أكثر من $600 مليون سُرق في هجمات التمويل اللامركزي (DeFi) خلال أبريل: مجموعة لازاروس مشتبه بها كالعقل المدبر

في أبريل 2026، واجه قطاع التمويل اللامركزي (DeFi) أخطر أزمة أمنية خلال السنوات الأخيرة. ووفقًا لوكالات أمن البلوكشين، بلغت خسائر الهجمات التي شنها القراصنة خلال ذلك الشهر أكثر من 606 مليون $، مسجلة رقمًا قياسيًا جديدًا للخسائر الشهرية. فقد تعرضت عدة بروتوكولات رئيسية للاختراق بشكل متتالٍ، وتم تحديد مجموعة لازاروس (Lazarus Group) المرتبطة بكوريا الشمالية من قبل جهات تحقيق متعددة باعتبارها الجهة الرئيسية المنفذة لهذه الهجمات. لم تكشف هذه السلسلة من الحوادث عن نقاط الضعف في بنية DeFi التحتية فحسب، بل دفعت القطاع أيضًا إلى إعادة تقييم حدود المخاطر المتعلقة بالتفاعلات عبر الشبكات وإدارة المفاتيح الخاصة.

كيف يتم تحديد حجم الخسائر الفعلية للحوادث الأمنية الكبرى في أبريل؟

حتى 27 أبريل 2026، أسفرت الهجمات المبلغ عنها علنًا في قطاع DeFi عن سرقة أصول تزيد قيمتها على 606 مليون $. وكانت أكبر ثلاث حالات هي: KelpDAO بخسائر تقارب 292 مليون $؛ و Drift Protocol مع حوالي 285 مليون $؛ و Purrlend التي خسرت قرابة 1.5 مليون $. بالإضافة إلى ذلك، أبلغت بروتوكولات مثل Scallop عن خسائر تتراوح بين مئات الآلاف إلى ملايين الدولارات. تستند هذه الأرقام إلى إفصاحات ما بعد الحادث من فرق المشاريع وتقارير تتبع الأموال من منصات المراقبة على السلسلة. ولا تشمل الهجمات الصغيرة غير المبلغ عنها أو التي لم يتم تأكيدها بعد. ويظهر تحليل الخسائر الأسبوعية لشهر أبريل أن الخسائر ارتفعت أسبوعًا بعد أسبوع خلال الأسابيع الثلاثة الأولى، ثم تراجعت في الأسبوع الرابع مع إيقاف بعض المشاريع لخدماتها أو ترقية عقودها.

ما هي تقنيات الهجوم عبر البروتوكولات التي استخدمها القراصنة؟

تظهر المراجعات التقنية للحوادث المعلنة أن المهاجمين استغلوا بشكل رئيسي ثغرات في إدارة صلاحيات العقود وأخطاء في منطق الجسور عبر الشبكات. ففي حادثة KelpDAO، حصل المهاجم على مفتاح خاص لمحفظة إدارية، وتجاوز آلية التحقق متعددة التوقيع، ونفذ مباشرة وظيفة السحب في العقد لنقل الأصول المخزنة على دفعات. أما هجوم Drift Protocol فكان أكثر تعقيدًا؛ إذ نشر المهاجم عقدًا ضارًا على شبكة أخرى، واستخدم بروتوكول رسائل عبر الشبكات لتزوير إثباتات إيداع الأصول، ما مكنه من اقتراض أصول بشكل مفرط على الشبكة المستهدفة. توضح هذه الأساليب أن المهاجمين لم يعودوا يقتصرون على استغلال ثغرات في عقود بروتوكول واحد، بل باتوا يستهدفون افتراضات الثقة بين عدة بروتوكولات.

لماذا تُعتبر مجموعة لازاروس (Lazarus Group) المشتبه الرئيسي؟

ربطت عدة شركات أمنية في مجال البلوكشين بين هجمات أبريل الكبرى ومجموعة لازاروس من خلال تحليل تدفقات الأموال على السلسلة. إذ أن لهذه المجموعة سجلًا في استخدام العملات الرقمية لغسل العائدات غير المشروعة، وتظهر بصماتها السلوكية على السلسلة من خلال: نقل الأموال المسروقة بسرعة عبر جسور لامركزية إلى شبكات مختلفة، واستخدام خلطات (mixers) مثل إصدارات Tornado Cash أو بدائلها لغسل الأموال على دفعات، وأخيرًا توجيه بعض الأصول إلى عناوين مرتبطة بمنصات إدخال أموال تقليدية. في أبريل، كانت حركة الأموال بعد السرقة من KelpDAO و Drift مشابهة بشكل كبير لأنماط عمليات لازاروس السابقة مثل هجمات Ronin Bridge و Harmony Bridge. ورغم عدم إعلان أي جهة أو فرد مسؤوليته علنًا، إلا أن أوجه التشابه السلوكي تجعل من لازاروس المشتبه الأكثر ترجيحًا في الوقت الحالي.

كيف يتم نقل وغسل الأصول المسروقة عبر الشبكات؟

بعد نجاح الهجوم، يركز المهاجمون على نقل الأموال بسرعة وسرية. ففي أكبر حادثتين خلال أبريل، تم تحويل معظم الأصول خلال ساعات من الشبكات الأصلية (مثل Ethereum و Solana) عبر بروتوكولات الجسور إلى شبكات الطبقة الثانية الناشئة أو شبكات تتمتع بميزات خصوصية أقوى. بعد ذلك، تم تقسيم الأموال إلى مئات المعاملات الصغيرة وتحويلها إلى بروتوكولات خلط لامركزية متعددة. تستخدم هذه الخلطات إثباتات عديمة المعرفة أو الحوسبة متعددة الأطراف لإخفاء العلاقة بين عناوين الإيداع والسحب، ما يصعّب على أدوات التتبع التقليدية تحديد المستفيدين الفعليين. وبعض الأصول، بعد الخلط، تم تحويلها إلى أنواع أخرى من العملات الرقمية عبر منصات الأصول الاصطناعية، ما يزيد من صعوبة تجميدها أو استردادها.

كيف أثرت سلسلة الهجمات على القيمة الإجمالية المقفلة (TVL) في DeFi؟

تؤثر الاختراقات الأمنية واسعة النطاق مباشرة على ثقة السوق، وينعكس ذلك في القيمة الإجمالية المقفلة (TVL) عبر منظومة DeFi. تظهر بيانات السلسلة أن البروتوكولات الرئيسية المتضررة شهدت انخفاضًا في TVL بنسبة تراوحت بين %35 إلى %60 في غضون 72 ساعة من الهجمات. فعلى سبيل المثال، انخفضت TVL في KelpDAO من حوالي 850 مليون $ قبل الهجوم إلى أقل من 310 مليون $. كما شهد سوق DeFi الأوسع أثرًا متسلسلًا؛ إذ اتجه المستخدمون لسحب أصولهم من المشاريع التي تعتمد على تفاعلات معقدة عبر الشبكات وصلاحيات عقود مفتوحة، ونقلها إلى بروتوكولات إقراض أكثر رسوخًا أو حلول وصاية مركزية. حتى 27 أبريل، تراجعت TVL في DeFi على Ethereum بنحو %12 منذ بداية الشهر، بينما شهدت بعض البروتوكولات التي تعتمد وحدات عزل المخاطر تدفقات صافية متواضعة.

هل يمكن أن يشكل صندوق تعويضات Aave معيارًا أمنيًا للقطاع؟

استجابة لتزايد الخسائر الأمنية، أعلن بروتوكول الإقراض الرائد Aave في منتصف أبريل عن إنشاء صندوق تعويضات لتعويض المستخدمين المتضررين جزئيًا من ثغرات غير مرتبطة بالكود (مثل الهجمات على الاعتماديات الخارجية أو الحوكمة). يُموّل الصندوق بشكل مشترك من خزينة Aave وشركاء المنظومة، وتقوم لجنة تقييم مخاطر مستقلة بمراجعة كل طلب تعويض. ورغم أن الصندوق لا يغطي بعد جميع حوادث أبريل الأمنية، إلا أن منطقه أثار نقاشًا في القطاع—حول ما إذا كان ينبغي على DeFi إنشاء "احتياطي أمني" شبيه بتأمين الودائع البنكية. يرى المؤيدون أن ذلك قد يعزز ثقة المستخدمين، في حين يحذر المعارضون من مخاطر أخلاقية محتملة، حيث قد تتراخى المشاريع في معاييرها الأمنية اعتمادًا على وجود تعويض خارجي.

كيف يمكن للمستخدمين الأفراد التعرف على مخاطر بروتوكولات DeFi والحد منها؟

بينما ستستغرق التحسينات على مستوى البروتوكولات بعض الوقت، يمكن للمستخدمين اتخاذ الخطوات التالية لتقليل تعرض أصولهم للمخاطر:

1. أعطِ الأولوية للبروتوكولات التي خضعت لعدة جولات من التدقيق الأمني المستقل وتتوفر على كود عقود مفتوح المصدر. انتبه إلى سمعة شركات التدقيق.
2. كن حذرًا عند منح صلاحيات التوكنات، وراجع بانتظام الموافقات غير المستخدمة عبر مستكشفات البلوكشين أو أدوات إدارة الصلاحيات.
3. خزّن الأصول الرئيسية في محافظ متعددة التوقيع أو محافظ أجهزة، واحتفظ بها منفصلة عن المحافظ الساخنة المستخدمة للمعاملات الكبيرة.
4. تابع التنبيهات الفورية من منصات مراقبة الأمان، وقم بإلغاء الصلاحيات المرتبطة بالعقود فور علمك بأي هجوم.
5. بالنسبة للبروتوكولات الجديدة التي تقدم مكافآت تعدين سيولة مرتفعة، افترض أن أمنها لم يخضع للفحص الكافي وحدد استثمارك فيها بجزء صغير من إجمالي أصولك.

الخلاصة

شهدت منظومة DeFi في أبريل 2026 خسائر تجاوزت 606 مليون $ نتيجة سلسلة من الهجمات، حيث تعرضت بروتوكولات كبرى مثل KelpDAO و Drift Protocol للاختراق. وتشير تحليلات السلوك على السلسلة بقوة إلى أن مجموعة لازاروس كانت وراء هذه الأحداث، مع استخدام تقنيات متطورة لنقل وغسل الأصول عبر الشبكات. لم تتسبب هذه الأزمة الأمنية في تراجع حاد في TVL للمشاريع المتضررة فحسب، بل دفعت القطاع أيضًا لإعادة التفكير في إدارة الصلاحيات، ونماذج الثقة عبر الشبكات، وآليات تعويض المستخدمين. وحتى يتم وضع معايير أمنية موحدة، يبقى أفضل وسيلة للمشاركين لحماية أموالهم هي الإدارة الاستباقية للصلاحيات، وفصل أنواع الأصول، والبقاء متيقظين للتنبيهات الأمنية.

الأسئلة الشائعة

س: كيف يمكنني التحقق بسرعة مما إذا كان بروتوكول DeFi قد تعرض لحوادث أمنية كبرى؟

ج: يمكنك مراجعة سجل الأمان للبروتوكول عبر منصات المراقبة (مثل SlowMist MistTrack و PeckShield Alert) أو مواقع تحليلات السلسلة (مثل وحدة تتبع Rug Pull في DeFi Llama). كما يُنصح بمتابعة قنوات إعلانات المشروع الرسمية على Discord أو Twitter—حيث تصدر معظم الفرق بيانًا أوليًا خلال ساعة من الحادثة.

س: هل يمكن استرجاع الأصول الرقمية التي سرقتها مجموعة لازاروس؟

ج: الاسترداد صعب للغاية. إذ غالبًا ما تغسل المجموعة الأموال عبر عدة جسور وخلطات عبر الشبكات، وتُحوّل بعض الأصول في نهاية المطاف إلى عملات تقليدية في مناطق ذات تعاون تنظيمي ضعيف. تاريخيًا، لم تسفر سوى حالات معدودة (مثل تجميد العناوين من قبل جهات إنفاذ القانون قبل اكتمال عملية الخلط) عن استرجاع جزئي للأموال.

س: ماذا أفعل إذا تعرض البروتوكول الذي أستخدمه للاختراق في أبريل؟

ج: أولًا، قم بإلغاء جميع الصلاحيات المرتبطة بالعقود لهذا البروتوكول فورًا. ثانيًا، احتفظ بسجلات معاملاتك على السلسلة، وسجلات الموافقات، ولقطات رصيدك المتعلقة بتفاعلاتك مع البروتوكول. ثالثًا، تابع مقترحات التعويض أو الحوكمة الرسمية للمشروع—حيث تعتمد معظم المشاريع على لقطات لتحديد المستخدمين المتضررين وبدء التصويت على الإجراءات. لا تدفع لأي طرف ثالث يدعي أنه قادر على استرجاع أموالك نيابة عنك.