بعد Kelp، يواجه DeFi مشكلة الذكاء الاصطناعي التي لم يبدأ في تسعيرها بعد

شهد التمويل اللامركزي للتو أسوأ أسبوعين في الذاكرة. أدى استنزاف بقيمة 292 مليون دولار من جسر الإيثر المعاد رهنه لـ Kelp DAO خلال عطلة نهاية الأسبوع، في أعقاب اختراق بروتوكول Drift بقيمة 285 مليون دولار في 1 أبريل، إلى دفع خسائر DeFi التراكمية في أبريل إلى ما يتجاوز 580 مليون دولار - وأثار تدفقًا خارجيًا بقيمة 6 مليارات دولار من Aave وحدها بينما كان المودعون يتدافعون نحو المخارج.

بالنسبة للبيتكوين، فقد تراجع بالكاد، حيث يتم تداوله بالقرب من 75,000 دولار بينما انتشرت العدوى. لكن هدوء القطاع يخفي مشكلة أعمق. لم يكسر مهاجم Kelp التشفير أو يعثر على ثغرة يوم الصفر في العقد الذكي. لقد استغلوا خيار تكوين في مدقق عبر السلاسل، وخدعوا طبقة المراسلة الخاصة بـ LayerZero للموافقة على تعليمات مزورة، وصكوا 116,500 rsETH من الهواء على الإيثريوم. العقود، كما قال أحد التقارير اللاحقة الموجهة للمطورين، لم تكن معطلة - طبقة التحقق كانت معطلة. هذا التمييز مهم، لأن الفئة التالية من المهاجمين لن يحتاجوا إلى أخطاء التكوين. سيكون لديهم وكيل الذكاء الاصطناعي.

تراجع Aave على الأخبار، المصدر: BNC

فترة معادية، وحافة متضائلة

الصورة المباشرة قبيحة. أصبح استغلال Kelp الآن أكبر اختراق لـ DeFi في عام 2026، متجاوزًا Drift بحوالي 7 ملايين دولار. ملأت عمليات استنزاف أصغر في CoW Swap وZerion وRhea Finance وSilo Finance الأسابيع بينهما. وضعت شركة أمن البلوكشين Cyvers إجمالي خسائر الكريبتو في الربع الأول عند حوالي 482 مليون دولار؛ هذا الرقم قديم بالفعل بشكل سيء. انخفضت القيمة الإجمالية المقفلة لـ Aave من 26.4 مليار دولار في 18 أبريل إلى أقل من 20 مليار دولار بحلول صباح يوم الأحد في ساعات التداول الأمريكية، وفقًا لـ DefiLlama، وخسر الرمز المميز AAVE أكثر من 18% خلال عطلة نهاية الأسبوع حيث حاول المودعون الاقتراض للخروج من أسواق rsETH المجمدة.

كان ستاني كوليشوف، مؤسس Aave، سريعًا في الإشارة إلى أن العقود الخاصة بالبروتوكول نفسه لم تتعرض للاختراق. هذا صحيح، وهو أيضًا عزاء بارد: قبلت Aave rsETH كضمانات، تبخر دعم تلك الضمانات على جسر لا تتحكم فيه Aave، ويجلس الآن حوالي 196 مليون دولار من الديون المعدومة في أكبر مقرض في DeFi. علقت البروتوكولات بما في ذلك SparkLend وFluid وearnETH من Lido أسواق rsETH أو أوقفت الإيداعات الجديدة بينما يعملون على تحديد تعرضهم.

الدرس الأوسع الذي يستخلصه البناة هو هيكلي. يمكن أن تنهار الأمان المرن والنموذجي عبر السلاسل - حيث تختار المشاريع الفردية مجموعات المدققين الخاصة بها - إلى نقطة فشل واحدة إذا انزلق التكوين. قال ستيفن أجايي، المسؤول الفني عن تدقيق dapp في شركة أمن البلوكشين Hacken، لـ DL News في وقت سابق من هذا الشهر، وهو يصف نمطًا قال إنه يتفق مع التحقيق المستند إلى البرامج النصية والوكلاء في عقود DeFi: "نلاحظ محاولات استغلال متكررة ومتطابقة عبر عقود متعددة في وقت واحد".

ما فعله وكيل الذكاء الاصطناعي بالفعل في المختبر

لغة أجايي مهمة. لم يعد الخوف في دوائر أمان DeFi هو أن المهاجمين سيقومون في النهاية بالأتمتة. بل إنهم قد فعلوا ذلك بالفعل، وأن اقتصاديات سباق التسلح قد انعكست بهدوء.

نشر الفريق الأحمر لـ Anthropic بحثًا في أواخر العام الماضي حيث تم إطلاق نماذج رائدة - Claude Opus 4.5 وClaude Sonnet 4.5 وGPT-5 من OpenAI - على معيار من 405 العقود الذكي في العالم الحقيقي المستغلة سابقًا بين عامي 2020 و2025. أنتج الوكلاء بشكل جماعي استغلالات عاملة بقيمة 4.6 مليون دولار ضد العقود التي تلت تواريخ إيقاف التدريب الخاصة بهم. وعند الضغط بشكل أكبر، تم توجيه نفس النماذج إلى 2,849 عقدًا مُنشرًا حديثًا بدون ثغرات معروفة ووجدت خطأين جديدين، مما أنتج استغلالات بقيمة 3,694 دولارًا مقابل إنفاق استنتاج قدره 3,476 دولارًا. وصف الباحثون النتيجة بأنها إثبات للمفهوم أن الاستغلال المستقل والمربح أصبح الآن ممكنًا تقنيًا.

تُظهر Anthropic أن نماذج وكيل الذكاء الاصطناعي تجد المزيد من استغلالات DeFi بشكل متزايد، المصدر: Anthropic

وجد معيار منفصل من شركة أمان وكيل الذكاء الاصطناعي Cecuro، يغطي 90 عقدًا من عقود DeFi المستغلة بين أواخر عام 2024 وأوائل عام 2026، أن وكيل أمان مصمم خصيصًا اكتشف ثغرات في 92% منها، مقارنة بـ 34% لوكيل برمجة للأغراض العامة يشغل نفس النموذج الأساسي. وفقًا للدراسة، فإن متوسط تكلفة المسح المدعوم بوكيل الذكاء الاصطناعي الآن حوالي 1.22 دولار لكل عقد. يبدو أن قدرة الاستغلال، بنفس المقياس، تتضاعف تقريبًا كل 1.3 شهر.

هذا هو الرقم الذي يجب أن يقلق المخصصين. السوق الذي يمكن فيه فحص كل عقد مباشر يحتفظ بالأموال مقابل سنتات، بواسطة برنامج يستمر في التحسن، ليس سوقًا يوفر فيه التدقيق لمرة واحدة قبل النشر حماية ذات معنى.

النموذج الذي لن تبيعه Anthropic

الخطر ليس نظريًا فقط، بسبب ما يجلس بالفعل داخل المختبرات. نظام Claude Mythos Preview من Anthropic - الذي تم الكشف عنه في وقت سابق من هذا الشهر ومقيد لتحالف من حوالي 40 شريكًا مؤسسيًا وحكوميًا تم فحصهم بموجب Project Glasswing - قد حدد بالفعل آلاف ثغرات يوم الصفر غير المكتشفة سابقًا في كل نظام تشغيل رئيسي وكل متصفح رئيسي، بما في ذلك عيب عمره 27 عامًا في OpenBSD نجا من ملايين عمليات المسح السابقة. وضح BNC في ذلك الوقت سبب كون هذه القدرة مصدر قلق أكثر إلحاحًا لـ DeFi من النقاش طويل الأمد حول الحوسبة الكمومية: قواعد أكواد DeFi هي مفتوحة المصدر بحكم التصميم، مما يجعلها بالضبط نوع الهدف الذي يمكن لنماذج فئة Mythos قراءته من البداية إلى النهاية بسرعة الآلة.

إطار Anthropic نفسه يكشف الكثير. رفضت الشركة إطلاق Mythos للجمهور وشحنت الأسبوع الماضي نموذجًا تجاريًا، Claude Opus 4.7، موصوفًا صراحةً بأنه "أقل قدرة على نطاق واسع" في مهام الأمن السيبراني من النظام المحتفظ به داخل Glasswing. هذا اعتراف بأن الإصدار العام سيحول توازن المهاجم-المدافع في الاتجاه الخاطئ.

تسعير عدم التماثل

لم يلحق وضع أمان DeFi بالركب. لا تزال سعة التأمين على السلسلة تُقاس بمئات الملايين من الدولارات، مقابل قطاع بإجمالي قيمة مقفلة تبلغ حوالي 100 مليار دولار. لا يستطيع سوق التدقيق مواكبة حجم نشر العقود، وتستمر قابلية التركيب في توسيع السطح الذي يجب على المدافعين تغطيته. بدأ المنظمون، بما في ذلك الاتحاد الأوروبي بموجب MiCA، في إضفاء الطابع الرسمي على متطلبات الإفصاح، لكن لا أحد منهم يفرض بعد اختبارات معادية مستمرة أو فرضًا في وقت التشغيل لبروتوكولات عالية القيمة الإجمالية المقفلة.

يتقارب البناة الذين يستحقون الاستماع إليهم على نفس القائمة القصيرة. تعامل مع كل ترقية وتكامل كسطح هجوم جديد. اجعل الاختبار المعادي مستمرًا بدلاً من معلم تدقيق لمرة واحدة. قسّم حدود الثقة بحيث لا يمكن لخطر واحد - سواء كان مدققًا مُكونًا بشكل خاطئ، كما في Kelp، أو استغلالًا بمساعدة النموذج غدًا - أن ينتشر عبر كومة الإقراض. وسعّر وضع الأمان في قرارات التخصيص بالطريقة التي يسعر بها مديرو الائتمان مخاطر التخلف عن السداد.

ستُحل تداعيات Kelp بطريقة أو بأخرى. قد يتم استرداد نسبة مئوية من الإيثر المسروق، وقد يُجبر احتياطي Umbrella الخاص بـ Aave على امتصاص العجز. سيعود المودعون في النهاية. ما لن ينعكس هو منحنى التكلفة. للمرة الأولى، لم يعد الخصم القادر بحاجة إلى فريق بحث وثغرة يوم الصفر وميزانية من ستة أرقام لاستنزاف بروتوكول DeFi. إنهم بحاجة إلى بضع مئات من الدولارات من أرصدة الاستنتاج وقائمة أهداف.

سؤال الصناعة لبقية عام 2026 هو ما إذا كان يمكن لدفاعاتها أن تتضاعف أسرع من تلك القدرة.