سيناريو السوق الهابط «الكلاسيكي» يتكرر مجددًا، استعراض حادثة «السرقة البرقية» لـ Resolv Labs وحدث انفصال USR عن سعره الأساسي

كتابة: جليندون، أخبار تيكوب

في 22 مارس، تعرض مطور بروتوكول التمويل اللامركزي (DeFi) الذي يركز على تطوير عملة مستقرة ذات فائدة لامركزية، Resolv Labs، لهجوم من قبل قراصنة. تظهر البيانات على السلسلة أن عنوان المهاجم الذي يبدأ بـ «0 x04 A2» قام فقط بإيداع 100,000 USDC، ثم استغل ثغرة في البروتوكول ليقوم بعمل 50 مليون USR عملة مستقرة. بعد ذلك، كرر المهاجم نفس الحيلة، حيث قام بعمل 30 مليون USR باستخدام 100,000 USDC أخرى. خلال هذه الفترة، أكد حساب Resolv Labs الرسمي على تويتر أن البروتوكول تعرض للهجوم، وأن الفريق أوقف جميع وظائف البروتوكول ويعمل على استعادته.

ومع ذلك، كان الوقت قد فات. حيث تدفقت بسرعة حوالي 80 مليون USR غير مدعومة بأصول إلى السوق، مما أدى إلى انفصال العملة المستقرة USR عن سعرها المرجعي بسرعة. بالإضافة إلى ذلك، بسبب نقص السيولة في السوق، حدثت انزلاقات سعرية حادة أثناء تنفيذ الصفقات، مما زاد من هبوط USR. تظهر بيانات CoinMarketCap أن USR انفصل عن السعر المرجعي إلى حوالي 0.06 دولار، بانخفاض يزيد عن 94% (حاليًا، تعافت USR إلى حوالي 0.32 دولار، ولا تزال في حالة «انفصال شديد»). ومن الجدير بالذكر أن مسار استرداد المهاجم كان واضحًا وسريعًا، حيث اكتمل خلال بضع ساعات. قام بتحويل USR غير القانونية إلى wstUSR، ثم باع كميات كبيرة على بورصات لامركزية مثل Curve وUniswap، مقابل USDC وUSDT، ثم حول هذه العملات المستقرة إلى إيثريوم بقيمة تقارب 25 مليون دولار، ونجح في غسل أرباحه من الهجوم بسرعة البرق.

في ظل بيئة السوق الضعيفة أصلاً، فإن هجوم Resolv Labs يمثل ضربة أخرى لثقة الصناعة، ويُعتبر تكرارًا لـ «سيناريو الكساد» الذي يروّج له مجتمع التشفير. السبب وراء الهجوم لا يزال هو نفس السبب القديم: «مشاكل تصميم آلية إصدار العملة».

تتبع الثغرة: ثلاث خروقات في آلية الإصدار

أولاً، من المهم أن نوضح أن نظام العملة المستقرة Resolv يعتمد على هيكل مكون من طبقتين. USR هي عملة مستقرة مربوطة بالدولار الأمريكي بنسبة 1:1، ويمكن للمستخدمين إصدارها عن طريق إيداع ETH أو BTC. يستخدم البروتوكول استراتيجية Delta محايدة، تسمح بفتح مراكز بيع طويلة أو قصيرة بقيمة معادلة على ETH/BTC لموازنة مخاطر تقلب السعر، مما يحافظ على استقرار USR. كما يمكن لحاملي USR الحصول على جزء من أرباح البروتوكول، والمشاركة في تجمعات الأرباح عبر بروتوكولات DeFi مثل Pendle وSommelier.

وفي الوقت نفسه، أدخلت Resolv رمز مزود السيولة الخاص بها (RLP) ليعمل كـ «صندوق تأمين» لامتصاص الخسائر المحتملة من استراتيجيات التحوط، مثل عمليات التصفية، والانزلاقات السعرية، وتقلبات رسوم التمويل. خلال الهجوم، لم ينجُ RLP من الضرر، حيث انخفض سعره من 1.38 دولار إلى 0.23 دولار، بانخفاض يزيد عن 83%. حاليًا، ارتفع سعر RLP إلى 0.98 دولار.

كيف تعرضت Resolv Labs للهجوم؟ وفقًا لتحليلات شركة الأمن السيبراني PeckShield وعدة محللين على السلسلة، فإن السبب الجذري للهجوم هو وجود عيوب خطيرة في التحكم في صلاحيات عقد الإصدار وآلية التحقق في عقد الإصدار. أولاً، ثغرة قاتلة في التحكم بالصلاحيات. في العمليات العادية، يتعين على المستخدمين إيداع ضمانات لإصدار USR، ويجب أن يكون عدد العملات المصدرة مرتبطًا بقيمة الضمان بنسبة 1:1. لكن المهاجم استغل صلاحية SERVICE_ROLE، وتجاوز عملية التحقق من قيمة الضمان، وضبط عدد العملات المصدرة ليكون رقمًا فلكيًا، مما مكنه من إصدار 80 مليون USR باستخدام 200,000 دولار من USDC، وهو عملية ذات رفع مالي عالي جدًا.

هذه الثغرة في التصميم تعود إلى أن صلاحية SERVICE_ROLE تملك القدرة على تحديد كمية الإصدار مباشرة، وتعتبر «صلاحية فائقة». وبما أن البروتوكول لم يعتمد على توقيعات متعددة أو شبكة توقيع لامركزية، وإنما يعتمد على توقيعات فردية أو قليلة، فإن تسريب المفتاح أو اختراقه يؤدي إلى انهيار النظام على الفور.

ثانيًا، غياب آلية التحقق من المبالغ على السلسلة يُعد خطرًا أمنيًا كبيرًا. يعتمد عقد الإصدار في Resolv بشكل كامل على توقيعات خارج السلسلة لتحديد كمية الإصدار، ولم يتم تحديد حد أقصى على المبالغ (مثل حد أقصى 1 مليون USR لكل عملية)، ولم يتم إدخال أوتوماتيكية لمقارنة قيمة الضمان مع كمية الإصدار عبر أوامر ذكية أو أوامر خارجية (Oracle). هذا يعني أنه طالما أن المهاجم يسيطر على التوقيعات الخارجية أو يحصل على الصلاحيات، يمكنه إصدار USR بحرية، دون النظر إلى مدى كفاية الضمانات. هذا النقص في التحقق هو الذي مهد الطريق للهجوم.

ثالثًا، استراتيجية Delta محايدة تحمل مخاطر محتملة. تستخدم Resolv استراتيجية Delta لإصدار USR، لكن هذا الهجوم يكشف عن ضعف في تصميم هذه الاستراتيجية. إذ أن آلية Delta تتطلب ارتباطًا وثيقًا بين إصدار العملة والتوقيعات الخارجية والأوتوماتيكية، وهذه النقاط تمثل نقاط ضعف محتملة للهجمات. فإذا حدث خلل في التوقيعات الخارجية أو الأوتوماتيكية، فإن آلية الإصدار قد تتعطل أو تتعرض للاختراق.

في فجر اليوم، أصدر فريق Resolv بيانًا يوضح فيه أسباب الهجوم. وأشار إلى أن الهجوم نجم عن تدخل غير مصرح به من طرف خارجي، بما في ذلك اختراق للبنية التحتية والهجمات الإلكترونية. واستغل المهاجمون تسريب مفاتيح خاصة للوصول غير المصرح به إلى بنية Resolv التحتية، مما أدى إلى إصدار غير مرخص لما يقارب 80 مليون دولار من USR غير مدعوم بأصول.

وفي الوقت نفسه، أعلن الفريق أن حوالي 9 ملايين USR التي يملكها المهاجم قد تم تدميرها بنجاح. ويشمل إجمالي المعروض من USR قبل الهجوم حوالي 102 مليون USR، بالإضافة إلى حوالي 71 مليون USR تم إصدارها بشكل غير قانوني بعد الهجوم. ولتقليل الخسائر واستعادة النظام، يخطط الفريق لتمكين وظيفة استرداد USR قبل الهجوم، بدءًا من المستخدمين المدرجين في القائمة البيضاء. وأكد مرة أخرى أن الأصول المضمونة الأساسية لم تتأثر مباشرة، وأنهم يراقبون ويحاولون السيطرة على USR غير القانونية والأصول المتأثرة الأخرى.

هذه الخطوة تمثل إجراءً أوليًا من Resolv Labs لتعويض المستخدمين الأوائل، وتظهر أن الشركة تبذل جهودًا لتخفيف الخسائر واسترداد الأموال. ومع ذلك، فإن هذا الحدث تسبب في رد فعل متسلسل في الصناعة.

ردود الفعل والتبعات

أثر حادث Resolv Labs بشكل مباشر على استقرار USR، حيث انخفضت بشكل كبير، وتراجع سعر العملة الأصلية RESOLV بأكثر من 16% ليصل إلى 0.052 دولار. كما تأثرت العديد من بروتوكولات DeFi الأخرى، حيث انهارت سيولة USR/USDC على Curve، وتعرضت سوق الإقراض Morpho التي تدعم USR وwstUSR لضغوط كبيرة، مع احتمالية التصفية القسرية للعديد من المستخدمين بسبب انفصال USR عن السعر المرجعي.

ومع ذلك، قال Paul Frambot، أحد مؤسسي Morpho، عبر تويتر إن تأثير الهجوم على Morpho لم يكن كبيرًا كما يُشاع، وأنه أثر بشكل رئيسي على USR والأصول المرتبطة، وعلى سوق الإقراض المدعوم بها. في حوالي 500 حساب في Morpho، يوجد حوالي 15 حسابًا معرضًا بشكل كبير للمخاطر المرتبطة بالسوق المتأثرة (بقيمة تتجاوز 10,000 دولار).

بالإضافة إلى ذلك، لم تتأثر بشكل كبير البروتوكولات الأخرى المرتبطة بـ Resolv، ولكنها اضطرت لاتخاذ إجراءات طارئة لحماية مستخدميها. على سبيل المثال، أكد بروتوكول إدارة المخاطر DeFi، Gauntlet، أن منصة Gauntlet USD Alpha لا تمتلك مراكز في USR أو RLP، وأن حساباتها غير متأثرة، وأنها تتفاوض مع Resolv لإيجاد حلول، وأنها تضع خطة لتعويض المستخدمين المتضررين.

كما أعلنت منصة Fluid أنها حصلت على قروض قصيرة الأجل لتغطية جميع الديون غير السوية، لضمان أمان أموال المستخدمين. وذكر مؤسس Aave، Stani.eth، أن بروتوكوله لا يمتلك تعرضًا لعملة USR المستقرة من Resolv، وأن Resolv يقتصر على تقديم السيولة، وأن الأصول المرتبطة لا تزال آمنة. أما البروتوكولات التي تستخدم USR كأصول ذات فائدة، مثل Pendle وSommelier، فهي لم تتعرض لخسائر مباشرة، لكن عوائدها وقيم أصولها تأثرت بشكل غير مباشر.

وهذا يسلط الضوء على واقع قاسٍ في بيئة DeFi: فشل بروتوكول واحد قد يؤدي إلى «سقوط متسلسل» لبروتوكولات أخرى، خاصة إذا كانت الأصول المستخدمة كضمانات واسعة الانتشار. وحتى لو لم تتعرض البروتوكولات نفسها للاختراق، فإنها تتضرر من سمعة وأضرار مرتبطة بالمخاطر المرتبطة بالمشاريع المرتبطة.

خلال فترة الحادث، قام المهاجم ببيع USR غير القانونية تدريجيًا على منصات مثل Curve وUniswap، مما أدى إلى تقلبات حادة في الأسعار. وانهيار قيمة USR أدى إلى خسائر حقيقية للمزودين بالسيولة، حيث تعرضوا لـ «خسائر غير متجانسة»، وأصبحوا يمتلكون أصولًا غير مستقرة، مما زاد من المخاطر النظامية.

على نطاق أوسع، فإن حادث Resolv Labs ليس مجرد فشل لمشروع واحد، بل هو ضربة أخرى لثقة المستثمرين في سوق التشفير، وقد يثير أزمة ثقة جديدة في العملات المستقرة. فشل العملات المستقرة في الحفاظ على استقرارها يهدد استقرار النظام البيئي بأكمله، ويزيد من الشكوك حول جدوى «العملات المستقرة الخوارزمية» و«العملات المستقرة ذات الفائدة». قد يدفع ذلك بعض المستثمرين الحذرين إلى سحب استثماراتهم من بروتوكولات DeFi عالية المخاطر، والانتقال إلى أصول أكثر أمانًا أو استراتيجيات تحوط.

ويُعد هذا الحدث بمثابة جرس إنذار للصناعة بأكملها، خاصة في ظل استمرار السوق في دورة هبوطية، حيث تزداد أهمية التوعية بالمخاطر. إن الاعتماد المفرط على توقيعات خارج السلسلة دون تحقق على السلسلة، يُعتبر «انهيارًا لنموذج الثقة»، ويجب أن تتبنى البروتوكولات آليات أكثر أمانًا، مثل التوقيعات متعددة الأطراف، واستخدام شبكات أوتوماتيكية مثل Chainlink وPyth، وتضمين آليات إيقاف تلقائية لزيادة الأمان.

وفيما يخص الاستجابة الطارئة، فإن فريق Resolv تأخر في إيقاف البروتوكول بعد أكثر من ساعتين من الهجوم، مما يبرز الحاجة إلى بناء أنظمة استجابة سريعة وذاتية التفعيل لمواجهة الأزمات بشكل أكثر فاعلية.

الخاتمة

حتى وقت كتابة هذا التقرير، لم تعلن Resolv Labs عن خطة تعويض شاملة. ولا تزال هناك أسئلة حول تعويض المستخدمين الذين لا زالوا يحملون USR أو تعرضوا للخسائر بسبب الانفصال عن السعر، وكذلك حاملي رموز RLP الذين تضرروا من تآكل قيمة صندوق التأمين. السوق يترقب عن كثب ما ستفعله الشركة لاحقًا.

هذه الحادثة تثير تساؤلات مهمة حول ما إذا كانت «اللامركزية» في DeFi مجرد ثورة في الهيكل التقني، أم إعادة بناء لنموذج الثقة. عندما يختل التوازن بين الابتكار والأمان، قد يكون الحل الوحيد هو العودة إلى مبدأ «أقل قدر من الثقة» كأساس لضمان استدامة النظام.