46 دقيقة، 292 مليون دولار مسروقة، تواجه DeFi معضلة في التطوير مرة أخرى

المؤلف: غو يو، ChainCatcher

في الساعات الأولى من 18 أبريل، بعد أسبوعين فقط من سرقة أكثر من 200 مليون دولار من Drift، سجل Kelp DAO، وهو بروتوكول إعادة تخزين DeFi تحت Kernel، مرة أخرى رقماً قياسياً لمبلغ المسروق في صناعة التشفير هذا العام: 116,000 rsETH تم سكها بشكل خبيث، بقيمة تقارب 292 مليون دولار.

يُذكر أن Kelp DAO هو بروتوكول إعادة تخزين ثلاثي العائدات يعتمد على EigenLayer. rsETH هو رمز إعادة تخزين السيولة (LRT) الذي أصدره Kelp DAO، مصمم لتوفير السيولة للأصول غير السائلة المودعة في منصات إعادة التخزين (مثل EigenLayer).

الفريق الأساسي للبروتوكول بالكامل من الهند. في سبتمبر 2024، حصل البروتوكول على تمويل قدره 9 ملايين دولار، بمشاركة العديد من المستثمرين المعروفين بما في ذلك Laser Digital و Bankless Ventures و Hypersphere Ventures. حالياً، يتجاوز إجمالي المبلغ المقفل في البروتوكول 1.5 مليار دولار. في نفس العام، تلقت الشركة الأم Kernel أيضاً استثماراً من Yzi Labs، التي لها علاقات وثيقة مع Binance.

ومع ذلك، تم تحطيم هذه الخلفيات والإنجازات التي كانت فخورة بها في لحظة خلال هذه الحادثة المأساوية.

تزوير عبر السلاسل القاتل وتكلفة "التوقيع الفردي"

وفقًا للتحليل الأولي للسجلات على السلسلة، لم يكن هذا الهجوم هجوم إعادة دخول تقليدي أو قرض سريع، بل كان ضربة دقيقة تعتمد على تزوير الرسائل عبر السلاسل.

السبب الأساسي يكمن في فشل محول جسر rsETH الخاص بـ Kelp DAO بين السلاسل في إجراء "تحقق صارم من المصدر" للرسائل من البروتوكول الأساسي عبر السلاسل. قام القراصنة بتزوير تعليمات إطلاق الأصول الشرعية، مما أغرى عقد جسر Kelp للاعتقاد خطأً بأن الأصول المعادلة كانت مقفلة على سلسلة المصدر، وبالتالي تنفيذ تعليمات القراصنة بشكل افتراضي، وإطلاق 292 مليون دولار من rsETH على الشبكة الرئيسية لإيثيريوم.

بعد حوالي 46 دقيقة من وقوع الهجوم، قام فريق Kelp DAO بتفعيل آلية إيقاف الطوارئ. على الرغم من أن هذا الإجراء اعترض بنجاح محاولتين سحب لاحقتين بمجموع 40,000 rsETH (حوالي 100 مليون دولار)، إلا أن ما يقرب من 20% من المعروض المتداول من rsETH (116,000 رمز) كان قد وقع بالفعل في أيدي القراصنة.

بعد ذلك، قام القراصنة بإيداع هذه rsETH في Aave V3 كضمان، مقترضين مبلغًا كبيرًا من wETH السائل للغاية. من الواضح أن القراصنة لن يعيدوا هذا الأصل، وأن الضمان rsETH تم إنشاؤه من سك زائف دون وجود أصول حقيقية، مما سيؤدي إلى مواجهة Aave لحوالي 177 مليون دولار من الديون السيئة، والتي من المحتمل أن يتحملها جميع المودعين في Aave.

تكمن أكبر مشكلة في هذه العملية في عقد الجسر الخاص بـ LayerZero. تم تكوين عقد LayerZero عبر السلاسل الذي تستخدمه Kelp DAO كـ 1/1 DVN، المعروف بتكوين "توقيع فردي"، حيث يمكن لمُصادق واحد فقط الموافقة على الرسائل عبر السلاسل، بينما توصي الوثائق الرسمية لـ LayerZero بتكوين 2/2 بشكل افتراضي.

بعد الحادث، انخفض رمز LayerZero ZRO بأكثر من 40%، وانخفض رمز Aave AAVE بأكثر من 22%، ورمز Kernel المرتبط بـ Kelp DAO انخفض حاليًا بأكثر من 13%. بالإضافة إلى ذلك، أعلنت عدة مشاريع، بما في ذلك Solv، عن تعليق جسر LayerZero OFT.

الانهيار النظامي لبنية DeFi "الليغو".

قبل هذا الحادث، لم تواجه Aave أي مشاكل أمنية. على الرغم من أن هذا الحادث لم يكن ناتجًا عن مشكلة في كود عقدها الخاص، إلا أنه لا يزال مرتبطًا بتقييم المخاطر وإعدادات العزل للبروتوكول لهذه الرموز LRT. في يناير من هذا العام، قامت Spark Protocol بإلغاء إدراج الأصول ذات الاستخدام المنخفض مثل rsETH واستمرت في تشديد الضمانات والوظائف، مما أبقى البروتوكول غير متأثر خلال هذه الاضطرابات.

حاليًا، انخفض إجمالي المبلغ المقفل على سلسلة Aave بسرعة من 26.39 مليار دولار أمس إلى 21.76 مليار دولار، مع وصول مبلغ السحب في يوم واحد إلى 4.6 مليار دولار. في الوقت نفسه، تحول العديد من مستخدمي الإقراض إلى بروتوكولات إقراض أخرى، مع ارتفاع الطلب على إقراض ETH في السوق، مما تسبب في ارتفاع معدل إيداع بركة ETH الخاصة بـ Spark بسرعة من 1.7% إلى 5%.

ردًا على هذا الحادث، صرح مؤسس Curve، ميخائيل إيجوروف، أن هذا الحدث يبرز المخاطر التي يجلبها نموذج "الإقراض غير المعزول" المعتمد على نطاق واسع. يمتلك هذا النموذج قابلية جيدة للتوسع ولكنه يحمل مخاطر أعلى، مما يجعل إدارة المخاطر أمرًا حيويًا. تتمثل إحدى الطرق في اعتماد نموذج معزول بالكامل مثل نموذج سوق Curve Finance، بينما تتمثل الأخرى في استخدام نموذج هجين (معقد ولكنه قابل للتطبيق). ومع ذلك، لم يفهم السوق بعد مزايا هذه الحلول بشكل كامل. قد يكون نموذج Hub and Spoke الخاص بـ Aave v4 خطوة نحو اتجاه شبه معزول وأكثر أمانًا.

حاليًا، تعتمد معظم بروتوكولات الإقراض الرئيسية نموذج بركة السيولة المشتركة، حيث تشارك جميع الأصول المقترضة تقريبًا السيولة والمخاطر، مثل Aave وCompound وSpark. فقط عدد قليل من بروتوكولات الإقراض مثل Morpho وKamino وEuler تعتمد نموذج بركة الإقراض المعزول. هذا في الأساس هو تبادل بين كفاءة رأس المال والأمان.

في النسخة V4 التي أطلقتها Aave في نهاية مارس من هذا العام، تم تقديم مفاهيم Hub وSpoke. المركز (المركز / مركز السيولة) هو المركز الرئيسي للسيولة المسؤول عن الاحتفاظ بجميع الأصول والمحاسبة العالمية. الذراع (الإشعاع) هو نقطة دخول معيارية للتفاعل المباشر مع المستخدم، مسؤولة عن قواعد الإقراض المحددة والتحكم في المخاطر.

يوفر كل ذراع وظائف إقراض محددة (توفير، اقتراض، سداد، سحب) ولديه معايير مخاطر مستقلة: أنواع ضمان مختلفة، قواعد تصفية، نماذج أسعار فائدة، وضع E، وضع العزل، دعم RWA، إلخ.

هذا يعني أن Aave ستكون قادرة على تحديد ما إذا كانت ستقوم بإنشاء برك إقراض معزولة بالكامل بناءً على الظروف المحددة لأصول مختلفة ذات مخاطر وخصائص متباينة، وبالتالي التحكم في المخاطر النظامية التي تطرحها الأصول الفردية.

بالإضافة إلى ذلك، قدم اللاعب المعروف في DeFi بنمو النقاط الخمس التالية بشأن هذه الحادثة:

أولاً، لا يمكن مقارنة أمان الأصول المعبأة مثل LRT بأمان الأصول الأصلية؛ لا يمكن لمنصات الإقراض التعامل مع هذين النوعين من الضمانات بشكل متساوٍ.

ثانياً، ستفقد L0 جزءًا من السوق عبر السلاسل في المستقبل؛ لقد توقفت أصول متعددة مثل usde وusd0 عن L0 عبر السلاسل، وحتى إذا استؤنف العمل، قد يكون من الصعب استعادة المصداقية الأصلية.

ثالثًا، تضررت سمعة AAVE؛ لقد عادت سلامة السوق الموحد للإقراض إلى مرحلة التدقيق من قبل الحيتان، وكل أصل ضمان إضافي يزيد بشكل متساوٍ من مخاطر الأصول الضمانية الأصلية، وهو أمر غير عادل بطبيعته للأصول الأصلية. V4 والتجزئة هما اتجاهان في تطوير منتجات الإقراض، ومن المحتمل أن تتسارع هذه العملية الانتقالية. اختيار الأعمال الإقراضية بدلاً من منصات الإقراض أو المنسقين، لكن تكلفة هذه الأعمال في تزايد.

رابعًا، ستزداد تكلفة الحصول على TVL في L2، وسيتدفق مستوى TVL الحالي بشكل أكبر إلى L1.

خامسًا، سيتوقف DeFi عن مسار توسعه ويعود إلى وضع محافظ وآمن، مما يمنع المزيد من عمليات الاحتيال من قبل Anthropic Mythos.

من Drift إلى Kelp DAO، تظهر حادثتان أمنيتان كبيرتان في فترة قصيرة أن الهيكل المالي "المتداخل" في DeFi يعني أن أي انهيار نظامي في حلقة واحدة يمكن أن يتطور على الفور إلى أزمة سيولة عبر الصناعة بأكملها. في الماضي، كان هذا الرأي موجودًا بشكل رئيسي في النظرية، حيث كانت تأثيرات معظم الحوادث الأمنية محصورة في بروتوكولات فردية، لكن الآن حدثت هذه الظاهرة بطريقة مأساوية.

هذا ليس فقط حكمًا على بروتوكولات عبر السلاسل وبروتوكولات الإقراض، بل هو أيضًا ضربة شديدة لثقة المستخدمين.

"لم أعد أشارك في أي DeFi، فقط أحتفظ بـ ETH الأصلي، لا أشارك في أي تخزين أو ودائع، لا ألاحق فائدة صغيرة،" قال KOL المعروف لاولو.

"دعونا ننسحب من DeFi أولاً؛ إنه خطر للغاية." هذه المرة الإصابة أكبر بكثير من Drift/Cowswap..." قالت المستثمر المعروف في DeFi دوفى وانغ، معبرة عن وجهة نظر مماثلة.