كشف تفاصيل هجوم بقيمة 116 مليون دولار على Balancer: تحديد ثغرة "دالة التقريب" كسبب، وتنبيه جديد لأمان التمويل اللامركزي (DeFi)

لا مركزية البروتوكول Balancer تؤكد أن الحادثة الأخيرة التي أدت إلى سرقة أصول بقيمة تتجاوز 116 مليون دولار تعود جذريًا إلى خطأ في منطق التقريب (Rounding) داخل وظيفة “upscale” في البروتوكول. هذا الهجوم أثر على عدة شبكات مثل إيثريوم، Arbitrum، Base و Polygon، وأسفر عن خسائر كبيرة في أصول مثل WETH، osETH و wstETH.

على الرغم من أن بروتوكول StakeWise المتأثر تمكن من استرداد حوالي 19 مليون دولار من osETH، إلا أن فريق الأمان قام على الفور بتعليق مجمعات التمويل المتأثرة وتتبع جميع المعاملات المشبوهة، مما يبرز الحاجة الملحة للاستجابة الأمنية عبر طبقات التمويل اللامركزية عبر السلاسل.

تحليل عميق للجذر التقني لخسائر Balancer

سرقة 116 مليون دولار: من ثغرة منطق EVM إلى استغلال متعدد السلاسل

الهجوم الذي وقع على بروتوكول Balancer في 3 نوفمبر 2025 هو مثال كلاسيكي على كارثة ناجمة عن مشكلة دقة في العقود الذكية. وفقًا للتقرير الأولي من الفريق، كانت الثغرة الأساسية في وظيفة “upscale” المستخدمة في عمليات تبادل الرموز (Token Swaps)، وتحديدًا في منطق التقريب (Rounding).

في برك الرموز في DeFi، تعتبر العمليات الرياضية الدقيقة ضرورية. استغل المهاجمون طريقة تعامل الكود مع عوامل التحجيم غير الصحيحة (Non-integer Scaling Factors)، حيث قاموا بتصميم معاملات بشكل دقيق للتحكم في توازنات البركة، مما سمح لهم بالتحكم بشكل منهجي في حجم السيولة وسحبها من عدة شبكات، حتى تمكنوا من “سحب” السيولة بشكل كامل. تكمن خفية هذا الهجوم في أن المهاجمين كانوا قادرين على نقل الأصول داخل خزائن البروتوكول (Vaults) بشكل سري قبل أن يظهر حجم السحب الحقيقي، مما أدى إلى خسائر ضخمة بعد كشف الأمر.

بلغت قيمة الأصول المسروقة 1.166 مليار دولار، مع خسائر كبيرة في 6587 WETH، 6851 osETH و 4260 wstETH. يشير ذلك إلى أن المهاجمين استهدفوا رموز لود (LST) ذات خصائص تعزز العوائد، مما يسلط الضوء على المخاطر المحتملة عند دمج بروتوكولات LST مع DEXs.

التعاون الدفاعي: كيف تتعامل منظومة DeFi مع فقدان الأموال

بعد وقوع الحادث، أظهرت منظومة DeFi قدرة عالية على السيطرة على المخاطر بسرعة.

بروتوكول StakeWise، الأكثر تضررًا، استجاب بسرعة واستعاد حوالي 19 مليون دولار من osETH، وهو ما يمثل حوالي 73.5% من إجمالي الخسائر، مما يعكس قوة الرقابة الداخلية وسرعة استجابة الشركاء الأمنيين.

كما أطلقت بروتوكولات وشركاء أمان مثل Balancer آليات دفاع متعددة:

• إيقاف جميع البرك المتأثرة (Paused).
• حظر إنشاء برك جديدة لمنع استغلال الثغرة.
• إيقاف توزيع المكافآت على البرك ذات المخاطر المحتملة، لوقف التحفيزات التي قد يستخدمها المهاجمون.

على نطاق أوسع، نفذت بروتوكولات مثل Sonic Labs عمليات تجميد طارئة؛ ووقف مدققو شبكة Berachain مؤقتًا عمليات الشبكة لمنع المهاجمين من نقل الأصول. هذا التعاون بين بروتوكولات متعددة وشبكات مختلفة يعكس نضوج منظومة الأمان في DeFi ويُظهر استجابة جماعية للمخاطر النظامية.

خارطة طريق الاسترداد والدروس المستفادة للمطورين

تتبع الأصول والتقرير النهائي: الشفافية هي المفتاح لإعادة بناء الثقة

تعمل فريق Balancer حاليًا مع خبراء الأمان على تدقيق الحادث والتحقق من الأصول المفقودة. وعد الفريق بنشر تقرير نهائي بعد التحقق من جميع العقود والمعاملات المتأثرة، يتضمن تحديد إجمالي الخسائر وحالة استرداد الأصول.

أما بالنسبة لمطوري ومنشئي DeFi، فإن هذا الحدث يرسل رسالة تحذير:

1. مراجعة دقة الوظائف: يجب فحص دوال التقريب وعوامل التحجيم بشكل صارم، واعتماد التحقق الرسمي (Formal Verification) لضمان صحة العمليات الحسابية المتعلقة بزيادة أو نقصان الأصول.
2. عزل المخاطر: على الرغم من أن التكامل العميق بين البروتوكولات يعزز الكفاءة الرأسمالية، إلا أنه يزيد من نطاق تأثير الثغرات، لذا يجب إدارة الاعتمادية بشكل محكم.

حتى يتم استكمال عمليات التسوية النهائية للأصول، يُنصح المستخدمون بتجنب التفاعل مع العقود المتأثرة ومتابعة القنوات الرسمية للحصول على المعلومات الموثوقة، وتجنب عمليات الاحتيال أو التصيد.

الخاتمة

الهجمة على Balancer بسبب خطأ في عملية التقريب تُعد دليلاً آخر على مدى أهمية الدقة في كتابة العقود الذكية في مجال DeFi. رغم أن الخسائر التي تجاوزت 116 مليون دولار مؤلمة، إلا أن سرعة الاستجابة، وتجميد الأصول، واسترداد جزء كبير منها، تظهر أن بنية DeFi التحتية تتطور لمواجهة الأزمات بشكل أكثر مرونة. المستقبل يتطلب من المجتمع أن يركز على تدقيق الكود وترقيته لضمان صلابة المنطق الأساسي لآليات AMM، وهو ما يُعد حجر الزاوية للحفاظ على مكانة Balancer كقائد في السوق.