift Protocol بسبب استغلال صلاحيات المدير وثغرة في تنفيذ التوقيع المتعدد (انظر "مزحة أبريل؟ تم سرقة Drift Protocol لأكثر من 280 مليون دولار، وقد تصبح ثاني أكبر عملية سرقة DeFi في نظام Solana البيئي").
• في 19 أبريل، سُرقت Kelp DAO 292 مليون دولار بسبب اختراق بروتوكول الجسر (انظر "تم سرقة DeFi مرة أخرى بقيمة 292 مليون دولار، هل لم يعد Aave آمنًا الآن؟")، واستخدم القراصنة بروتوكولات الإقراض مثل Aave للهروب، مما أدى إلى دخول整个 DeFi في ظلّ الديون السيئة وتأثيراتها الجانبية.

وبعد دخول مايو، لم تنخفض الحوادث فحسب، بل انتشرت أكثر.

• في 15 مايو، تعرض THORChain لهجوم، حيث استغل مشغلو العقد المضافة حديثًا ثغرة في مخطط التوقيع الحدودي GG20 (TSS) لإعادة بناء مفتاح الخزنة الخاص، وتنفيذ معاملات صادرة مباشرة، مما تسبب في خسائر تجاوزت 10 ملايين دولار.
• في 18 مايو، تعرض بروتوكول الجسر الخاص بـ Verus لهجوم، حيث قام المهاجم بتزوير حمولة استيراد عبر السلسلة، وتجاوز التحقق لسحب الأصول من احتياطي إيثريوم، وسرق حوالي 11.58 مليون دولار أمريكي.
• في 19 مايو، تعرض بروتوكول Echo على Monad لهجوم بسبب تسريب المفتاح الخاص، حيث قام المهاجم بسك 1000 eBTC (بقيمة 76.7 مليون دولار أمريكي) وسحبت الأموال عبر مسار هجوم تم اختباره مسبقًا عبر Curvance.
• في 24 مايو، تعرض مُصدر العملات المستقرة المُتوافقة مع نظام MiCA، StablR، لهجوم، حيث كسب القراصنة أكثر من 2.8 مليون دولار من خلال طباعة EURR وUSDR، مما تسبب في انفصال EURR وUSDR عن ربطهما.
• في 25 مايو، تعرض وحدة SquidRouter لهجوم، وتم سرقة أصول بقيمة حوالي 3 ملايين دولار من 86 محفظة Gnosis Safe.
• في 27 مايو، تم تسريب المفتاح الخاص لـ StakeDAO على Arbitrum، حيث قام المهاجم بصناعة حوالي 5.45 تريليون وحدة vsdCRV وقام بتحويل جزء منها إلى 43.7 وحدة ETH للهروب.

لقد أثارت الأحداث الأمنية المتكررة ناقوس الخطر، حيث يبدو أن DeFi تفقد أرضيتها من الكود على السلسلة إلى الإدارة خارج السلسلة.

لماذا شهدت معركة DeFi الهجوم والدفاع تسارعًا مفاجئًا نحو الانهيار هذا الصيف؟ بالإضافة إلى تطور تقنيات القرصنة التقليدية، فإن التقدم الهائل في قدرات نماذج الذكاء الاصطناعي الكبيرة يصبح الوزن النهائي الذي يُخلّ بالتوازن.

في الماضي، كان استكشاف ثغرة في عقد ذكي معقد (خاصة تلك التي تتعلق بالربط بين السلاسل، أو التضمين متعدد الطبقات، أو منطق إعادة الدخول الخفي جدًا) يتطلب أسابيع أو حتى أشهر من تحليل الكود من قبل قراصنة متميزين. ومع نضج وكلاء الذكاء الاصطناعي (Agents) القادرين على معالجة سياقات طويلة جدًا، وتنفيذ استدلال منطقي قوي، والدعوة الذاتية للأدوات، تغير كل هذا تغييرًا جوهريًا.

• مسح على مستوى الثواني واكتشاف ثغرات "اليوم الصفر" على مستوى الشبكة: ما على المهاجمين سوى تغذية مكتبات الكود المفتوح إلى نموذج استدلال ذكاء اصطناعي من الجيل الجديد، ليتمكن الذكاء الاصطناعي من استنتاج مئات السيناريوهات التفاعلية المتطرفة في غضون ثوانٍ، تمامًا كما يفعل خبير أمني متمرس، ويكتشف بدقة الشروط الحدية التي يفوتها مراجعو البشر أثناء التعب.
• توليد نصوص هجوم آلية: لا يمكن للذكاء الاصطناعي اكتشاف الثغرات فحسب، بل يمكنه أيضًا كتابة واختبار ونشر "عقود ذكية قرصانية" لاستنزاف الأموال تلقائيًا.
• التنسيق المثالي بين DevOps خارج السلسلة والهندسة الاجتماعية: يمكن للذكاء الاصطناعي أن يتقمص دور مطور مثالي لتنفيذ هجمات التصيد، أو مراقبة مشاركات فريق DeFi على GitHub على مدار الساعة. بمجرد رفع الفريق لمعلومات حساسة أو كود إصلاح غير مُحقق، سيشن الذكاء الاصطناعي هجومًا في غضون ثوانٍ — أسرع بكثير من وقت استجابة موظفي الأمن البشريين.

في هذه الحرب الدفاعية والهجومية المدعومة بالذكاء الاصطناعي، يمتلك القراصنة باستخدام الذكاء الاصطناعي ذخيرة شبه لا نهائية وسرعة هجوم على مستوى الثواني، بينما يعاني DeFi من بطء في التصويت على الحوكمة، وتأكيدات التوقيع المتعدد، والتدقيق الأمني المتأخر، مما يجعل من الصعب عليه تقديم ردود دفاعية متناسبة.

في الشهر الماضي، أعلنت شركة Anthropic، الشركة المطورة للذكاء الاصطناعي خلف Claude، رسميًا عن النموذج الجديد Mythos (انظر التفاصيل في "أنتجت Anthropic أقوى نموذج ذكاء اصطناعي في التاريخ، لكنها لم تُطلِقه..."). إنه أول نموذج في تاريخ البشرية يتجاوز إجمالي معلماته مستوى عشرة تريليونات (في المقابل، تتراوح معلمات النماذج السائدة حاليًا في السوق بين مئات المليارات وتريليون واحد)، بتكاليف تدريب بلغت 10 مليارات دولار.

ومع ذلك، نظرًا لقدرات Mythos المتخصصة في الأمن السيبراني (كما كشفت Anthropic أن الشركة تمكنت خلال بضعة أسابيع فقط من استخدام Mythos لتحديد آلاف الثغرات الصفرية)، فإن Anthropic تخشى نشر النموذج علنًا مباشرة خشية استغلاله من قبل جماعات القراصنة، بل وتخطط بدلاً من ذلك لبدء تجربته أولاً من خلال برنامج "أجنحة زجاجية" لتمكين كبرى الشركات من اختباره وتصحيح الثغرات المحتملة مسبقًا.

لا تزال حالة أمان DeFi في هذه المرحلة حادة للغاية، ومن الصعب تصور التهديدات الجديدة التي ستواجهها دفاعات الصناعة بعد الإصدار العام لـ Mythos.

بالنسبة للمشاركين العاديين في DeFi وموفري السيولة (LP) والضخامة، فإن أهم سؤال الآن هو الجلوس وحساب التكلفة.

لطالما اختار المستخدمون إيداع أموالهم في DeFi بحثًا عن عوائد سنوية تفوق تلك التي تقدمها المالية التقليدية بعدة أضعاف. خلال فترات السوق الصاعد أو الذروة المجنونة لاستخراج السيولة، كانت العوائد التي تصل إلى 10% أو 20% أو أكثر كافية لتغطية التوقعات النفسية للمستخدمين بشأن "المخاطر التقنية المحتملة".

لكن اليوم، تم تقويض أو حتى عكس هذا المنطق الأساسي بالفعل، وقد اختل توازن المخاطر والعوائد في DeFi. من حيث العوائد، مع دخول السوق في منافسة على الموارد الثابتة وزيادة طبقة الأمان، عادت العوائد الحقيقية لأغلب بروتوكولات DeFi الرئيسية والموثوقة إلى نطاق الأرقام الأحادية؛ ومن حيث المخاطر، فإن رأس مال المستخدمين معرّض لخطر اختراق محتمل من قبل الذكاء الاصطناعي أو تفريغ فوري عبر قروض البرق، وعندما يتعرض البروتوكول لهجوم قرصاني، فإن تراجع العملة إلى الصفر وتجفيف صندوق السيولة يحدث غالبًا خلال دقائق قليلة، ولا يوجد أي ضمان قانوني أو تأمين أو بنك مركزي قادر على تغطية هذه الخسائر.

المخاطرة بخسارة رأس المال بنسبة 100% لتحقيق عائد سنوي يقارب 5% ليس صفقة مربحة على الإطلاق.

قد تكون كلمات مانويل قاسية بعض الشيء، لكنها كشفت الغطاء الأخير عن DeFi. أمام واقع أن القراصنة قد حوّلوا الذكاء الاصطناعي إلى سلاح روتيني، وتصاعد الحوادث الأمنية في الصناعة، إذا لم تكن مستعدًا نفسيًا لخسارة 100% من رأس مالك مقابل عائد معين، فإن "سحب استثماراتك في أسرع وقت ممكن وتحقيق الأرباح" قد يكون الخيار الأكثر عقلانية والأكثر توافقًا مع مبادئ إدارة المخاطر في دورة السوق الحالية.