تحليل شامل لهجوم القرض السريع على bZx وتداعياته على قطاع التمويل اللامركزي (DeFi). تعرف على تفاصيل الاستغلال، وجوانب القصور الأمني في البروتوكولات اللامركزية، وأبرز الدروس الضرورية لتعزيز حماية منظومة العملات الرقمية ضد المخاطر المشابهة.
تحليل هجوم bZx وثغرات DeFi
يُعيد قطاع DeFi (التمويل اللامركزي) تشكيل آلية تقديم الأدوات المالية عبر الإنترنت، ليجعلها متاحة وقابلة للبرمجة وعملية للجميع. وكما أتاح الإنترنت القدرة على إنشاء وتبادل وبرمجة المعلومات لأي شخص، يمنح DeFi نفس الانفتاح للأموال والتمويل.
تتميز منتجات DeFi بعدم الحاجة للثقة، إذ لا يعتمد المستخدمون على وسطاء. فهي عالمية وشفافة (يُتاح للجميع مراجعة الشيفرة البرمجية) وغير قابلة للتغيير (التعديلات تحدث فقط إذا تمت برمجتها). وتتيح خاصية التركيب في DeFi إمكانية دمج المنتجات وتكاملها، كما تتكامل قطع Lego لبناء منظومة تفوق قيمة كل جزء منفرد.
تحديد السياق
نحن أمام بيئة حديثة يستطيع فيها كل شخص برمجة تطبيقات مالية. النتيجة شبكة قوية وسائلة من الأدوات المالية تشكّل أرضاً خصبة للابتكار والمنفعة. فعلى سبيل المثال، قدّم DeFi قرض الفلاش (Flash Loan)—وهو قرض فوري خالٍ من المخاطر يتيح لأي أحد اقتراض ملايين الدولارات ضمن معاملة واحدة. إذا لم يُسدد القرض في نهاية المعاملة، تُلغى المعاملة بالكامل. فلا يوجد رأس مال معرض للخطر، ويمكن للمستخدمين استغلال مبالغ ضخمة لأي غرض.
ماذا حدث في هجمات bZx؟
تُعد bZx (المعروفة أيضاً باسم Fulcrum) منصة DeFi للإقراض والاقتراض والتداول بالهامش المرمّز. يمكن لأي شخص إضافة سيولة إلى مجمّع bZx والاقتراض مقابلها أو فتح مراكز بيع أو شراء برافعة مالية على أصول أخرى. وتتكامل المنصة مع بروتوكولات DeFi أخرى لتقديم حلول متكاملة، معتمدة على خاصية التركيب في DeFi.
تركز الهجوم على معاملة واحدة متقنة اقترض فيها المهاجم ملايين الدولارات عبر قرض فلاش، ثم مرّر الأموال عبر عدة بروتوكولات DeFi للتلاعب واستغلال مجمّع الضمانات في bZx. تسلسل العملية كالتالي:
-
اقترض المهاجم 10,000,000 دولار من ETH عبر قرض فلاش من بروتوكول إقراض لامركزي (المكون الأول)، دون تقديم أي ضمانات.
-
استخدم 5,000,000 دولار من ETH لفتح مركز بيع برافعة 5x على دفتر أوامر ETH-wBTC في bZx (المكون الثاني). مرّرت bZx الأمر إلى مجمع سيولة (المكون الثالث)، الذي بحث عن أفضل سعر ونفذ الصفقة في بورصة لامركزية (المكون الرابع). تسبب ذلك بانزلاق سعري حاد رفع سعر wBTC ثلاثة أضعاف.
-
أرسل المهاجم الـ 5,000,000 دولار المتبقية من ETH إلى بروتوكول إقراض آخر (المكون الخامس) واقترض wBTC مقابل ضمان ETH.
-
باع wBTC الذي اقترضه بالسعر المرتفع في البورصة اللامركزية.
-
استفاد من أرباح الخطوة الرابعة ومن عائدات الخطوة الثانية لسداد قرض الفلاش بالكامل، وأنهى المعاملة بنجاح.
أثمرت هذه الاستراتيجية عن مكسب مباشر قدره 71 ETH، بالإضافة إلى قرض نشط في بروتوكول آخر بقيمة 1,200 ETH، ليبلغ إجمالي الربح الصافي 1,271 ETH (بقيمة 355,000 دولار في ذلك الوقت). كما تركت المعاملة منصة bZx بقرض متعثر بشدة، وهو ما يشكل "الخسارة".
اعتمد الهجوم على القدرة على فتح مركز بيع برافعة 5x على دفتر أوامر ضعيف السيولة ومعرض للانزلاق السعري. كان يفترض بـ bZx وجود آليات وقاية، لكن المهاجم استغل ثغرة برمجية لتجاوزها. هذه الثغرة عرضت مجمّع ضمانات bZx لخسائر كبيرة، بينما عملت جميع المكونات الأخرى بشكل طبيعي دون تعرّضها لأي خسائر.
العواقب والهجوم الثاني
فور وقوع الهجوم، استخدم فريق bZx مفاتيح الإدارة العليا لإيقاف التداول والإقراض، ومعالجة الثغرة الأساسية. وأثناء نقاش المجتمع حول الثغرة واستئناف العمليات، حدث هجوم ثانٍ بتقنية مشابهة.
قلّد الهجوم الثاني الهجوم الأول، لكنه لم يتطلب تجاوز قواعد الانزلاق السعري. بدلاً من ذلك، استُخدم قرض فلاش لرفع سعر Synthetix USD على بورصة لامركزية إلى 2 دولار (من 1 دولار). بعدها، أودع المهاجم sUSD في bZx كضمان بالسعر المضخم، واقترض كمية من ETH تفوق الحد المسموح. غادر المهاجم بالأموال المقترضة، مخلفاً قرض bZx المتعثر، وحقق ربحاً صافياً بلغ 2,378 ETH (بعد تسديد قرض الفلاش)، بقيمة 630,000 دولار آنذاك.
يشبه هذا نوعاً من هجمات الأوراكل (Oracle)، حيث يتم التلاعب بقيمة يفترض أنها موثوقة. في هذه الحالة، رفع قرض الفلاش سعر ETH-sUSD الفوري على البورصة اللامركزية (الأوراكل)، الذي اعتمدت عليه bZx لتقييم قيمة الضمانات.
كيف يجب تقييم الأمان في DeFi؟
يتيح DeFi منتجات مالية قوية متكاملة في منظومات معقدة. تبرز هذه الهجمات تذكيراً محورياً: التمويل القابل للبرمجة سيظل يحتوي على ثغرات، خاصة مع تقدم الابتكار. اليوم، أسهمت قروض الفلاش مع منظومة بروتوكولات DeFi التركيبية في ظهور فئة جديدة من المخاطر.
تاريخياً، يؤدي اكتشاف نوع جديد من الثغرات إلى موجة من الهجمات المشابهة. يراقب النظام البيئي بأكمله، ويبحث الكثيرون عن ثغرات مماثلة. من المتوقع أن تتكرر هجمات الأوراكل وقروض الفلاش. هكذا يصبح DeFi أكثر صلابة بمرور الوقت.
فعلى سبيل المثال، بعد اختراق DAO الذي كشف عن ثغرات إعادة الدخول (Reentrancy)، سرعان ما تعلم المجتمع كيفية الوقاية منها. الآن، نادراً ما تحدث مثل هذه الهجمات. في النهاية، هذا تطور طبيعي: تُكتشف الثغرات وتُعالج، ويزداد القطاع قوة مع كل دورة جديدة.
لن يكون DeFi آمناً بالكامل، لكن يمكننا تأسيس نظام بيئي أكثر متانة عبر تطبيق الدفاع المتعدد المستويات (Defense in Depth)—أي طبقات متعددة من الحماية لتعزيز الأمان. يجب أن تواكب حماية المستهلك والتأمين هذا التطور. واللافت أن منتج تأمين DeFi قدم أول تعويض بعد هجمات bZx—وهي خطوة مشجعة.
ماذا عن اللامركزية في DeFi؟
استخدم فريق bZx مفاتيح الإدارة العليا لإيقاف الإقراض والتداول، مما أبرز نقطة تحكم مركزية واحدة. ورغم ضرورة ذلك لمنع استنزاف مجمّع الضمانات، إلا أنه أدخل خطراً جديداً—ماذا لو أُسيء استخدام المفاتيح أو تم اختراقها؟ إزالة التحكم الأحادي جوهر فلسفة العملات المشفرة. كيف يمكن التعامل مع ذلك؟
اللامركزية طيف، وينبغي أن تعتمد الفرق خارطة طريق تدريجية. بالنسبة لخدمات DeFi الجديدة، اللامركزية الكاملة منذ اليوم الأول غير واقعية—إذ تخلق مخاطر وجودية إذا ظهرت ثغرات ولم يكن بالإمكان التحرك سريعاً. الأفضل أن تتجه البروتوكولات تدريجياً نحو اللامركزية بعد إثبات سجل أمان قوي.
خلاصات رئيسية
يدفع DeFi حدود الابتكار ويؤسس لمنتجات تعيد تعريف التمويل القابل للبرمجة. وتيرة التقدم مثيرة، لكن الثغرات تُظهر مدى تأثير الابتكار. يجب أن نبقى شاملين—ستحدث هجمات أخرى، لكن ذلك جزء من التطور الطبيعي لقطاع DeFi. في النهاية، سنشهد نظاماً بيئياً أقوى مع حماية متقدمة للمستهلكين.
حالة بطاقات الخصم للعملات المشفرة
لطالما كان "الإنفاق" دافعاً أساسياً لاستخدام العملات المشفرة، منذ أن طرح ساتوشي الورقة البيضاء للـ Bitcoin. سعى المستثمرون دوماً لطرق لإنفاق أصولهم—حتى ولو لشراء فنجان قهوة من مقهى محلّي. بطاقات الخصم للعملات المشفرة تسد هذه الفجوة؛ فهي تشبه البطاقات التقليدية وظيفياً، لكنها تسحب من رصيد العملات المشفرة بدلاً من الحساب البنكي.
التاريخ
بدأت بطاقات الخصم بمحاولات متعددة، منها بطاقة أولى على منصة رئيسية أُطلقت في حقبة سابقة. أتاحت هذه البطاقة الفريدة للعملاء إنفاق Bitcoin في أي مكان تُقبل فيه Visa. لكنها لم تكن بطاقة بيضاء العلامة، بل صدرت عبر معالج دفع.
دخلت BitPay وBitwala وWirex وCoinsbank السوق لاحقاً. وخلال ذروة ICO، انضمت شركات مثل TenX وToken Card (حالياً Monolith) وMonaco (حالياً crypto.com) إلى السباق. جمعت TenX ثمانين مليون دولار خلال سبع دقائق فقط عبر ICO؛ وجمعت Token Card وMonaco اثني عشر مليون وسبعمئة ألف وسبعة وعشرين مليون دولار على التوالي، ما يعكس الحماس تجاه بطاقات الخصم المشفرة. وتنافست هذه الشركات على الرسوم المنخفضة وتجربة المستخدم والمكافآت.
التحدي في ذلك الوقت هو قلة معالجي الدفع المستعدين لإصدار بطاقات خصم مشفرة—واحد دعم بطاقة معينة، وآخر تولى معظم البطاقات الأخرى. كما كان التبني بطيئاً، إذ فضل المستخدمون الاحتفاظ بـ Bitcoin (لتقلبه وقيمته الاستثمارية) بدلاً من الإنفاق. اليوم، مع نضج النظام البيئي وظهور العملات المستقرة، تبدو حلول البطاقات أكثر شمولية وجاهزية لاعتماد أوسع.
خلال السنوات الأخيرة، غيّر أحد المعالجات استراتيجيته وأطلق بطاقة جديدة تركز على المملكة المتحدة. أما الآخرون، فقد شهدوا في حقبة ماضية استبعاد Visa لمعالج دفع بسبب "عدم الامتثال لقواعدهم"، ما أدى لإيقاف البطاقات.
مستقبلاً، من المتوقع أن تعود بطاقات الخصم المشفرة للواجهة، خصوصاً مع العملات المستقرة الحاملة للعوائد مثل USDC على منصات معينة. وحصلت منصة رئيسية مؤخراً على عضوية رئيسية في Visa، ما مكنها من إصدار بطاقات مباشرة في الاتحاد الأوروبي دون بنك وسيط—في خطوة تاريخية.
أخبار مميزة: تعليق على تطورات بارزة
ترقية Ethereum المثيرة للجدل تشعل نقاش المجتمع
واجهت Ethereum مؤخراً نقاشات حادة حول ترقية تعدين مقترحة: ProgPow (إثبات العمل التقدمي). الهدف هو تمكين الأجهزة الاستهلاكية من تعدين Ethereum عبر تقليل ميزة أجهزة ASIC (المتخصصة وعالية الكفاءة والمهيمنة حالياً).
سيسهم تطبيق ProgPow في إتاحة التعدين بشكل أوسع، وربما تعزيز اللامركزية والعودة لهدف Ethereum الأصلي لمقاومة ASIC.
أما الجدل فيتعلق بأن ProgPow سيقلل القدرة الحاسوبية الكلية للشبكة (لأن وحدات معالجة الرسوميات أقل قوة من ASIC)، ما يجعل Ethereum أكثر عرضة لهجمات 51%. لا توجد خوارزمية تعدين مقاومة بشكل كامل لـ ASIC؛ ومع الوقت ستظهر ASICs متخصصة لـ ProgPow أيضاً. ويرى كثيرون أن ASIC ضرورية لأمان شبكات إثبات العمل—فلم تتعرض أي شبكة قائمة على ASIC لهجوم 51%.
أي انقسام حاد يجب التعامل معه بحذر. والمخاطر اليوم أكبر، خصوصاً بوجود أصول DeFi مثل USDC وUSDT على Ethereum، ما قد يهدد قدرة الشبكة على تنفيذ انقسامات خلافية.
ورغم تاريخ ProgPow الطويل، تم قبوله مؤخراً وجدولته، إلا أن اعتراض المجتمع أدى إلى تجميد المقترح مجدداً.
اتهام Tron بمحاولة "استحواذ عدائي" على بلوكتشين Steem
أعلنت Steemit—المنصة الاجتماعية المشابهة لـ Reddit—عن شراكة لنقل منصتها إلى بلوكتشين Tron. وأثار ذلك قلق مجتمع Steem من حصول Tron على قوة حوكمة مفرطة، فقاموا بتنفيذ تفرع ناعم لتعطيل حقوق تصويت Tron.
ردت Tron بالتعاون مع بورصات كبرى، من بينها واحدة رائدة، لتنسيق تفرع صلب أعاد لها حقوق الحوكمة وجمّد رموز أعضاء مجتمع Steem المشاركين بالحكم. اعتبر المجتمع ذلك محاولة استحواذ عدائية.
يعتمد Steem على بروتوكول إثبات الحصة المفوض (dPOS)، لذا كانت ودائع البورصات الكبرى حاسمة لـ Tron لضمان الأصوات اللازمة. وقد أقر رئيس بورصة كبرى بالموافقة على تفرع Tron، لكنه قال إنه لم يكن على علم بالخلاف، ثم وبّخ Tron لاحقاً على التصرفات غير النزيهة.
يعكس ذلك تعقيد حوكمة البلوكتشين. ففي شبكات dPOS، تحكم الأغلبية—وقد تصرفت Tron وفق قواعد النظام. لكن القيمة الحقيقية في أيدي المستخدمين أصحاب القوة الاقتصادية. ويقاوم مجتمع Steem عبر تعطيل التطبيقات، والاستقالة من المؤسسة، ودعم المدققين المفضلين.
يتنامى دور البورصات والأوصياء في حوكمة البلوكتشين. ومع سيطرتهم على معظم الأصول، يمتلكون تأثيراً سياسياً كبيراً. ومع نضوج القطاع، من المتوقع أن توفر المنصات المركزية أدوات حوكمة أكثر تطوراً.
خلاصات الأخبار المميزة
البلوكتشين تقنيات ثورية—لكنها في جوهرها تجارب ضخمة في علوم الحاسوب يشارك فيها الجميع. لا أحد يمتلك هذه الشبكات؛ بل هي ملكية جماعية للمجتمع. هذه اللحظات تشكل اختبارات حاسمة لحوكمة البلوكتشين. كل من Ethereum وSteem يضعان سوابق هامة. يجب على الجميع المتابعة عن كثب.
الأسئلة الشائعة
ما هو هجوم قرض الفلاش على bZx؟ وكيف استغل المهاجمون ثغرات DeFi لتحقيق الربح؟
استُخدم في هجوم bZx قروض الفلاش للتلاعب بأسعار Uniswap، ما أتاح تنفيذ مراكز بيع بالرافعة المالية وأربيتراج. وقد حقق المهاجمون قرابة 360,000 دولار من خلال استغلال ثغرات أوراكل الأسعار وضعف أنظمة الحماية في بروتوكولات DeFi.
ما هي أبرز ثغرات الأمان والمخاطر في بروتوكولات DeFi، وكيف يمكن الوقاية منها؟
تواجه بروتوكولات DeFi مخاطر مثل هجمات إعادة الدخول وتسرب المفاتيح الخاصة. للوقاية، يجب تطبيق أفضل الممارسات في العقود الذكية، وتفعيل الاستجابة التلقائية للحوادث، والقيام بتدقيقات شاملة في بيئات تحاكي الشبكة الرئيسية.
ما هو قرض الفلاش (Flash Loan)، ولماذا يُعد سهلاً للاستخدام في الهجمات؟
قرض الفلاش في DeFi هو قرض غير مضمون يُفرض سداده ضمن نفس المعاملة. وهو عرضة للهجمات لأنه يتيح الوصول إلى مبالغ ضخمة دون ضمانات، مما يمكّن المهاجمين من التلاعب بأسعار الأصول واستغلال عدة بروتوكولات دفعة واحدة.
من هم المزودون الرئيسيون ومنتجات بطاقات الخصم بالعملات المشفرة؟
من أبرز المزودين BitPay وRevolut. وتتيح بطاقاتهم للمستخدمين الدفع والسحب باستخدام العملات المشفرة، ما يوفر حلولاً آمنة وعملية لإنفاق الأصول الرقمية.
ما هي مزايا ومخاطر بطاقات الخصم بالعملات المشفرة؟
تشمل المزايا القدرة على الإنفاق اليومي للعملات المشفرة والوصول الفوري للأموال، أما المخاطر فتشمل تقلب الأسعار، وثغرات الأمان، والاعتماد على مزودين مركزيين.
ما هي مخاطر الأمان في تعدين السيولة وبروتوكولات الإقراض ضمن نظام DeFi؟
تشمل المخاطر أخطاء في الشيفرة البرمجية، وقواعد عمل غير محكمة، وتهديدات مالية منهجية. لحماية المنظومة، يجب تنفيذ تدقيقات دقيقة، وتعزيز ضوابط المخاطر، والمتابعة المستمرة لمنع التلاعب بالسوق وأزمات السيولة.
كيف حسّنت مشاريع DeFi آليات الأمان عقب حادثة bZx؟
أضافت بروتوكولات DeFi ترقيات مؤقتة زمنياً، وعززت عمليات التدقيق والمراجعة، وطوّرت من حوكمة اللامركزية للحد من المخاطر المحتملة مستقبلاً.
ما هي أهم القيود والرسوم عند استخدام بطاقة خصم بالعملات المشفرة؟
توفر بطاقات الخصم المشفرة غالباً رسوماً منخفضة على المعاملات، لكنها تفرض حدوداً يومية للإنفاق والسحب. تختلف الرسوم والقيود حسب البطاقة. تحقق دائماً من العملات المدعومة قبل الاستخدام.
* لا يُقصد من المعلومات أن تكون أو أن تشكل نصيحة مالية أو أي توصية أخرى من أي نوع تقدمها منصة Gate أو تصادق عليها .
