کالبدشکافی سرقت ۵۷۷ میلیون دلاری از دریفت و کلپ دائو

اکوسیستم امور مالی غیرمتمرکز (DeFi) در بهار سال ۲۰۲۶ میلادی شاهد یکی از پیچیده‌ترین، مخرب‌ترین و هماهنگ‌ترین امواج حملات سایبری در تاریخ حیات خود بود. بر اساس مستندات و داده‌های تحلیل‌شده، شبکه‌ای سازمان‌یافته از هکرهای وابسته به دولت کره شمالی، طی یک عملیات مستمر و پیچیده شش‌ماهه، موفق شدند مبلغی بالغ بر ۵۷۷ میلیون دلار از دارایی‌های دیجیتال کاربران را از طریق نفوذ به دو پروتکل برجسته به نام‌های دریفت (Drift Protocol) و کلپ دائو (Kelp DAO) به سرقت ببرند. این رقم خیره‌کننده که نمایانگر ۷۶ درصد از کل خسارات ناشی از هک در صنعت ارزهای دیجیتال در چهار ماهه نخست سال ۲۰۲۶ است، نشان‌دهنده تمرکز نامتناسب و هدفمند این بازیگران دولتی بر پروتکل‌های دارای نقدینگی بالا و نقاط ضعف ساختاری است.

از سال ۲۰۱۷ تاکنون، مجموع خسارات وارد شده توسط هکرهای کره شمالی به زیرساخت‌های مالی جهانی به بیش از ۶ میلیارد دلار رسیده است که نشان از بلوغ و توسعه مستمر ابزارهای تهاجمی این کشور دارد. با این حال، آنچه این موج اخیر از حملات را از رویدادهای پیشین متمایز می‌سازد، تغییر پارادایم اساسی در بردارهای حمله (Attack Vectors) است. در حملات آوریل ۲۰۲۶، هیچ‌گونه نقص بنیادین در کدهای برنامه‌نویسی یا آسیب‌پذیری در قراردادهای هوشمند (Smart Contracts) مشاهده نشد. در هر دو مورد، کدهای نرم‌افزاری دقیقاً همان کاری را انجام دادند که برای آن برنامه‌ریزی شده بودند. در عوض، مهاجمان به‌طور سیستماتیک لایه‌های انسانی، حاکمیت سازمانی (Governance) و زیرساخت‌های عملیاتی خارج از زنجیره (Off-chain) را هدف قرار دادند.

این تغییر رویه نشان‌دهنده یک استراتژی جدید است که هکرها به جای تلاش برای شکستن سدهای رمزنگاری پیچیده یا یافتن باگ‌های نرم‌افزاری، ماه‌ها زمان صرف ایجاد روابط مبتنی بر اعتماد، نفوذ به زیرساخت‌های تصمیم‌گیری انسانی و سوءاستفاده از تنظیمات پیش‌فرضِ پرخطر و پیکربندی‌های اشتباه می‌کنند. این گزارش از میهن بلاکچین، با رویکردی تحلیلی و عمیق، به کالبدشکافی این دو حمله بی‌سابقه، بررسی مکانیزم‌های پول‌شویی و مهندسی اجتماعی، ارزیابی واکنش‌های هماهنگ صنعت کریپتو، و واکاوی پیامدهای حقوقی و فلسفی مداخلات آنچین برای بازیابی دارایی‌ها می‌پردازد.

آناتومی تهدیدات سایبری دولت‌محور و ارتش سایبری کره شمالی

برای درک ابعاد سرقت ۵۷۷ میلیون دلاری، ابتدا باید زیرساخت‌های کلان سایبری کره شمالی و نحوه پرورش ارتش سایبری این کشور را مورد بررسی قرار داد. کارشناسان برجسته‌ای نظیر جین لی (Jean Lee)، روزنامه‌نگار باتجربه و نیک کارلسن (Nick Carlsen)، تحلیلگر سابق اف‌بی‌آی و متخصص تهدیدات کره شمالی در شرکت TRM Labs، ابعاد پنهان این سیستم را افشا کرده‌اند. در کشوری که با فقر شدید، تحریم‌های بین‌المللی و کمبود مستمر انرژی مواجه است، دولت پیونگ‌یانگ یک خط لوله استعدادیابی دولتی و سیستماتیک را ایجاد کرده است. کودکان بااستعداد از سنین پایین شناسایی شده و به نهادهای ویژه‌ای نظیر «کاخ کودکان مدرسه‌ای» منتقل می‌شوند تا تحت آموزش‌های فشرده در حوزه‌های علوم رایانه و ریاضیات قرار گیرند.

این دانش‌آموزان منتخب در نهایت به آکادمی‌های نخبگان فناوری راه می‌یابند. دسترسی انحصاری و به‌شدت کنترل‌شده به رایانه و اینترنت در جامعه‌ای بسته، به عنوان یک ابزار قدرتمند اغواگرانه عمل می‌کند تا این افراد به هکرهای وفادار به ساختار دولتی تبدیل شوند. این ارتش سایبری که معروف‌ترین شاخه آن گروه لازاروس (Lazarus Group) و زیرگروه‌هایی نظیر تریدر تریتور (TraderTraitor) است، مسئولیت تامین مالی برنامه‌های هسته‌ای و موشک‌های بالستیک کره شمالی را بر عهده دارد. اگرچه وزارت امور خارجه کره شمالی از طریق خبرگزاری دولتی KCNA تمامی اتهامات مربوط به سرقت ارزهای دیجیتال را «تهمت‌های بی‌اساس» و «ابزار سیاسی واشنگتن» خوانده و بر موضع اصولی خود در حفاظت از فضای سایبری تاکید کرده است، اما شواهد انکارناپذیر بلاک‌چینی تمامی این حملات را به آدرس‌های تحت کنترل این کشور مرتبط می‌سازد.

تکامل استراتژی‌های پول‌شویی و تاکتیک «اشباع منطقه»

هکرهای کره شمالی برخلاف مجرمان سایبری عادی، دغدغه‌ای برای مخفی ماندن به منظور جلوگیری از دستگیری یا استرداد ندارند، زیرا در داخل مرزهای کره شمالی یا کشورهای هم‌پیمان فعالیت می‌کنند. از این رو، استراتژی آن‌ها به جای تمرکز بر ناشناسی مطلق، بر «سرعت» و «حجم انبوه تراکنش‌ها» استوار است. آن‌ها از تاکتیکی استفاده می‌کنند که نیک کارلسن آن را رویکرد اشباع منطقه (Flood the Zone) می‌نامد. در این رویکرد، مهاجمان با ایجاد تراکنش‌های سریع و با فرکانس بالا در پلتفرم‌های متعدد، تیم‌های انطباق (Compliance)، تحلیلگران بلاک‌چین و نهادهای مجری قانون را فلج کرده و ردیابی را به شدت پیچیده می‌کنند.

تاریخچه حملات اخیر، از جمله سرقت یک و نیم میلیارد دلاری از صرافی Bybit در سال ۲۰۲۵ و هک ۱۰۰ میلیون دلاری کیف پول اتمیک (Atomic Wallet) در سال ۲۰۲۳، الگوی مشخصی از چرخه پول‌شویی این گروه را نشان می‌دهد. در مرحله نخست، دارایی‌های مسروقه که قابلیت مسدود شدن دارند (مانند استیبل‌کوین‌ها یا توکن‌های رپدشده نظیر Wrapped Ethereum)، فوراً به دارایی‌های غیرمتمرکز بومی (Native Assets) مانند اتریوم تبدیل می‌شوند. دلیل این امر، جلوگیری از واکنش سریع ناشران توکن است که در حمله Bybit، واکنش سریع باعث مسدود شدن ۴۰ میلیون دلار از دارایی‌های هکرها شد.

پس از تبدیل اولیه، این دارایی‌ها معمولاً برای هفته‌ها یا ماه‌ها در یک حالت رکود (Stasis) در کیف‌پول‌های واسط نگه داشته می‌شوند تا آب‌ها از آسیاب بیفتد. در مرحله بعد، از طریق پل‌های میان‌زنجیره‌ای غیرمتمرکز نظیر THORchain که امکان تبادل مستقیم دارایی‌ها بدون نیاز به نهاد واسط را فراهم می‌کند، دارایی‌ها به شبکه بیت‌کوین منتقل می‌شوند. پروتکل THORchain به دلیل عدم وجود اپراتوری که تمایل یا توانایی مسدودسازی تراکنش‌ها را داشته باشد، به پل ارتباطی محبوب هکرهای کره شمالی در بزرگترین سرقت‌هایشان تبدیل شده است. پس از انتقال به شبکه بیت‌کوین، دارایی‌ها وارد میکسرهای ارز دیجیتال نظیر Sinbad، YoMix، Wasabi Wallet و CryptoMixer می‌شوند تا ردپای تراکنش‌ها به طور کامل محو گردد.

مرحله نهایی این چرخه پول‌شویی، نیازمند ظرفیت عظیمی برای جذب و نقد کردن صدها میلیون دلار پول کثیف است. در اینجا، سندیکاهای جرایم سازمان‌یافته چینی (Triads) وارد عمل می‌شوند. شبکه‌های بانکی زیرزمینی در چین به عنوان یک سیستم تطبیق‌دهنده جهانی عمل می‌کنند؛ آن‌ها دلارهای فیزیکی حاصل از فروش مواد مخدر کارتل‌ها در غرب را با نقدینگی رمزارزی تزریق‌شده توسط کره شمالی مبادله می‌کنند. این سیستم نه تنها پول‌شویی مقادیر عظیم را ممکن می‌سازد، بلکه به شهروندان ثروتمند چینی اجازه می‌دهد تا با دور زدن کنترل‌های سرمایه دولتی، ثروت خود را به خارج از کشور منتقل کنند.

سقوط پروتکل دریفت، فاجعه‌ای بر بستر مهندسی اجتماعی

در تاریخ اول آوریل ۲۰۲۶، پروتکل دریفت (Drift Protocol) که به عنوان بزرگترین صرافی غیرمتمرکز معاملات آتی دائمی (Perpetual Futures) در شبکه بلاک‌چین سولانا شناخته می‌شد، در عرض تنها ۱۲ دقیقه، شاهد خروج و سرقت تقریبی ۲۸۵ میلیون دلار از دارایی‌های کاربران خود بود. این رقم معادل بیش از ۵۰ درصد از کل ارزش قفل‌شده (TVL) این پروتکل بود و این رویداد را به بزرگترین هک دیفای در سال ۲۰۲۶ تا آن زمان، و دومین حمله بزرگ تاریخ شبکه سولانا (پس از هک ۳۲۶ میلیون دلاری پل ورم‌هول در سال ۲۰۲۲) تبدیل کرد.

برنامه‌ریزی شش‌ماهه و ایجاد اعتماد کاذب

تحقیقات عمیق نشان می‌دهد که این حمله به هیچ وجه یک سوءاستفاده ناگهانی از یک نقص کدنویسی نبوده است، بلکه حاصل ماه‌ها تلاش بی‌وقفه برای نفوذ روانشناختی و مهندسی اجتماعی بوده است. مهاجمان وابسته به کره شمالی، هویت‌های کاملاً جعلی اما متقاعدکننده‌ای به عنوان مدیران و نمایندگان یک شرکت معاملات الگوریتمی (Quantitative Trading Firm) ایجاد کردند. آن‌ها با حضور فیزیکی و مستمر در کنفرانس‌های بین‌المللی صنعت کریپتو، مستقیماً با توسعه‌دهندگان و مشارکت‌کنندگان کلیدی پروتکل دریفت ارتباط برقرار کردند. برای اثبات حسن نیت و تثبیت این هویت جعلی، مهاجمان حتی بالغ بر یک میلیون دلار از سرمایه خود را به عنوان سپرده در پلتفرم دریفت قرار دادند.

این سطح از اعتمادسازی به آن‌ها اجازه داد تا به حلقه تصمیم‌گیرندگان اصلی پروتکل نزدیک شوند و در نهایت، اعضای شورای امنیت (Security Council) دریفت را متقاعد کنند تا تراکنش‌هایی را که در ظاهر برای امور عملیاتی روزمره و روتین تنظیم شده بودند، از پیش امضا کنند. اعضای شورا بدون آگاهی از بستر و هدف نهایی این تراکنش‌ها، مجوزهایی را صادر کردند که در واقع چک سفیدی برای تسلط کامل بر سیستم بود.

آسیب‌پذیری‌های معماری و آماده‌سازی آنچین

آماده‌سازی فنی و آنچین این حمله از تاریخ ۱۱ مارس ۲۰۲۶، یعنی نزدیک به سه هفته پیش از روز اجرای نهایی، آغاز شد. در این روز، مهاجم یک برداشت ۱۰ اتریومی از میکسر تورنادو کش (Tornado Cash) انجام داد. تنها چند ساعت بعد، در ساعات اولیه ۱۲ مارس، این وجوه برای تامین مالی و استقرار یک توکن کاملاً جعلی و بی‌ارزش به نام توکن کربن وت (CarbonVote Token – CVT) مورد استفاده قرار گرفت.

مهاجمان برای اجرای سناریوی خود نیازمند استفاده از یک ویژگی قانونی و خاص در شبکه سولانا به نام نانس‌های پایدار (Durable Nonces) بودند. در بلاک‌چین سولانا، به طور پیش‌فرض تراکنش‌ها دارای یک طول عمر کوتاه هستند و اگر به سرعت در شبکه ثبت نشوند، منقضی می‌گردند. اما ویژگی نانس‌های پایدار به کاربران اجازه می‌دهد تا تراکنش‌هایی را ایجاد و امضا کنند که انقضا نداشته و می‌توانند هفته‌ها یا ماه‌ها بعد به طور قطعی اجرا شوند. هکرها چندین حساب نانس پایدار ایجاد کرده و امضاهای اخذ شده از مدیران فریب‌خورده را به این حساب‌ها متصل کردند.

همزمان با این اقدامات، یک تغییر مرگبار در ساختار حاکمیتی دریفت رخ داد. در تاریخ ۲۷ مارس ۲۰۲۶، تیم توسعه‌دهنده دریفت، پیکربندی شورای امنیت خود را به مدل تایید ۲ از ۵ (نیاز به امضای ۲ نفر از ۵ مدیر) تغییر داد و مهم‌تر از همه، ویژگی قفل زمانی (Timelock) را روی عدد صفر تنظیم کرد. قفل زمانی یک مکانیزم دفاعی استاندارد در دیفای است که باعث می‌شود تغییرات حیاتی با تاخیری چند روزه اعمال شوند تا در صورت کشف کدهای مخرب، جامعه بتواند مداخله کند. حذف این قفل زمانی، آخرین خط دفاعی سیستم را از بین برد و شرایط را برای یک حمله آنی و بدون بازگشت مهیا ساخت.

موازی با این تغییرات، هکرها در حال مشروعیت بخشیدن به توکن جعلی CVT بودند. آن‌ها ۷۵۰ میلیون واحد از این توکن ضرب کردند، اما تنها چند هزار دلار نقدینگی واقعی به استخرهای پلتفرم غیرمتمرکز رییدیوم (Raydium) تزریق کردند. سپس با استفاده از تکنیک واش تریدینگ (Wash Trading)، تاریخچه قیمتی توکن را دستکاری کرده و ارزش آن را به صورت مصنوعی در حدود یک دلار تثبیت کردند. اوراکل‌های قیمتی دریفت به دلیل فقدان مکانیزم‌های دفاع در عمق نظیر تعیین آستانه حداقل نقدینگی واقعی یا استفاده صحیح از میانگین‌های قیمتی وزن‌دار در زمان (TWAP)، این سیگنال‌های مصنوعی را پذیرفته و CVT را به عنوان یک دارایی معتبر شناسایی کردند.

فاز اجرایی و دوازده دقیقه ویرانگر

در روز اول آوریل ۲۰۲۶، در ساعت ۱۶:۰۵:۱۸ به وقت هماهنگ جهانی (UTC)، فاز اجرایی و نهایی حمله کلید خورد. مهاجم اولین تراکنش نانس پایدار را که حاوی پیشنهاد انتقال کلید مدیریت (Admin Key) به آدرس تحت کنترل هکرها (H7PiGqqUaanBovwKgEtreJbKmQe6dbq6VTrw6guy7ZgL) بود، در شبکه ثبت کرد. تنها یک ثانیه بعد، در ساعت ۱۶:۰۵:۱۹، تراکنش دوم که شامل امضاهای فریب‌خورده مدیران بود، این پیشنهاد را تایید و اجرا کرد. در کسر کوچکی از زمان، هکرها کنترل کامل و ادمین سیستم را به دست گرفتند.

با در دست داشتن اختیارات کامل، مهاجمان بلافاصله توکن جعلی CVT را به عنوان وثیقه معتبر در پلتفرم دریفت لیست کردند و محدودیت‌های سقف برداشت پلتفرم را غیرفعال ساختند. آن‌ها سپس مقادیر عظیمی از این توکن‌های بی‌ارزش را در پلتفرم سپرده‌گذاری کردند که سیستم به اشتباه ارزش آن‌ها را بالغ بر ۷۸۵ میلیون دلار ارزیابی کرد. با این قدرت خرید مصنوعی، مهاجمان طی ۱۲ دقیقه و با ثبت ۳۱ تراکنش مجزا، تمامی دارایی‌های واقعی و ارزشمند موجود در خزانه‌های پروتکل را تخلیه کردند.

برای درک بهتر مقیاس این سرقت، جدول زیر تفکیک دقیق دارایی‌های به سرقت رفته را بر اساس داده‌های بلاک‌چینی نشان می‌دهد:

مجموع این برداشت‌ها به همراه سایر دارایی‌های خرد، رقمی معادل ۲۸۵ میلیون دلار را رقم زد. نکته حائز اهمیت این است که دارایی‌های نگهداری شده در خارج از پلتفرم و همچنین صندوق بیمه پروتکل از این حمله مصون ماندند. هکرها با اعتماد به نفسی خیره‌کننده، بلافاصله انتقال دارایی‌ها به شبکه اتریوم را آغاز کردند و در هر تراکنش پل (Bridging)، میلیون‌ها دلار USDC را جابجا کردند که سرعت و حجم آن حتی از عملیات پول‌شویی هک Bybit در سال ۲۰۲۵ نیز فراتر بود.

پیامدهای بازار و بحران‌های حقوقی پس از هک دریفت

بازار به سرعت نسبت به این فاجعه واکنش نشان داد. توکن حاکمیتی و کاربردی دریفت (DRIFT) بلافاصله با سقوطی ۴۰ درصدی مواجه شد و به پایین‌ترین سطح تاریخی خود در محدوده ۰.۰۳۸ دلار رسید. این خسارت ۲۸۵ میلیون دلاری در حالی به این پلتفرم وارد شد که درآمدهای سالانه آن بین ۶ تا ۸ میلیون دلار برآورد می‌شد؛ این عدم تناسب عمیق میان درآمد و زیان، پرسش‌های جدی را در خصوص ظرفیت این پلتفرم برای بقا و جبران خسارات مالی کاربران مطرح کرد. علاوه بر این، حداقل ۲۰ پروتکل دیفای دیگر در شبکه سولانا به دلیل وابستگی متقابل به دارایی‌های دریفت، دچار خسارات غیرمستقیم و اثرات سرریزی (Spillover Effects) شدند.

در پی این رویداد، انتقادات شدیدی روانه شرکت سرکل (Circle)، ناشر استیبل‌کوین USDC گردید. کارآگاهان مستقل بلاک‌چین نظیر ZachXBT استدلال کردند که شرکت سرکل ساعت‌ها فرصت داشت تا از طریق مکانیزم‌های کنترلی خود در سیستم‌های انتقال آنچین (CCTP)، وجوه مسروقه را مسدود کند، اما از انجام این کار امتناع ورزید. این انفعال منجر به شکل‌گیری یک پرونده حقوقی گسترده شد و شرکت حقوقی معروف Gibbs Mura Law Group، تحقیقاتی را برای طرح دعوای حقوقی دسته‌جمعی (Class Action Lawsuit) علیه شرکت Circle آغاز کرد، تا آن‌ها را به دلیل قصور در مسدودسازی دارایی‌های سرقتی و محافظت از کاربران، پاسخگو کند.

فروپاشی زیرساخت‌های کلپ دائو و بحران اوراکل‌های خارج از زنجیره

در حالی که صنعت دیفای در حال هضم شوک ناشی از هک دریفت بود، ۱۷ روز بعد در ۱۸ آوریل ۲۰۲۶، فاجعه‌ای بزرگتر رخ داد. پروتکل لیکوئید ری‌استیکینگ (Liquid Restaking Protocol) به نام کلپ دائو (Kelp DAO) هدف یک حمله فوق‌پیشرفته و پیچیده در زیرساخت‌های خارج از زنجیره خود قرار گرفت. این حمله منجر به سرقت ۱۱۶,۵۰۰ توکن rsETH (نماد توکن‌های ری‌استیک شده کلپ) به ارزش تقریبی ۲۹۲ میلیون دلار شد. این رویداد نه تنها رکورد بزرگترین اکسپلویت سال ۲۰۲۶ را به خود اختصاص داد، بلکه باعث راه‌اندازی یک واکنش زنجیره‌ای ویرانگر در کل بازارهای وام‌دهی دیفای گردید.

معماری معیوب و هشدار نادیده گرفته شده

برای انتقال دارایی‌ها و پیام‌ها بین شبکه‌های بلاک‌چین مختلف، کلپ دائو به زیرساخت‌های پیام‌رسان پروتکل معروف LayerZero متکی بود. در این معماری، تایید صحت پیام‌های عبوری از میان شبکه‌ها بر عهده شبکه‌های تاییدکننده غیرمتمرکز (Decentralized Verifier Networks – DVNs) است. به طرز حیرت‌آوری، کلپ دائو توکن‌های rsETH خود را به گونه‌ای پیکربندی کرده بود که تنها به یک شبکه تاییدکننده واحد متعلق به آزمایشگاه‌های LayerZero متکی باشد (پیکربندی موسوم به 1-of-1 DVN).

استفاده از یک تاییدکننده منفرد در یک سیستم غیرمتمرکز، به معنای ایجاد یک نقطه شکست منفرد (Single Point of Failure) است، چرا که هیچ نهاد مستقل دیگری برای بررسی و وتو کردن تاییدیه اشتباه وجود ندارد. پس از وقوع حمله، یک مناقشه عمومی و تلخ میان تیم کلپ دائو و پروتکل LayerZero شکل گرفت. تیم LayerZero با انتشار بیانیه‌هایی مدعی شد که آن‌ها و سایر کارشناسان امنیتی بارها در خصوص خطرات این پیکربندی تک‌گرهی هشدار داده و استراتژی تنوع‌بخشی به DVNها را پیشنهاد کرده بودند.

در مقابل، کلپ دائو ادعا کرد که این پیکربندی دقیقاً بر اساس مستندات رسمی خود LayerZero تنظیم شده است و این تنظیمات به عنوان پیکربندی پیش‌فرض برای استقرار هر توکن قابل تعویض همه‌زنجیره‌ای (OFT) ارائه می‌شود. کلپ دائو همچنین تاکید کرد که در جلسات مرتبط با توسعه پروتکل در شبکه‌های لایه دوم، مناسب بودن این تنظیمات به صراحت توسط مهندسان LayerZero تایید شده بود.

صرف نظر از مقصر اصلی، تحقیقات آمور سکستون (Amor Sexton)، مدیر ارشد عملیات در Blockdaemon، یک آمار تکان‌دهنده را فاش کرد. علیرغم مستند بودن خطرات این پیکربندی از ژانویه ۲۰۲۵، حدود ۴۷ درصد از اپراتورهای شبکه فعالانه انتخاب کرده بودند که از همین سیستم تک‌تاییدکننده استفاده کنند. این امر نشان‌دهنده یک بحران فرهنگی عمیق در صنعت کریپتو است که راحتی و تنظیمات پیش‌فرض را بر ارزیابی ریسک مستمر ترجیح می‌دهد.

تشریح فنی حمله جعل RPC و تزریق داده‌های مسموم

گروه هکری تریدر تریتور (زیرمجموعه لازاروس کره شمالی) با درک عمیق از معماری نرم‌افزاری، متوجه شدند که به دلیل رعایت اصل حداقل دسترسی (Least-privilege) در LayerZero، امکان نفوذ مستقیم به کدهای قرارداد هوشمند یا خود گره‌های DVN وجود ندارد. بنابراین، آن‌ها استراتژی خود را بر روی دستکاری و مسموم کردن جریان داده‌های ورودی به DVN متمرکز کردند که در اصطلاح تخصصی به آن جعل آر پی سی (RPC-Spoofing) می‌گویند.

فرآیند حمله به صورت گام‌به‌گام و با ظرافتی خیره‌کننده به شرح زیر اجرا شد:

• شناسایی و نفوذ: هکرها ابتدا لیست سرورهای RPC را که DVN برای خواندن وضعیت شبکه مبدا (Unichain) با آن‌ها ارتباط برقرار می‌کرد، نقشه‌برداری کردند. آن‌ها موفق شدند به طور غیرمجاز به دو گره داخلی و مستقل که توسط آزمایشگاه‌های LayerZero میزبانی می‌شدند و روی خوشه‌های (Clusters) جداگانه قرار داشتند، نفوذ کنند.
• جایگزینی بدافزار هوشمند: فایل‌های اجرایی این گره‌ها با باینری‌های مخرب و دستکاری‌شده جایگزین شدند. این بدافزار دارای یک بارگیری سفارشی (Custom Payload) بسیار هوشمندانه بود؛ این گره‌های مسموم به هر درخواست‌کننده‌ای غیر از DVN، از جمله به سرویس مانیتورینگ LayerZero Scan، داده‌های کاملاً واقعی و صحیح را نشان می‌دادند تا هیچ‌گونه زنگ خطری در سیستم‌های نظارتی به صدا درنیاید. داده‌های جعلی به صورت اختصاصی فقط به DVN هدف ارسال می‌شدند.
• حمله دیداس و اجبار به تغییر مسیر (Failover): از آنجایی که تنظیمات DVN به ترکیبی از گره‌های داخلی و خارجی برای افزونگی (Redundancy) متکی بود، هکرها همزمان با نفوذ به گره‌های داخلی، یک حمله ممانعت از سرویس توزیع‌شده (DDoS) بسیار قدرتمند را علیه گره‌های خارجی و سالم آغاز کردند. با از دسترس خارج شدن گره‌های خارجی، سیستم به ناچار مسیر خود را تغییر داده (Failover) و برای دریافت اطلاعات منحصراً به دو گره داخلی آلوده متکی شد.
• تایید نهایی و خودتخریبی: گره‌های مسموم به دروغ به DVN اعلام کردند که ۱۱۶,۵۰۰ توکن rsETH در شبکه مبدا (Unichain) با موفقیت سوزانده (Burn) شده‌اند. قرارداد هوشمند در شبکه اتریوم، این پیام کاملاً معتبر از نظر امضای دیجیتال را دریافت کرده و متقابلاً ۱۱۶,۵۰۰ توکن را در لایه مقصد آزاد کرد. بلافاصله پس از اتمام موفقیت‌آمیز این عملیات، بدافزار مکانیزم خودتخریبی (Self-destruct) خود را فعال کرده و تمام لاگ‌ها، تنظیمات و فایل‌های باینری مخرب را از روی سرورها پاک کرد تا ردیابی قانونی را به تاخیر اندازد.

این رویداد نمونه بارز یک نقض متغیرهای ثابت (Invariant Violation) سیستمیک است. از منظر کدهای آنچین، هیچ تخلفی رخ نداده بود و تمامی ابزارهای نظارتی سنتی در شناسایی آن ناکام ماندند. تشخیص این نوع تضاد بنیادین (تولید دارایی در یک زنجیره بدون سوزاندن متناظر آن در زنجیره دیگر)، تنها از عهده سیستم‌های پیشرفته نظارت درلحظه و میان‌زنجیره‌ای مانند سیستم‌های توسعه‌یافته توسط شرکت Hexagate برمی‌آید.

تیم کلپ دائو پس از متوجه شدن این ناهنجاری، به سرعت واکنش نشان داد. آن‌ها با همکاری نهاد واکنش سریع امنیتی SEAL-911، ائتلافی از ده‌ها متخصص زبده امنیت بلاک‌چین که تا کنون بیش از ۱۸۰ میلیون دلار از دارایی‌ها را در حوادث مختلف نجات داده‌اند، تمامی قراردادهای میان‌زنجیره‌ای در اتریوم و شبکه‌های لایه دوم را متوقف کرده و آدرس‌های هکرها را در لیست سیاه قرار دادند. این اقدام سریع و استقرار اتاق‌های جنگ (War Rooms) باعث شد تا سناریوی دوم هکرها که ارسال یک پیام جعلی دیگر برای استخراج ۴۰,۰۰۰ توکن rsETH اضافی (به ارزش تقریبی ۹۵ میلیون دلار) بود، با شکست مواجه شود.

سرایت سیستماتیک و واکنش هماهنگ دیفای

موفقیت هک کلپ دائو تنها آغاز یک بحران بزرگتر بود. مهاجمان با در اختیار داشتن ۱۱۶,۵۰۰ توکن بدون پشتوانه rsETH، تصمیم گرفتند با تزریق این دارایی‌های سمی به شریان‌های اصلی اقتصاد غیرمتمرکز، نقدینگی واقعی را استخراج کنند. آن‌ها بلافاصله بخش اعظمی از این توکن‌ها (حدود ۸۹,۵۶۷ توکن به ارزش تقریبی ۲۲۱ میلیون دلار) را به عنوان وثیقه در پلتفرم‌های وام‌دهی معتبر و بزرگی نظیر Aave V3، Compound و Euler سپرده‌گذاری کردند.

با استفاده از این وثیقه‌های سمی، مهاجمان توانستند ۸۲,۶۵۰ توکن اتریوم رپدشده (WETH) و ۸۲۱ توکن wstETH را وام بگیرند و در عمل، دارایی‌های سمی خود را با اتریوم‌های واقعی و ارزشمند مبادله کنند. این استراتژی بی‌رحمانه باعث شد که یک بدهی سمی (Bad Debt) عظیم در ترازنامه‌های این پروتکل‌ها، به‌ویژه در پلتفرم Aave ایجاد شود که موسسه مدیریت ریسک LlamaRisk خسارت وارده به Aave را بسته به نوسانات بازار و جرایم لیکویید شدن، بین ۱۲۳ تا ۲۳۰ میلیون دلار برآورد کرد.

وحشت عمومی و هجوم بانکی دیفای

این رویداد، وحشتی شبیه به هجوم بانکی (Bank Run) در بازارهای مالی سنتی را در اکوسیستم دیفای رقم زد. کاربران هراسان از ترس فروپاشی پلتفرم‌های وام‌دهی و لیکویید شدن دارایی‌هایشان، شروع به خارج کردن گسترده سپرده‌های خود کردند. در نتیجه این واکنش زنجیره‌ای، استخرهای وام‌دهی Aave v3 به حداکثر ظرفیت استفاده رسیدند و باعث مسدود شدن بیش از ۵.۱ میلیارد دلار استیبل‌کوین در شبکه گردیدند.

در عرض تنها ۴۸ ساعت، حدود ۱۳.۵ میلیارد دلار ارزش کل قفل‌شده (TVL) از فضای دیفای محو شد. پلتفرم پیشرو Aave حدود ۱۷ میلیارد دلار از سپرده‌های خود (معادل ۳۸ درصد از کل سپرده‌ها) و ۵.۵ میلیارد دلار از وام‌های فعال خود (۳۱ درصد) را از دست داد. پروتکل‌های دیگری نظیر SparkLend، Fluid، Lido و Ethena نیز در وضعیت هشدار قرمز قرار گرفتند. این بحران تا جایی پیش رفت که مایکل اگوروف (Michael Egorov)، بنیان‌گذار پلتفرم Curve Finance، در شبکه‌های اجتماعی به صورت علنی پرسید:

آیا ما یک صنعت دلقک و بی‌ارزش هستیم؟

بازسازی و تولد دوباره، ائتلاف دیفای متحد (DeFi United)

برخلاف سیستم‌های بانکداری سنتی که در چنین بحران‌هایی نیازمند تزریق نقدینگی از سوی دولت‌ها و بانک‌های مرکزی هستند، بحران کلپ دائو به صورت کاملاً آنچین مدیریت شد. این فاجعه منجر به شکل‌گیری یکی از بزرگترین کمپین‌های همبستگی در تاریخ دیفای به نام ائتلاف دیفای متحد (DeFi United) گردید.

این ائتلاف با رهبری پروتکل Aave و حمایت بازیگران سنگین‌وزنی نظیر شبکه Mantle، شرکت Consensys، پلتفرم Lido، Ether.fi و Ethena، موفق شد در مدت زمان کوتاهی بیش از ۳۱۸ میلیون دلار سرمایه حمایتی جمع‌آوری کند تا حفره مالی ایجاد شده در ترازنامه‌ها را پر کند. تنها در یک مورد، سازمان‌های خودگردان Mantle و Aave مشترکاً ۵۵,۰۰۰ اتریوم به این صندوق کمک کردند و بنیان‌گذاران برجسته‌ای نظیر استانی کولچوف (Stani Kulechov) نیز شخصاً مبالغ هنگفتی را به صندوق بازیابی اختصاص دادند.

برنامه بازیابی کلپ دائو به صورت مرحله‌ای و طی دو هفته اجرایی گردید. قرار بر این شد که مجموعاً ۱۱۷,۱۳۲ توکن rsETH به صورت تدریجی از طریق منابع تامین‌شده توسط صندوق محافظ بازیابی Aave و صندوق ذخیره کلپ دائو به شبکه تزریق شود. همچنین توکن‌های مسروقه هکر که به شبکه آربیتروم منتقل شده بود، به صورت کامل سوزانده (Burn) شد تا پشتوانه سیستم بازیابی گردد. پس از اتمام این فرآیندها، برداشت‌ها مجدداً بازگشایی شده و تمامی عملکردهای پلتفرم شامل سپرده‌گذاری، برداشت، و پل‌زنی به حالت عادی بازگشتند.

کلپ دائو برای جلوگیری از تکرار چنین فجایعی، یک چرخه جامع ارتقای امنیتی را پشت سر گذاشت. این پروتکل به طور کامل ارتباط خود را با زیرساخت‌های LayerZero قطع کرده و به سیستم انتقال امن Chainlink CCIP مهاجرت کرد. فرآیند تایید میان‌زنجیره‌ای نیز از یک تاییدکننده منفرد، به الزام حضور ۴ تاییدکننده کاملاً مستقل ارتقا یافت و تعداد تاییدیه‌های مورد نیاز برای ثبت بلاک (Block Confirmations) به عدد امن ۶۴ افزایش پیدا کرد.

مداخله در شبکه آربیتروم و پایان فلسفه قانون کُدها (Code is Law)

از منظر تکنولوژی و فلسفه غیرمتمرکزسازی، شاید حیاتی‌ترین و بحث‌برانگیزترین رویداد مرتبط با سرقت ۵۷۷ میلیون دلاری، اتفاقی بود که در شبکه لایه دوم آربیتروم (Arbitrum One) رخ داد. هکرهای لازاروس، در مسیر پنهان‌سازی و پول‌شویی خود، ۳۰,۷۶۶ اتریوم مسروقه از کلپ دائو (به ارزش تقریبی ۷۱ میلیون دلار) را به کیف پولی در شبکه آربیتروم منتقل کرده بودند. این آدرس در قالب یک حساب کاربری تحت مالکیت خارجی (EOA) پیکربندی شده بود که از لحاظ نظری، دسترسی به محتوای آن تنها با در اختیار داشتن کلید خصوصی (Private Key) هکر امکان‌پذیر است.

در تاریخ ۲۱ آوریل ۲۰۲۶، سه روز پس از وقوع هک، شورای امنیت آربیتروم (Arbitrum Security Council) با تکیه بر اطلاعات دریافتی از نهادهای مجری قانون در تایید هویت سارقین، اقدام به اجرای یک مداخله اضطراری و بی‌سابقه کرد. شورا با اعمال یک ارتقای ساختاری (Upgrade) روی قرارداد هوشمندِ مدیریت‌کننده صندوق ورودی (Inbox) آربیتروم مستقر در لایه اول اتریوم، یک تابع اجرایی موقت را به سیستم تزریق کرد. این تابع به اعضای شورا قدرت می‌داد تا ساختار استاندارد تراکنش را شبیه‌سازی کرده و هویت فرستنده (آدرس هکر) را بدون نیاز به کلید خصوصی او، جعل (Impersonate) کنند.

از طریق این تغییر بنیادین کد، دستور انتقال ۳۰,۷۶۶ اتریوم از آدرس مهاجم به یک کیف پول امن و ایزوله که تحت نظارت سازمان خودگردان آربیتروم (Arbitrum DAO) بود، صادر و اجرا شد. به منظور حفظ یکپارچگی شبکه و جلوگیری از اختلال در لایه دوم، این تغییر کد به صورت موقت انجام شد و بلافاصله در همان بلاک اتریومی و تحت یک فرآیند تراکنش اتمی (Atomic Transaction)، کدهای شبکه به حالت اولیه خود بازگردانده شدند. این عملیات پیچیده بدون هیچ‌گونه قطعی شبکه، بدون ایجاد انشعاب (Chain Split) و بدون اطلاع قبلی به عموم صورت پذیرفت.

پیامدهای حقوقی و چالش مرزهای حضانتی

این رویداد، چالشی بنیادین برای شعار معروف سایفرپانک‌ها یعنی «کلیدهای شما نباشد، کوین‌های شما هم نخواهد بود» (Not your keys, not your coins) به شمار می‌رود. اثبات این موضوع که در شبکه‌های دارای ساختارهای حاکمیتی متغیر و قراردادهای قابل ارتقا، می‌توان بدون داشتن کلید خصوصی دارایی‌ها را جابجا کرد، مرزهای حقوقی میان کیف‌پول‌های حضانتی (Custodial) و غیرحضانتی (Non-custodial) را به شدت کدر کرده است.

بر اساس تحلیل‌های جان لی (John Lee)، از شرکای موسسه حقوقی Travers Smith، این رویه ادامه روندی است که پیش از این در نظام حقوقی بین‌الملل پایه‌گذاری شده بود. در هک معروف The DAO در ژوئن ۲۰۱۶، جامعه اتریوم اصل «کد مساوی قانون است» (Code is Law) را نقض کرده و از طریق یک هارد فورک (Hard Fork)، تاریخچه بلاک‌چین را تغییر دادند تا دارایی‌های سرقتی را بدون داشتن کلید خصوصی سارق بازگردانند. مشابه همین رویکرد در فوریه ۲۰۲۲ رخ داد، زمانی که دادگاه عالی بریتانیا طی یک حکم حقوقی، توسعه‌دهندگان اپلیکیشن Oazo (مرتبط با شبکه Oasis و پل Wormhole) را موظف کرد تا با استفاده از یک آسیب‌پذیری شناخته‌شده در قراردادهای هوشمند خود، امضاهای چندگانه را دور زده و ۳۲۰ میلیون دلار دارایی مسروقه را به اجبار از حساب سارقان خارج کنند.

این رویدادها و مداخله در شبکه آربیتروم، پایه‌های استدلال در پرونده جنجالی Tulip Trading را تقویت می‌کنند. در آن پرونده ادعا شده بود که توسعه‌دهندگان هسته (Core Developers) یک شبکه بلاک‌چین، به دلیل میزان کنترلی که بر روی کدهای شبکه دارند، دارای وظایف امانتداری (Fiduciary Duties) در قبال کاربران بوده و ملزم به همکاری در بازیابی دارایی‌های مسروقه هستند. در نتیجه این تحولات، پروتکل‌های دیفای به طور فزاینده‌ای در حال ترکیب با سیستم‌های حقوقی سنتی هستند و ساختارهای خود را با پوشش‌های حقوقی (Legal Wrappers) نظیر شرایط خدمات‌دهی صریح، قوانین حاکم و بندهای داوری اجباری مجهز می‌کنند.

نبرد در دادگاه‌های فدرال؛ تقابل حقوق قربانیان دیفای و قربانیان تروریسم

پس از موفقیت فنی شورای امنیت آربیتروم در ضبط ۷۱ میلیون دلار از دارایی‌های هکرهای کره شمالی، این وجوه ضبط‌شده با یک بن‌بست حقوقی غیرمنتظره در سیستم قضایی ایالات متحده مواجه شدند. نهادهای حاکمیتی دیفای قصد داشتند تا از طریق پروپوزال‌های بهبود قانون اساسی آربیتروم، این مبالغ را به صندوق‌های جبران خسارت دیفای متحد انتقال دهند، اما دادگاه فدرال در ناحیه جنوبی نیویورک با صدور یک اخطاریه محدودکننده (Restraining Notice)، دستور توقیف و مسدودی این دارایی‌ها را در اول می ۲۰۲۶ صادر کرد.

این حکم به درخواست موسسه حقوقی Gerstein Harrow صادر شد که وکالت قربانیان حملات تروریستی وابسته به کره شمالی در پرونده‌های قدیمی را بر عهده داشت. استدلال این موسسه بر این فرض استوار بود که از آنجایی که هک کلپ دائو توسط گروه لازاروس انجام شده است، این دارایی‌های ۳۰,۷۶۶ اتریومی در حال حاضر اموال دولتی کره شمالی محسوب می‌شوند و باید به عنوان غرامت مالی به قربانیان اقدامات تروریستی این کشور پرداخت گردند.

این دستور مسدودی، کل برنامه جبران خسارت دیفای متحد را در معرض خطر فروپاشی قرار داد. تیم Aave با ثبت یک لایحه اضطراری (Emergency Motion) در دادگاه فدرال، خواستار لغو کامل این محدودیت شد. «استانی کولچوف»، بنیان‌گذار Aave، در بیانیه‌ای قدرتمندانه استدلال موسسه Gerstein Harrow را از نظر قانونی بی‌اساس دانست و اعلام کرد: “یک دزد، مالک آنچه می‌دزدد نیست. این وجوه مطلقاً متعلق به کاربرانی است که دارایی‌شان در ۱۸ آوریل به سرقت رفته است و به هیچ کس دیگری تعلق ندارد.”

Aave از دادگاه درخواست کرد که یا حکم مسدودی را به طور کامل لغو کند و یا شاکیان پرونده تروریسم را ملزم به پرداخت یک وثیقه ضمانتی ۳۰۰ میلیون دلاری نماید تا در صورت اثبات حقانیت کاربران دیفای، خسارات ناشی از این مسدودی طولانی‌مدت جبران شود. در نهایت دادگاه موقتاً مجوز انتقال این دارایی‌ها به حساب‌های مدیریت‌شده توسط Aave را صادر کرد، اما فروش، توزیع و نقد کردن آن‌ها را تا صدور رای نهایی ممنوع اعلام نمود.

تیم حقوقی Aave در لایحه خود تاکید کرد که تصاحب موقت دارایی‌ها توسط یک هکر سایبری، از منظر قانونی به معنای انتقال حقوق مالکیت (Property Rights) آن دارایی‌ها به هکر یا دولت متبوع وی نیست و از این رو، نمی‌توان این وجوه را به عنوان دارایی‌های کره شمالی ضبط کرد. این لایحه همچنین هشدار داد که مسدود نگه داشتن این وجوه نه تنها روند بازیابی را مختل می‌کند، بلکه باعث تاخیر در جبران خسارت هزاران کاربر شده و خطر شکل‌گیری بحران‌های نقدینگی زنجیره‌ای در دیفای را به همراه دارد.

بازتعریف استراتژی‌های امنیتی؛ اشتراک داده و مدیریت خطر

موج سرقت‌های ۵۷۷ میلیون دلاری، درس‌های دردناک اما ضروری را برای تکامل صنعت کریپتو به همراه داشت. «آمور سکستون»، مدیر ارشد عملیات شرکت ارائه‌دهنده زیرساخت بلاک‌چین Blockdaemon، در برنامه تخصصی MoneyNeverSleeps به کالبدشکافی این شکست‌های ساختاری پرداخت. استدلال مرکزی او این است که گفتگو پیرامون امنیت در دیفای، به اشتباه در مرحله تطابق‌پذیری قانونی (Compliance) درجا زده است. تطابق‌پذیری صرفاً شامل پر کردن فرم‌ها و پیروی از قوانین دیکته‌شده است، در حالی که مدیریت ریسک (Risk Management) یک فرآیند جامع شامل بررسی خطرات حاکمیتی، تکنولوژیک، محصولی و خطرات طرف مقابل (Counterparty Risk) است.

متخصصان دیگری نظیر پیت تاونسند (Pete Townsend) و کارشناسانی نظیر Pluto معتقدند که صنعت کریپتو در حال «سرعت گرفتن» (Speedrunning) برای یادگیری مجدد درس‌هایی است که سیستم‌های مالی سنتی (TradFi) طی ۴۰ تا ۵۰ سال گذشته با ایجاد ترمزهای اضطراری و محافظ‌های نظارتی آموخته‌اند. هیچ موسسه مالی سنتی با سرمایه‌ای حتی معادل یک چهارم این دارایی‌ها، از چارچوب‌های عملیاتی ضعیفی مانند تاییدکننده ۱ از ۱ استفاده نمی‌کند. سکستون پیشنهاد می‌کند که هر پروتکل برای بقای خود باید دائماً سه پرسش حیاتی را از خود بپرسد: چه کسی واقعاً کنترل و قدرت تصمیم‌گیری نهایی را در اختیار دارد؟ آیا افراد مشخصی پای سند ارزیابی خطرات سیستمیک را امضا می‌کنند تا از تکیه بر تنظیمات پیش‌فرضِ پرخطر جلوگیری شود؟ و در نهایت، آیا فرهنگ ارزیابی مستمر ریسک در برابر مهاجمان صبوری که ماه‌ها زمان را صرف مهندسی اجتماعی می‌کنند، نهادینه شده است؟.

ائتلاف اطلاعاتی و دفاع شبکه‌ای

در پاسخ به تهدیدات فزاینده ارتش سایبری کره شمالی، پارادایم امنیت در حال گذر از استراتژی‌های فردی به سمت «مسئولیت‌پذیری اشتراکی و گروهی» است. به گفته «کریستینا اسپرینگ» (Kristina Spring)، مدیر رشد نهاد غیرانتفاعی Crypto ISAC، کره شمالی اکنون «کمپین مهندسی اجتماعی را در سطحی کاملاً جدید» اجرا می‌کند. در ماه می ۲۰۲۶، شرکت‌های بزرگی نظیر Ripple و Coinbase، با پذیرش این فلسفه که “قدرتمندترین موضع امنیتی در صنعت کریپتو، یک موضع مشترک است”، یک سامانه رابط کاربری برنامه‌نویسی (API) جدید را برای اشتراک‌گذاری برخط داده‌های امنیتی راه‌اندازی کردند.

شرکت Ripple شروع به تزریق داده‌های غنی‌شده تهدیدات سایبری (Threat Intel) خود به پایگاه داده Crypto ISAC کرده است. این داده‌ها شامل موارد زیر است:

• دامنه‌های اینترنتی و آدرس‌های کیف پولی که مستقیماً با فعالیت‌های کلاهبردارانه درگیر بوده‌اند.
• شاخص‌های سازش و مصالحه (Indicators of Compromise – IOCs) که از کمپین‌های فعال گروه هکری لازاروس استخراج شده است.
• پروفایل‌های شناسایی‌شده و دقیق از متخصصان مشکوک فناوری اطلاعات (IT) کره شمالی که سعی دارند با جعل هویت، به عنوان نیروی کار دورکار در شرکت‌های رمزارزی استخدام شوند.

بدون وجود این اطلاعات مشترک، هر شرکت مجبور است بررسی سوابق کارکنان و ارزیابی خطرات را از «نقطه صفر» آغاز کند. به این معنا که یک عامل تهدید دولتی پس از رد شدن در بررسی‌های پیش‌زمینه یک شرکت، می‌تواند در همان هفته در چند شرکت دیگر درخواست استخدام داده و در نهایت به سیستم نفوذ کند.

نتیجه‌گیری

عملیات سایبری شش‌ماهه و سرقت ۵۷۷ میلیون دلاری هکرهای کره شمالی از پروتکل‌های دریفت و کلپ دائو، نقطه پایانی بر دوران ساده‌انگاری امنیتی در اکوسیستم دیفای بود. این رویدادها اثبات کرد که بلوغ کدهای برنامه‌نویسی و امنیت رمزنگاری، زمانی که لایه‌های حاکمیتی و رویه‌های عملیاتی آسیب‌پذیر باشند، به تنهایی قادر به محافظت از میلیاردها دلار سرمایه کاربران نیستند. گروه لازاروس با درک این موضوع، استراتژی خود را به سوی نفوذ روانشناختی، مهندسی اجتماعی طولانی‌مدت و بهره‌برداری هوشمندانه از پیکربندی‌های پیش‌فرض و پرخطر زیرساخت‌های برون‌زنجیره‌ای تغییر داده است.

در مواجهه با این تهدیدات سازمان‌یافته، واکنش اکوسیستم دیفای ترکیبی از بلوغ، انسجام و چالش‌های حقوقی جدید بود. شکل‌گیری ائتلاف ۳۱۸ میلیون دلاری دیفای متحد برای پر کردن حفره‌های نقدینگی و جلوگیری از فروپاشی سیستمیک بازارهای وام‌دهی نظیر Aave، نشان‌دهنده ظرفیت بی‌نظیر این صنعت برای بازسازی خود بدون تکیه بر بانک‌های مرکزی دولتی بود. در عین حال، مداخله جسورانه شورای امنیت آربیتروم برای مسدودسازی و بازیابی دارایی‌های سارقین بدون نیاز به کلید خصوصی، فصل جدیدی در فلسفه غیرمتمرکزسازی گشود؛ فصلی که در آن شعار باستانی «قانون کُدها» جای خود را به واقعیت‌های حاکمیت سازمانی و مسئولیت‌پذیری اخلاقی می‌دهد.

با این وجود، منازعات حقوقی در دادگاه‌های فدرال ایالات متحده بر سر تعلق این دارایی‌های بازیابی‌شده به قربانیان دیفای یا قربانیان اقدامات تروریستی، نشان داد که فضای بلاک‌چین دیگر جزیره‌ای خودمختار نیست و سرنوشت آن به شدت با سیستم‌های قضایی بین‌المللی گره خورده است. بقا و رشد پایدار صنعت امور مالی غیرمتمرکز در سال‌های پیش‌رو، مستلزم ارتقای فرهنگ سازمانی، کنار گذاشتن رویکردهای سطحی انطباق‌پذیری قانونی به نفع مدیریت ریسک جامع، و ایجاد شبکه‌های اطلاعاتی یکپارچه برای شناسایی و خنثی‌سازی تهدیدات دولت‌محور پیش از وقوع فاجعه خواهد بود.