فقدت بروتوكولات التمويل اللامركزي (DeFi) 92.5 مليون دولار عبر 15 حادثة اختراق منفصلة في أبريل 2025. وفقًا لأحدث تقرير شهري من شركة الأمن السيبراني البلوكتشين Immunefi، يمثل هذا زيادة بنسبة 27.3% مقارنة بشهر أبريل 2024 ويتجاوز أكثر من ضعف خسائر مارس 2025 البالغة 41.4 مليون دولار.
هذا الارتفاع المزعج يعزز التوافق المتنامي بين المحترفين الأمنيين بأن الأساس التقني للتمويل اللامركزي لا يزال معرضًا للخطر بشكل خطير على الرغم من سنوات من الاستغلال البارز والتحذيرات المتكررة من الخبراء في الأمن السيبراني. تسهم أرقام أبريل في إحصاء أكثر إثارة للقلق: الخسائر الإجمالية للعملات الرقمية من الاختراقات والاستغلالات في 2025 قد وصلت بالفعل إلى 1.74 مليار دولار - متجاوزة المجموع السنوي بأكمله لعام 2024 البالغ 1.49 مليار دولار فقط في أربعة أشهر.
"ما نشهده ليس مجرد ارتفاع مؤقت بل أزمة أمنية أساسية في كيفية تصميم البروتوكولات اللامركزية ونشرها وصيانتها" تشرح ماريا تشين، باحثة رئيسية في شركة ChainSecurity. "يبني الصناعة بنية تحتية مالية متزايدة التعقيد على كود لم يتم إخضاعه لنفس الصرامة التي تخضع لها الأنظمة المالية التقليدية."
استهدفت استغلالات أبريل في الغالب شبكات البلوكتشين مع تصنيف 100% من الهجمات كاستغلالات تقنية بدلاً من هجمات تعتمد على الهندسة الاجتماعية أو الاحتيال. من بين 15 حادثة موثقة، تبرز عدة هجمات سواء من حيث حجمها أو المتجهات الهجومية المعقدة التي استخدمت:
بروتوكول UPCX: 70 مليون دولار
أكبر خرق في الشهر أثّر على UPCX، بروتوكول الدفع عبر السلاسل الذي جمع أكثر من 300 مليون دولار من القيمة المقفلة (TVL) منذ إطلاقه في أواخر 2024. في 12 أبريل، حدد المهاجمون ثغرة خطيرة في آلية التحقق من الرسائل عبر السلاسل في البروتوكول.
وفقًا للتحليل الجنائي الأولي من شركة Chainalysis لاستخبارات البلوكتشين، استغل الهجوم عيبًا دقيقًا في كيفية التحقق من توقيعات المعاملات عبر سلاسل EVM المتوافقة. نفذ المهاجمون هجومًا دقيقًا خلال فترة من الازدحام الشديد على الشبكة، متجاوزين خطوات التحقق ومصرحين بسحوبات احتيالية من عدة مجمعات سيولة في آن واحد.
"يظهر هجوم UPCX كيف لا تزال جسور السلاسل المتقاطعة تمثل بعض البنية التحتية الأكثر عرضة في النظام البيئي"، يلاحظ توماس والتون بوج، مؤسس مختبر التفاؤل الأمني. "على الرغم من وجود أمثلة تاريخية عديدة على استغلال الجسور تعود إلى اختراقات الدودة ورونين لعام 2022، يواصل المشاريع التقليل من تعقيد الرسائل عبر السلاسل الآمنة."
أعلنت UPCX منذ ذلك الحين عن خطة تعويض للمستخدمين المتضررين، على الرغم من أن التفاصيل لا تزال معلقة مع استمرار التحقيقات.
KiloEx: 7.5 مليون دولار
خسرت KiloEx، بورصة لامركزية تركز على تداول الخيارات، 7.5 مليون دولار في 19 أبريل من خلال ما يبدو أنه هجوم متقدم على السعر المرجعي للأوراكل. استغل المهاجم انخفاضا مؤقتا في السيولة في أحد أسواقه المرجعية للتلاعب بالسعر المشاهد لعقود الخيارات KETH/ETH.
من خلال أولاً خفض السعر المرجعي للأوراكل عن طريق سلسلة من التداولات المنسقة عبر عدة منصات، ثم استغلال آلية التصفيات التلقائية لـ KiloEx، تمكن المهاجم من شراء عقود خيارات مخفضة الثمن قبل أن يستعيد السعر المرجعي للأوراكل.
"تزداد هجمات الأوراكل تطورًا"، يلاحظ سامكسون، باحث أمني محترم في Paradigm. "يفهم المهاجمون اليوم هيكل السوق الدقيقة ويمكنهم تنسيق الظروف التي لا تخترق أي قاعدة نظام فردية، لكنهم مازالوا يخلقون فرصًا قابلة للاستغلال للأرباح عبر البروتوكولات المتشابكة."
حوادث أخرى كبيرة
سجلت استغلالات أبريل المتبقية مجتمعة خسائر بقيمة 15 مليون دولار:
-
Loopscale: خسارة 5.8 مليون دولار عندما استغل المهاجمون ثغرة إعادة الدخول في عقد الإقراض.
-
ZKsync: خسارة 5.0 مليون دولار من خلال عيب في دائرة تحقق دليل المعرفة الصفرية.
-
Term Labs: سرقة 1.5 مليون دولار عبر قيم العودة غير المفحوصة في تفاعلات العقود الذكية.
-
مهمة Bitcoin: أخذ 1.3 مليون دولار من الوحدات الملتفة من BTC عبر وصول غير مناسب للعناصر الضابطة.
-
The Roar: خسارة 790,000 دولار بالتلاعب في قروض الوقت الوميض.
-
Impermax: فَقْد 152,000 دولار بسبب أخطاء تقريب دقيقة في حسابات المكافآت.
-
Zora: 140,000 دولار من أصول NFT تعرضت للخطر من خلال التلاعب في بيانات التعريف الوصفية.
-
ACB: فَقْد 84,000 دولار بسبب وظائف التهيئة غير المحمية.
الإيثريوم لا يزال الهدف الرئيسي
يكشف توزيع الهجمات عبر شبكات البلوكتشين عن نقاط الضعف المستمرة حتى في الأنظمة البيئية الراسخة. ظلت إيثريوم الهدف الرئيسي، حيث استهدفها خمس حوادث (33.3% من المجموع)، بينما واجهت سلسلة BNB أربع هجمات (26.7%). شهدت "بيس"، الحل الطبقة الثانية لمنصة كوينباس، ثلاثة استغلالات كبيرة (20%)، مما يثير اتجاهًا مقلقًا للشبكة الجديدة نسبيًا. Content: التحقق.
"نرى أن البروتوكولات تطلب عمليات تدقيق أكثر دقة مما كانت عليه قبل عام"، يقول يان ميخايلفسكي، مؤسس شركة الأمان Ottersec. "عادةً ما تخضع المشاريع الآن لعدة عمليات تدقيق مستقلة، وتحقق رسمي حيثما كان ذلك ممكنًا، ومحاكاة اقتصادية قبل النشر."
حلول التأمين
وبروتوكولات التأمين على السلسلة مثل Nexus Mutual وInsurAce وسعت خيارات التغطية الخاصة بها، على الرغم من أن الأقساط ارتفعت بشكل كبير استجابةً للزيادة في تكرار المطالبات. اعتبارًا من مايو 2025، يمتلك حوالي 500 مليون دولار من أصول DeFi شكل من أشكال تغطية الاستغلال - وهو لا يزال يمثل أقل من 1% من إجمالي TVL عبر DeFi.
تصعيد المكافأة عن أخطاء البرامج
تقرير Immunefi يشير إلى أن مكافآت الأخطاء قد زادت بنسبة 64% في المتوسط سنويًا، مع تجاوز الحد الأقصى للدفعات عن الثغرات الحرجة الآن بانتظام مليون دولار. في مارس 2025، تلقى قرصان ذو قبعة بيضاء 2.5 مليون دولار لاكتشاف ثغرة حرجة في Uniswap V4 - وهي أكبر دفعة لمكافأة خطأ في تاريخ العملات الرقمية.
الانتباه التنظيمي
لقد لاحظت الهيئات التنظيمية في جميع أنحاء العالم أزمة الأمان. يتطلب إطار ماركتس في أصول التشفير (MiCA) التابع للاتحاد الأوروبي، المنفذ بالكامل في أوائل 2025، أن تفي بروتوكولات DeFi العاملة في الولايات القضائية الأوروبية بمعايير الأمان الأساسية.
في الولايات المتحدة، استخدمت هيئة الأوراق المالية والبورصات (SEC) الاختراقات الأمنية كتبرير إضافي لإجراءات الإنفاذ ضد البروتوكولات التي تعتبر أنها تقدم أوراق مالية غير مسجلة. وقد أشار رئيس الهيئة، جاري جينسلر، مؤخرًا قائلاً: "إن تكرار هذه الاختراقات يثبت تمامًا سبب ضرورة توسيع حماية المستثمرين لتشمل هذه المنتجات المالية الجديدة."
الوقاية التقنية: الطريق إلى الأمام
يتفق خبراء الأمان بشكل واسع على العديد من التحسينات التكنولوجية الضرورية لمعالجة الأسباب الجذرية للثغرات في DeFi:
التحقق الرسمي
تعتبر تقنيات التحقق الرسمي، التي تثبت رياضيًا صحة الشفرة وفقًا للمواصفات، ضرورية بشكل متزايد لمكونات البروتوكولات الأساسية. على الرغم من أنها تستهلك موارد كبيرة، يمكن للتحقق الرسمي القضاء على فئات كاملة من الثغرات.
"يحتاج القطاع إلى الانتقال من نموذج التدقيق والإطلاق نحو ضمانات أمان مثبتة رياضيًا"، يجادل مانويل أراوز، مؤسس Zeppelin Solutions. "بالنسبة للبروتوكولات التي تتعامل بمليارات من أموال المستخدمين، يجب ألا نقبل بأقل من التحقق الرسمي."
المراقبة الأمنية اللامركزية
تكتسب أنظمة المراقبة التي يمكنها اكتشاف أنماط المعاملات الشاذة زخمًا. توفر بروتوكولات مثل Forta Network مراقبة لامركزية يمكنها الإشارة إلى الأنشطة المشبوهة عبر سلاسل متعددة، مما يوفر إمكانية استجابات طوارئ أسرع.
الأقفال الزمنية وكاسرات الدوائر
يمكن لتطبيق تأخيرات إجبارية لحركات الأموال الهامة ووقف البروتوكولات تلقائيًا خلال الظروف الشاذة أن يخفف من تأثير الاستغلالات المستقبلية.
أطر الأمان الموحدة
تقوم عدة مجموعات صناعية بتطوير أطر أمان موحدة خاصة بـDeFi، بما في ذلك تحالف أمان DeFi لمجموعة Open Zeppelin واتحاد أمان العقود الذكية لمؤسسة Ethereum.
موازنة الابتكار والأمان
تذكّرنا أرقام استغلال أبريل 2025 بشكل صارخ أن تحديات الأمن في العملات الرقمية لا تزال ملحة كما كانت دائمًا. مع خسائر حتى تاريخه تصل إلى 1.74 مليار دولار تتجاوز بالفعل كل 2024، يواجه القطاع نقطة انعطاف حاسمة.
"التحدي الأساسي الذي يواجه DeFi ليس تقنيًا - بل ثقافيًا"، تختتم الدكتورة ناروولا. "يمنح القطاع الأولوية لسرعة الابتكار على الأمان، وحتى يتغير هذا التوازن، سنستمر في رؤية هذه العناوين."
لكي تحقق DeFi التبني على نطاق واسع ومشاركة المؤسسات، يجب أن تتطور ممارسات الأمان لتتوافق مع المسؤولية المالية الكبيرة التي تحملتها هذه البروتوكولات. يجب أن يتم موازنة الابتكار الذي جلبه العملات الرقمية بسرعة مع ممارسات الأمان الصارمة المناسبة للبنية التحتية المالية التي تتعامل مع مليارات من أموال المستخدمين.
بينما يدخل القطاع الثلث الثاني من عام 2025، ستتركز الأنظار حول ما إذا كانت البروتوكولات قادرة على تنفيذ تدابير أمان أكثر متانة دون التضحية بالانفتاح والترابط الذي يجعل DeFi ثوريًا. من المحتمل أن يحدد نتيجة هذا التحدي التقني والثقافي ما إذا كان التمويل اللامركزي سيصبح نظامًا ماليًا عالميًا تحويليًا أم سيظل عرضة للاستغلال بشكل دائم.