هک‌های DeFi 80% کاهش یافت اما نقص‌های چند زنجیره‌ای به‌عنوان ریسک جدید ظهور کردند

امور مالی غیر متمرکز با نام اختصاری دیفای در شش سال گذشته بسیار ایمن‌تر شده است. یک بررسی جدید از زیان‌های پروتکل‌ها از سال ۲۰۲۰ تا ۲۰۲۵ اعداد بزرگی را پشت این ادعا قرار می‌دهد.

زیان‌های دیفای در سطح صنعت در سال ۲۰۲۲ به اوج ۲.۶۲ میلیارد دلار رسید و تا سال ۲۰۲۴ حدود ۸۰ درصد کاهش یافت و به ۵۳۴ میلیون دلار رسید. هک‌های پل که زمانی تیترهای میلیاردی می‌ساختند، اکنون سهم ناچیزی از مجموع سالانه دارند. یک اکسپلویت معمولی امروز حدود یک چهارم آسیبی را که در اوج خود وارد می‌کرد، وارد می‌کند.

زیان‌ها علی‌رغم افزایش زنجیره‌ها و کاربران کاهش یافتند

بخش دلگرم‌کننده داده‌ها این است که حملات ارزان و قابل تکرار عمدتاً از بین رفته‌اند. کل زیان‌ها در دو سال ۸۰ درصد کاهش یافت، حتی در حالی که ارزش کل قفل شده (TVL) دیفای به رشد ادامه داد. میانه زیان در هر حادثه از ۶ میلیون دلار در سال ۲۰۲۲ به ۱.۵ میلیون دلار در سال ۲۰۲۵ کاهش یافت، یعنی ۷۵ درصد افت.

تعداد حوادث منحصربه‌فرد در سال ۲۰۲۵ به ۸۳ مورد رسید. هک‌های بیشتری در حال وقوع است در حالی که هر کدام آسیب بسیار کمتری وارد می‌کنند. این تقریباً همان چیزی است که یک حوزه امنیتی در حال بلوغ باید به نظر برسد.

پل‌ها در سال‌های ۲۰۲۱ و ۲۰۲۲ آسیب‌پذیری اصلی بودند. تنها در آن سال دوم، نه اکسپلویت پل منجر به ۱.۹ میلیارد دلار زیان شد. پل Ronin به تنهایی ۶۲۴ میلیون دلار زیان داشت. هک‌های پل ۷۳ درصد از کل زیان‌های دیفای در آن سال را تشکیل می‌دادند. تا سال ۲۰۲۵، سهم پل به ۳ درصد سقوط کرد. مکانیزم‌های تأیید بهبودیافته، مجموعه‌های اعتبارسنج غیر متمرکز، و تغییر به سمت پیام‌رسانی بومی فناوری میان زنجیره‌ای به کوچک شدن این دسته کمک کرد.

حملات وام فوری همان مسیر نزولی را دنبال کردند. آن‌ها ۵۴ درصد از کل زیان‌ها در سال ۲۰۲۰ را تشکیل می‌دادند. تا سال ۲۰۲۵، کمتر از ۱ درصد را شامل می‌شدند. پروتکل‌ها دفاع‌هایی متناسب با آن حمله اتخاذ کردند: قیمت‌های میانگین وزنی زمانی، یکپارچه‌سازی اوراکل Chainlink، محافظ‌های reentrancy، و طراحی‌هایی که فرض می‌کنند یک مهاجم می‌تواند قیمت‌ها را در یک تراکنش اتمی واحد دستکاری کند.

به خطر افتادن کلیدهای خصوصی کاهش مشابهی داشت. از ۲۸.۷ درصد زیان‌ها در سال ۲۰۲۲ به ۸.۱ درصد در سال ۲۰۲۵ کاهش یافت. هر یک از این دسته‌ها کوچک شد زیرا صنعت یک الگوی قابل تکرار را شناخت و پاسخ‌های استاندارد ساخت.

آنچه باقی مانده دفاع از آن سخت‌تر است

بستن حملات عمومی یک دسته بسیار دشوارتر را به جا گذاشت. در سال ۲۰۲۵، ۸۹.۱ درصد از زیان‌های دیفای از اکسپلویت‌های منطق پروتکل ناشی شد. اینها نقص‌های سطح کد مختص به نحوه طراحی یک برنامه کاربردی هستند. یک هک پل شامل فرضیات اعتماد قابل تشخیص است. یک حمله وام فوری بخشی از یک خانواده شناخته‌شده از تکنیک‌هاست. هر دو را می‌توان با الگوهای قابل استفاده مجدد دفاع کرد.

یک باگ منطق پروتکل ذاتاً سفارشی است. از ریاضیات خاص، کنترل‌های دسترسی، یا انتخاب‌های ترکیب‌پذیری یک کدبیس واحد ظهور می‌کند. دفاع سیستماتیک از آن دشوار است زیرا هر نمونه معمای خودش است.

استقرار چند زنجیره‌ای باگ‌ها را به بحران تبدیل می‌کند

استقرار چند زنجیره‌ای یکی از این باگ‌های سفارشی را به یک بحران تمام‌عیار تبدیل می‌کند. پروتکل‌های اصلی اغلب همان کد را در بلاک چین اتریوم، Base، Arbitrum، Polygon، OP Mainnet و Sonic مستقر می‌کنند. یک نقص واحد می‌تواند وجوه را در هر شبکه‌ای که آن را اجرا می‌کند به طور همزمان تخلیه کند.

این را در نوامبر ۲۰۲۴ مشاهده کردیم که Stable Pools ترکیبی V2 بالانسر حدود ۱۲۸ میلیون دلار در کمتر از نیم ساعت در شش بلاکچین به طور همزمان تخلیه شد. طبق گزارش Check Point Research، مهاجم از یک نقص دقت حسابی در ریاضیات ثابت استخرها سوءاستفاده کرد. آن‌ها موجودی توکن را به مرز گردکردن هدایت کردند و سپس مبادلات دسته‌ای را زنجیر کردند تا آن خطاهای ناچیز به یک تخلیه کامل تبدیل شدند.

قراردادهایی با همان آسیب‌پذیری در بلاک چین اتریوم، Arbitrum، Base، Polygon، Sonic و OP Mainnet مستقر شده بودند. اکسپلویت به همه آن‌ها به یک باره رسید زیرا نقص در خود کد جاسازی شده بود و آن کد همه جا کپی شده بود. یازده ممیزی جداگانه نتوانسته بودند آن را کشف کنند.

گزارش ImmuneFi یک خط مستقیم از اکسپلویت تقریباً ۶۱۱ میلیون دلاری Poly Network در سال ۲۰۲۱ به بالانسر در سال ۲۰۲۵ ترسیم می‌کند. Poly Network در نقطه اتصال بین سیستم‌ها شکست خورد. بالانسر همان منطق بود که به صورت یکسان در شبکه‌هایی که کد، مسیرهای امضاکننده و فرضیات تأیید را به اشتراک می‌گذارند، شکست خورد.

اندازه‌گیری ایمنی تغییر کرده است

هنگامی که یک زنجیره بخشی از نقشه استقرار پیش‌فرض برای پروتکل‌های اصلی می‌شود، سطح ریسک هر چیزی که میزبانی می‌کند را جذب می‌کند. گزارش زیان کامل از یک اکسپلویت چند زنجیره‌ای را به هر زنجیره آسیب‌دیده نسبت می‌دهد. شرکت‌کنندگان در هر شش شبکه در معرض تأثیر کامل بودند.

ارقام هک ۲۰۲۵ برای Polygon، OP Mainnet، Base و Sonic به شدت تحت تأثیر آبشار بالانسر قرار دارند. گزارش شکست‌های صرافی متمرکز را کاملاً حذف می‌کند. بزرگ‌ترین سرقت منفرد سال، هک ۱.۵ میلیارد دلاری Bybit که FBI آن را به کره شمالی نسبت داد، به عنوان یک شکست حضانتی و نه یک شکست پروتکلی در نظر گرفته می‌شود.

بر اساس نسبت زیان به TVL، امن‌ترین سطح در میان اکوسیستم‌های اصلی بلاک چین اتریوم با حدود ۰.۴۲ درصد، Solana با ۰.۴۲ درصد و BNB Chain با ۰.۳۳ درصد بود. این سه اکوسیستم بزرگ دیفای نشان می‌دهند که مقیاس و امنیت با هم بهبود یافته‌اند.

اکنون یک زیان می‌تواند در یک برنامه کاربردی رخ دهد که حاوی نقصی وارداتی از جای دیگر است. راحتی‌ای که برنامه‌های کاربردی چند زنجیره‌ای را جذاب می‌کند همان چیزی است که این اشتباه را از یک خطای محلی به یک خطای مشترک تبدیل می‌کند. کریپتو زنجیره‌های جداگانه‌ای راه‌اندازی کرد تا از وابستگی به هر سیستم واحدی جلوگیری کند. اجرای همان مجموعه کوچکی از پروتکل‌های محبوب در همه آن‌ها تمرکزی را که آن زنجیره‌ها قرار بود از آن فرار کنند، دوباره ایجاد کرده است.

حادثه بزرگ بعدی ممکن است در روزی که اتفاق می‌افتد کوچک به نظر برسد، یک باگ منطقی واحد در یک پروتکل به طور گسترده مستقرشده. اندازه واقعی آن تنها زمانی آشکار می‌شود که مردم متوجه شوند همان کد آسیب‌پذیر تمام مدت روی نیم دوجین شبکه نشسته بود.

این مطلب با عنوان هک‌های دیفای ۸۰ درصد کاهش یافتند اما نقص‌های چند زنجیره‌ای به عنوان ریسک جدید ظهور می‌کنند برای اولین بار در TheCryptoUpdates منتشر شد.