استغلالات التمويل اللامركزي في عام 2026 حتى الآن وصلت إلى 137 مليون دولار، ونحن فقط في مارس. لوحة المتصدرين قاسية: • @StepFinance_: 27.3 مليون دولار • @Truebitprotocol: 26.2 مليون دولار • @ResolvLabs: 25 مليون دولار (أمس) ​ نادرا ما يرى في تاريخ التمويل اللامركزي أن يتحول وديعة بقيمة 100 ألف دولار إلى عملة ثابتة بقيمة 80 مليون دولار في ثوان. هذا يذكرني بأطروحة @a16zcrypto "التخصص هو القانون" في أوائل 2026. إليكم تحليلا كاملا لما حدث من أخطاء، ولماذا لم تكن أطروحة a16z أكثر أهمية 🧵👇 من قبل

1/ العيب السري في ريزولف استخدمت عملة @ResolvLabs المحايدة من حيث الدلتا (USR) تدفق هجين من سك العملة على السلسلة وخارج السلسلة: الودائع/الاسترداد على السلسلة، @PythNetwork التحقق من التسعير خارج السلسلة. تم إنهاء عملية التعدين SERVICE_ROLE واحدة (وليس multisig) لإنهاء الإصلاحات، مما خلق نقطة فشل حرجة واحدة.

2/ كيف حدث استخراج بقيمة 25 مليون دولار هذه ليست مشكلة عقدية. حوالي الساعة 2:21 صباحا بالتوقيت العالمي في 22 مارس، اخترق مهاجم مفتاح SERVICE_ROLE وتجاوز التحقق. - عادي: يودع المستخدم 100 ألف دولار USDC → SERVICE_ROLE شيكات أوراكل → 100 ألف دولار أمريكي سك. - الاستغلال: يودع المهاجم 100 ألف دولار USDC → تم تجاوز أوراكل → 80 مليون دولار أمريكي تم سكها في استدعاءين. - لا توجد حدود على السلسلة أو فحوصات النسبة أو حدود الإمداد تمنع ذلك. قام المهاجم بالتفاف وإسقاط USR غير المدعوم عبر @CurveFinance و@Uniswap، مما دفع USR إلى 0.025 دولار. قاموا بتبديل العائدات إلى ~11,400+ إيث (~23 دولار – 25 مليون دولار). أثرت التفاعل في التمويل اللامركزي على بروتوكولات تستخدم USR/wstUSR كضمان (Morpho، Fluid، Aave)، مما أدى إلى ديون متعثرة، وتصفيات، وتجميدات السوق للاحتواء من العدوى.