هل القراصنة والتنظيمات هم من دمروا التمويل اللامركزي (DeFi)؟

الكاتب: Gu Yu، ChainCatcher

في أبريل 2026، دفعت سلسلة من الكوارث الأمنية التمويل اللامركزي (DeFi) مرة أخرى إلى واجهة الرأي العام. أدت الهجمات على Kelp DAO وDrift Protocol إلى خسائر تجاوزت 575 مليون دولار، مما تسبب في انخفاض إجمالي القيمة المقفلة (TVL) في التمويل اللامركزي من حوالي 172 مليار دولار إلى 148 مليار دولار، مع انهيار إجمالي القيمة المقفلة في قطاع الإقراض من 53 مليار دولار إلى 40 مليار دولار.

في الأيام الأخيرة، صرح مانويل أراوز، المؤسس المشارك لشركة التدقيق الأمني الشهيرة OpenZeppelin، بصراحة على منصة X: "أعتقد أن كل التمويل اللامركزي (DeFi) أصبح الآن غير آمن". حتى أنه ذكر أنه بدأ ينصح الأصدقاء والعائلة سراً بتصفية جميع مراكز التمويل اللامركزي، بما في ذلك بروتوكولات مثل Aave وMakerDAO وCompound، والتي تُعتبر "أصولاً زرقاء منخفضة المخاطر".

على الرغم من أن هذا الحكم قاسٍ بشكل خاص، إلا أنه يستحق التأمل. ففي النهاية، لطالما كانت OpenZeppelin واحدة من أهم بناة البنية التحتية الأمنية في عالم التمويل اللامركزي، حيث تتغلغل معايير العقود الذكية وأدوات الأمان الخاصة بها في تطوير الصناعة بأكملها. إذا بدأ حتى أولئك الذين يفهمون نظام أمان العقود الذكية بشكل أفضل في التشكيك في مخاطر التمويل اللامركزي والانسحاب بشكل حاسم، فهذا يشير بلا شك إلى ظهور بعض القضايا الأعمق.

في السنوات القليلة الماضية، كلما واجه التمويل اللامركزي (DeFi) انتكاسات، كان الناس يستطيعون العثور بسرعة على سبب محدد. خلال فترات تراجع السوق، كان يُلقى باللوم على البيئة الكلية؛ وعندما تحدث هجمات القراصنة، كان الناس يعزونها إلى الثغرات التقنية؛ وعندما تتخذ الهيئات التنظيمية إجراءات، كانت القضايا تُختصر في الضغوط السياسية.

ومع ذلك، إذا قمنا بتوسيع البعد الزمني، فسنجد حقيقة تزداد وضوحاً: المأزق الذي يواجه التمويل اللامركزي اليوم ليس ناجماً عن هجوم واحد، أو سياسة تنظيمية محددة، أو مشروع فاشل، بل لأن المنطقين الأساسيين اللذين بُني عليهما في الأصل يواجهان تحديات في وقت واحد.

يأتي المنطق الأول من العالم التقني، وهو أن الكود يمكن أن يحل محل الثقة. ويأتي المنطق الثاني من العالم المؤسسي، والذي ينص على أن الشبكات المفتوحة يمكنها تجاوز قيود الأنظمة المالية التقليدية.

وقد ضرب القراصنة والمنظمون هذين الركنين بدقة.

أولاً: التطور العميق لأزمة أمن التمويل اللامركزي (DeFi)

على مدى عقد من الزمان، لم تتغير المفارقة الأساسية في مجال أمن التمويل اللامركزي. لطالما حدد باحثو أمن Web3 هذا التفاوت القاتل: يجب على المدافع سد كل ثغرة ممكنة، بينما يحتاج المهاجم فقط إلى النجاح في جانب واحد.

على السطح، لا تعد أساليب الهجوم أكثر من المشتبه بهم المعتادين: ثغرات الجسور عبر السلاسل، واختطاف أذونات التوقيع المتعدد، والتلاعب بالأوراكل، وما إلى ذلك. ومع ذلك، تكشف الحوادث التي تتعلق بـ Kelp DAO وDrift Protocol عن اتجاه أكثر وحشية: غالباً ما لا تكمن الثغرات الأكثر فتكاً داخل كود العقد الذكي.

في 18 أبريل، تعرض بروتوكول إعادة التخزين للسيولة على إيثيريوم، Kelp DAO، للهجوم. استغل المهاجم ثغرة في التكوين في شبكة التحقق اللامركزية (DVN) لجسر LayerZero عبر السلاسل، وقام بتزوير رسائل عبر السلاسل وسحب 116,500 rsETH من الجسر في غضون ساعات، وهو ما يعادل حوالي 293 مليون دولار في ذلك الوقت.

جوهر هذه الكارثة هو خطأ في التكوين، وليس عيباً في الكود. اختارت Kelp DAO تكوين "1 من 1" لشبكة التحقق عبر السلاسل الخاصة بـ LayerZero—مما يعني أن تأكيد عقدة DVN واحدة فقط مطلوب لاعتبار الرسائل عبر السلاسل مشروعة. عندما قام المهاجم باختراق عقدتي RPC توفران بيانات التحقق وشن هجوم DDoS، أصبح نظام الجسر بأكمله غير موجود فعلياً.

في 1 أبريل، تعرضت واحدة من أكبر منصات التداول اللامركزي (DEX) للعقود الآجلة في نظام سولانا البيئي، Drift Protocol، للهجوم، مما أدى إلى خسارة 285 مليون دولار، مما يجعلها أكبر حادثة هجوم على التمويل اللامركزي في عام 2026 حتى الآن وثاني أكبر حالة قرصنة في تاريخ سولانا.

لم يكن هذا أيضاً ثغرة في العقد الذكي. استخدم المهاجم الهندسة الاجتماعية لاختراق اثنين على الأقل من الموقعين الثلاثة للمحفظة متعددة التوقيع، مما أجبرهم على التوقيع المسبق على معاملات ضارة باستخدام ميزة النونس الدائم (durable nonce) في سولانا. بمجرد حصول المهاجم على امتيازات إدارية، أكمل سرقة الأموال في أقل من 12 دقيقة.

يكمن أصل الهجوم في فشل كامل في الأمن التشغيلي (OpSec): تكوين غير سليم للمحفظة متعددة التوقيع، ونقاط عمياء في إدارة المفاتيح، وخط دفاع للهندسة الاجتماعية كان غير موجود فعلياً.

تكشف هاتان الحادثتان عن التطور العميق لأزمة أمن التمويل اللامركزي: نقاط اختراق الهجمات تتحول بشكل منهجي من ثغرات كود العقود الذكية التقليدية إلى طبقات التكوين وطبقات العنصر البشري/الأمن التشغيلي.

أشار مانويل أراوز إلى جوهر المشكلة: "أمن العقود الذكية هو في الأساس لعبة غير متكافئة للغاية—يجب على المدافعين إصلاح جميع الثغرات، بينما يحتاج المهاجمون فقط إلى العثور على واحدة لسرقة الأموال". مع بدء الذكاء الاصطناعي في تعزيز كفاءة الهجوم بشكل كبير، أصبح هذا التفاوت غير متوازن بسرعة.

يمكن لوكلاء برمجة الذكاء الاصطناعي ضغط المشكلات التي كانت تتطلب من فرق القبعات البيضاء العليا أسابيع لاكتشافها في غضون دقائق، حتى أنهم يقومون بإنشاء نصوص هجوم بشكل مستقل بناءً على كود البروتوكول المتاح للجمهور. بصفتها واحدة من أكثر شركات التدقيق الأمني سائدة في الصناعة، فإن الحكم المتشائم للمؤسس المشارك يعمل كإشارة—صناعة الأمن نفسها تدرك أن إطار الدفاع الحالي يواجه فشلاً نظامياً.

ثانياً: الانتشار المستمر للضغوط التنظيمية

مع تعمق الأزمة الأمنية، تمارس القوى التنظيمية أيضاً ضغوطاً مستمرة على كل من الأبعاد داخل السلسلة (on-chain) وخارجها (off-chain).

في 26 مايو، وضعت الحكومة البريطانية منصة تداول العملات المشفرة HTX على قائمة عقوباتها ضد روسيا، مما يمثل المرة الأولى التي تستخدم فيها اللائحة 17A لفرض عقوبات على منصة تداول عملات مشفرة. اتهمت المملكة المتحدة HTX بمعالجة 3.3 تريليون دولار في المعاملات في عام 2025، بزعم تقديم خدمات مالية لشبكة الدفع A7 الخاضعة للعقوبات والمنصة الروسية Garantex.

انتشر رد الفعل المتسلسل الناجم عن العقوبات بسرعة. نظراً لأن العديد من شركات مكافحة غسل الأموال (AML) الرئيسية أدرجت عنوان منصة HTX كعنوان عالي المخاطر، قامت العديد من المنصات التي تستخدم نظام مكافحة غسل الأموال الخاص بها بتشديد مراجعات المعاملات المتعلقة بالعناوين المرتبطة بـ HTX، مما أدى إلى مواجهة العديد من مستخدمي HTX لمشكلات في سحب الأصول إلى منصات أخرى.

تكشف حادثة HTX عن معضلة أعمق: في ظل مشهد جيوسياسي معقد، يمكن لعقوبة واحدة تبدأها الهيئات التنظيمية أن تؤدي إلى تأثير متسلسل متوسع داخل السلسلة، مما يؤثر في النهاية على أموال عدد لا يحصى من المستخدمين العاديين. قد يكون مستخدم HTX بريئاً تماماً في الاحتفاظ بالأصول، ولكن بسبب مخاطر الامتثال المحتملة للمنصة، قد يواجه "جدار حماية" نظام مكافحة غسل الأموال بأكمله عند محاولة السحب إلى منصات أخرى، مما يؤدي إلى تجميد الأموال أو تأخيرها إلى أجل غير مسمى.

في الواقع، حادثة HTX ليست سوى قمة جبل الجليد للضغوط التنظيمية. ما يقيد ابتكار التمويل اللامركزي حقاً على مستوى أعمق هو التوصيف القانوني لنماذج الأعمال الأساسية للبروتوكولات من قبل الهيئات التنظيمية.

على مدى العامين الماضيين، أطلقت هيئة الأوراق المالية والبورصات الأمريكية (SEC) تحقيقات في بروتوكولات التمويل اللامركزي "الزرقاء" مثل Compound وUniswap وCurve، مع التركيز على ما إذا كانت رموز الحوكمة تشكل أوراقاً مالية غير مسجلة. تأتي الضربات الأكثر مباشرة من قطاع الرموز ذات العائد—تشير إجراءات الإنفاذ التي اتخذتها هيئة الأوراق المالية والبورصات ضد منتجات مثل Gemini Earn إلى أنه طالما أن البروتوكول يدفع للمستخدمين فائدة سلبية بناءً على الودائع، فمن السهل تصنيفه كعقد استثماري، مما يؤدي إلى التزامات التسجيل والإفصاح بموجب قانون الأوراق المالية.

هذا الغموض القانوني وبيئة الضغط العالي تخنق مباشرة أكثر اتجاهات ابتكار التمويل اللامركزي خيالاً: من تعدين السيولة إلى منتجات العائد المهيكلة، يجب على المطورين القلق باستمرار بشأن ما إذا كانت نماذجهم الاقتصادية للرموز تتجاوز الخطوط الحمراء التنظيمية.

بمعنى ما، فإن طبيعة "بدون إذن" (permissionless) التي أكد عليها التمويل اللامركزي في البداية تتطور تدريجياً إلى شكل آخر من "نظام الإذن". هذا "الإذن" لا يأتي من شركة أو بروتوكول معين، بل من كل حلقة في سلسلة الامتثال التنظيمي: قوائم مكافحة غسل الأموال، ومحركات التحكم في مخاطر المنصات، والولاية القضائية طويلة المدى لقوانين الأوراق المالية، وما إلى ذلك.

ثالثاً: التمويل اللامركزي يدخل مرحلة الواقعية

بالنظر إلى تقلبات التمويل اللامركزي على مدى السنوات القليلة الماضية، فإن المعضلات الأمنية والضغوط التنظيمية للتمويل اللامركزي لا توجد بشكل مستقل. إن الافتقار إلى إطار تنظيمي واضح يجعل من الصعب التوصل إلى إجماع صناعي حول معايير الأمان؛ وبدورها، توفر الحوادث الأمنية المتكررة المبرر الأكثر مباشرة للهيئات التنظيمية العالمية لتشديد الإنفاذ؛ وتتداخل التفاوتات الأمنية المتسارعة في عصر الذكاء الاصطناعي، جنباً إلى جنب مع عتبات الامتثال التي تزداد صرامة تدريجياً، في النهاية لدفع عدد لا يحصى من المستخدمين العاديين إلى مركز العاصفة.

في جوهرها، تعمل حدود التدقيق الأمني وصرامة الامتثال التنظيمي على تآكل الافتراضين الأساسيين اللذين يقوم عليهما التمويل اللامركزي—"الكود هو القانون" و"الحرية بدون إذن".

اليوم، يتحمل المستخدمون مخاطر تقنية أعلى مما هي عليه في التمويل التقليدي، ومع ذلك قد لا يحصلون على حرية أكبر مما هي عليه في التمويل التقليدي. هذا هو بالضبط سبب ارتباك العديد من المشاركين في السوق. فهم يجدون أن التمويل اللامركزي ليس آمناً مثل البنوك ولا مفتوحاً تماماً كما وُعد في البداية.

عندما يفقد النظام كلاً من أقساط الأمان وأقساط الحرية في وقت واحد، سيتم تحدي منطق نموه بشكل طبيعي. لذلك، قد لا يكون السؤال "هل دمر القراصنة والمنظمون التمويل اللامركزي؟"

بشكل أدق، أجبر القراصنة والمنظمون الصناعة ببساطة على مواجهة الواقع. جعل القراصنة الناس يدركون أن الكود لا يخلق الثقة بطبيعته؛ وجعل المنظمون الناس يدركون أن العالم داخل السلسلة لم يعمل أبداً ككون موازٍ منفصل عن العالم الحقيقي.

هذا لا يعني فشل التمويل اللامركزي. على العكس من ذلك، فإنه يشير إلى أن هذه التجربة تنتقل من مرحلة مثالية إلى مرحلة واقعية.

التمويل اللامركزي لا يتم تدميره من قبل القراصنة أو المنظمين. بل يتم إعادة تعريفه من خلال قوانين البقاء التي شكلها كلاهما: يجب أن يتجه مستقبل التمويل اللامركزي إما نحو أطر عمل أكثر صرامة للتنظيم الذاتي والامتثال في الصناعة، مما يضطره للتنازل عن مبادئ اللامركزية؛ أو يفقد تدريجياً ثقة السوق بسبب استمرار عدم التوازن بين الهجوم والدفاع، مما يؤدي إلى تهميشه على المدى الطويل.