ثغرة في Balancer، وفصل XUSD عن السعر يثير الذعر! اختفاء 231 مليون دولار من أموال التمويل اللامركزي (DeFi) في لحظة واحدة

تم الكشف عن ثغرة في Balancer V2 هذا الأسبوع، حيث قام المهاجمون بسرقة أموال بقيمة 128 مليون دولار عبر عدة سلاسل. وفي الوقت نفسه، قامت Stream Finance بتجميد ودائعها وسحبها بعد أن كشف مدير صندوق خارجي عن خسائر بقيمة 93 مليون دولار، مما أدى إلى انفصال عملة XUSD المستقرة عن الدولار الأمريكي، وانخفض سعرها خلال التداول إلى 30 سنتًا أمريكيًا لكل دولار. إجمالاً، بلغت الخسائر في الحادثين حوالي 231 مليون دولار، مع استرداد حوالي 19 مليون دولار فقط.

StakeWise تسترد 19 مليون دولار بمعجزة DAO

(المصدر: X)

توفر خطة عمل StakeWise أدلة قوية على أن الهيكل الطارئ في DeFi قادر على تحمل ضغط كبير. حيث أدى توقيع متعدد للأعضاء في DAO إلى استدعاء العقود وإعادة السيطرة على البروتوكول، مما أسفر عن استرجاع 5,041 osETH و13,495 osGNO. وعد الفريق بتوزيع الخسائر بشكل نسبى وفقًا للأرصدة قبل الهجوم، مما حول الخسارة الكارثية إلى خسارة جزئية. وهذه ليست مجرد وعود على الورق؛ إذ تم نقل الأموال على السلسلة، وعلَن DAO عن خطته، وأكدت وسائل الإعلام ذات الصلة صحة البيانات.

السرعة والنتائج متساويان في الأهمية. فالملاحقة في النظام المالي التقليدي قد تستغرق شهورًا من التقاضي، وغالبًا ما يتم استرداد جزء بسيط فقط. أما في DeFi، فباستخدام أدوات البروتوكول المدمجة، تمكنت من استرداد الأموال خلال أيام قليلة. يبرز هذا الفرق في الكفاءة ميزة الهيكلية لـ DeFi: عندما يُصمم الآليات الطارئة بشكل جيد، يمكن أن تكون استجابتها أسرع بكثير من الأنظمة التقليدية.

تمكن StakeWise من استرداد حوالي 15% من إجمالي خسائر Balancer، وذلك بفضل آليات متعددة تم بناؤها على مر السنين في DeFi، مثل التوقيعات الطارئة متعددة الأعضاء، وآليات الاسترداد على مستوى العقود، وهيكل إدارة DAO الذي يمكنه نقل الأموال خلال ساعات. هذه الآليات الثلاث جعلت عملية الاسترداد ممكنة.

ثلاث آليات رئيسية لاسترداد StakeWise الناجح

التوقيع الطارئ متعدد الأعضاء: يحدد صلاحيات ضيقة ومحددة مسبقًا لمنع إساءة استخدام السلطة وضمان استجابة سريعة.

وظيفة الاسترداد على مستوى العقود: تتيح للحوكمة سحب معاملات معينة عبر عقود ذكية مخصصة لذلك.

هيكل DAO السريع: يمكن من التصويت والتنفيذ خلال دورة واحدة من الكتلة، دون الحاجة إلى عمليات حوكمة طويلة.

بالإضافة إلى ذلك، أضافت Berachain خيارًا رابعًا، وهو التدخل عبر توافق الآراء من قبل المدققين على مستوى الشبكة. حيث تدير Berachain بركة سيولة على شكل Balancer على شبكتها الأصلية، وقام المدققون بتنفيذ عملية إيقاف الشبكة بشكل منسق، وشن هجرة طارئة لإيقاف العقود المعرضة للثغرة، واستعادة العمليات بعد السيطرة على الثغرة. يتطلب هذا الإجراء إيقاف مؤقت وإعادة تعيين، وهو فعال فقط عندما تكون الشبكة لا تزال حديثة ومركزية بما يكفي للتنسيق بين المدققين دون أن تؤدي إلى انسداد في الحوكمة.

انهيار XUSD يكشف عن عيوب هيكلية في CeDeFi

في ذات الوقت الذي ظهرت فيه ثغرة Balancer، قامت Stream Finance بتجميد ودائعها وسحبها بعد أن كشف مدير صندوق خارجي عن خسائر بقيمة 93 مليون دولار، مما أدى إلى انفصال عملة XUSD المستقرة عن الدولار، وانخفض سعرها إلى 30-50 سنتًا خلال التداول. هذا الانهيار يختلف تمامًا عن ثغرة العقود الذكية، حيث يكشف عن ضعف هيكلية CeDeFi (التمويل المركزي واللامركزي المختلط).

يمكن تتبع انهيار Stream إلى رهاناتها على نموذج CeDeFi المختلط، الذي يعتمد على مديري صناديق خارجيين لتحقيق الأرباح، دون وجود لوحات مراقبة فورية للمخاطر أو شفافية في مراقبة الضمانات. اختفت تلك الـ93 مليون دولار خارج السلسلة، متجاوزة قدرات العقود الذكية أو التنسيق بين المدققين على التصدي لها. وما ينجح وما يفشل في هذا السياق مهم جدًا، لأنه يحدد الأدوات المتاحة لمواجهة الثغرات ذات المليارات في المستقبل.

هذا النموذج يختلف عن الثغرات في العقود الذكية، لأنه لا يوجد مهاجم يفرغ خزائن السيولة، ولا يوجد تنسيق بين المدققين يمكنه عكس الخسائر، ولا توجد تصويتات DAO يمكنها استرداد أموال الجهات الخارجية التي تديرها خارج السلسلة. هذا هو الشكل الأصلي لعيوب CeDeFi. فالبروتوكول يَعِد بتوفير قابلية التركيب وشفافية على السلسلة، لكن الأرباح تأتي من مديري الصناديق التقليديين، الذين يملكون إطار مخاطر مختلف تمامًا.

عندما يفشل مدير خارجي بسبب الاحتيال أو خطأ في التشغيل أو خسائر السوق، فإن العملة المستقرة المدعومة من قبل هذا الصندوق تفقد ربطها، ولا توجد إجراءات طارئة يمكن للبروتوكول اتخاذها. يكتشف المستخدمون الأمر متأخرًا، ويعتمدون على عملة مستقرة «لامركزية» تعتمد على ثقة في كيانات لم يروها أبدًا، وتعمل في ولايات قضائية لا يمكنهم الوصول إليها، ولم يراجعوا شروطها أبدًا.

وقد استأجرت Stream مكتب المحاماة Perkins Coie للتحقيق، لكن الضرر قد انتشر بالفعل. انخفض سعر عملة XUSD بشكل كبير، وتداولت وسائل الإعلام والمنظمات المختصة عن انخفاض سعرها إلى 50-70% من قيمتها الاسمية. هذا الانفصال عن الربط هو أحد أشد الانفصالات في تاريخ العملات المستقرة، بعد انهيار UST. حيث انخفض سعرها من 1.26 دولار إلى ما بين 0.3 و0.6 دولار، مما أدى إلى خسارة أكثر من 70% من قيمة حامليها.

خسائر بقيمة 231 مليون دولار مع معدل استرداد 15%: الواقع القاسي

من الأرقام يتضح محدودية الآليات الطارئة. فقد استردت StakeWise حوالي 19 مليون دولار من خسائر Balancer البالغة 128 مليون دولار، أي بنسبة حوالي 15%. وحتى وقت نشر هذا التقرير، لا تزال مكافآت الثغرات في Balancer غير مطالب بها. أما Berachain، فحمت نظامها البيئي من خلال عمليات التراجع، لكنها لا تستطيع إلغاء معاملات شبكة إيثريوم الرئيسية أو غيرها من الشبكات المتأثرة. ومع خسائر Stream Finance التي بلغت 93 مليون دولار، فإن إجمالي الخسائر بلغ حوالي 231 مليون دولار، مع استرداد حوالي 19 مليون دولار فقط، أي بنسبة استرداد تبلغ 8.2%.

كل التدابير في DeFi أظهرت فعاليتها، ومع ذلك خسر المستخدمون أكثر من 200 مليون دولار. ورغم أن أدوات الحماية ليست فارغة، إلا أنها غير كافية لمنع مهاجمين أكثر دراية بالأنظمة، وأقوى إرادة، وأكثر خبرة تقنية. هذا الرقم القاسي يكشف عن حقيقة: على الرغم من تقدم آليات الدفاع في DeFi، فإن تقنيات المهاجمين تتطور بسرعة، وأن سرعة أدوات الحماية لم تتجاوز بعد توسع نطاق الهجمات.

وجود آليات التوقيع الطارئ والاسترداد يعزز من تعويض الضحايا، إذ لم يعد الأمر يُعتبر مستحيلًا استرداد القيمة. ومع ذلك، فإن ذلك يخلق مخاطر أخلاقية، حيث قد تتجاهل البروتوكولات التدقيق الأمني، وتعتقد أن الحوكمة يمكنها تعويض الخسائر لاحقًا. وقد تثير الجهات التنظيمية ذلك: إذا استطاعت DAO إلغاء معاملات وتجميد أموال، فهي عمليًا تسيطر على الشبكة بطريقة تشبه الوصاية.

وهذا قد يؤدي إلى ضغط سياسي يدعو لإنشاء لوحات بيانات احتياطية، وإلزامية الكشف عن المخاطر، وفرض قيود على المشاريع التي تحمل علامة «لامركزية». بالنسبة للمستثمرين، فإن زيادة مخاطر العناية الواجبة أصبحت أمرًا ضروريًا. فالمشاريع التي تعتمد على إدارة خارجية غير شفافة أو نماذج CeDeFi المختلطة، والتي تقدم أرباحًا، أصبحت الآن أكثر عرضة لمخاطر كارثية، قد تؤدي إلى فقدان الربط المستقر للعملات المستقرة بشكل لا يمكن تعويضه.

وفي ظل الظروف الاقتصادية العالمية، تتزايد المخاطر. وفقًا لإحصائيات Chainalysis، بحلول منتصف 2025، من المتوقع أن تتجاوز خسائر سرقات العملات المشفرة 2.17 مليار دولار، متجاوزة إجمالي عام 2024، وإذا استمر الاتجاه الحالي، فستصل إلى 4 مليارات دولار. فـDeFi ليس الهدف الوحيد، لكنه يظل المجال الأكثر سيولة والأكثر هشاشة.

رؤيتان للدفاع في DeFi والاختبار النهائي

السلسلة التي تشمل Balancer وStakeWise وStream ليست إلا اختبار ضغط لمستقبل DeFi، حيث تتصارع رؤيتان متنافستان. الأولى تؤمن بأن الحوكمة الطارئة، والتحكم على مستوى العقود، وتنسيق المدققين يمكن أن تبني دفاعات موثوقة، تقلل من فرص الهجمات وتحد من الخسائر. وتُظهر معدلات استرداد StakeWise بنسبة 15%، والهجرة السريعة في Berachain، إمكانية نجاح هذه الرؤية.

أما الرؤية الثانية فتقبل الهيكل المختلط، حيث يتم تبادل الشفافية على السلسلة مقابل أرباح من خلال إدارة خارجية، وتقبل مخاطر الطرف المقابل مقابل عوائد تنافسية. انهيار Stream Finance هو مثال فشل هذه الرؤية. حيث أُعطيت 93 مليون دولار لمدير صندوق خارجي، دون مراقبة فورية أو كشف شفاف، وعندما خسر المدير، لم يكن هناك أي رد فعل من البروتوكول.

هاتان الرؤيتان تتعايشان الآن، ويختار المستخدمون توزيع أموالهم بينهما عند اختيار البروتوكولات. المفتاح ليس في احتمالية حدوث هجوم، بل في قدرة DeFi على حماية نفسه بشكل كافٍ، ليظل خيارًا موثوقًا خارج النظام المالي التقليدي. إثبات قدرة StakeWise على التعافي يُظهر وجود أدوات، بينما انهيار Stream يثبت أن هذه الأدوات لا تغطي جميع نواحي الهجمات.

لوحات مراقبة المخاطر الفورية، ومراقبة الضمانات بشكل شفاف، وإثبات الاحتياطيات على السلسلة لم تعد ترفًا، بل أصبحت متطلبات أساسية. المشاريع التي ترفض أو تتردد في نشر هذه المؤشرات ستواجه خسائر في التقييم، وهو أمر متوقع.