كتب أراوث: "وكلاء البرمجة خارقون في إيجاد الثغرات. أمن العقود الذكية غير متماثل للغاية: يحتاج المدافعون لإصلاح كل خطأ بينما يحتاج المهاجمون لاستغلال واحد فقط لسرقة الأموال" .
هذه ليست مشكلة تقنية يمكن لتدقيق أفضل حلها، بل هي سمة هيكلية لكيفية عمل الهجمات المدعومة بالذكاء الاصطناعي الآن. الدفاعات التقليدية – الشفافية مفتوحة المصدر، والتدقيقات المستقلة المتعددة، والتحقق الرسمي – صُممت لعصر كان فيه المهاجمون البشريون يواجهون مدافعين بشريين على قدم المساواة تقريباً. الذكاء الاصطناعي يغير هذه المعادلة بالكامل .
لم يأت تحذير أراوث من فراغ. شهد أبريل 2026 سلسلة من الهجمات استنزفت بشكل جماعي ما بين 630 مليون و647 مليون دولار من بروتوكولات DeFi عبر أكثر من 25 حادثة منفصلة – وهو أعلى إجمالي شهري منذ فبراير 2025 .
Drift Protocol — 285 مليون دولار (1 أبريل)
افتُتح الشهر بحملة هندسة اجتماعية متطورة نُسبت إلى مجموعة Lazarus الكورية الشمالية. أمضى المهاجمون حوالي ستة أشهر في كسب ثقة أعضاء مجلس أمن Drift، ونجحوا في خداعهم للتوقيع المسبق على معاملات منحت وصولاً مميزاً. بمجرد الدخول، أودع المهاجمون رمزاً مزيفاً كضمان واستنزفوا حوالي 285 مليون دولار من المنصة – في حوالي 10 ثوانٍ .
لم يكن هذا خطأ في عقد ذكي، بل كان اختراقاً بشرياً لهيكل الحوكمة.
KelpDAO — 293 مليون دولار (18 أبريل)
ضرب أكبر اختراق لـ DeFi في 2026 جسر KelpDAO عبر السلاسل المبنية على LayerZero. قام مهاجم بسك 116,500 رمز rsETH – بقيمة تقارب 293 مليون دولار – واستخدمها كضمان لاقتراض إيثر حقيقي، والذي نُقل بعد ذلك عبر THORChain . قررت Chainalysis لاحقاً أن الاختراق كشف نقاط ضعف في التحقق خارج السلسلة (off-chain) بدلاً من فشل عقد ذكي تقليدي
.
في غضون 48 ساعة، تسبب موجة هلع من المستخدمين في سلسلة من السحوبات أدت لمحو مليارات من القيمة الإجمالية المقفلة. قامت Aave، أكبر بروتوكول إقراض، بتجميد أسواق rsETH عبر إصدارات متعددة على الفور .
Wasabi — اختراق مفتاح المدير (أبريل)
حادثة كبرى ثالثة في أبريل استهدفت Wasabi، وشملت اختراق مفتاح مدير تسبب في تأثير الدومينو عبر البروتوكول. مثلت هذه الهجمات الثلاث معاً ثلاث فئات مختلفة تماماً من "الفشل غير الكودي" – الهندسة الاجتماعية، ونقاط ضعف التحقق خارج السلسلة، واختراق البنية التحتية .
لاحظ محللو الأمن أن فئات الثغرات المسببة للخسائر في 2026 – مثل فشل التحكم في الوصول، واستغلال قابلية الترقية عبر البروكسي، وهجمات الجسور عبر السلاسل – هي نواقل هجوم بالكاد كانت موجودة في 2020 .
ترسم الأرقام صورة قاتمة. انخفضت القيمة الإجمالية المقفلة (TVL) في DeFi بأكثر من 50% من ذروتها في أكتوبر 2025 البالغة حوالي 170 مليار دولار إلى حوالي 38-43 مليار دولار بحلول منتصف مايو 2026 – وهو أسوأ انكماش منذ انهيار FTX . وضع أحد المتتبعين TVL عند 82.08 مليار دولار في أواخر مايو، مما يعكس ضغط أسعار الأصول وسحوبات رأس المال الحقيقية
.
أضاف تحذير أراوث في 26 مايو موجة جديدة من التدفقات الخارجة من مستثمري التجزئة والمؤسسات المتوترين الذين كانوا يتشبثون بالأمل في أن البروتوكولات الراسخة لا تزال آمنة. الواقع كان أن حتى البروتوكولات التي ساعدت OpenZeppelin في تأمينها منذ 2015 – Aave وMakerDAO وCompound – أصبحت الآن موسومة بعلامة "غير آمنة" من قبل الخبير الأمني الذي يعرف أكوادها أفضل من أي شخص آخر .
في مواجهة أزمة وجودية، قاد قطاع DeFi واحدة من أكثر الاستجابات تنسيقاً في تاريخه.
صندوق إنقاذ DeFi United: بقيادة Aave، تعهد أكثر من 30 بروتوكولاً وشركة – بما في ذلك Mantle وConsensys وLido وEtherFi وCompound – بأكثر من 300 مليون دولار من الإيثر لتغطية الديون المعدومة واستعادة دعم عملة rsETH بعد اختراق KelpDAO . جمعت المبادرة التزامات تجاوزت 43,500 إيثر، حيث اقترحت Mantle وحدها إقراض ما يصل إلى 30,000 إيثر لمنظمة Aave اللامركزية المستقلة (DAO)
. أشاد بنك ستاندرد تشارترد علناً بالجهد كدليل على نضوج النظام البيئي
، وهو ما قد يغير نظرتك لـ مستقبل الاستثمار في العملات الرقمية.
تدخل Arbitrum غير المسبوق: اتخذ مجلس أمن Arbitrum القرار المثير للجدل بتجميد ونقل حوالي 30,766 إيثر من العائدات القابلة للتتبع من هجوم KelpDAO – بدون امتلاك المفاتيح الخاصة للمهاجمين. وكان هذا أحد أكثر التدخلات على السلسلة جرأة من قبل شبكة من الطبقة الثانية .
توقيف البروتوكولات الطارئ: أوقفت KelpDAO جميع العقود عبر الشبكة الرئيسية وطبقات L2 في غضون ساعات من اكتشاف الاختراق. وجمدت Aave أسواق rsETH على الإصدارين V3 وV4 لمنع التصفيات المتتالية .
تزايد الضغط التنظيمي: بدأ المنظمون الماليون في الاتحاد الأوروبي في صياغة متطلبات ترخيص طارئة لبروتوكولات DeFi، بينما أشارت وزارة الخزانة الأمريكية إلى زيادة الرقابة على البروتوكولات التي تتعامل بأصول مستخدمين تتجاوز 50 مليون دولار .
استرداد Drift Protocol: أعلنت Tether عن التزام بقيمة 127.5 مليون دولار لتمويل مجمع استرداد مرتبط بالإيرادات لمستخدمي Drift، مما يمثل واحدة من أكبر عمليات الإنقاذ من قبل مصدر عملة مستقرة في تاريخ DeFi .
على الرغم من هذه الجهود الاستثنائية، لا تزال الحجة الأساسية دون تفنيد. تحذير أراوث لا يتعلق بارتفاع مؤقت في الاختراقات أو ببعض البروتوكولات التي تحتاج تدقيقاً أفضل. إنه تشخيص هيكلي: لقد غير المهاجمون المدعومون بالذكاء الاصطناعي معادلة الأمن بشكل دائم، ولم يُظهر القطاع بعد اختراقاً دفاعياً مكافئاً .
البروتوكولات التي نجت من أبريل 2026 تعمل الآن في عالم حيث يمكن للهندسة الاجتماعية أن تستنزف 285 مليون دولار في ثوانٍ، وحيث يمكن انتحال مدققي الجسور لسك 293 مليون دولار من الضمانات المزيفة، وحيث يمكن لوكلاء الذكاء الاصطناعي البحث عن ثغرات جديدة أسرع مما يستطيع أي فريق تدقيق بشري إصلاحها. حتى تتم معالجة التفاوت على مستوى جوهري – من خلال هيكلة البروتوكولات، وإعادة تصميم الحوكمة، والدفاع المدعوم بالذكاء الاصطناعي – سيبقى تحذير أراوث قائماً.