استغلال بقيمة 292 مليون دولار وهجرة عاجلة
شهد عالم التمويل اللامركزي (DeFi) للتو أحد تلك الحلقات التي يشتهر بها: هجوم ضخم واتهامات متقاطعة وهجرة تقنية معلنة على سبيل الطوارئ. أعلن Kelp DAO، بروتوكول إعادة الرهن السائل المعروف برمزه rsETH، أنه سينقل بنيته التحتية للعمل بين السلاسل إلى Chainlink CCIP (بروتوكول التشغيل البيني بين السلاسل)، تاركاً خلفه LayerZero، الأداة التي كان يستخدمها حتى الآن لتدوير أصوله بين مختلف البلوكتشين.
ما السبب وراء هذا التغيير؟ استغلال بحجم هائل: تم سرقة 292 مليون دولار من خلال جسر تقاطع بين السلاسل، هذا النوع من البنية التحتية التي تتيح نقل الرموز من بلوكتشين إلى آخر. لمن لا يعرفون التفاصيل، تخيلوا نفقاً بين مدينتين — مريح للتنقل، لكنه كارثي إذا انهار النفق أو كان غير آمن بشكل صحيح.
إعداد 1-of-1: الخطأ الصغير الذي يكلف غالياً
في قلب الفضيحة التقنية، نجد مفهوماً يُسمى بإعداد التحقق من الجسر. في هذه الحالة، كان الجسر المهاجم يعمل بإعداد يُسمى “1-of-1”، مما يعني أن مدقق واحد فقط كان كافياً لموافقة المعاملات. بعبارة أخرى، إذا تم اختراق هذا المدقق الوحيد، ينهار أمان النظام بأكمله مثل بيت من الورق. يوصي معظم خبراء الأمان بإعدادات متعددة المدققين المستقلين، تحديداً لتجنب هذا النوع من السيناريوهات.
أشار العديد من المراقبين في مجتمع العملات المشفرة بسرعة إلى هذا الإعداد الافتراضي في LayerZero باعتباره الثغرة المستغلة. انتقاد لم يستغرق وقتاً طويلاً لإثارة رد من الجانب الآخر.
الصراع بين Kelp DAO و LayerZero
عارض برايان بيليجرينو، المؤسس المشارك والرئيس التنفيذي لـ LayerZero، بشدة الاتهامات التي وجهتها Kelp DAO. دون الدخول في التفاصيل التقنية في الوقت الحالي، أعلن أن تقرير ما بعد الحادثة الذي كتبته شركات أمان خارجية سيتم نشره قريباً. بوضوح: كل طرف يتمسك بمواقفه، والحقيقة الرسمية يجب أن تنتظر تحليلاً مستقلاً.
أصبح هذا النوع من “لعبة الاتهامات” - لاستخدام التعبير الإنجليزي الذي يتداول في وسائل الإعلام المتخصصة - للأسف كلاسيكياً بعد الهجمات الكبرى على DeFi. عندما تتبخر مئات الملايين من الدولارات، يكون لدى الجميع مصلحة في إثبات أن المسؤولية تأتي من مكان آخر. أما المستخدمون المتضررون، فهم ينتظرون في المقام الأول إجابات ملموسة.
Chainlink CCIP: البديل المعين
واجهت Kelp DAO هذا الوضع قررت التحرك بسرعة والإعلان عن هجرة رمزها rsETH إلى Chainlink CCIP. تُعتبر هذه البنية التحتية للعمل بين السلاسل، التي طورتها Chainlink - أحد أكثر الفاعلين الراسخين في مجال الأوراكل والقابلية للعمل البيني على البلوكتشين - مشهورة بآليات أمان أكثر متانة. خلافاً للإعداد المتهم، يعتمد CCIP على عدة مستويات من التحقق المستقل.
توقيت هذا الإعلان ليس عشوائياً: بالتواصل بسرعة حول هذا التغيير، تسعى Kelp DAO بوضوح إلى طمأنة مستخدميها وإظهار أن تدابير تصحيحية تُتخذ، حتى وإن ظل السياق القانوني والتقني متوتراً بشكل خاص.
معركة قانونية بقيمة 71 مليون دولار في الخلفية
كما لو أن الوضع لم يكن معقداً بما فيه الكفاية، يجري نزاع قضائي بقيمة 71 مليون دولار بالتوازي، يشارك فيه الأطراف المعنية. لا تزال التفاصيل الدقيقة لهذه الإجراءات غير مكتملة، لكن مجرد وجود نزاع من هذا الحجم أمام المحاكم يوضح إلى أي مدى تتجاوز الرهانات النقاش البسيط والتقني بين المطورين.
يذكرنا هذا الجانب القانوني بأن DeFi، رغم وعوده بالعدم تركيز والاستقلالية، لا يفلت من آليات تسوية النزاعات التقليدية عندما تكون مبالغ ضخمة على الطاولة.
منظور أوسع: أمان العمل بين السلاسل، عرقلة DeFi
ينتمي هذا الحادث إلى قائمة طويلة من الاستغلالات التي تستهدف جسور العمل بين السلاسل، التي تمثل تاريخياً أحد متجهات الهجوم الأكثر استغلالاً في عالم العملات المشفرة. Ronin و Wormhole و Nomad… الأسبقيات لا تنقصها. تركز الجسور بين البلوكتشين سيولة كبيرة بينما تعتمد على بنى معمارية معقدة، مما يجعلها أهدافاً مفضلة للمتسللين.
الهجرة إلى بنى تحتية أكثر أماناً مثل Chainlink CCIP هي اتجاه أساسي، لكنه ليس ضماناً مطلقاً. ما يظهر قبل كل شيء من هذه الحالة هو الأهمية الحاسمة للخيارات الأمنية في الإعدادات — حتى أفضل الأدوات يمكن أن تصبح خطرة إذا تم إعدادها بشكل سيء. في قطاع حيث “مفاتيحك ليست عملاتك” هي عملة مقدسة، يمكننا أن نضيف: “بدون تدقيق الأمان الخاص بك، لا توجد أموالك.”