أزمة أمان DeFi: مدقق رائد يحذّر من أن جميع البروتوكولات عرضة للخطر

أصلي | Odaily Star Daily (@OdailyChina)

المؤلف | Azuma (@azuma_eth)

أعتقد أن جميع مشاريع DeFi أصبحت غير آمنة.

العبارة التي تركها مانويل أراوز، مؤسس OpenZeppelin، على X أمس، مثل قنبلة غاطسة، أعادت صدمة سوق DeFi الذي كان بالفعل هادئًا كالماء الراكد.

يقول مانويل حتى إنه بدأ ينصح أقاربه وأصدقائه بسحب أموالهم من بروتوكولات DeFi المختلفة، بما في ذلك بروتوكولات تم اعتبارها منخفضة المخاطر ورائدة مثل Aave وMakerDAO وCompound.

هذا ليس تهويلًا من شخص غير متخصص. على العكس، فإن مانويل نفسه أحد أبرز المُبنين الأساسيين لنظام أمان DeFi، وOpenZeppelin هي واحدة من أكثر شركات التدقيق الأمني انتشارًا في الصناعة، حيث تُغطي مكتبات العقود، ومعايير الأمان، وإطارات التدقيق الخاصة بها تقريبًا جميع أنحاء عالم DeFi.

السبب الذي أدى إلى تغيير مانويل لاتجاهه تمامًا هو الذكاء الاصطناعي. يرى مانويل بتشاؤم أن قدرة عامل البرمجة بالذكاء الاصطناعي على تحديد واستغلال ثغرات العقود الذكية تزداد بشكل أسّي.

هذا يعني أن المشكلات التي كانت تتطلب من فرق البيض الرائدة أسابيع لاكتشافها، يمكن الآن لاكتشافها بواسطة الذكاء الاصطناعي خلال دقائق؛ لقد كان المخترقون في الماضي بحاجة إلى دراسة طويلة منطق البروتوكول، والآن يمكن للذكاء الاصطناعي تحليل مسارات الهجوم تلقائيًا؛ لقد كانت "الشفافية المفتوحة" في DeFi في الماضي ميزة، لكنها أصبحت الآن أفضل مكتبة تدريب للمهاجمين.

كما أشار مانويل إلى مشكلة أكثر فتكًا، وهي أن أمان العقود الذكية هو في جوهره لعبة غير متكافئة تمامًا — حيث يجب على الدفاع إصلاح جميع الثغرات، بينما يكفي المهاجم العثور على ثغرة واحدة فقط لسرقة الأموال. وبعد بدء الذكاء الاصطناعي في تعزيز كفاءة الهجمات بشكل أسّي، فإن هذا عدم التوازن يزداد سرعةً.

الواقع البارد: DeFi أصبحت آلة سحب للقراصنة

عند مراجعة حوادث أمان DeFi في الأشهر القليلة الماضية، ستجد أن قلق مانويل ليس مبالغة.

كان أبريل تقريبًا أسوأ شهر في تاريخ DeFi.

في أول أبريل، يوم كذبة أبريل، سُرقت 280 مليون دولار من Drift Protocol بسبب استغلال صلاحيات المُدير وثغرة في تنفيذ التوقيع المتعدد (انظر كذبة أبريل؟ سُرقت Drift Protocol أكثر من 280 مليون دولار، وربما تكون ثاني أكبر عملية سرقة DeFi في نظام Solana).
في وقت لاحق في 19 أبريل، سُرقت Kelp DAO ما قيمته 292 مليون دولار بسبب اختراق بروتوكول الجسر (انظر DeFi再次被盗2.92亿美元，这下连Aave都不安全了？)، حيث استخدم القراصنة بروتوكولات الإقراض مثل Aave للهروب، مما أدى إلى دخول整个 DeFi في ظلّ خسائر سيئة وتأثيراتها الجانبية.

وبعد دخول مايو، لم تقل الحوادث فحسب، بل انتشرت أكثر.

في 15 مايو، تعرض THORChain لهجوم، حيث استغل مشغلو العقد المضافة حديثًا ثغرة في مخطط التوقيع الحدودي GG20 (TSS) لإعادة بناء مفتاح الخزنة الخاص، وتنفيذ معاملات خارجية مباشرة، مما تسبب في خسائر تجاوزت 10 ملايين دولار أمريكي.
في 18 مايو، تعرض بروتوكول الجسر الخاص بـ Verus لهجوم، حيث قام المهاجم بتزوير حمولة استيراد عبر السلسلة، وتجاوز التحقق لسحب الأصول من احتياطي إيثريوم، وسرق حوالي 11.58 مليون دولار أمريكي.
في 19 مايو، تعرض بروتوكول Echo على Monad لهجوم بسبب تسريب المفتاح الخاص، حيث قام المهاجم بسك 1000 eBTC (بقيمة 76.7 مليون دولار أمريكي) وسحب الأموال عبر مسار هجوم تم اختباره مسبقًا عبر Curvance.
في 24 مايو، تعرض مُصدر العملات المستقرة المُتوافقة مع نظام MiCA، StablR، لهجوم، حيث كسب القراصنة أكثر من 2.8 مليون دولار من خلال إصدار عملات EURR وUSDR إضافية، مما تسبب في انفصال EURR وUSDR عن ربطهما.
في 25 مايو، تعرض وحدة SquidRouter لهجوم، وتم سرقة أصول بقيمة 3 ملايين دولار تقريبًا من 86 محفظة Gnosis Safe.
في 27 مايو، تم تسريب المفتاح الخاص لـ StakeDAO على Arbitrum، حيث قام المهاجم بسك ما يقارب 5.45 تريليون من vsdCRV، وتم تبديل جزء منها إلى 43.7 ETH للهروب.

لقد أثارت الأحداث الأمنية المتكررة ناقوس الخطر، حيث يبدو أن DeFi تفقد أرضيتها من الكود على السلسلة إلى الإدارة خارج السلسلة.

الذكاء الاصطناعي أصبح السلاح النووي للقراصنة

لماذا شهدت معركة DeFi هذا الصيف تسارعًا مفاجئًا نحو الانهيار؟ بالإضافة إلى تطور تقنيات القراصنة التقليدية، فإن التقدم الهائل في قدرات نماذج الذكاء الاصطناعي الكبيرة يصبح الوزن النهائي الذي يُخلّ بالتوازن.

في الماضي، كان اكتشاف ثغرة في عقد ذكي معقد (خاصة تلك التي تتعلق بالسلاسل المتقاطعة، أو التراكيب المتعددة الطبقات، أو منطق إعادة الدخول الخفي جدًا) يتطلب أسابيع أو حتى أشهر من تحليل الكود من قبل قراصنة متميزين. ومع نضج وكلاء الذكاء الاصطناعي الذين يمتلكون سياقًا طويلًا جدًا، واستدلالًا منطقيًا قويًا، وقدرة على استدعاء الأدوات بشكل مستقل، تغير كل هذا بشكل جوهري.

مسح على مستوى الثواني واكتشاف ثغرات "اليوم الصفر" على مستوى الشبكة: ما على المهاجمين سوى تغذية مكتبات الكود المفتوح إلى نموذج استدلال ذكاء اصطناعي من الجيل الجديد، ليتمكن الذكاء الاصطناعي من استنتاج مئات السيناريوهات التفاعلية المتطرفة في غضون ثوانٍ، تمامًا مثل خبير أمني متمرس، ويكتشف بدقة الشروط الحدية التي يفوتها مدققو البشر أثناء التعب.
توليد سكريبتات الهجوم الآلي: لا يمكن للذكاء الاصطناعي اكتشاف الثغرات فحسب، بل يمكنه أيضًا كتابة واختبار ونشر "عقود ذكية قرصانية" لاستنزاف الأموال تلقائيًا.
التنسيق المثالي بين DevOps خارج السلسلة والهندسة الاجتماعية: يمكن للذكاء الاصطناعي أن يتقمص دور مطور مثالي لتنفيذ هجمات التصيد، أو مراقبة مشاركات فريق DeFi على GitHub على مدار الساعة. بمجرد رفع الفريق لمعلومات حساسة أو كود إصلاح غير متحقق، سيشن الذكاء الاصطناعي هجومًا في غضون ثوانٍ — بسرعة تفوق بكثير وقت استجابة موظفي الأمن البشريين.

في هذه الحرب الدفاعية والهجومية المدعومة بالذكاء الاصطناعي، يمتلك القراصنة باستخدام الذكاء الاصطناعي ذخيرة شبه لا نهائية وسرعة هجوم على مستوى الثواني، بينما يعاني DeFi من بطء عملية التصويت على الحوكمة، وتأكيدات التوقيع المتعدد، والمراجعة الأمنية المتأخرة، مما يجعل من الصعب عليه تقديم استجابة دفاعية متناسبة.

في الشهر الماضي، أعلنت شركة Anthropic، الشركة المطورة للذكاء الاصطناعي خلف Claude، رسميًا عن النموذج الجديد Mythos (انظر التفاصيل في "Anthropic طورت أقوى نموذج ذكاء اصطناعي في التاريخ، لكنها لم تطلقه..."). إنه أول نموذج في تاريخ البشرية يتجاوز إجمالي معلماته مستوى عشرة تريليونات (مقابل ذلك، تتراوح معلمات النماذج السائدة حاليًا في السوق بين مئات المليارات وتريليون واحد)، بتكاليف تدريب بلغت 10 مليارات دولار.

ومع ذلك، نظرًا لقدرات Mythos المتخصصة في أمن الشبكات (كما كشفت Anthropic أن الشركة تمكنت خلال بضعة أسابيع فقط من استخدام Mythos لتحديد آلاف الثغرات الصفرية)، فإن Anthropic لم تجرؤ على نشر النموذج علنًا مباشرة خشية استغلاله من قبل جماعات القراصنة، بل تخطط أولًا لتجربته من خلال برنامج "أجنحة زجاجية" لتمكين كبرى الشركات من اختباره وتصحيح الثغرات المحتملة مسبقًا.

لا تزال حالة أمان DeFi في هذه المرحلة حادة للغاية، ومن الصعب تصور التهديدات الجديدة التي ستواجه حماية الأمن في الصناعة بعد الإصدار العام لـ Mythos.

أكبر مشكلة: نسبة المخاطرة إلى العائد فقدت توازنها منذ زمن

للمشاركين العاديين في DeFi وموفري السيولة (LP) والضخامة، فإن السؤال الأهم الآن هو الجلوس وحساب التكلفة.

لطالما اختار المستخدمون إيداع أموالهم في DeFi بحثًا عن عوائد سنوية تفوق تلك المقدمة من النظام المالي التقليدي بعدة أضعاف. خلال فترات السوق الصاعد أو الذروة المجنونة لاستخراج السيولة، كانت العوائد التي تصل إلى 10% أو 20% أو أكثر كافية لتغطية التوقعات النفسية المتعلقة بـ"المخاطر التقنية المحتملة".

لكن اليوم، تم تقويض أو حتى عكس هذا المنطق الأساسي بالفعل، وقد اضطربت نسبة المخاطر إلى العوائد في DeFi. من حيث العوائد، مع دخول السوق في منافسة على الموارد الثابتة وزيادة طبقة الأمان، عادت العوائد الحقيقية لأغلب بروتوكولات DeFi الرئيسية والموثوقة نسبيًا إلى نطاق الأرقام الأحادية؛ ومن حيث المخاطر، فإن رأس مال المستخدمين معرّض لخطر اختراق محتمل من قبل الذكاء الاصطناعي أو تفريغ فوري عبر قروض البرق، وعندما يتعرض البروتوكول لهجوم قرصاني، فإن انعدام الرموز المميزة وتفريغ صناديق السيولة يحدث غالبًا خلال دقائق قليلة، ولا يوجد أي ضمان قانوني أو تأمين أو بنك مركزي قادر على تغطية هذه الخسائر.

المخاطرة بخسارة رأس المال بنسبة 100% لتحقيق عائد سنوي قدره حوالي 5% ليس صفقة مربحة على الإطلاق.

قد تكون كلمات مانويل قاسية بعض الشيء، لكنها كشفت الغطاء الأخير عن DeFi. أمام واقع أن القراصنة قد حوّلوا الذكاء الاصطناعي إلى سلاح روتيني، وتنامي الحوادث الأمنية في الصناعة، إذا لم تكن مستعدًا نفسيًا لخسارة 100% من رأس مالك مقابل عائد معين، فإن "سحب استثماراتك في أسرع وقت ممكن وتحقيق الأرباح" قد يكون الخيار الأكثر عقلانية وتوافقًا مع مبادئ إدارة المخاطر في دورة السوق الحالية.