لقد كنت أتناقش للتو مع واحدة من أكثر القصص جنونًا في DeFi على مر السنين. في 18 أبريل، بالضبط بعد 46 دقيقة - هذا هو الوقت الذي استغرقه لسحب 293 مليون دولار من النظام البيئي. الحديث عن اختراق جسر كيلب، وليس مجرد استغلال آخر، بل أزمة نظامية أظهرت مدى هشاشة بنية التمويل اللامركزي.

إليك ما حدث. استخدم المهاجم ثغرة في جسر كيلب DAO عبر السلسلة، الذي يعمل على LayerZero. لكن المشكلة كانت ليست في خطأ في الكود. كانت في خطأ في التكوين. استخدم كيلب ما يُعرف بتكوين DVN 1 من 1، أي أن عقدة واحدة فقط من المدققين كانت تتحقق من جميع الرسائل بين السلاسل. عقدة واحدة. تتخيل؟ إما أن المهاجم اخترقها أو خدعها، وأرسل رسالة مزيفة، والجسر أصدر 116,500 rsETH (ما يقارب 293 مليون دولار) ببساطة - بدون ضمان، من الهواء، من لا شيء.

ثم بدأ الجزء الأكثر إثارة. بدلاً من طرح الرموز في السوق، تصرف الهاكر بدقة جراحية. قام برهن هذه ال rsETH المزيفة في Aave كضمان، واقترض WETH الحقيقي، ثم كرر نفس الشيء على Aave V4. بحلول الوقت الذي تمكن فيه كيلب من تجميد العقود (مر 46 دقيقة)، كانت الأصول الحقيقية قد اختفت بالفعل. لم تنجح محاولة تكرار الهجوم مرتين أخريين فقط لأن النظام كان قد تم تجميده بالفعل.

ما حدث بعد ذلك كان انهيارًا متسلسلًا. بقيت Aave مع ديون لا يمكن سدادها بقيمة 196 مليون دولار، لأن rsETH ببساطة توقفت عن أن تكون ذات قيمة. وصل تجمع WETH إلى استخدام بنسبة 100%، ولم يتمكن الناس من سحب أموالهم. انخفض إجمالي القيمة المقفلة في Aave من 26 مليار إلى 22 مليار، أي خسارة 6.6 مليار خلال يوم واحد. انخفض سعر رمز AAVE بنسبة 20%، على الرغم من أنه استعاد الآن إلى 98.91 دولار مع زيادة قدرها 3.31% خلال آخر 24 ساعة.

أثار الذعر سحب أموال بقيمة 5.4 مليار دولار. خاف الناس وبدأوا في الخروج الجماعي من البروتوكول. إنه نوع من الذعر المصرفي الكلاسيكي، لكن في عالم DeFi يحدث خلال ساعات، وليس أيام.

انتشرت الحادثة على الأقل إلى تسع منصات أخرى - SparkLend، Fluid، Lido (منتجها EarnETH)، Compound، Euler وغيرها. جميعها إما جمدت أسواق rsETH أو علقت العمليات كإجراءات احترازية. حتى Ethena، التي لم تكن لديها تعرض لـ rsETH على الإطلاق، علقت جسورها على LayerZero ببساطة من الخوف.

ما يدهشني في هذه القصة ليس الجانب التقني. كان كود كيلب طبيعيًا. كان الأمر يتعلق باختيار التكوين. ملخص ما قاله ميخائيل إيغوروف من Curve بشكل جيد: يمكن أن تحدث الأمور عندما تثق في طرف واحد فقط، مهما كان. وهذا لم ينتهك أي قواعد لـ LayerZero - البروتوكول ببساطة سمح بهذا التكوين.

أما بالنسبة للأموال - فمن شبه المستحيل استردادها. قام الهاكر بسرعة بغسل كل شيء عبر Tornado Cash، ووزع الأموال على عدة محافظ. كشف ZachXBT عن ست محافظ مرتبطة بالمهاجم، جميعها تم تمويلها مسبقًا عبر الميكسر قبل ساعات من الاختراق. اقترح جاستن سان "التحدث" مع الهاكر، لكن الأمر يبدو أكثر كأنه عرض مسرحي.

عام 2026 كان بالفعل جحيمًا لـ DeFi. قبل كيلب، كانت هناك عدة عمليات اختراق كبيرة أخرى - Resolv Labs خسرت حوالي 80 مليون في مارس، و Drift Protocol خسرت 285 مليون في 1 أبريل (لاحقًا مرتبط بوكيلات من كوريا الشمالية)، ثم CoW Swap، Zerion، Rhea Finance وعشرات البروتوكولات الصغيرة. إجمالي الخسائر في عام 2026 تجاوزت بالفعل 450 مليون دولار عبر حوالي 45 بروتوكول.

بالنسبة للمستثمرين، هذا يعني عدة أشياء. أولاً، مخاطر السيولة حقيقية حتى على المنصات "الآمنة". عندما ينخفض TVL وتُستخدم المجمعات بنسبة 100%، حتى من لم يكن لديه وصول إلى الأصول المخترقة قد يعلق ولا يستطيع سحب أمواله. ثانيًا، التراكمية في DeFi تعمل في كلا الاتجاهين. نفس الترابط الذي يجعل النظام قويًا، يجعله أسرع قناة للعدوى. ثغرة في بروتوكول واحد تصبح حدثًا نظاميًا خلال دقائق.

ثالثًا، دعم الأصول عبر السلاسل غير مضمون. rsETH في أكثر من 20 شبكة يظل في حالة دعم غير محددة حتى تنشر كيلب تدقيقًا موثوقًا به للاحتياطيات. أي شخص قبل برهن wrsETH كضمان يظل معرضًا للمخاطر.

سيرد القطاع بمتطلبات إلزامية لعدة DVN للجسور، ومعايير أكثر صرامة للبروتوكولات الائتمانية، وتدقيقات شاملة لتكاملات LayerZero. لكن الدرس أعمق من ذلك - الأمر لا يتعلق بالتقنية، بل بفلسفة الثقة في DeFi. كان الافتراض الضمني أن الرموز السائلة، مثل ETH الأساسي، آمنة بنفس قدر البروتوكول الموثوق. هذا الافتراض انهار.

الآن، يعيد الكثيرون تقييم مواقفهم تجاه DeFi. قال رئيس أمن Ledger إن عام 2026 ربما يكون أسوأ عام للاختراقات، وأن الثقة في DeFi تتعرض للهدم بشكل نشط. هذا ملاحظة عادلة. عندما يمكن لاختياري تكوين واحد في بروتوكول أن يسحب 293 مليون دولار ويثير ذعرًا بمليارات، فهذا يدفعنا للتفكير فيما نعتبره "أمانًا" في هذا المجال.