عانت DeFi من أسوأ شهر لها منذ أكثر من عام في أبريل الماضي، حيث استنزف المخترقون 635 مليون دولار عبر 28 حادثة منفصلة، وفقًا لبيانات جمعتها شركات أمن البلوكشين. يرفع هذا الإجمالي الخسائر التاريخية التراكمية إلى 16.5 مليار دولار، منها 7.7 مليار دولار استهدفت DeFi على وجه التحديد. وأكثر الأحداث الفردية تدميرًا في الشهر — هجوم جسر rsETH — ترك Aave بديون معدومة بقيمة 200 مليون دولار، وأعاد فتح نقاش حول كيفية إعطاء الصناعة الأولوية للسرعة على الأمان.
هجوم rsETH: تكوين فريد من نوعه استمر لسنوات
استغل الهجوم على جسر rsETH التابع لـ KelpDAO تكوين شبكة مدقق لا مركزية من نوع 1 من 1 (DVN) — وهو إعداد يتطلب مدققًا واحدًا فقط للموافقة على رسالة. اخترق المهاجمون البنية التحتية لـ RPC، وأجبروا على التحويل الاحتياطي إلى عقد مسمومة عبر هجوم حجب الخدمة الموزعة (DDoS)، وحقنوا بيانات زائفة في ذلك الـ DVN الوحيد. أطلقت الرسالة المزورة حوالي 116,500 rsETH، والتي تم إيداعها كضمان على Aave.
أكد تقرير حادثة Aave أن سلسلة إيثريوم قبلت nonce رقم 308 من الهجوم، بينما لم تتجاوز نقطة المصدر في Unichain nonce 307 — وهو عدم تطابق كان يجب اكتشافه عبر مراقبة أفضل. يقول KelpDAO إن الـ DVN من نوع 1 من 1 كان الإعداد الافتراضي الذي شحنته LayerZero نفسها. ترد LayerZero بأن KelpDAO خفضت الإعداد إلى ذلك المستوى. بغض النظر، حظرت LayerZero منذ ذلك الحين تكوين DVN من نوع 1 من 1 على مستوى البروتوكول بأكمله.
اللوم والمسؤولية وعلاقة لازاروس
ربطت Chainalysis بشكل مبدئي الهجوم بمجموعة لازاروس الكورية الشمالية، رغم أن الإسناد لا يزال جاريًا. بالنسبة للصناعة، فإن الحادثة تتعلق بكيفية حدوثها أكثر من كونها تتعلق بمن فعلها. قال ميتشيل أمادور، الرئيس التنفيذي لشركة Immunefi: "لقد كافأت DeFi تاريخيًا النمو والتكاملات والسيولة والسرعة على نضج الأمان." وأشار إلى الممارسات المهملة مثل نظافة التوقيع المتعدد، وتعزيز سلسلة التوريد، والمراقبة الفورية، وإجراءات الاستجابة للطوارئ التي لا تزال العديد من البروتوكولات تتجاهلها.
وقال بن نادارسكي، الرئيس التنفيذي لشركة Solstice Finance، بوضوح: "ستُبنى الفرق الفائزة على الامتثال والأمان من اليوم الأول." وأشار كاسبر باولوفسكي، كبير المسؤولين التقنيين في Euler Finance، إلى أن تقييم المخاطر في DeFi غالبًا ما يُعامل كخانة اختيار لمرة واحدة، لكن "المخاطر ديناميكية".
إجمالي 11 مليار دولار من القيمة المقفلة مُحيت في شهر واحد
إلى جانب حادثة rsETH، خسرت DeFi ما يقرب من 11 مليار دولار من إجمالي القيمة المقفلة (TVL) الشهر الماضي بسبب اختراقات بارزة على Drift وجسر KelpDAO. تؤكد الأرقام اتجاهًا كان يحذر منه باحثو الأمان: مع سعي البروتوكولات لتحقيق التكاملات والسيولة، يتسع سطح الهجوم بشكل أسرع من قدرة الدفاعات على مواكبته. حصيلة أبريل هي أعلى خسارة شهرية منذ أوائل عام 2024.
السؤال الآن هو ما إذا كانت الصناعة ستعالج الأمان أخيرًا كعملية مستمرة وليس كقائمة تحقق يوم الإطلاق — أم ستنتظر ظهور ثغرة أخرى بقيمة 200 مليون دولار.
