٢٢ مارس ٢٠٢٦ شهد حادثة أمنية كبيرة أخرى تتعلق بالعملات المستقرة في سوق العملات الرقمية. فقد تم استغلال العملة المستقرة USR، الصادرة عن Resolv Labs، نتيجة ثغرة في البروتوكول. خلال بضع ساعات فقط، تمكن المهاجمون من سك عملات USR بقيمة ٨٠ مليون $ من خلال عمليات غير مصرح بها. هذا "السك من العدم" أدى فورًا إلى فقدان USR ارتباطها بالدولار الأمريكي، لتنهار قيمتها إلى ٠٫٠٢٥ $ فقط — أي انخفاض يتجاوز %٩٥. ورغم أن فريق المشروع أكد أن الأصول الضمانية الأساسية لم تُسرق مباشرة، إلا أن انهيار الثقة والسيولة في السوق تسبب في خسائر فادحة لحاملي العملة. تقدم هذه المقالة تحليلاً معمقًا للحادثة من عدة زوايا، تشمل الخط الزمني، التفاصيل التقنية للثغرة، معنويات السوق، المقارنات التاريخية، واستراتيجيات الوقاية المستقبلية.
"تضخم العرض" الناتج عن فقدان السيطرة على السك
في الساعات الأولى من ٢٢ مارس ٢٠٢٦ (بتوقيت UTC+8)، تعرض بروتوكول Resolv لهجوم خطير. استغل المهاجم ثغرة في ضوابط الصلاحيات لعقد السك الأساسي، فتجاوز عملية الضمان المعتادة، وباستخدام مبلغ ضئيل كرهن، قام بسك كمية ضخمة من عملات USR من العدم.
تُظهر بيانات البلوكشين أن المهاجم أودع أولاً ما بين ١٠٠٬٠٠٠ و٢٠٠٬٠٠٠ USDC في عنوان عقد سك USR (مع وجود اختلافات طفيفة حسب مصادر البيانات). ثم فعّل ثغرة العقد، وقام بسك ما مجموعه ٨٠ مليون USR عبر عمليتين — الأولى بقيمة ٥٠ مليون، والثانية بقيمة ٣٠ مليون.
- وقت الهجوم: حوالي ٢٢ مارس ٢٠٢٦، ٠٢:٢١ UTC
- إجمالي العملات المسكوكة: حوالي ٨٠٬٠٠٠٬٠٠٠ USR
- التكلفة الأولية: حوالي ٢٠٠٬٠٠٠ USDC
- ربح المهاجم: بعد تحويل USR المسكوكة إلى USDC وUSDT عبر منصات التداول اللامركزية، اشترى المهاجم حوالي ١١٬٤٠٠ ETH بقيمة تقريبية ٢٣٫٦ مليون $.
عقب الحادثة، انهارت أسعار USR في أهم مجمعات السيولة مثل Curve Finance بسرعة، لتصل إلى أدنى مستوى عند ٠٫٠٢٥ $. استجاب فريق Resolv بسرعة، حيث أوقف جميع وظائف البروتوكول وأصدر بيانًا يؤكد أن "مجمع الضمان بقي سليمًا" وأنه لم يحدث فقدان مباشر للأصول الأساسية. إلا أن ذلك لم ينجح في تهدئة السوق.
من تراجع القيمة السوقية إلى انفجار الأزمة
لفهم الحادثة، من المهم استعراض خلفية بروتوكول Resolv وعملته المستقرة USR. Resolv هو بروتوكول عملة مستقرة مبني على Ethereum. عملة USR ليست عملة مستقرة تقليدية مدعومة بالنقد؛ بل تعتمد على استراتيجية تحوط "دلتا-محايدة"، حيث تستخدم ETH وBTC كضمان، وتتحوط ضد تقلبات الأسعار عبر أسواق المشتقات للحفاظ على ارتباط ١:١ مع الدولار الأمريكي.
أبرز المحطات:
- أبريل ٢٠٢٥: أعلن Resolv عن جولة تمويل أولية بقيمة ١٠ ملايين $ بقيادة Cyber.Fund وMaven11، مع مشاركة Coinbase Ventures وجهات أخرى. وذكر الفريق أنه أجرى ١٤ تدقيقًا أمنيًا، إضافة إلى برنامج مكافآت اكتشاف الثغرات عبر Immunefi.
- أوائل فبراير ٢٠٢٦: بلغت القيمة السوقية لـ USR ذروتها المؤقتة عند حوالي ٤٠٠ مليون $. بعد ذلك مباشرة، بدأت تدفقات رأسمالية كبيرة بالخروج.
- فبراير–مارس ٢٠٢٦: تراجعت القيمة السوقية لـ USR بسرعة من ٤٠٠ مليون $ إلى حوالي ١٠٠ مليون $ قبل الهجوم — أي انخفاض بنسبة %٧٥.
مخطط سعر العملة المستقرة Resolv USR، المصدر: CoinGecko
- ٢٢ مارس ٢٠٢٦، ٠٢:٢١ UTC: استغل المهاجم الثغرة وسك ٥٠ مليون USR.
- حوالي ٠٢:٣٨ UTC: سك ثانٍ بقيمة ٣٠ مليون USR، مع بدء الأسعار في فقدان الارتباط بشكل حاد.
- بعد ٠٣:٠٠ UTC: أكد Resolv رسميًا وقوع الهجوم وأعلن إيقاف وظائف البروتوكول.
أدى التراجع السريع في القيمة السوقية قبل الهجوم إلى تكهنات في المجتمع حول بيع داخلي من قبل المطلعين. وبينما لا يمكن تأكيد نشاط داخلي، إلا أن ذلك عكس هشاشة البروتوكول قبل الأزمة. فقد خلقت السيولة المنخفضة "عاصفة مثالية" للمهاجمين لتصريف عملاتهم.
قد يكون المهاجمون اكتشفوا الثغرة أو حصلوا على صلاحيات خاصة في وقت سابق، ثم اختاروا التنفيذ عندما كان إجمالي القيمة المقفلة منخفضًا والسيولة ضعيفة لتحقيق أقصى ربح.
أين كان السبب الجذري؟
المشكلة الأساسية كانت "السك غير المصرح به". ووفقًا لشركات أمن البلوكشين مثل Cyvers وPeckShield، بالإضافة إلى محللين على السلسلة، لم تكن الثغرة خطأ معقدًا في العقد الذكي، بل كانت فشلًا فادحًا في إدارة الصلاحيات.
تحليل الثغرة
| بُعد التحليل | التفاصيل |
|---|---|
| نوع الثغرة | خلل في التحكم بالصلاحيات / ثغرة في إدارة الوصول |
| الدور الأساسي | SERVICE_ROLE (دور الخدمة) |
| حامل الصلاحية | حساب خارجي واحد، وليس عقد توقيع متعدد |
| الآليات المفقودة | لا يوجد حد أقصى للسك، ولا تحقق من أوراكل الأسعار، ولا فحوصات للكمية |
| طريقة الهجوم | دور بصلاحية مميزة استدعى دالة السك متجاوزًا فحص الأصول الضمانية |
- خطر المفتاح الخاص الواحد: كان دور
SERVICE_ROLEالمسؤول عن معالجة طلبات الاسترداد تحت سيطرة حساب خارجي عادي، وليس محفظة توقيع متعدد أو عقد مؤقت أكثر أمانًا. إذا تم تسريب المفتاح الخاص، يحصل المهاجمون على صلاحية سك غير محدودة. - غياب التحقق: لم يقم عقد السك بمقارنة كمية السك المطلوبة بقيمة الضمان الفعلية، كما لم يحدد حدودًا لكل معاملة أو يوميًا. أودع المهاجم ٢٠٠٬٠٠٠ USDC فقط، لكن العقد سمح بسك ٨٠ مليون USR — بنسبة غير متكافئة إطلاقًا.
- لا مراقبة أو تنبيهات على السلسلة: رغم وجود تقارير تدقيق متعددة، ركزت هذه التدقيقات على مراجعة الكود الثابتة دون مراقبة سلوكية آنية. وعندما حدث السك غير الطبيعي، لم يقم البروتوكول بتفعيل الإيقاف أو التنبيه تلقائيًا.
تؤكد هذه الحادثة مبدأ معروفًا: التدقيقات الأمنية ليست حلاً سحريًا. يمكن للتدقيقات مراجعة منطق الكود، لكنها لا تعالج ضعف إدارة الصلاحيات. منح سلطة السك الأساسية لعنوان واحد يشبه تعليق مفتاح الخزنة على باب المنزل.
خلافات المجتمع والخبراء
بعد الحدث، انقسمت الآراء في السوق بشكل حاد، خاصة حول المسؤولية وتقييم الأثر.
عيوب جوهرية في تصميم البروتوكول
جادل الرئيس التنفيذي لشركة Cyvers، ديدي لافيد، وآخرون بأن الحادثة ناجمة عن "إهمال معماري". حتى دون اختراق مباشر، كان تصميم "التحكم في السك عبر عنوان واحد" قنبلة موقوتة. يجب أن تتوسع المراقبة الأمنية من التدقيقات الثابتة إلى الرقابة الديناميكية الفورية، خاصة فيما يتعلق بالسك، والتسعير، وتغيرات السيولة.
تصريحات المشروع مقابل الخسائر الفعلية
ركز الموقف الرسمي لـ Resolv على "سلامة مجمع الضمان وعدم فقدان الأصول الأساسية". إلا أن المجتمع اعتبر ذلك في الغالب "لعبًا بالألفاظ". فبينما لم يسرق المهاجمون ETH أو BTC مباشرة من الخزنة، إلا أنهم عبر سك عملات جديدة وبيعها، استنزفوا عشرات الملايين من الدولارات من مجمعات السيولة. أما بالنسبة لحاملي USR، فقد تقلصت قيمة عملاتهم فورًا بنسبة %٩٥ — خسارة حقيقية وقاسية.
الجدل: هل فشلت شركات التدقيق؟
ادعى Resolv أنه خضع لـ١٤ تدقيقًا، ومع ذلك استمرت ثغرة صلاحيات خطيرة كهذه، مما أثار جدلًا حول فعالية التدقيقات. يرى البعض أن المدققين يركزون على مشكلات تقليدية مثل إعادة الدخول وتجاوز السعة، ويتجاهلون "منطق الأعمال" وإدارة الصلاحيات. بينما يعتقد آخرون أنه إذا قام فريق المشروع بتعيين الصلاحيات بشكل خاطئ عن عمد دون إبلاغ المدققين، فلن يتمكن المدققون من اكتشاف الخطر.
الحذر من فخ "الصحة التقنية"
عند تحليل مثل هذه الحوادث، من الضروري التمييز بين الحقائق الموضوعية وسردية المشروع.
- الحقائق:
- قام المهاجم بسك ٨٠ مليون USR غير مضمونة.
- انهار سعر USR في السوق بأكثر من %٩٥.
- حقق المهاجم ربحًا يقارب ٢٣٫٦ مليون $ على هيئة ETH.
- تم إيقاف البروتوكول، ولم يتمكن حاملو USR من استرداد أصولهم بقيمة ١:١.
- سردية المشروع:
- "مجمع الضمان سليم، لم يحدث فقدان للأصول الأساسية".
- "الحادثة مقتصرة على آلية إصدار USR".
- تقييم مدى الصحة:
الادعاء بأن "الأصول الأساسية لم تُفقد" صحيح تقنيًا، إذ لم يتم نقل الضمان (ETH/BTC) مباشرة من الخزنة. لكن هذا يتجاهل حقيقة أن "جوهر العملة المستقرة هو الثقة". فعندما يسمح البروتوكول بسك غير محدود للعملات وطرحها في السوق، يتم تخفيف قيمة الضمان. ويتكبد حاملو العملة المستقرة "خسائر التخفيف"، وهي لا تقل خطورة عن السرقة المباشرة.
أثر الحادثة على الصناعة: تحذير صارم للتمويل اللامركزي (DeFi)
حادثة Resolv ليست مجرد خرق أمني معزول — بل تكشف عن عدة مخاطر منهجية في منظومة التمويل اللامركزي اليوم.
هشاشة العملات المستقرة "ذات العائد"
USR هي عملة مستقرة "ذات عائد"، تحقق عوائد للمستخدمين عبر استراتيجيات مشتقات معقدة مثل تحكيم معدلات التمويل. توضح هذه الحادثة أن الاستراتيجيات المعقدة وهياكل الصلاحيات تزيد من سطح الهجوم. وعندما تتعارض توقعات العائد مع تصميم الأمان، غالبًا ما تكون الأولوية للعائد على حساب الأمان.
إخفاقات آليات الأوراكل والتصفية
عندما انهارت USR إلى ٠٫٠٢٥ $، واجهت بروتوكولات الإقراض التي تقبل USR كضمان (مثل Morpho) مخاطر هائلة. فإذا كانت هذه البروتوكولات تعتمد على أوراكل أسعار خارج السلسلة أو بطيئة، يمكن للمستخدمين اقتراض أصول بقيمة ١ $ بينما الضمان فعليًا بلا قيمة، مما يؤدي إلى ديون متعثرة.
تحطيم "أسطورة التدقيق"
تفاخر المشروع بسجلات ١٤ تدقيقًا. وهذا يذكر الصناعة: عدد التدقيقات لا يساوي مستوى الأمان. يحتاج السوق إلى إطار تقييم مخاطر أكثر شفافية، يشمل تقييمًا شاملاً لحوكمة البروتوكول، وإدارة الصلاحيات، وقدرات مراقبة تدفق الأموال.
تحليل السيناريوهات: النتائج المستقبلية المحتملة
استنادًا إلى الوضع الحالي، يمكن توقع عدة سيناريوهات مستقبلية.
| نوع السيناريو | الوصف | العوامل المؤثرة الرئيسية |
|---|---|---|
| متفائل | يستعيد المشروع بعض الأموال ويطلق خطة تعويض. بالتعاون مع شركات الأمن، يتم تتبع الأصول على السلسلة، وربما يتم تمييز بعض ETH وتجميدها. يستخدم الفريق الضمان المتبقي لتعويض الضحايا نسبيًا. يخضع البروتوكول لإصلاح شامل، مع اعتماد توقيع متعدد وآليات تأخير زمني. | سرعة تدخل جهات إنفاذ القانون، وما إذا كانت الأصول تنتقل لأدوات الخصوصية |
| أساسي | يكمل المشروع تحقيقًا داخليًا، ويعلن عن خطة استرداد (مثل إصدار عملات جديدة)، لكن التعويض محدود. بعد إعادة الإطلاق، تبقى ثقة المستخدمين منخفضة ويستقر إجمالي القيمة المقفلة. تزيد الجهات التنظيمية من التدقيق على العملات المستقرة ذات العائد. | القوة المالية للمشروع، والقدرة على استعادة إجماع المجتمع |
| متشائم | يفشل استرداد الأموال، ولا تصل خطة التعويض إلى إجماع، ويتفكك الفريق. تنهار قيمة USR إلى الصفر، مما يؤثر على بروتوكولات الإقراض التي استخدمت USR كضمان، ويؤدي إلى تصفيات متسلسلة وديون متعثرة بملايين الدولارات. وهذا يقوض الثقة أكثر في مشتقات التمويل اللامركزي. | ما إذا كانت بروتوكولات الإقراض تملك صناديق تأمين كافية لتغطية الديون المتعثرة |
الخلاصة
تشكل حادثة Resolv USR درسًا قاسيًا حول الحد الأدنى لأمان التمويل اللامركزي. فهي توضح بجلاء أنه في عالم التمويل اللامركزي، "الامتياز" يساوي "الخطر". عندما يتوقف مصير بروتوكول على مفتاح خاص واحد، فلا النموذج الاقتصادي المتقدم ولا تقارير التدقيق الكثيرة يمكنها الصمود أمام كارثة تسريب المفتاح.
بالنسبة للمستخدمين العاديين، إدراك هذه المخاطر أمر بالغ الأهمية. قبل المشاركة في أي بروتوكول DeFi — خاصة مشاريع العملات المستقرة — يجب التركيز على عدة عوامل أساسية: هل يستخدم البروتوكول إدارة توقيع متعدد للصلاحيات الجوهرية؟ هل توجد مراقبة حية على السلسلة وآليات إيقاف تلقائي؟ هل تخضع صلاحيات الحوكمة لعقد تأخير زمني؟ يجب ألا يكون الأمان مجرد وعد في الورقة البيضاء — بل يجب أن ينعكس في كل إعداد صلاحية داخل الكود.
أثناء السعي لنمو الأصول، عزز دائمًا وعيك بالمخاطر. تجنب مطاردة العوائد العالية بشكل أعمى على حساب أمان البروتوكول. سنواصل متابعة مثل هذه الحوادث الأمنية، وتقديم تحليلات معمقة وتنبيهات مخاطر لدعم بناء بيئة تداول أصول رقمية أكثر قوة.
