اختراق أمني لـ Yearn's yETH: كيف يعيد سرقة بملايين الدولارات تشكيل ممارسات التمويل اللامركزي

الحادثة في السياق: الصدمة السوقية واختبار النظام

في أواخر نوفمبر 2025، واجهت Yearn Finance ثغرة أمنية كبيرة كشفت التوازن الهش بين الابتكار وقوة البروتوكول. أدى استغلال طباعة لا نهائية على عقد yETH إلى خسارة رأسمالية بقيمة 2,8 مليون دولار تقريباً — وهو مبلغ محدود نسبياً بالقيمة المطلقة، لكنه مهم فيما يكشفه عن مخاطر التركيب الألعابي في التمويل اللامركزي.

غير أن رد فعل السوق كان غير متناسب. قفزت أسعار YFI من حوالي 4,080 دولار إلى أكثر من 4,160 دولار خلال ساعة واحدة، مُحفزة بفخ البيع القصير. أبرزت هذه التذبذبات كيف يميل المشاركون في السوق إلى المبالغة في تقدير الثغرات في العقود القديمة بوصفها تهديدات نظامية. مع وجود حوالي 33,984 رمز YFI فقط في التداول، فإن موضع السيولة للرمز هش بطبيعته أمام ضغط التداول المركز.

تشريح الهجوم: كيف ظهرت 235 تريليون yETH من العدم

في 30 نوفمبر 2025 الساعة 21:11 بتوقيت UTC، قام جهة فاعلة خبيثة بتفعيل خطأ حرج في آلية الطباعة لعقد رمز yETH. في معاملة واحدة، أنتج الاستغلال ما يُقدر بـ 235 تريليون وحدة yETH.

كانت استراتيجية الهجوم أنيقة في بساطتها:

• المرحلة 1 — الطباعة الجماعية: قامت ثغرة الطباعة اللا نهائية بإنشاء كمية غير محدودة من الرموز دون تحقق
• المرحلة 2 — استخراج السيولة: تم استخدام yETH المُصنّع لسحب القيمة الحقيقية من مجموعات سيولة Balancer، حيث كان yETH مقترناً بـ ETH الفعلي ورموز الرهن السيولة
• المرحلة 3 — محو المسار: استخدم المعتدي عقوداً مساعدة واستدعاءات self-destruct لإبقاء سلاسل المعاملات جزئية، تليها حوالي 1,000 ETH تم توجيهها عبر خدمات المزج

تمكنت فرق الطب الشرعي على السلسلة من تحديد الخطأ بشكل خاص في عقد رمز yETH، وليس في البنية التحتية الأساسية للخزائن في Yearn — وهو تمييز سيثبت أنه حاسم لاحقاً لتخفيف المخاطر.

لماذا أثر هذا على yETH تحديداً: العقود القديمة في التمويل اللامركزي الحديث

عزل الاستغلال نفسه إلى تطبيق yETH أقدم. أكدت Yearn أن كلاً من الخزائن V2 و V3 ظلت سليمة — وهي تفاصيل مهمة كان يجب أن تخفف الذعر الأولي.

ومع ذلك، يوضح هذا السيناريو مشكلة أوسع في العمارة البرمجية للتمويل اللامركزي. غالباً ما يؤدي تطور البروتوكول إلى نسخ متكررة متداخلة؛ تتلقى الحقب الأقدم تدقيقات أقل تكراراً وتبقى نشطة لأن المستخدمين الحاليين أو مزودي السيولة عالقون فيها. يخلق هذا “ذيل قديم” — طبقات كود تتقادم في ما يُسمى بيئات الإنتاج.

الخطأ التقني الأساسي: سمحت آلية الطباعة في yETH بإنشاء رموز غير محدود دون التحكم في الوصول الكافي. كيفية تسلل هذا من خلال التدقيقات، والسبب وراء امتلاك الإصدارات الأقدم فحوصات أقل قوة، يبقى جزءاً من التحليلات بعد الحادثة.

موجة السوق وما تكشفه

تفاعلت أسواق المشتقات مباشرة برفع معدلات التمويل وتوسع التذبذب. بالنسبة للعديد من التجار، كان التمييز بين “استغلال yETH” و"فشل نظام Yearn" غير مرئي.

لهذه الظاهرة درس نمط أعمق: العزل على السلسلة للأضرار لا يترجم تلقائياً إلى تصور السوق. يمكن لخوف “إلى أي حد يصل هذا؟” أن يزيل الثقة من المستثمرين في تقدير النطاق بحكمة. أجبرت تصفيات أوضاع YFI البيع القصير على تسريع دفع السعر البيع القصير في الأجل القصير.

ملاحظة على البيانات: يتم تسعير YFI حالياً حول 3.51 ألف دولار، مما يعكس التغييرات منذ الحادثة ويشير إلى تطبيع السوق.

استجابة Yearn: التواصل والطب الشرعي

تصرفت Yearn بسرعة نسبياً. قام البروتوكول بـ:

• تأكيد نطاق الثغرة المحدود بشكل علني
• التنسيق مع فرق التحقيق على السلسلة لرسم مخطط ناقلات الهجوم
• بدء حوارات الحوكمة حول التعويض المحتمل وتأمين المستقبل ( على الرغم من أن الجدوى التقنية والقانونية لا تزال غير مؤكدة )
• تتبع الأصول المسروقة والتحقيق في إمكانيات الاستعادة من خلال الجهود متعددة الأطراف

شكل سرعة الكشف والاتصال تناقضاً مع الخروقات السابقة في التمويل اللامركزي، حيث يمكن أن تستغرق حالات تخزين المعلومات أسابيع. يشير هذا أيضاً إلى تحترف القطاع.

الخطوات العملية للمستخدمين وموفري السيولة

لمن لديهم تعرض لمنتجات Yearn أو مشتقات LST أو مجموعات Balancer:

تدقيق التعرض: تحقق من الخزائن أو مجموعات السيولة التي تخدمها، والتحقق من ما إذا كانت تستخدم إصدار yETH الضعيف. تعد مراكز V2 و V3 أقل إلحاحاً.

إعادة التوازن: سحب السيولة المدروسة من المجموعات حيث يعمل yETH كأصل أساسي. يحد هذا من المخاطر الحتمية في حالة عدم الاستقرار السوقي الإضافي.

تحضير الإشارة على السلسلة: اتبع التحديثات الأمنية الرسمية من المشاريع، وليس شائعات وسائل التواصل الاجتماعي. يمكن لعمليات البيع بالذعر بناءً على إشارات خاطئة أن تسبب ضرراً أكثر من الاختراق نفسه.

الدروس الأوسع: التمويل اللامركزي في 2025 وما بعده

يعكس هذا الحادثة نمطاً أوسع في كيفية تطور التمويل اللامركزي:

تعقيد قابلية التركيب كسلاح ذو حدين: تضيف التكاملات بين البروتوكولات المتعددة قيمة لكنها تزيد من سطح الهجوم. تتطلب آليات الطباعة/الحرق التي تعمل على طبقات متعددة فحص معزز.

قطاع LST كنقاط نفوذ: الرموز السيولة المرهونة متجذرة بشكل أعمق في المحافظ والمجموعات السيولة في عام 2025. يعني دورهم المتزايد أن الأخطاء في نظام رهن واحد يمكن أن تكون لها عواقب سوقية أوسع.

ضوضاء الإشارة مقابل الأساسيات: المراقبة في الوقت الفعلي متطورة، لكن التفسير السريع للذعر للإشارات — والتي يكون الكثير منها نتائج إيجابية خاطئة — شكل أحياناً مخاطرة أكبر من الحوادث التقنية نفسها.

آليات التأمين والحوكمة: تطبق فريق البروتوكول بشكل متزايد احتياطيات الصناديق على السلسلة، والحماية متعددة التوقيع، والاستجابات الحوكمة الاستباقية. يصبح هذا معياراً.

التنظيم كانضباط: يطلب المشرفون في 2025 من البروتوكول الأمان الإجرائي ومساءلة البروتوكول، مما يؤثر على كيفية تعامل الفريق مع الحوادث وتنظيم التعويض.

التوصيات لمهندسي البروتوكول

• تدقيقات منتظمة وعميقة مع التركيز على منطق الطباعة/الحرق والحالات الحدية، مع التركيز على نسخ العقود الأقدم
• مكافآت اكتشاف الأخطاء الجذابة لتمكين باحثي المجتمع من اكتشاف الأخطاء الحرجة مبكراً
• فصل العقود: مسارات الهجرة للكود القديم الخطير إلى نسخ أحدث معتمدة
• بروتوكولات حادثة واضحة: اتصال موحد، تنسيق الطب الشرعي، واستجابة الحوكمة

الخلاصة: الابتكار تحت الإشراف

استغلال yETH اللا نهائي للطباعة ليس اختراقاً ضخماً، لكن دروسه واسعة النطاق. يتم التأثير على قدرة التمويل اللامركزي على الابتكار من خلال قابلية التركيب، لكن أيضاً يتم تقويضها من خلال وزن العقود القديمة. بالنسبة للمستثمرين والبروتوكولات، ينطبق عام 2025 كسنة الوعي بالمخاطر: التدقيق، واستراتيجيات الاسترجاع، والتفسير العقلاني على السلسلة لم تعد اختيارية.

تتفاعل الأسواق بطريقة غير منظمة مع الثغرات. يمكن لهذا التفاعل أن يقدم فرصة وخطراً — لمن يمكنه التمييز الحكيم بين الإشارات والواقع الأساسي.