آنچه به عنوان اکسپلویت Kelp DAO آغاز شد، دیگر فقط داستان یک بریج نیست، بلکه اکنون یک همه‌پرسی رمزارز در مورد نحوه رسیدگی دیفای به امنیت، سرایت و پاسخگویی است.

خسارت فوری از قبل شدید بود. اکسپلویت تقریباً ۲۹۲ میلیون دلاری به بریج rsETH پروتکل Kelp DAO ضربه زد، نگرانی‌هایی در مورد بدهی‌های بد در آوه (Aave) ایجاد کرد و به دور جدیدی از مقصریابی بین پروتکل‌ها و ارائه‌دهندگان زیرساخت انجامید.

واکنش بازار وحشیانه بود. تحلیلگران آن‌چین Lookonchain گفتند که ارزش کل قفل‌شده (TVL) آوه تقریباً ۸ میلیارد دلار کاهش یافت، پس از اینکه مهاجم از دارایی‌های مرتبط با Kelp DAO که به سرقت رفته بودند، به عنوان وثیقه استفاده کرد و حدود ۱۹۵ میلیون دلار بدهی بد بر جای گذاشت.

داده‌های The Block اکنون نشان می‌دهد که TVL آوه در طول ۴۸ ساعت گذشته کاهش شدیدی را تجربه کرده است، زیرا سرمایه‌ها به جاهای دیگر، از جمله به اسپارک (Spark)، منتقل شدند.

گسترش نمودار

The Block بعداً گزارش داد که آوه دو سناریوی احتمالی بدهی بد مرتبط با این پیامدها را مدل‌سازی کرده بود.

در همین حال، سرمایه‌های سرقت شده در اکسپلویت، پس از اینکه آربیتروم (Arbitrum) بخش بزرگی از ETH مرتبط را مسدود کرد، شروع به جابجایی بین بلاکچین‌ها کردند.

بحث امنیت دیفای

اکنون یک سؤال تند و تیز در سراسر صنعت مطرح شده است که نه درباره کارایی دیفای، بلکه درباره نوع ریسک‌هایی است که این حوزه در سال ۲۰۲۶ همچنان تحمل می‌کند.

مایکل اگوروف، بنیانگذار Curve، آن را به صریح‌ترین شکل بیان کرد. او در X نوشت: "این چه وضعی است؟ آیا ما صنعت دلقک‌ها هستیم؟" و استدلال کرد که شکست‌های اخیر مرتبط با نقاط متمرکز ضعف به صنعتی که هنوز ادعا می‌کند آینده مالی را می‌سازد، آسیب می‌رساند.

نکته گسترده‌تر او در حال تثبیت شدن است. نقض Kelp تنها یک پروتکل را تحت تأثیر قرار نداد، بلکه از طریق ترکیب‌پذیری (composability) سرایت کرد.

یک شکست واحد در بریج به ریسک وثیقه چند پروتکلی تبدیل شد. ریسک وثیقه به استرس وام‌دهی تبدیل شد. استرس وام‌دهی به برداشت‌ها منجر شد. در دیفای، ممکن است کد ماژولار باشد، اما وحشت مشترک است.

ونزائو دونگ، تحلیلگر بلاکچین در CertiK، به The Block گفت که مشکل این نیست که دیفای ذاتاً خراب است. بلکه این است که تیم‌های زیادی هنوز امنیت را به عنوان سربار می‌دانند.

دونگ گفت: "پروتکل‌هایی که از چرخه بعدی جان سالم به در می‌برند، آنهایی خواهند بود که امنیت را همانطور که امور مالی سنتی (TradFi) ریسک طرف مقابل (counterparty risk) را می‌بیند – به عنوان یک عامل حیاتی، نه یک فکر ثانویه – نگاه می‌کنند."

برایان ترونز، مدیر ارشد رشد در Succinct Labs، نکته مشابهی را به اشتراک گذاشت. او گفت که پل‌ها دیگر نباید به مدل‌های اعتبارسنجی سنگین از نظر اعتماد متکی باشند، در حالی که سیستم‌های مبتنی بر اثبات وجود دارند.

به گفته او، اکسپلویت Kelp شکستی در لایه تأیید بریج بود، نه یک باگ قرارداد هوشمند معمولی، و نشان داد که مفروضات تک امضاکننده چقدر خطرناک باقی می‌مانند.

ترونز به The Block گفت: "در این مرحله، اگر مدل اعتمادی شما کمتر از ZK (دانش صفر) است، شما به شدت سهل‌انگار هستید. شاید حتی بی‌پروا."

دیگران این انتقاد را فراتر بردند.

سرگئی کونز، هم‌بنیانگذار 1inch، گفت که این رویداد نشان داد که مدل استخر مشترک چقدر می‌تواند شکننده شود، وقتی یک دارایی بد باعث استفاده کامل و عملاً به دام افتادن وجوه کاربران شود. متیو پینوک، مدیر عملیات در Altura DeFi، افزود که سرعت برداشت‌ها نشان داد که چگونه اعتماد می‌تواند به سرعت از بین برود، هنگامی که مفروضات وثیقه شکسته می‌شوند.

دیدگاه صعودی

با این حال، همه بدبین‌تر نشدند.

تیلور موناهان، کارشناس امنیتی متامسک، مسدودسازی اضطراری ETH سرقت‌شده توسط آربیتروم را نشانه‌ای خواند که "دیفای به شدت پیروز است"، و از هماهنگی لازم برای جلوگیری از آسیب بیشتر تمجید کرد.

حسیب قریشی از Dragonfly گفت که دیفای همیشه از طریق شکست یاد گرفته است، و لحظه کنونی را با بحران‌های قبلی مانند ترا (Terra)، فروپاشی‌های حراج مارس ۲۰۲۰، و جدایی stETH از پگ مقایسه کرد. اریک وورهیز نیز استدلال مشابهی از اصول اولیه مطرح کرد: او استدلال کرد که در رمزارز، شکست‌ها نزدیک به منبع باقی می‌مانند، به جای اینکه در سراسر جامعه اجتماعی شوند، همانطور که اغلب در امور مالی سنتی اتفاق می‌افتد.

نیل می، مدیرعامل defi.com، دیدگاه کمی متفاوتی ارائه داد. می در گفتگو با The Block حدس زد که ضعف دیفای، تنها فنی نیست، بلکه تجربی نیز هست. از کاربران همچنان انتظار می‌رود که بیش از حد بفهمند، بیش از حد ریسک کنند، و در صورت بروز مشکل، بازیابی ضعیفی داشته باشند.

می گفت: "مردم باید بفهمند چه چیزی را امضا می‌کنند، آنچه را که در معرض خطر قرار می‌دهند محدود کنند، و در صورت بروز مشکل، یک مسیر بازیابی واضح داشته باشند. این به سادگی یک سطح سازمانی است که امروز در دیفای وجود ندارد. محصولاتی که اعتماد جریان اصلی را جلب می‌کنند، آنهایی خواهند بود که امنیت را نامرئی می‌کنند، نه آنهایی که از کاربران می‌خواهند تیم امنیتی خودشان باشند."

برای برخی، این ممکن است مهمترین نتیجه‌گیری از حادثه Kelp باشد.

این اکسپلویت بحث قدیمی دیفای در مورد عدم تمرکز در مقابل راحتی را دوباره زنده کرده است، اما همچنین یک بحث جدیدتر را نیز تندتر کرده است: امنیت دیگر به قراردادهای خود پروتکل ختم نمی‌شود.

یک بازار وام‌دهی می‌تواند به خودی خود سالم باشد و همچنان از طریق یک بریج بالادستی آسیب ببیند.

یک بریج می‌تواند خود را غیرمتمرکز بنامد و همچنان به یک نقطه ضعف واحد متکی باشد.

مسدودسازی اضطراری می‌تواند وجوه را نجات دهد و همچنان سؤالات ناخوشایند در مورد حاکمیت و مداخله را دوباره مطرح کند.

دشمن در سطح یک کشور-ملت

لوکاس شور، رئیس بنیاد Safe Ecosystem، به The Block گفت که الگوی بزرگتر مهم‌تر از بازی مقصریابی بر سر این است که چه کسی در نهایت سوراخ آوه را پر می‌کند.

او گفت، بازیگران مرتبط با لازاروس (Lazarus) در این ماه سرعت حملات را تسریع کرده‌اند، در حالی که هوش مصنوعی در حال تقویت شناسایی و ریسک مهندسی اجتماعی است.

از نظر شور، صنعت دیفای با یک دشمن در سطح یک کشور-ملت روبرو است که دفاعیات آن هنوز برای دوران نرم‌تری ساخته شده‌اند.

او به The Block گفت: "آنچه اکنون روشن است این است که حتی معتبرترین پروتکل‌های دیفای نیز هدف قرار گرفته‌اند. امنیت سایبری همیشه یک بازی موش و گربه بوده است. اما در حال حاضر روشن است که ما، به عنوان یک صنعت، باید دفاعیات خود را ارتقا دهیم. در غیر این صورت، اعتماد به دیفای به سرعت و به طور غیرقابل جبرانی از بین خواهد رفت."

او گفت که دقیقاً به همین دلیل است که اعداد فراتر از سرفصل‌ها اهمیت دارند. The Block در اوایل این هفته گزارش داد که زیان‌های دیفای تنها در عرض چند هفته از ۶۰۰ میلیون دلار فراتر رفته بود. اکسپلویت تقریباً ۲۸۵ میلیون دلاری Drift و تخمین زیان بازبینی شده ۲.۵ میلیون دلاری هایپر بریج (Hyperbridge) را اضافه کنید، و آوریل به ماه دیگری تبدیل می‌شود که بخش را مجبور می‌کند به سؤالات دشواری درباره مفروضات اعتماد و نظم عملیاتی پاسخ دهد.