«في كل مرة يتعرض فيها عقد طويل الأمد كهذا لهجوم، تتراجع وتيرة تبني التمويل اللامركزي (DeFi) من ستة إلى اثني عشر شهراً.» هكذا عبّر هاسو، رئيس الاستراتيجية في Flashbots ومستشار استراتيجي لدى Lido، عقب الاختراق الأخير الذي طال Balancer.
في 3 نوفمبر، تعرض بروتوكول Balancer المخضرم في مجال التمويل اللامركزي لهجوم غير مسبوق، أسفر عن خسائر بلغت حتى 116.6 مليون دولار.
تم سحب هذا المبلغ الهائل بسرعة عبر ثغرة في الاستدعاء عبر السلاسل في عقود Balancer V2 الذكية الخاصة بالمجمعات. وحتى 4 نوفمبر، كان المهاجم لا يزال يقوم بمبادلة الأصول المسروقة مقابل ETH عبر بروتوكول Cow.
01 ملخص الحادثة: اختفاء مبالغ ضخمة في لحظات
أحدث هجوم Balancer صدمة في عالم العملات الرقمية يوم 3 نوفمبر، حيث قُدرت الخسائر الأولية بنحو 70 مليون دولار، وسرعان ما ارتفع الرقم.
حتى لحظة كتابة هذا التقرير، بلغت الخسائر الإجمالية 116.6 مليون دولار، ما يمثل أخطر حادث أمني في تاريخ Balancer.
وتُظهر بيانات السلسلة أن الأصول الرئيسية المسروقة كانت رموز التخزين السائل، مثل WETH وwstETH وosETH وfrxETH وrsETH وrETH وغيرها.
وقد توزعت هذه الأصول عبر عدة شبكات—ETH وBase وSonic—وكانت شبكة Ethereum الأكثر تضرراً، إذ بلغت خسائرها ما يقارب 100 مليون دولار.
02 تحليل الثغرة: كارثة ناجمة عن خطأ بسيط
سارع الباحثون الأمنيون إلى تحديد السبب الجذري. ووفقاً لـ Defimon Alerts وDecurity، تكمن المشكلة في فحوصات التحكم بالوصول ضمن وظيفة manageUserBalance في بروتوكول Balancer V2.
عند التحقق من صلاحيات السحب، كان يجب أن يتأكد النظام من أن المتصل هو مالك الحساب الفعلي. إلا أن الكود تحقق بشكل خاطئ مما إذا كان msg.sender (المتصل الفعلي) يطابق معامل op.sender الذي يحدده المستخدم.
وبما أن op.sender هو إدخال يمكن للمستخدم التحكم فيه، تمكن المهاجمون من انتحال الهوية وتجاوز فحوصات الصلاحيات بسهولة.
وأثار ظهور مثل هذا الخطأ الأساسي في التحكم بالوصول ضمن بروتوكول يعمل منذ خمس سنوات دهشة خبراء الأمن السيبراني.
03 منظور تاريخي: ست حوادث أمنية في ست سنوات
إذا بدا لك عنوان «اختراق Balancer» مألوفاً، فأنت لست وحدك؛ فهذا هو بالفعل سادس حادث أمني كبير يتعرض له Balancer خلال خمس سنوات.
استعراض تاريخ Balancer الأمني يكشف صورة مقلقة:
- يونيو 2020: ثغرة في رموز الانكماش، خسارة نحو 520,000 دولار
- مارس 2023: خسائر غير مباشرة جراء حادثة Euler، خسارة نحو 11.9 مليون دولار
- أغسطس 2023: خطأ في دقة مجمعات V2، خسارة نحو 2.1 مليون دولار
- سبتمبر 2023: هجوم اختطاف نظام أسماء النطاقات (DNS)، خسارة نحو 240,000 دولار
- يونيو 2024: اختراق مشروع Velocore المنسوخ، خسارة نحو 6.8 مليون دولار
وقد كشفت هذه الاختراقات المتكررة عن هشاشة الدفاعات ليس فقط لدى Balancer، بل في منظومة التمويل اللامركزي ككل.
04 أثر السوق: انهيار الثقة وتراجع الأسعار
تفاعل السوق بسرعة وبحدة. ووفقاً لـ CoinMarketCap، انخفض رمز BAL (Balancer) بنسبة 7.13% يوم 3 نوفمبر، ليغلق عند 0.92 دولار.
وتبلغ القيمة السوقية الحالية لـ BAL نحو 62.2 مليون دولار، بانخفاض يقارب 4.78 مليون دولار عن اليوم السابق. وتُظهر بيانات منصة Gate أن سعر BAL يتعرض لضغوط مستمرة منذ فترة.
وقد اهتزت الثقة في أمن Balancer بشكل كبير، حيث بدأ المستثمرون في تعديل مراكزهم وظهرت موجة بيع قوية.
ومن التطورات اللافتة: أفادت LookonChain أن أحد الحيتان في سوق العملات الرقمية، ظل خاملاً لمدة ثلاث سنوات، استيقظ فجأة عقب اختراق Balancer، وسارع إلى سحب أصول بقيمة 6.5 مليون دولار من المنصة.
05 تأثير الصناعة: إجراءات طارئة ووقف العمليات
استجابةً للأزمة، اتخذت عدة مشاريع متكاملة مع Balancer تدابير عاجلة:
- سحب Lido مراكزه غير المتأثرة من Balancer
- أعلنت Berachain عن إيقاف كامل للشبكة لتنفيذ تفرع طارئ (hard fork) لإصلاح ثغرات BEX المرتبطة بـ Balancer V2
- صرّح مؤسس Berachain، Smokey The Bera، بأن فريق Ethena قام بتعطيل الربط مع Bera وعلق العمليات السوقية ذات الصلة
وتبرز هذه التحركات الدور المحوري الذي يلعبه Balancer في منظومة التمويل اللامركزي، وتوضح كيف يمكن لثغرة واحدة في بروتوكول أن تخلق مخاطر نظامية واسعة.
06 مستقبل أمن التمويل اللامركزي: من الديون التقنية إلى إدارة المخاطر
إحدى ابتكارات Balancer—إتاحة ما يصل إلى ثمانية رموز بأوزان مخصصة ضمن مجمع واحد—أصبحت أيضاً نقطة ضعفه الرئيسية.
وبالمقارنة مع تصميم Uniswap المبسط، تتضاعف تعقيدات Balancer بشكل كبير؛ فكل رمز إضافي يوسع فضاء الحالة ومساحة الهجوم بشكل كبير.
وقد اختار Balancer التطوير السريع، مضيفاً ميزات جديدة فوق الشيفرة القديمة من V1 إلى V2 ثم إلى المجمعات المعززة (Boosted Pools).
هذا التراكم لما يُعرف بـ«الديون التقنية» حول قاعدة الشيفرة إلى كومة هشة من اللبنات.
وفي عام 2025، يواجه أمن التمويل اللامركزي تحديات جديدة؛ فقد أظهر هجوم TEE.Fail أن حتى الأمن على مستوى العتاد يمكن تجاوزه بأدوات لا تتجاوز قيمتها 1,000 دولار.
وتحولت مسارات الهجوم من أخطاء العقود الذكية إلى ثغرات تشغيلية، إذ باتت 80.5% من الخسائر ناتجة عن التصيد الاحتيالي، وتوزيعات العملات المزيفة، وتسريبات المفاتيح الخاصة—وهي تهديدات تنشأ خارج السلسلة.
ولمواجهة هذه المخاطر، ساهمت الابتكارات مثل التشفير عديم المعرفة (zero-knowledge cryptography) والمحافظ متعددة التوقيع (multisig wallets) في تقليص خسائر الاختراق بنسبة 90% منذ عام 2020.
07 دليل المستثمر: التنقل بحذر وسط المخاطر
بالنسبة للمستثمرين، تمثل هذه الحادثة تذكيراً صارخاً؛ فالتنقل في عالم التمويل اللامركزي يتطلب يقظة دائمة:
- السحب من المجمعات المتأثرة: اسحب أموالك فوراً من مجمعات Balancer V2 لتجنب المزيد من الخسائر
- إلغاء التصريحات: استخدم Revoke أو DeBank أو Etherscan لإلغاء صلاحيات العقود الذكية لعناوين Balancer
- أولوية للمشاريع المدققة: فضّل البروتوكولات التي تجمع بين تدقيق العقود الذكية والمراقبة اللحظية وقواطع الدوائر
- استخدم المحافظ متعددة التوقيع: قلل من مخاطر نقطة الفشل الواحدة، خاصة عند الاحتفاظ بمبالغ كبيرة
نظرة مستقبلية
حتى 4 نوفمبر، تظهر آخر المستجدات أن مخترق Balancer لا يزال يبادل رموز التخزين السائل المسروقة مقابل ETH عبر Cow Protocol. وقد رصد محللو السلسلة قيام المهاجم بتحويل الأصول عبر عدة شبكات إلى ETH وUSDC ورموز رئيسية أخرى.
وقد عرض الفريق الرسمي لـ Balancer مكافأة «قبعة بيضاء» بنسبة 20% مقابل إعادة الأصول المسروقة، على أن تكون صالحة لمدة 48 ساعة. إلا أن آمال الاسترداد تتضاءل.
وبالنسبة للمراقبين، يبقى التمويل اللامركزي تجربة اجتماعية مبتكرة؛ أما المشاركون، فكل اختراق هو درس مكلف؛ وللصناعة، فإن بناء منظومة DeFi قوية هو ثمن النضج.
