#DriftProtocolHacked

#DriftProtocolHacked

سرقة بمليون دولار استغرقت 10 ثوانٍ لتنفيذها و8 أيام للتخطيط لها

يتداول رمز DRIFT حاليًا عند 0.0407 دولار. بانخفاض 27.88% خلال الـ 24 ساعة الماضية. بانخفاض 40.35% على مدى الأسبوع الماضي. بانخفاض 75.57% خلال الـ 90 يومًا الماضية. سعر SOL عند 81.38 دولار، مع ارتداد يومي متواضع بنسبة 2.37% لا يعني الكثير في سياق ما حدث في 1 أبريل 2026. لأنه في ذلك اليوم، تم سرقة بروتوكول Drift — أحد أبرز بورصات المشتقات اللامركزية على سولانا، منصة تتداول بمليارات الدولارات وتحمل مئات الملايين من ودائع المستخدمين — من ما بين $285 و $270 مليون دولار في أقل من 10 ثوانٍ. ليس بواسطة هجوم بالقوة الغاشمة. ليس بواسطة ثغرة برمجية في المفهوم التقليدي. بل بواسطة أحد أكثر عمليات الاستغلال المدبرة منهجيًا في تاريخ التمويل اللامركزي: سرقة بدأت قبل ثمانية أيام من سرقة دولار واحد، استغلت ميزة شرعية في سولانا بطريقة لم يتوقعها مصمموها أبدًا، وتم تنفيذها بدقة عسكرية من قبل جهة تهديد يُعتقد أنها من كوريا الشمالية، وفقًا لتقييم شركة أمن البلوكشين Elliptic. هذه هي القصة الكاملة لما حدث، وكيف عمل، وما يعنيه ذلك لتمويل سولانا اللامركزي، وما يحتاج كل شخص يشارك في البروتوكولات على السلسلة إلى فهمه قبل أن يضع دولارًا آخر في عقد ذكي لا يفهمه تمامًا.

يمثل الهجوم أكثر من 50% من القيمة الإجمالية المقفلة لبروتوكول Drift وقت الاستغلال. ويصنف كثاني أكبر استغلال في تاريخ سولانا بأكمله. بحلول الوقت الذي أكد فيه فريق Drift الاختراق علنًا ووقف عمليات الإيداع والسحب، كانت الأموال — رموز JLP، USDC، بيتكوين مغلف، و SOL الأصلية — قد سُرقت بالفعل من خمسة خزائن منفصلة. بدأت الأصول المسروقة في التحرك عبر محافظ متعددة على الفور تقريبًا، مع تحويل $285 مليون دولار من USDC عبر بروتوكول Circle العابر للسلاسل على الرغم من الدعوات العامة لتجميد الأموال. وتم توجيه الباقي عبر Wormhole وTornado Cash في سلسلة غسيل أصول تعكس نفس مستوى التخطيط والتنسيق الذي ميز الهجوم نفسه. لم يكن الأمر مجرد شخص عثر على خطأ برمجي في الساعة 2 صباحًا. كانت عملية ذات بنية تحتية، واستطلاع، ومحافظ احتياطية معدة مسبقًا، وخط أنابيب غسيل أصول جاهز للتنفيذ في اللحظة التي تُفتح فيها أبواب الخزائن.

لفهم كيف عمل الهجوم، تحتاج إلى فهم Nonces الدائمة — الميزة المحددة في سولانا التي جعلت الاستغلال بأكمله ممكنًا. في معظم سلاسل الكتل، تتضمن المعاملة إشارة إلى تجزئة كتلة حديثة، مما يعني أن المعاملة تنتهي صلاحيتها إذا لم تُقدم بسرعة، عادة خلال بضع دقائق. قدمت سولانا Nonces الدائمة كميزة تسهيلية للحالات التي يحتاج فيها المعاملة إلى توقيع مسبق واحتجازها للتقديم لاحقًا — على سبيل المثال، عندما يكون محفظة الأجهزة غير متصلة، أو عندما تتطلب العمليات المؤسسية موافقة بشرية قبل التنفيذ لكن التقديم الفعلي يحدث لاحقًا. المعاملة باستخدام Nonce دائم لا تنتهي صلاحيتها. بمجرد توقيعها، تظل صالحة إلى الأبد، في انتظار التقديم في أي وقت مستقبلي. هذه ميزة شرعية ومفيدة. وهي، كما أظهر استغلال Drift بأكثر الطرق تكلفة ممكنة، ميزة تغير بشكل أساسي نموذج أمان أي نظام حوكمة متعدد التوقيعات لا يأخذها في الاعتبار.

إليك بالضبط ما فعله المهاجم، مستخلصًا من التحليل الجنائي لـ CoinDesk وتصريحات Drift الخاصة. قبل حوالي 20 يومًا من الهجوم، قام المهاجم بإنشاء CVT — رمز لا قيمة له على الإطلاق أنشأه بنفسه، بدون قيمة سوقية، وبدون فائدة، وبدون تكامل مع بروتوكول موجود. لم يُدرج الرمز في أي مكان. كان موجودًا فقط كجزء من بنية الهجوم. قبل ثمانية أيام من الاختراق، أعد المهاجم بنية تحتية داعمة جديدة — محافظ جديدة، خطوط أنابيب معاملات جديدة — وبدأ في إعداد مجموعة من معاملات Nonce الدائمة، التي بمجرد توقيعها من قبل الأطراف الصحيحة، ستمنحه السيطرة الإدارية على بروتوكول Drift. عبقرية نهج Nonce الدائم هي أن المهاجم كان بحاجة فقط لإقناع اثنين من أعضاء مجلس الأمن الخمسة في Drift بالموافقة على معاملات إدارية روتينية. قام الموقعون بمراجعة ما اعتقدوا أنه إجراءات حوكمة قياسية. وقعوا. كانت توقيعاتهم صحيحة — موافقات شرعية ومشفرة بشكل صحيح من أعضاء مخولين في مجلس الأمن. لكن، نظرًا لأن تلك التوقيعات كانت مدمجة في معاملات Nonce الدائمة، أصبح المهاجم الآن يمتلك تفويضات موقعة مسبقًا ستظل صالحة إلى الأبد، في انتظار استخدامها في وقت يختاره، في سياق مختلف تمامًا عن السياق الذي تم فيه الحصول على التوقيعات.

قبل 25 ثانية من سحب الأموال، قدم المهاجم معاملات Nonce الدائمة الموقعة مسبقًا وحصل على السيطرة الإدارية الكاملة على البروتوكول. في نفس النافذة الزمنية التي استغرقت 25 ثانية، استخدم ذلك الوصول الإداري لإنشاء سوق ضمان وهمي لـ CVT — الرمز عديم القيمة الذي أنشأه قبل 20 يومًا — وأوقف جهاز الحماية في Drift، آلية الأمان المصممة خصيصًا لمنع عمليات سحب الأصول الكبيرة والسريعة. مع تعطيل جهاز الحماية ووضع سوق ضمان وهمي، بدأ المهاجم بشكل منهجي في تفريغ خمسة خزائن منفصلة خلال ثوانٍ. استغرقت مرحلة التنفيذ بأكملها، من السيطرة الإدارية إلى تصريف الخزائن، حوالي 10 ثوانٍ. ثمانية أيام من التحضير، وعشر ثوانٍ من التنفيذ. $232 مليون دولار اختفت.

النتيجة الجنائية التي أغفلتها معظم التقارير ولكنها تستحق أن تكون في المقدمة، هي سؤال كيف وافق عضوان من مجلس الأمن على معاملات لم يفهما تمامًا. وضع CoinDesk تحليله التفصيلي مباشرةً: السؤال المفتوح الذي ستحتاج إليه مراجعة Drift التفصيلية القادمة هو كيف وافق عضوان منفصلان في مجلس الأمن على معاملات دون أن يدركا ما يوافقان عليه، وما إذا كانت أدوات أو تغييرات في الواجهة يمكن أن تميز معاملات Nonce الدائمة وتطلب فحصًا إضافيًا. هذا هو فشل الحوكمة في جوهر الاستغلال. عمل الكود كما هو مصمم. كانت التشفير سليمًا. نجح الهجوم لأن المشغلين البشريين — أعضاء مجلس الأمن الموثوق بهم والذين لديهم صلاحية إدارية على مئات الملايين من أموال المستخدمين — وقعوا على مستندات استُخدمت لاحقًا في سياق لم يقصدوه. هذا نوع من الهندسة الاجتماعية بقدر ما هو هجوم تقني، وهو أصعب بكثير في التصحيح من ثغرة برمجية لأنه يتطلب تغيير سلوك البشر، وتحسين أدوات الواجهة، وبناء عمليات مؤسسية تميز بين الإجراءات الإدارية الروتينية ومعاملات Nonce الدائمة التي تُستخدم كأسلحة تفويض تنفيذ مؤجل.

بالنسبة لمن كان يملك أموالًا في بروتوكول Drift، الواقع العملي الفوري هو شديد. أكد البروتوكول الهجوم، ووقف العمليات، ويعمل على تقييم ما إذا كانت هناك أي استعادة. التاريخ يُظهر أن استرداد الأموال من استغلالات التمويل اللامركزي نادر، جزئي، وبطيء. استخدام المهاجم لـ Tornado Cash و Bridges العابر للسلاسل لغسل الأموال خلال دقائق من الهجوم يُظهر استراتيجية متعمدة لجعل التتبع والاسترداد أكثر صعوبة قدر الإمكان. نقلت بروتوكولات Circle العابر للسلاسل $285 مليون دولار من USDC على الرغم من الدعوات لتجميدها — تذكير بأن حتى أكثر بنية التحتية للثباتات التوافقية تقدمًا لها حدود عندما تُستغل الأموال المتحركة بشكل أسرع من عملية التجميد.