العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 30 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
عمل تأجير الأصول في التمويل اللامركزي كاد أن يتعرض للانهيار بسبب إيصال واحد
المؤلف: Clow، بلوكتشين باللغة العامية
في 18 أبريل، تم غمر DeFi بالماء.
هذه المرة ليست سرقة من بورصة، ولا استنزاف مباشر للعقود. حصل المهاجم على مجموعة من شهادات الضمان بقيمة حوالي 290 مليون دولار، وأرسلها إلى بروتوكول الإقراض على السلسلة Aave، واقترض منها WETH وwstETH، وهي أصول ETH أسهل في التحويل إلى نقد.
هذه الشهادات تسمى rsETH، تشبه “إيصال ETH”: يضع المستخدم ETH أو أصول ذات صلة في KelpDAO، ويحصل على شهادة، ويمكنه لاحقًا استبدالها بالأصل الأساسي. أما Aave فهو مثل الرهن العقاري على السلسلة، حيث يضع المستخدم الأصول كضمان، ثم يقترض ETH أو عملات مستقرة أو أصول أخرى.
المشكلة أن المستودع وراء هذه “الإيصالات” تعرض للمشكلة.
هذا يشبه أن يحمل شخص ما سندات مخزونة منتهية الصلاحية ويذهب إلى البنك للاقتراض. الأصول في المستودع غير كافية، لكن النظام المصرفي لم يتعرف على ذلك بعد، ويستمر في إصدار القروض بالسعر الأصلي.
الأمر المحرج هو أن نوافذ البنك لم تتعطل، وعمليات القرض لم تتعطل. المشكلة الحقيقية هي في علاقة سندات المخزون والمستودع. ما واجهته Aave هذه المرة هو مشكلة مشابهة.
إذا كانت KelpDAO فقط فقدت العملات، فهذه حادثة أمنية في البروتوكول. لكن عندما تدخل الأصول المرهونة التالفة إلى Aave، فإن الأمر يتحول إلى تمرين على سحب الثقة في نظام DeFi.
من هو الأكثر تضررًا؟ ليس KelpDAO، بل الأشخاص المحتجزون
تقرير الحادث يُظهر أن الهجوم وقع في 18 أبريل 2026، الساعة 17:35 بالتوقيت العالمي المنسق. المهاجم خدع قناة rsETH التي تربط Unichain بإيثريوم، وأطلق 116,500 rsETH.
منها 89,600 rsETH تم إيداعها في Aave، واقترض منها 82,700 WETH و821 wstETH، بإجمالي حوالي 193 مليون دولار.
Aave ليس هو المخترق. عقده لم يتعطل، ونظام الأسعار لم يتعرض للهجوم مباشرة. المشكلة أن المهاجم استخدم مجموعة من “تبدو لا تزال ذات قيمة” من rsETH كضمان، واقترض من بركة Aave أصولًا جيدة حقيقية. WETH هو رصيد ETH الذي يمكن سحبه من البركة. بعد اقتراضه، لا تزال أرصدة المودعين تظهر على الورق، لكن WETH القابلة للسحب اختفت.
احتياطيات WETH في عدة أسواق وصلت إلى 100% من الاستخدام، وأرصدة غير مستخدمة منخفضة جدًا، تقريبًا غير موجودة. الأمر للمستخدمين يعني:
لديك مال، لكنك لا تستطيع سحبه الآن.
هذا يشبه تمامًا إحساس توقف البورصات عن سحب الأموال، لكن بشكل أكثر وضوحًا على السلسلة. الصفحة لن تقول لك “الأموال اختفت”، بل ستقول “لا توجد سيولة الآن”. المودعون يرون الرصيد، لكن المخرج الحقيقي مفقود.
لاحقًا، قامت Aave بتجميد rsETH، wrsETH، واحتياطيات WETH في عدة أسواق. المشكلة ليست أن المستخدم أخطأ، بل أن النظام يجب أن يغلق المدخل أولًا.
وهذا هو الجزء الذي يصعب على الكثيرين فهمه في البداية. Aave لم يُخترق وسُرقت أصوله مباشرة، لكن الأصول المرهونة التي استقبلها أصبحت فجأة غير موثوقة. المودعون يظنون أنهم فقط وضعوا ETH في بركة إقراض، لكن طرفًا آخر في البركة استعمل شهادات ضمان سيئة لاقتراض أصول جيدة.
هذه ليست سرقة من خزنة، بل خداع للحارس
قناة KelpDAO عبر الربط بين السلاسل تستخدم LayerZero. الجسر بين السلاسل يشبه نظام تحويل بين مستودعين: يُقفل rsETH في إيثريوم، وتصدر شهادة مقابلة على السلسلة الأخرى؛ وعند عودة المستخدم، يتأكد النظام من أن الشهادة على الجانب الآخر قد تم تدميرها، ثم يطلق rsETH من مستودع إيثريوم.
كلما زاد عدد الأشخاص الذين يتحققون من هذه الرسالة، زادت الأمان. لكن KelpDAO كانت في ذلك الوقت تعتمد على DVN واحد فقط، حيث مصدر التحقق الوحيد هو شبكة تحقق واحدة. شخص واحد يختتم، وشخص واحد يوافق.
عقد RPC يشبه “نافذة تدقيق الحسابات”. وفقًا لـ LayerZero، هاجم المهاجم عقدي RPC اثنين، وشن هجوم DDoS على RPC خارجي لم يُخترق، مما أجبر شبكة التحقق على قراءة الحالة من مصدر بيانات غير موثوق. ونتيجة لذلك، رأى المدققون رسالة غير موجودة: يبدو أن هناك تدميرًا كافيًا لـ rsETH على السلسلة الأخرى، ويمكن سحب العملات من إيثريوم.
عقد إيثريوم على الجانب الآخر صدق، فتم إطلاق 116,500 rsETH.
كل خطوة على السلسلة تبدو كصفقة طبيعية. توقيع، رسالة، عملية، وكل شيء صحيح. لكن وراء الكواليس، لم يحدث شيء من ذلك. الكود ينفذ بناءً على الإدخال، لكن الإدخال تم تزييفه.
هذا أكثر إرباكًا من ثغرة عقد عادية. ثغرة العقد يمكن تحديدها بسطر واحد من الكود، لكن هذه الحالة تشبه أن يتم استبدال شاشة المراقبة، والبواب يفتح الباب وفقًا للإجراءات. الباب يُفتح بشكل قانوني، لكن الشخص خارج الباب لا ينبغي أن يدخل.
لذا، فإن الأمر المقلق حقًا في هذه الحادثة هو أن العديد من البنى التحتية الموثوقة بشكل افتراضي، مثل الجسور، والعقد، وشبكات التحقق، يمكن أن تكذب. الجسور، العقد، وشبكات التحقق، كلها تعمل في الخلفية، وعند وقوع مشكلة يمكن أن تكتب مصير الأصول بشكل مباشر.
لماذا تم سحب أصول الضمان السيئ إلى Aave؟
أكثر ما يخشاه بروتوكول الإقراض هو تقلب الأسعار. تقلب الأسعار يمكن أن يؤدي إلى التصفية. المشكلة أن الأصول المرهونة لا تزال تبدو ذات قيمة، لكن الدعم وراءها قد انهار.
rsETH هو في الأصل إيصال ETH، وله بنية إضافية. عند الانتقال إلى شبكات Layer 2 مثل L2، يضاف خطر الجسر مرة أخرى. وعند دخوله إلى Aave، يتحول إلى صندوق ربحية رأس المال، لكنه في الواقع صندوق مخاطر.
إذا انخفض سعر ETH، يمكن لـ Aave أن يقوم بالتصفية وفقًا للقواعد. لكن مشكلة rsETH ليست مجرد انخفاض السعر، بل “هل يمكن استبدال هذا الإيصال بالسلعة مرة أخرى”. إذا لم يكن هناك جواب على هذا السؤال، فإن التصفية تصبح محرجة، لأن السوق قد لا يرغب في استلام الأصول.
تقرير حادث Aave قدم سيناريوهين لديون معدومة: إذا تحمل جميع حاملي rsETH الخسارة معًا، فإن الديون المحتملة تبلغ حوالي 123.7 مليون دولار؛ وإذا تم عزل rsETH على Layer 2، فإن الديون المحتملة تقدر بـ 230.1 مليون دولار، مع ضغط رئيسي على Mantle وArbitrum.
الفارق بين الرقمين كبير، لكنه يتحدث عن نفس الشيء: Aave لم يخسر بسبب خلل في المنطق البرمجي، بل بسبب المبالغة في تقدير موثوقية “إيصال ETH” هذا. المهاجمون كانوا على علم بذلك، لذلك لم يبيعوا rsETH بسرعة، بل وضعوا الأصول السيئة كضمان، واقترضوا الأصول الجيدة.
في الماضي، كان الناس يمدحون التوافقية: أصول بروتوكول واحد يمكن أن تدخل بسلاسة إلى بروتوكول آخر. لكن هذه المرة، رأينا الجانب السلبي. ثغرة بروتوكول واحد يمكن أن تنتقل بسلاسة إلى بروتوكول آخر.
ملخص
تقرير Aave يُظهر أنه حتى 20 أبريل، كانت خزينة DAO تحتوي على حوالي 181 مليون دولار من الأصول. وفي 24 أبريل، اقترحت خطة إنقاذ: تحالف الإنقاذ DeFi United، الذي ينسق بين عدة أموال، لملء فجوة ضمان rsETH.
الخطة تشمل 40,400 rsETH مجمدة في KelpDAO، و30,800 ETH مجمدة في مجلس أمن Arbitrum، وأقصى ائتمان بقيمة 30,000 ETH من Mantle، و2,500 ETH من Aave DAO.
Circle أيضًا تورطت. فهي شركة إصدار العملات المستقرة USDC، وبدأت تهتم بسوق الإقراض. هذا ليس خيرًا، بل حماية لصناعة كاملة.
وهذا يفسر سرعة الاستجابة. Aave ليست موقعًا معزولًا، بل هو مكان يمر عبره العديد من المحافظ، واستراتيجيات العائد، وتداول العملات المستقرة، وأموال السوق. إذا توقفت هذه المنصة، ستتأثر العديد من البروتوكولات الأخرى بشكل مباشر.
USDC لا يمكن أن يتداول في DeFi بدون Aave، فهي سوق الإقراض الأساسية. إذا توقفت البركة لفترة طويلة، فإن استخدام العملات المستقرة سيتضرر. لذا، إنقاذ Aave ليس فقط إنقاذ بروتوكول، بل إنقاذ مسار تدفق الأموال.
الأسئلة التي تتركها هذه الحادثة ليست هل سيموت Aave، بل كم من الأصول “تشبه ETH” ستظل مرتبطة بجسور، وعقد RPC، وعقد التحقق، وإعدادات غير مرئية.
DeFi لا يمتلك بنك مركزي، لكنه يمتلك الآن مجموعات إنقاذ مؤقتة، وتصويتات على الخزينة، وشركات عملات مستقرة، وحدود ائتمان.
هذه هي الحقيقة: يمكن أن يكون بلا مركزية، لكنه لا يمكن أن يفتقر إلى الثقة. كل طبقة إضافية من الأصول تزيد من الكفاءة، وتخفي المسؤولية بشكل أعمق.
وهذا ليس أكثر نقاءً في المالية.
الأصول المرهونة التالفة هي الأغلى.