بعد وقوع سلسلة من هجمات DeFi المتعددة في أبريل، بدأت مناقشات سلامة صناعة التمويل اللامركزي تتحول بشكل واضح. في السابق، كان أكثر ما يُفحص في بروتوكولات DeFi هو ما إذا كانت العقود الذكية قد خضعت لتدقيق أمني، وما إذا كان هناك ثغرات في الكود؛ لكن مؤسس Flying Tulip، أندريه كرونجي (Andre Cronje)، قال في مقابلة حديثة مع Cointelegraph إن مخاطر العديد من بروتوكولات DeFi اليوم لم تعد تتمثل فقط في الكود البرمجي على السلسلة، بل تأتي أيضاً من صلاحيات الترقية، والحوكمة متعددة التوقيعات، والبنية التحتية خارج السلسلة، وسير عمل تشغيل الفريق.
لم يعد DeFi مجرد كود لا يمكن تغييره
صرّح كرونجي بصراحة بأنه إذا نظرنا إلى DeFi المبكر وفق التعريف الصارم لـ"اللامركزية، وعدم القابلية للتغيير، وعدم الحاجة إلى الثقة"، فإن العديد من البروتوكولات اليوم لم تعد، في الواقع، يمكن تسميتها DeFi بالمعنى الدقيق. بل إنه أدرج Flying Tulip أيضاً ضمن هذا التقييم، مشيراً إلى أن ما يشبهه هذا القطاع حالياً هو خدمات مالية ربحية تُدار من خلال فرق، وليس بنية تحتية عامة غير قابلة للتغيير بالكامل.
وقال: “أعتقد أن ما نملكه اليوم، بما في ذلك Flying Tulip، لم يعد DeFi. ليس تمويلاً لا مركزياً، وليس كوداً غير قابل للتلاعب، بل هو فريق يدير نشاطاً تجارياً مربحاً.”
سلّطت هذه التصريحات الضوء على الواقع الأكثر إحراجاً في صناعة DeFi حالياً: ما زالت العديد من البروتوكولات تستخدم سردية DeFi والتقييمات ولغة العلامة التجارية، لكنها عملياً تعتمد منذ وقت طويل على قدر كبير من التحكم البشري والإجراءات خارج السلسلة.
أكبر مخاطر DeFi لم تعد مجرد ثغرات في العقود
يعتقد كرونجي أن نموذج الأمان في DeFi المبكر كان أبسط نسبياً: بعد نشر البروتوكول، تصبح العقود الذكية غير قابلة للتغيير، ويتحمل المستخدمون أساساً مخاطر منطق الكود. لكن الآن، غالباً ما تصبح أنظمة DeFi أعقد بكثير؛ إذ قد تستخدم البروتوكولات proxy upgrade لإجراء ترقية للعقود، وتدير الصلاحيات الحساسة عبر multisig، وتعتمد على موردين للبنية التحتية خارج السلسلة، وعند وقوع المشكلة يتم التعامل معها عبر استجابة الفريق الأساسي في وقت الأزمة.
وهذا يعني أن مشكلات الأمان توسعت من “هل يوجد خلل في الكود؟” إلى “من لديه صلاحية ترقية العقد؟” و"من يملك multisig؟" و"هل نافذة time lock كافية؟" و"هل يمكن مهاجمة خوادم خارج السلسلة أو واجهات الإدارة؟" و"هل يستطيع الفريق الاستجابة بشكل صحيح في الظروف غير الاعتيادية؟"
أشار كرونجي إلى أن الصناعة في السابق كانت لا تزال تركز بشكل مفرط على تدقيق العقود الذكية، لكن عدداً من الهجمات مؤخراً بات أقرب إلى مشكلات أمنية تقليدية في Web2. ومن ذلك، على سبيل المثال، اختراق صلاحيات الوصول إلى البنية التحتية، أو هجمات الهندسة الاجتماعية، أو إساءة استخدام إجراءات الإدارة، أو اختراق عقدة صلاحية واحدة.
بعبارة أخرى، لا يعني ذلك أن DeFi لا يحتاج إلى تدقيق، بل إن الاعتماد على التدقيق وحده لم يعد كافياً. عندما يمكن ترقية بروتوكول ما، ويمكن إدارته، ويمكن التدخل فيه بشرياً، فإنه يجب أن يعترف بأن لديه أيضاً مخاطر تشغيلية تواجهها المؤسسات المالية التقليدية.
انضم Flying Tulip إلى آلية إيقاف/تعطيل السحب المؤقت
في هذا السياق، أضاف Flying Tulip مؤخراً آلية إيقاف/تعطيل السحب المؤقت (withdrawal circuit breaker)، بحيث يمكن للبروتوكول تأخير معالجة عمليات السحب أو وضعها في قائمة انتظار عند اكتشاف تدفقات مالية غير طبيعية. وأكد كرونجي أن هذه الآلية ليست لمنع المستخدمين من السحب بشكل دائم، وليست لإتاحة للفريق تجميد الأموال كيفما شاء، بل هي لتأمين نافذة قصيرة للرد على البروتوكول في حالات الشذوذ.
وبالنسبة إلى Flying Tulip، قالت إن هذه الآلية تمنح الفريق نافذة تقارب 6 ساعات. ويعتقد كرونجي أنه إذا كان حجم الفريق أصغر وكانت توزيع الأعضاء غير كافٍ على مستوى عالمي، فقد يحتاج الأمر إلى 12 إلى 24 ساعة، وربما وقتاً أطول، لإتمام التحقق الداخلي والتوقيعات والاستجابة أثناء وقوع الهجوم.
تشبه منطق هذه التصميمات إلى حد كبير منطق إيقاف التداول مؤقتاً أو بوابات إدارة المخاطر في الأسواق المالية التقليدية: عندما تظهر سيولة غير طبيعية أو خروج أصول من النظام، لا يتم الحكم فوراً ببطلان جميع الصفقات، بل يتم إبطاء النظام أولاً لمنع المهاجمين من نقل كل الأموال خلال دقائق.
ومع ذلك، شدد كرونجي أيضاً على أن آلية الإيقاف/تعطيل السحب يجب أن تكون جزءاً من بنية أمان متعددة الطبقات، ولا يمكن اعتبارها حلاً سحرياً. أما الحماية الحقيقية فتظل تتطلب تدقيقاً، وتواقيع متعددة موزعة، وtime lock، وإجراءات حوكمة، وآليات مراقبة، وضبطاً للامتيازات.
تكلفة آلية الإيقاف/تعطيل السحب: حماية المستخدمين أم إنشاء بوابة مركزية جديدة؟
لكن آلية الإيقاف/تعطيل السحب تثير أيضاً فوراً خلافاً حول الخط العام الذي يجب أن يتبناه مجتمع مطوري DeFi. وافق مؤسسا Curve Finance وYield Basis، مايكل إيجوروف (Michael Egorov)، على أن الهجمات الأخيرة كشفت بالفعل مخاطر مركزية خارج السلسلة، لكنه كان شديد التحفظ تجاه حل يتمثل في “زيادة التحكم الطارئ البشري”.
وأشار إيجوروف إلى أن العديد من الأحداث الكبيرة في DeFi مؤخراً لم تحدث بسبب اختراق العقود الذكية نفسها، بل بسبب نقطة فشل واحدة على مستوى خارج السلسلة. وأعطى مثالاً على حدث مرتبط بـrsETH، إذ قال إن عقود Aave وKelp وLayerZero الذكية لم تتعرض للاختراق؛ بل كانت المشكلة الحقيقية في البنية التحتية خارج السلسلة.
لذلك، يرى إيجوروف أنه إذا كانت أكبر المخاطر أصلاً ناتجة عن البشر وصلاحيات خارج السلسلة، فإن إضافة آلية إيقاف/تعطيل يتم التحكم بها بشرياً قد تكون مجرد نقل مزيد من السلطة إلى قلة من الموقعين أو المسؤولين.
يقلق إيجوروف من أنه إذا سمحت صلاحيات التحكم في حالات الطوارئ للموقعين بتعديل العقود أو إيقاف عمليات السحب أو التدخل في اتجاه تدفق الأموال، ففي حال تعرض الموقعين أنفسهم للهجوم، قد تتحول الآلية التي كانت تهدف إلى حماية المستخدمين إلى أداة يستنزف بها المهاجمون الأموال، أو إلى بوابة تجميد مركزية للأصول. وخلاصة رأيه هي أن تصميم DeFi ينبغي أن يقلل قدر الإمكان من نقاط الفشل البشرية الفردية، وليس معالجة مشكلة تنجم عن صلاحيات بشرية إضافية بصلاحيات بشرية أخرى.
على DeFi أن يعترف بما أصبح عليه
الخلاف بين كرونجي وإيجوروف، من حيث الظاهر، هو خلاف حول آلية الإيقاف/تعطيل السحب، لكنه في الواقع خلاف حول هوية DeFi. موقف كرونجي أقرب إلى الواقعية: طالما أن كثيراً من البروتوكولات لم تعد عقوداً غير قابلة للتغيير، بل منتجات مالية مزودة بصلاحيات ترقية وإجراءات إدارة وتشغيل من خلال فرق، فمن المفترض الاعتراف بهذا الواقع وإدخال درجات مناسبة من ضبط المخاطر.
أما إيجوروف فيقترب أكثر من دعاة DeFi الأصوليين: إذا كانت سلامة DeFi تنبع من اللامركزية، فإن الحل لا ينبغي أن يكون منح مزيد من التحكم للبشر، بل تصميم أنظمة تعتمد على تدخل بشري أقل.
وعلى الرغم من ذلك، يتفق الطرفان في شيء واحد: أصبحت المشكلة الأكبر في DeFi اليوم ليست فقط ما إذا كان الكود مكتوباً بشكل جيد، بل فيمن يثق المستخدمون فعلاً. إذا كان بإمكان البروتوكول الترقية والتعليق ووضع عمليات السحب في قائمة انتظار، وإذا كان يمكن تغيير المنطق الأساسي عبر multisig، فإن المخاطر التي يتحملها المستخدمون لا تقتصر على مخاطر العقود الذكية فحسب، بل تشمل أيضاً مخاطر حوكمة الفريق، ومخاطر الموقعين، ومخاطر البنية التحتية، ومخاطر التشغيل.
هل ما زال هذا المقال يتناول DeFi اللامركزي؟ Andre Cronje: اعترف بذلك، معظم البروتوكولات هي كود قابل للتعديل. يظهر لأول مرة في أخبار السلسلة ABMedia.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
