تقرير جديد من مختبر أبحاث الأمان Lazarus في Bybit يقترح أن العديد من سلاسل البلوكشين الكبرى ليست كما تبدو غير موثوقة تمامًا. في صناعة مبنية على اللامركزية، يبدو أن هذا أمر مريب.
قام باحثو Bybit بفحص الشفرات المصدرية لـ 166 سلسلة بلوكشين باستخدام تحليل مدفوع بالذكاء الاصطناعي بالإضافة إلى مراجعة يدوية. ووجدوا أن 16 شبكة تمتلك بالفعل قدرات تجميد الأموال المدمجة، ويمكن لعدد آخر من 19 شبكة تمكينها مع مجرد تعديلات طفيفة على بروتوكولاتها.
وعلى الرغم من أن ذلك كان مفترضًا كإجراء وقائي ضد الاختراقات والتحويلات غير القانونية، إلا أن هذه النتائج أعادت إشعال السؤال المستمر: كيف يمكن أن تكون الأنظمة التي تدعم صناعة العملات الرقمية لامركزية؟
التحقيق تأثر بحادثة بارزة: في وقت سابق من هذا العام، جمدت مؤسسة Sui أكثر من 160 مليون دولار من الأصول المسروقة بعد اختراق Cetus DEX، وهو تدخل سريع أثار جدلاً كبيرًا.
إذا كان بإمكان مؤسسة قام بتجميد محفظة قرصان لحماية المستخدمين، ما الذي يمنعها من تجميد أي شخص آخر؟
هذا التقرير يأتي في أعقاب محنة أمنية خاصة بBybit.
قبل بضعة أشهر، تعرضت البورصة لاختراق ضخم بقيمة 1.5 مليار دولار، وهو أحد أكبر الاختراقات في تاريخ العملات الرقمية. في تلك الحالة، تدخلت الجهات المركزية - مثل شركاء مثل Circle وTether قاموا بتجميد حوالي 42.9 مليون دولار من العملات الثابتة المسروقة، وساعدت بروتوكولات أخرى في استعادة أموال إضافية.
القدرة على الضغط على زر التوقف في حالة الطوارئ لها فوائد بوضوح. ولكنها أيضًا تبرز مفارقة: كلما اعتمدت الشبكات الرقمية على مثل هذه "مفاتيح القتل" لاحتواء التهديدات، كلما بدأت في التشابه مع الأنظمة المركزية التقليدية التي كان هدفها استبدالها.
تجميد أموال العملات الرقمية: دفاع عن الاختراق مقابل مخاطر اللامركزية
على سلسلة بلوكشين، يعني "تجميد" الحساب إيقاف حركة أمواله - وبالفعل جعله غير قابل للتحرك.
في الممارسة العملية، يتم ذلك عادةً بواسطة منتجي الكتل (المدققين) أو تغييرات في قواعد البروتوكول التي تمنع العناوين المدرجة في القائمة السوداء من إجراء المعاملات. وقد ظهرت هذه السلطات الطارئة كتفاعل أمام الاختراقات والاحتيالات الواسعة التي تلاحق DeFi.
المنطق وراء هذه الآلية واضح: إذا قام اللصوص بسرقة ملايين من العملات الرقمية، فقم بإيقافهم على السلسلة قبل أن يتمكنوا من غسلها.
على سبيل المثال، في أعقاب استغلال cetus بمبلغ 160 مليون دولار على Sui، نفذت المؤسسة بسرعة قائمة حظر على مستوى البروتوكول لتجميد محافظ القراصنة.
وبالمثل، قام مطورو سلسلة BNB بتشفير قائمة سوداء لوقف حركة 570 مليون دولار تم تحويلها من جسر بسلسلة متحددة في عام 2022. وحتى في عام 2019، قامت VeChain بتفعيل قائمة سوداء مماثلة بعد سرقة 6.6 مليون دولار من الرموز من محفظة المؤسسة الخاصة بها.
هذه التدخلات أثبتت فعاليتها براغماتيًا في احتواء الخسائر.
"لا يريد أحد أن يرى مئات الملايين تختفي"، كما قال أحد المحللين في الصناعة.
عبر تجميد الأصول المسروقة في مكانها، تكسب المشاريع الوقت للتحقيق، واسترجاع الأموال، أو التفاوض مع المهاجمين.**
من منظار الأمان البحت، فإن القدرة على إيقاف التعاملات هي أداة قوية في مجموعة أدوات الاستجابة للكوارث لمشغلي سلسلة البلوكشين.
ومع ذلك، يمكن أن تقوض القوة نفسها التي تستطيع وقف عملية السطو أيضًا المبادئ الأساسية للامركزية. محتوى: أيضًا، تم الإشارة إلى ذلك في التقرير – يحتوي أيضًا على وحدة قائمة سوداء مصرح بها داخليًا، والتي تعمل بطريقة مشابهة لاستدعاء العقد الذي يتم من قبل مؤسسة ترون لتجميد الحسابات (آلية ترون لم يتم تفصيلها في ملخص Bybit، ولكن من المعروف من حالات سابقة أن عقد ترون يمكن أن تُوجه لرفض المعاملات من عناوين معينة). في جميع الحالات، سواء كان التجميد مستندًا إلى الكود، أو يعتمد على الإعداد، أو مستندًا إلى العقود، فإن النتيجة النهائية هي نفسها: يمكن جعل العناوين المحددة غير قادرة على إجراء المعاملات، حسب تقدير أولئك الذين يتحكمون في الميزة. بهدوء، انتشر نوع من القالب للسيطرة على التجميد عبر مختلف أنظمة البلوكشين البيئية. من خلال البحث في مستودعات GitHub، وجدت فريق Bybit أنماطًا متكررة - هوكات في كود معالجة المعاملات، إشارات إلى متغيرات "القائمة السوداء"، أو عمليات تدقيق ضد قوائم حسابات معينة. كانت هذه موجودة في مشاريع ولغات متفرقة (مثل، سلاسل مبنية على EVM مثل BNB وChiliz مقابل سلاسل مبنية على Rust مثل Sui وAptos)، مما يشير إلى أن المطورين قد تجمعوا بشكل مستقل على فكرة أن البلوكشين يجب أن يحتوي على كابح لحالات الطوارئ. ما بدأ كردود فعل مرتجلة على الأزمات يبدو أنه أصبح اعتبارًا تصميميًا قياسيًا. والأهم من ذلك، غالبًا ما تتركز هذه الضوابط في أيدي أولئك الذين يحافظون على الكود أو يديرون عقد المصادق العليا. كما يشير التقرير بجفاف إلى أن اللامركزية "غالبًا ما تنتهي حيث يبدأ الوصول إلى عقد المصداقية".
16 سلسلة بلوكشين رئيسية مع إمكانيات للتجميد
حُدد بحث Bybit ستة عشر شبكة بلوكشين عامة التي حاليًا تحتوي على وظيفة أصلية لتجميد الحسابات أو المعاملات. وفيما يلي قائمة تلك الشبكات وآلة المعروفة التي يمكنهم بها قفل الأموال:
- Ethereum (ETH) – يمكنه تنفيذ إيقاف طارئ عبر تدخل الحوكمة (مثلًا من خلال ترقية الشبكة أو هوك EIP مشابهة لـ EIP-3074 المقترحة). بينما Ethereum لا يحتوي على وظيفة "قائمة سوداء" بسيطة مدمجة، يمكن للمطورين دفع شوكة خاصة أو استخدام مقاولات لتحقيق تجميد في حالات استثنائية، كما كان الحال مع تراجع DAO في 2016.
- BNB Chain (BNB) – يستخدم إجماع قائمة سوداء مدفوعة بعقدة المصداقية. سلسلة BNB المدعومة من قبل البورصة تحتوي على وظائف تجميد مشفرة؛ يمكن لعقد المصادقة المستنسقة من الفريق الأساسي لبينانس، أن يرفضوا معالجة المعاملات من عناوين على قائمة سوداء داخلية.
- Polygon (POL) – يوظف التنقية الديناميكية للعناوين في مجمعات المعاملات. يمكن ضبط عقد Polygon (عبر الشوك أو التحديثات) لتصفية المعاملات التي تشمل عناوين معينة، مما يمنع حسابات القائمة السوداء من أن تُدرج في الكتل الجديدة بشكل فعال.
- (يكمل بنفس النمط للمحتوى المتبقي.)المحتوى: قد يدفع الضغط التنظيمي المطورين للقول: "نحتاج إلى هذه الأداة". في الواقع، بعد هجوم وسرقة Sui بقيمة 162 مليون دولار وتجمدها، أضافت شبكة Aptos (وهي سلسلة تستخدم لغة Move كرفيق) بشكل هادئ إمكانيات تجميد إلى كودها في الأسابيع التي تلت ذلك. لقد رأوا الكتابة على الجدار: بدون آلية تجميد، لن يكون لديهم سوى خيارات قليلة إذا ضرب استغلال مماثل نظامهم البيئي.
هذا يوضح كيف يمكن أن يؤثر سابقة لمشروع واحد على الآخرين. إذا وقعت حتى بعض الحوادث البارزة الأخرى، من السهل تخيل سلسلة من السلاسل تقوم بسرعة بتنفيذ مفاتيح تجميد كامنة "في حالة حدوث ذلك".
انتشار أنماط الكود المماثلة يشير إلى درجة من التقارب الصناعي في هذه القضية. كما يذكر التقرير عن منطق التجميد على السلسلة: "إنه ليس شذوذًا - إنه يصبح نموذجًا صناعيًا". يبدو أن العديد من سلاسل الكتل الجديدة قد أخذت دروسًا (بشكل إيجابي أو سلبي) من الهجمات السابقة على الشبكات القديمة.
قد تتضمن تصميمها إمكانيات تنفيذ مركزية اختيارية، حتى إذا لم يروجوا لها.
في بعض الحالات، تم رصد تلك الإمكانيات بواسطة أداة مسح الذكاء الاصطناعي من Bybit: استعان الفريق بنموذج ذكاء اصطناعي (Claude 4.1 من Anthropic) لمسح مئات المستودعات بحثًا عن كلمات مفتاحية وهياكل كود متعلقة بالتحجيم وتصفية المعاملات.
قام هذا المساعد الذكي بالإشارة إلى عشرات الحالات المحتملة في مشاريع متنوعة.
لم تكن جميعها وظائف تجميد حقيقية - تضمنت بعض النتائج الإيجابية الخاطئة ميزات على مستوى المستخدم لم تكن في الواقع ضوابط على مستوى البروتوكول. ولكن حقيقة الحاجة إلى الأتمتة لفرز مدى انتشار ذلك تظهر مدى ضبابية حدود "التحكم اللامركزي" التي أصبحت.
اضطر الباحثون في النهاية إلى التحقق من كل حالة يدويًا، مما يوضح أن حتى الخبراء يمكن أن يجدوا صعوبة في التمييز بين الأماكن التي قد تحتوي فيها سلسلة الكتل على أدوات تحكم مخفية.
يبرز تقرير Bybit أن وجود إمكانيات التجميد في المزيد من الشبكات ليس افتراضًا. لقد أصبح بالفعل قاعدة جديدة، إذا لم يكن بحرف القانون. الفرق هو ببساطة ما إذا كان المشروع قد فعل المفتاح أم لا. يمكن للكثير منهم القيام بذلك عبر تفرع صلب أو حتى تغيير تكوين أثناء التنفيذ، مما يعني أن روح عدم التغيير المطلق في مصطلحات عملية تكون معرضة للخطر. نحن نتحرك نحو مشهد حيث أن الأغلبية من السلاسل لديها نوع من "زر التوقف" - إما نشط أو في وضع الاستعداد. هذا يرفع الرهان على الشفافية: إذا كانت هذه المفاتيح منتشرة، سيرغب المستخدمون والمستثمرون في معرفة بالضبط من يمكنه استخدامها وكيف.
الأمان البراغماتي أو التمركز المخفي؟
في الأساس، النقاش حول هذه النتائج يتلخص في معضلة كلاسيكية: هل فوائد التدخل الطارئ تفوق تكاليف اللامركزية؟
يجادل دعاة وظائف التجميد أنها إجراء أمني براغماتي - خيار ضروري في عالم يكثرفيه القرصنة والاختراقات والسرقات. بالفعل، يوثق التقرير كيف أن التجميدات أنقذت قيمة كبيرة. حيث أن الإجراءات السريعة من Sui بعد اختراق Cetus DEX أنقذت محتملًا 162 مليون دولار من أن يتم استخراجها للأبد.
حين قامت BNB Chain بإدراج في القائمة السوداء خلال اختراقها في 2022 ساعد في احتواء اختراق بقيمة 570 مليون دولار، مما منع مزيد من العدوى في نظام Binance البيئي. تجميد VeChain في 2019 لمبلغ 6.6 مليون دولار من الرموز المسروقة حمى خزينة المشروع وأموال المجتمع من الضياع الذي لا يمكن استعادته. كل من هذه الأحداث كان من الممكن أن تكون مدمرة؛ القدرة على التدخل حولتها من أن تكون قاتلة إلى مؤلمة فقط.
"بدونها، كانت اختراقات مثل Cetus أو هجوم جسر BNB يمكن أن تقضي على المستثمرين"، كما يلاحظ التقرير في دفاعه عن هذه الآليات.
ومع ذلك، كلما استخدمت إحدى السلاسل الكتل هذا النوع من التجاوز، فإنه يقتص قليلاً من جوهر الثقة اللامركزي لتكنولوجيا السلسلة الكتل. مقاومة الرقابة - الضمان أن لا أحد يستطيع منع المعاملات الصالحة - هو جزء كبير من سبب وضع الناس ثقتهم في الشبكات اللامركزية. إذا شعر المستخدمون بأن مؤسسة أو لجنة يمكنها التدخل وتجميد الأموال كما تشاء, يبدأ الفصل النفسي والقانوني من البنوك التقليدية في التلاشي. يحذر الباحثون في Bybit من أن حتى التجميدات الجيدة النية تضع سابقة:
"بمجرد أن تقوم سلسلة بتجميد الأموال مرة واحدة، من الصعب تخيل أنها لن تفعل ذلك مرة أخرى"، يكتبون. القلق هو أن ما يبدأ كإجراء استثنائي يمكن أن يتحول إلى أداة روتينية للسيطرة.
الأدلة تشير إلى أن الخط يتغير بالفعل.
وفقًا لبيانات التقرير، حوالي 70% من أحداث التجميد الموثقة وقعت عبر إجراءات على مستوى التوافق من قبل المدققين أو منتجي الكتل. هذا أمر مهم لأنَّه أعمق مستوى في النظام - يعني أن الرقابة كانت مدمجة في عملية إنتاج الكتل نفسها، وليس فقط على مستوى التطبيق السطحي. المستخدمون العاديون لن يعرفوا حتى أنه كان يحدث؛ بمجرد أن تتوقف السلسلة عن معالجة المعاملات من عناوين معينة، دون تفسير يظهر على السلسلة.
في معظم الحالات، تم اتخاذ قرارات التجميد من قبل مجالس حوكمة صغيرة، فرق مؤسسية، أو مجموعة من المطورين الأساسيين.
هذه غالبًا ما تكون هيئات غير منتخبة، أو إذا كانت منتخبة (كما هو الحال مع بعض مجموعات المدققين)، تميل لأن تكون مليئة بالمطلعين وليسوا مسؤولين مباشرة أمام ملايين المستخدمين العالميين. وبالتالي يمكن أن تشبه هذه التجميدات تصرفات بنك مركزي أو مرسوم حكومي، تنفذ بدون نوعية الرقابة والموازنة التي كان ينبغي أن تضمنها اللامركزية.
الشفافية حول هذه الإجراءات الطارئة هي جزء كبير من القلق.
في حالة Sui، تم التنسيق لتجميد الأموال عبر اتفاقيات خلف الكواليس بين المدققين المنظمين من قبل مؤسسة Sui. لم يكن هناك اقتراح على السلسلة أو تصويت مسبق من المستخدمين؛ كان رد فعل عاجل.
بالمثل، ميزة التجميد الجديدة المضافة من قبل Aptos تُدار بشكل مزعوم عبر ملفات تكوين خاصة بالمدققين، و"فقط قلة من الناس يعرفون" من يحتفظ بالقائمة السوداء أو كيف يتم اتخاذ تلك القرارات. قد يكون هذا النهج الكامن فعالًا في الأزمات، لكنه يهمش المجتمع ويفتقر إلى الشفافية.
حتى على BNB Chain، التي تعتبر مفتوحة نسبيًا حول قائمتها السوداء المبرمجة صلبًا، "يبقى التحكم بحزم مع نواة مطوري Binance"، كما يشير التحليل. أي أن القرار النهائي عمن يتم إدراجهم في القائمة السوداء على BNB يعود في الواقع إلى قيادة Binance - هيكلية سلطة تشبه أكثر شركة منها مشروع مجتمع لامركزي. وفي حالة Heco، مفتاح إداري يحتفظ به مشغلو البروتوكول يمكنه اتخاذ القرار بشأن العناوين التي تعيش أو تموت على الشبكة.
بالنسبة للمنتقدين، هذه الحقائق تؤكد الشكوك الطويلة الأمد بأن العديد من ما يوصف بـ البلوكشينات اللامركزية هي لامركزية بالاسم فقط. كما لاحظ تعليق واحد، "الخطوط بين المؤسسة، المدقق والمنظم تتلاشى بسرعة." عندما تصل الأمور إلى الحافة، يمكن لمعظم الشبكات الكبرى أن تتصرف بشكل مشابه للوسطاء المركزيين: يمكنهم تجميد الأموال، عكس المعاملات، أو حكم نشاط المستخدم بطرق قد لا يدركها المستخدمون.
المجتمع الرقمي قد شهد بالفعل نقاشات مماثلة مع قضايا مثل الامتثال لعقوبات OFAC، حيث بدأ مدققي شبكة Ethereum بفرض الرقابة على العناوين المعاقبة في الكتل في عام 2022. ويُعتبر ذلك أيضًا مُنحدر خطير حيث أدى الضغط الخارجي إلى ظهور سلوك مركزي فعليًا ضمن نظام لا مركزي.
من ناحية أخرى، يدافع داعمو الصلاحيات الطارئة أن القدروعي على التدخل ببساطة جزء من "البلوغ" للعملة الرقمية. مع نمو منصات البلوكشين ودخولها التيار الرئيسي وتحملها مليارات من القيمة، لا يمكن تجاهل واقع الاختراقات والجريمة.
حتى أن الداعمون المتشددون للامركزية قد يعترفون بأنه إذا سرقت أموالهم الخاصة، سيرحبون بتجميد في الوقت المناسب لاستعادتها. المفتاح، ربما، هو ضمان الحوكمة المناسبة والشفافية حول هذه القدرات.
ديفيد زونغ، رئيس الأمن في Bybit الذي قاد البحث، طرح الأمر بهذه الطريقة: على الرغم من أن البلوكشين قد تأسس على اللامركزية، "إلا أن بحثنا يظهر أن العديد من الشبكات تطور آليات أمان عملية للاستجابة بسرعة للتهديدات."
الأمر الحيوي، كما يقول، هو أن "الشفافية تبني الثقة" - بمعنى أنه إذا وجدت مثل هذه الآليات، يجب أن تكون معلنة بصراحة وتخضع للإشراف، وليس مخفية في الكود.
أسوأ نتيجة ستكون هي وجود أبواب خلفية سرية أو أزرار تجميد لا يتعلم المستخدمون عنها إلا عندما يكون الأوان قد فات.
بالنقيض، إذا قام مشروع بالإعلان صراحةً بأنه يحتفظ بفرملة طارئة وقدم سياسة واضحة حول كيفية ومتى تُستخدم (على سبيل المثال، فقط للاختراقات التي تتجاوز مبلغاَ معينًا، تتطلب موافقة متعددة التوقيعات، إلخ)، يمكن للمستخدمين والمستثمرين تقييم المقايضة بأنفسهم.
استجابة VeChain المذكورة سابقاً توضح. لم ينكروا تجميد الأموال - بل دافعوا عن الكيفية التي تم بها، مصورًا إياه كعمل تحكم مجتمعي بدلاً من خطوة منفردة. يشير ذلك إلى وسط محتمل: ينبغي أن يتم أي تجميد من خلال شكل من الحوكمة اللامركزية. في حالة VeChain، يدعون أن حاملي الرموز أقروا القائمة السوداء. في حالة Sui، بعد الواقع، صدق المجتمع على خطة الاستعادة عبر تصويت. رغم أن هذه الخطوات قد تكون غير مثالية (سيلاحظ النقاد أن تأثير المؤسسة يمكن أن يميل التصويت أو أن توقيت الطوارئ يمنع نقاش طويل)، إلا أنها تحاول على الأقل المحاذاة مع المبادئ اللامركزية. البديل - مجموعة قليلة من مطوري النواة يُنزعون القرار - ينحرف بشكل غير مريح نحو الأنظمة المركزية التي سعت العملة الرقمية للهروب منها.
مرت تقريبًا سنة منذ "The DAO fork" التاريخي لإثيريوم في 2016 - ويعتبر أول وسيلة تدخل في الصناديق على السلسلة. لا يزال القطاع يُصارع مع السؤال الجوهري ذاته: هل ينبغي أن تتدخل سلاسل الكتل في النشاط على السلسلة، حتى لتصحيح خطأ؟
قد لا يكون هناك جواب واحد يناسب الجميع. تأخذ الشبكات المختلفة مواقف مختلفة، من عدمية المطلقة في بيتكوين (حتى سرقات عصر ساتوشي لا يمكن عكسها) إلى سلاسل إدارة ثقيلة مثل تيزوس أو بولكادوت التي تسمح بالتعديلات بقيادة المجتمع بشكل واضح. ولكن ما هو واضح هو أن وجودآليات التجميد هذه تشوّش الثنائية بين المركزية واللامركزية.
تشغل العديد من الشبكات منطقة رمادية فيما بينها – لامركزية في العمليات اليومية، ولكن مع قدرات تحكم مركزية في السيناريوهات القصوى. ما إذا كان ينظر المرء إلى ذلك باعتباره إدارة مخاطر متبصرة أو تسوية قاتلة يعتمد على فلسفتهم وربما ما إذا كانوا قد وقعوا ضحية عملية اختراق.
أفكار ختامية
كشفت تقرير Bybit حقيقة غير مريحة: أصبح بالإمكان الآن تجميد الأموال جزءًا من مشهد البلوكشين، خاصة بين الشبكات الكبرى.
الخيار الذي يواجه الصناعة لم يعد ببساطة "المركزية ضد اللامركزية". بل هو الحكم النزيه مقابل التحكم المستتر.
المشروعات التي تعترف بقدراتها وتضعها تحت الضوابط الديمقراطية قد تحافظ على مصداقيتها – سيقولون نحن معظمنا لامركزي، باستثناء الحالات الطارئة، وإليكم بالضبط كيف يعمل ذلك.
في المقابل، إذا بقيت مثل هذه القدرات غير شفافة وغير محققة، فإنه فقط مسألة وقت قبل أن تزرع عدم الثقة أو يتم استغلالها بشكل خاطئ. ومع زيادة التدقيق التنظيمي، قد تطلب بعض السلطات القضائية حتى آليات تجميد على السلسلة (الاتحاد الأوروبي وسنغافورة قد طرحوا بالفعل أفكارًا لتوفير "فرامل الطوارئ" في القانون). قد يفضل المستثمرون المؤسسيون أيضًا الشبكات التي يمكنها التحكم في المخاطر، حتى لو كان ذلك يعني التضحية ببعض اللامركزية.
هذا يمكن أن يؤدي إلى انقسام بين السلاسل "المتوافقة" التي يمكنها التدخل والسلاسل "الأصيلة" التي ترفض، مما يعيد تشكيل هوية نظام التشفير الأساسي.
في النهاية، اللامركزية في التشفير لم تمت - لكنها تنضج وتواجه اختبارات واقعية صعبة.