التدقيقات ليست كافية؟ 3.3 مليار دولار مفقودة في مشاريع التمويل اللامركزية المدققة، تكشف البيانات

تُعَد التدقيقات مهمة، لكنها ليست درعًا سحريًا. هذه هي الخلاصة المباشرة من سلسلة منشورات حديثة من منصة تحليل بيانات البلوكشين Sentora، مصحوبة بمخطط بياني يوضح مليارات الدولارات المفقودة في عمليات الاختراق والاستغلال في DeFi. تغطي البيانات الفترة من 2020 إلى 2025 (باستثناء انهيار Terra) وتقدم نقطة واضحة ومزعجة: حتى المشاريع التي دفعت مقابل مراجعات أمنية فقدت أموالًا كبيرة.

كتب Sentora: “التدقيق ضروري لـ DeFi، لكنه ليس ضمانًا”، “شهدت المشاريع التي خضعت للتدقيق خسائر تزيد على 3.3 مليار دولار بين 20–25، نتيجة للغش، اختراق المفاتيح الخاصة، والتغييرات بعد التدقيق. التدقيق في DeFi هو الحد الأدنى، لكن إدارة المخاطر الفعالة لا تزال تتطلب مراقبة نشطة للمخاطر.”

يعرض المخطط المصاحب، الذي يصنف الخسائر حسب المدقق، أن المشاريع غير المدققة تتعرض لأكبر ضرر، يقارب $5 مليار دولار، لكنه يظهر أيضًا أن المشاريع المدققة وشركات معروفة مثل Certik، NCC Group وTrail of Bits ليست محصنة تمامًا.

مشكلة متعددة الطبقات

معًا، ترسم الصور والملخص الذي قدمه Sentora مشكلة متعددة الطبقات. الجزء الأول واضح: المشاريع التي تخطت التدقيق أو قطعت الزوايا دفعت الثمن. الجزء الآخر، وهو بنفس الأهمية، هو أن التدقيقات نفسها هي لقطات زمنية، غالبًا ما تُجرى قبل التعديلات النهائية على الكود، تغييرات الحوكمة، أو إدخال مفاتيح إدارة جديدة.

تلك التعديلات بعد التدقيق، بالإضافة إلى هجمات الهندسة الاجتماعية التي تسرق المفاتيح الخاصة، والعمليات الاحتيالية من الداخل، تفسر جزءًا كبيرًا من الخسائر التي بلغت 3.3 مليار دولار والتي أشار إليها Sentora للمشاريع المدققة. يسلط المخطط الضوء أيضًا على فئة وسطى، وهي مجموعة من المدققين الصغار المعروفة باسم “Other (68)”، والتي تشكل معًا جزءًا كبيرًا من الخسائر.

هذا يشير إلى أن المشكلة ليست فقط فيما إذا كان المشروع قد خضع للتدقيق، بل تتعلق بجودة وشمولية التدقيق، ونطاق المدقق، وما يحدث بعد إصدار التقرير. التدقيق الذي يغفل الافتراضات التصميمية الحرجة، أو فريق يتجاهل التوصيات، يترك الباب مفتوحًا للمخاطر.

قال ممارسو الأمن منذ سنوات إن التدقيق الواحد يجب أن يُعتبر بداية لبرنامج أمني، وليس النهاية. المراقبة المستمرة، والنشر التدريجي، والضوابط متعددة التوقيعات، والوقت المحدد للوظائف ذات الامتيازات، وبرامج مكافآت الثغرات الاستباقية، ومنتجات التأمين، كلها جزء من نهج أكثر مرونة.

تعزز رسالة Sentora أن التدقيق يحدد الحد الأدنى من المعايير، لكن الفرق والمستثمرين يجب أن يضيفوا طبقات حماية ويواصلوا المراقبة. بالنسبة لنظام DeFi الذي يقدر القابلية للتكوين والتكرار السريع، فإن التوتر حقيقي. المطورون يرغبون في إصدار الميزات والتكيف بسرعة؛ المدققون يحتاجون إلى نطاق ووقت ليكونوا شاملين؛ والمهاجمون يبحثون عن الفترات القصيرة بينهما.

النتيجة من البيانات بسيطة ومزعجة؛ إنفاق الأموال على التدقيق سيظل ضروريًا، لكن المجتمع يحتاج أيضًا إلى انضباط ما بعد التدقيق وضمانات تشغيلية أفضل إذا أراد تقليل الخسائر بشكل فعّال.

سلسلة منشورات Sentora والمخطط تذكير بأن الأمان في DeFi هو عملية، وليس شهادة. تساعد التدقيقات في اكتشاف المشكلات، لكنها لا تمنع حدوثها. حتى تتعامل الفرق مع الأمان كعمل مستمر وليس كخانة اختيار، من المحتمل أن تستمر الأرقام الرئيسية في النمو.