الإفصاح: الآراء والأفكار الواردة هنا تنتمي فقط إلى المؤلف ولا تمثل آراء ووجهات نظر هيئة تحرير crypto.news.
يتعرض التمويل اللامركزي (DeFi) للهجوم، ولكن ليس من التهديدات التي اعتاد القطاع على الدفاع عنها. فبينما يفحص المطورون أسطر الأكواد بدقة بحثًا عن الثغرات الأمنية، غيّر المهاجمون أساليبهم، مستغلين نقاط ضعف اقتصادية كامنة خفية وراء برمجة مثالية.
على سبيل المثال، يُعدّ استغلال رمز JELLY على منصة Hyperledger، حيث تمكّن المهاجمون من سرقة أكثر من 6 ملايين دولار من صندوق تأمين Hyperledger، مثالاً بارزاً على ذلك. لم يكن سبب هذا الاستغلال أخطاءً برمجيةً إطلاقاً، بل حوافزَ مُتلاعبةً ومخاطرَ غيرَ مُقدّرةٍ لم يُدقّق فيها أحد.
لقد قطع الأمن السيبراني في قطاع التمويل اللامركزي شوطًا طويلًا. أصبحت عمليات تدقيق العقود الذكية – المصممة لاكتشاف الأخطاء البرمجية – هي القاعدة في الوقت الحاضر. لكننا بحاجة ماسة إلى توسيع نطاقها ليتجاوز مجرد أسطر التعليمات البرمجية. تدقيق العقود الذكية غير كافٍ أساسًا ما لم يُحلل أيضًا المخاطر الاقتصادية والمتعلقة بنظرية الألعاب. إن اعتماد القطاع المفرط على عمليات تدقيق التعليمات البرمجية فقط أصبح عتيقًا وخطيرًا، مما يجعل المشاريع عرضة لدورة لا تنتهي من الهجمات.
الهجمات الأخيرة تؤكد خطورة الاستغلال الاقتصادي
في مارس 2025، تعرضت بورصة Hyperliquid، التي خضعت عقودها للتدقيق، لهجوم استغلالي بقيمة 6 ملايين دولار أمريكي استهدف رمز JELLY الخاص بها. كيف؟ لم يجد المهاجمون خللًا في الكود؛ بل دبروا عملية بيع قصيرة باستغلال منطق التصفية الخاص بـ Hyperliquid، ورفعوا سعر JELLY، والتلاعبوا بمعايير مخاطر المنصة.
بمعنى آخر، لم يُدرج مصممو Hyperliquid بعض سلوكيات السوق في التسعير، وهو سهوٌّ لم تكتشفه عمليات التدقيق التقليدية. تُظهر حالة Hyperliquid أن الكود المُحكم لا يُمكنه إنقاذ مشروعٍ مبنيٍّ على افتراضاتٍ اقتصاديةٍ مُتذبذبة.
قبل حادثة جيلي بفترة وجيزة، سُحبت 12 مليون دولار من بولتر فاينانس، وهو بروتوكول إقراض على فانتوم، عبر هجوم قرض سريع ، وهو نوع شائع آخر من الهجمات يعتمد على الاقتصاد، لا على ثغرات البرمجة. حصل المهاجم على قروض سريعة وتلاعب بمؤشر أسعار المشروع، خادعًا النظام ليتعامل مع الضمانات عديمة القيمة على أنها مليارات الدولارات.
أدى الكود وظيفته تمامًا، لكن التصميم كان معيبًا، مما أتاح تقلبًا حادًا في الأسعار أدى إلى إفلاس المنصة. وقد أثبت هذا الاستغلال قوته التدميرية، مما اضطر شركة بولتر فاينانس، وهي مشروع واعد، إلى إيقاف عملياتها.
هذه ليست هجمات/أحداثًا معزولة، بل هي جزء من نمط متنامٍ في التمويل اللامركزي. في كل حالة، يستغلّ الخصوم الأذكياء البروتوكولات بالتلاعب بمدخلات السوق أو الحوافز أو آليات الحوكمة لتحقيق نتائج لم يتوقعها المطورون. لقد شهدنا مزارع عوائد تُدمّرها ثغرات في المكافآت، وهجمات على ربطات العملات المستقرة عبر تحركات السوق المنسقة، واستنزاف صناديق التأمين بسبب التقلبات الشديدة.
تعزيز عمليات التدقيق من خلال التحليل الاقتصادي ونظرية اللعبة
تتحقق عمليات التدقيق التقليدية من أن "البرمجة تؤدي وظيفتها على أكمل وجه"، ولكن من يتحقق من أن "ما يُفترض أن تؤديه" منطقي في ظل ظروف تنافسية؟ على عكس البرامج المغلقة، تعيش بروتوكولات التمويل اللامركزي في بيئة ديناميكية تنافسية. تتقلب الأسعار، ويُكيّف المستخدمون استراتيجياتهم، وتترابط البروتوكولات بطرق معقدة.
في حين أن معظم فرق web3 تضم مهندسين قادرين على اكتشاف أخطاء البرامج أثناء التطوير، إلا أن القليل منهم لديهم خبرة اقتصادية داخلية، مما يجعل من الضروري إجراء عمليات التدقيق لسد هذه الفجوة وتحديد نقاط الضعف في تصميم الحوافز والمنطق الاقتصادي.
تشمل عمليات التدقيق الدقيقة تحليلاتٍ اقتصاديةً ونظريةً للألعاب، تتضمن التدقيق في أمورٍ مثل آليات الرسوم، وصيغ التصفية، ومعايير الضمانات، وإجراءات الحوكمة. تُجبر هذه العمليات المدققين على التفكير: "في ظل هذه القواعد، كيف يُمكن لأحدٍ أن يستفيد من تحريفها؟"
على سبيل المثال، خلال تدقيق أجرته شركة أوك سيكيوريتي، اكتشفنا أن صندوق تأمين منصة مقايضات دائمة قد يُستنزف بالكامل بسبب التقلبات، وذلك لعدم مراعاة "مخاطر فيجا" – حساسية البروتوكول للتقلبات – في نموذج تسعيره. لم يكن هذا خللًا برمجيًا على الإطلاق، بل كان عيبًا في التصميم كان من شأنه أن يُسبب انهيارًا في الأسواق المضطربة. لم يُكتشف إلا من خلال دراسة معمقة لنظرية الألعاب والاقتصاد – ولحسن الحظ، تمكنا من الإبلاغ عن المشكلة قبل الإطلاق.
إن هذه الاستغلالات الاقتصادية موثقة جيداً، وليس من الصعب اكتشافها ــ ولكنها لا تظهر إلا عندما يطرح المدققون الأسئلة الصحيحة، ويفكرون خارج نطاق الكود الموجود على الصفحة.
يجب على المؤسسين أن يطالبوا المدققين بمزيد من المال
ينبغي على مؤسسي البروتوكول أن يطلبوا من المدققين فحص جميع مكونات نظام التداول، بما في ذلك المنطق الضمني والمكونات خارج السلسلة، لضمان أمن شامل. في أفضل الأحوال، سيتم دمج جميع المكونات المنطقية المهمة على السلسلة.
إذا كنتَ مؤسسًا أو مستثمرًا، فمن الضروري أن تسأل مُدقّقي حساباتك: ماذا عن التلاعب بالأوراكل؟ ماذا عن سيناريوهات نقص السيولة؟ هل حللتَ اقتصاديات الرموز لمتجهات الهجوم؟ إذا كانت الإجابة هي الصمت أو التغاضي، فعليكَ البحث بعمق أكبر.
تكلفة هذه العيوب باهظة للغاية – فدمج التحليل الاقتصادي ونظرية الألعاب ليس مجرد أمرٍ "مُغري"؛ بل هو مسألة بقاء لمشاريع التمويل اللامركزي. علينا أن نغرس ثقافةً تُكمل فيها مراجعة الكود والمراجعة الاقتصادية جميع البروتوكولات الرئيسية.
دعونا نرفع المستوى الآن – قبل أن يفرض علينا درس آخر بملايين الدولارات.
