#ResolvLabsHitByExploitAttack

لقد تعرض قطاع التمويل اللامركزي (DeFi) مرة أخرى للهزة بسبب فشل أمني كبير، حيث عانت Resolv Labs من استغلال عالي التأثير كشف عن نقاط ضعف حرجة ليس في كود العقود الذكية بل في معمارية النظام الأوسع وراءه. ما بدا في البداية أنه بروتوكول روتيني تحول بسرعة إلى اختراق بمليارات الدولارات، محطما الثقة، وزعزعا استقراراً للعملة المستقرة الخاصة به، ومرسلاً موجات صدمة عبر منصات DeFi المترابطة.

في قلب الحادثة تقع العملة المستقرة USR الأصلية من Resolv، التي تم تصميمها للحفاظ على ربط الدولار من خلال استراتيجية محايدة الدلتا. ومع ذلك، كشف الهجوم عن نقص مميت: النظام اعتمد على آلية توقيع خارج السلسلة يتحكم بها مفتاح خاص بصلاحيات محدودة. بمجرد اختراق هذا المفتاح، حصل المهاجم على القدرة على تجاوز قيود الصك الطبيعية وتوليد كميات ضخمة من التوكنات غير المدعومة. بالناحية العملية، كان بإمكان المهاجم "طباعة" القيمة من العدم — وهذا بالضبط ما حدث.

باستخدام كمية صغيرة نسبياً فقط من الضمان، قام المهاجم بصك ما يقرب من 80 مليون رمز USR، وهي كمية لا تتناسب بشدة مع قيمة الإدخال. كان هذا ممكناً لأن العقد الذكي لم يفرض التحقق الصارم على السلسلة من حدود الصك — بل اعتمد ببساطة على التوقيع خارج السلسلة. هذا القرار التصميمي الواحد تحول إلى أكبر نقطة ضعف في البروتوكول، مثبتاً مرة أخرى أنه في DeFi، الأمان قوي فقط بقدر قوة الطبقة الأضعف — سواء على السلسلة أو خارجها.

بمجرد صك التوكنات، تحرك المهاجم بسرعة واستراتيجية. تم تحويل USR غير المدعومة إلى نسخ موثوقة، ثم تبديلها عبر الصرافات اللامركزية إلى أصول أكثر سيولة واستقراراً مثل USDC، قبل أن يتم تحويلها في النهاية إلى Ethereum. بنهاية الاستغلال، كان المهاجم قد استخرج ما يقرب من 23-25 مليون دولار من القيمة، مُثبتاً السرعة والفعالية القتاليتين اللتين يتم بهما تنفيذ استغلالات DeFi الحديثة.

كان تأثير السوق فوري وقاسي. كان من المفترض أن تحافظ USR — على ربط $1 مستقر — لكنها انهارت بشكل درامي، وفقدت في لحظة ما 70-80% من قيمتها، محطمة فعلياً وعدها الأساسي كأصل مستقر. أثار حدث كسر الربط هذا تأثيرات متتالية عبر نظام DeFi البيئي، لا سيما في البروتوكولات التي دمجت USR كضمان أو سيولة. كانت منصات الإقراض واستراتيجيات الخزائن وأنظمة العائد التي اعتمدت على USR فجأة معرضة لخسائر ضخمة، مُظهرة مدى الترابط والهشاشة التي يمكن أن تكون عليها قابلية التكوين في DeFi أثناء أحداث الأزمات.

في الرد السريع، تحركت Resolv Labs لإيقاف وظائف الصك والاسترجاع في محاولة لاحتواء الضرر ومنع المزيد من الاستغلال. ومع ذلك، في تلك النقطة، كان الضرر قد انتشر بالفعل عبر طبقات متعددة من النظام البيئي، بما فيها برك السيولة والخزائن الإقراضية التي استمرت في العمل مؤقتاً حتى بعد بداية الاستغلال — مما زاد من الخسائر من خلال أوقات رد الفعل المتأخرة.

ما يجعل هذا الاستغلال بشكل خاص مهماً هو أنه لم يكن اختراق عقد ذكي تقليدياً. عملت العقود بالطريقة المخطط لها. بدلاً من ذلك، جاء الفشل من:

الاعتماد المفرط على البنية التحتية خارج السلسلة
عدم وجود التحقق على السلسلة للوظائف الحرجة
التحكم المركزي عبر مفتاح خاص مخترق

وهذا يشير إلى اتجاه متنامٍ في استغلالات DeFi: مع تعقد البروتوكولات وتكاملها للأنظمة الخارجية، يتسع سطح الهجوم خارج الكود إلى البنية التحتية وإدارة المفاتيح والأمان التشغيلي.

من منظور السوق الأوسع، يعزز هذا الحادث عدة حقائق أساسية. أولاً، العملات المستقرة مستقرة فقط بقدر تصميمها وضوابط المخاطر — وليس ماركتها. ثانياً، قابلية التكوين في DeFi، بينما قوية، تخلق مخاطر نظامية حيث فشل بروتوكول واحد يمكن أن ينتشر عبر منصات متعددة. ثالثاً، الأمان في العملات المشفرة الحديثة لم يعد فقط عن التدقيقات؛ فهو يتطلب مراقبة في الوقت الفعلي وحماية آلية وقيود صارمة على الوصول المتميز.

من وجهة نظري، استغلال Resolv هو تذكير واضح بأن المرحلة التالية من تطور DeFi لن تكون مدفوعة فقط بالابتكار أو العائد — بل ستُعرّف بواسطة معمارية الأمان وتقليل الثقة. ستبقى البروتوكولات التي تستمر في الاعتماد على نقاط تحكم مركزية، حتى بشكل غير مباشر، عرضة للهجوم بغض النظر عن مدى تعقيد منطقها على السلسلة.

في الخلاصة، لم يكن هذا مجرد استغلال آخر — بل كان فشل تصميمي تمت مواجهته تحت الضغط. تم فقدان عشرات الملايين من الدولارات، وانهارت عملة مستقرة، واهتزت الثقة في نظام DeFi آخر. لكن الأهم من ذلك، فقد سلط الضوء على مشكلة أعمق: في نظام مصمم للقضاء على الثقة، لا تزال الثقة موجودة — فقط في أماكن مختلفة. والمهاجمون يعرفون بالضبط أين يجدونها.