اختراق بروتوكول Drift عام 2026: ماذا حدث، ومن خسر أمواله، وما هي الخطوة التالية

مجموعة لازاروس الكورية الشمالية مشتبه بها في سرقة 286 مليون دولار من بروتوكول دريفت على سولانا

أكدت بروتوكول دريفت، أكبر بورصة عقود آجلة دائمة لامركزية على شبكة سولانا، وقوع الاختراق بعد أن شهدت انهيار إجمالي القيمة المقفلة (TVL) من حوالي 550 مليون دولار إلى أقل من 250 مليون دولار في صباح واحد، لتستقر الآن عند 232 مليون دولار. كان موقع Bitcoin.com News أول من أبلغ عن هذه القضية. انخفض سعر توكن DRIFT بنسبة تصل إلى 37%–42% في الساعات التي تلت ذلك، ووصل إلى أدنى مستوى له عند 0.04 إلى 0.05 دولار.

تشير التقارير إلى أن الهجوم لم يبدأ بخطأ في الكود بل بسحب من Tornado Cash. في 11 مارس، سحب المهاجم ETH من بروتوكول الخصوصية القائم على Ethereum واستخدم تلك الأموال لنشر توكن carbonvote، أو CVT، في 12 مارس. لاحظ محللو البلوكشين أن الطابع الزمني للنشر يتوافق مع حوالي الساعة 09:00 بتوقيت بيونغ يانغ، وهو تفصيل أثار شكوكًا فورية.

تفصّل عدة تقارير أنه خلال الأسابيع الثلاثة التالية، زرع المهاجم سيولة ضئيلة لـ CVT على منصة التداول اللامركزية Raydium واستخدم التداول الوهمي للحفاظ على سعر قريب من 1.00 دولار. قرأت أوراكل Drift هذا السعر على أنه شرعي. كان المهاجم قد أنشأ ضمانات مزيفة بدت حقيقية لكل نظام آلي يراقبها.

"في وقت سابق اليوم، تمكن أحد الفاعلين الخبيثين من الوصول غير المصرح به إلى بروتوكول Drift من خلال هجوم جديد يتضمن أرقام عشوائية دائمة، مما أدى إلى الاستيلاء السريع على الصلاحيات الإدارية لمجلس الأمن في Drift"، كتب فريق Drift.

وأضاف حساب المشروع على X:

"كانت هذه عملية معقدة للغاية يبدو أنها تضمنت استعدادات استمرت عدة أسابيع وتنفيذاً على مراحل، بما في ذلك استخدام حسابات nonces دائمة لتوقيع المعاملات مسبقاً مما أدى إلى تأخير التنفيذ."

على ما يبدو، بين 23 و30 مارس، انتقل مهاجم Drift إلى الطبقة البشرية. باستخدام ميزة Solana شرعية تسمى أرقام عشوائية دائمة، حث المهاجم، حسب ما ورد، أعضاء التوقيع المتعدد لمجلس الأمن في Drift على التوقيع المسبق على معاملات بدت روتينية. أصبحت تلك التوقيعات مفاتيح وصول معتمدة مسبقًا، تم الاحتفاظ بها احتياطيًا حتى أصبح المهاجم جاهزًا.

انتهت هذه الفرصة في 27 مارس، عندما قامت Drift بترحيل مجلس أمنها إلى عتبة توقيع 2 من 5 وأزالت قفل الوقت (timelock) تمامًا. عادةً ما يفرض قفل الوقت تأخيرًا من 24 إلى 72 ساعة على الإجراءات الإدارية، مما يمنح المجتمع الوقت لاكتشاف أي شيء مريب وإبطاله. وبدونه، أصبح لدى المهاجم سلطة تنفيذ بدون أي تأخير. تم تفعيل المعاملات الموقعة مسبقًا لحظة زوال قفل الوقت.

في 1 أبريل، قام المهاجم بتنشيط تلك المعاملات، وأدرج CVT كضمان صالح، ورفع حدود السحب، وأودع مئات الملايين من توكنات CVT التي أصدر محرك المخاطر في Drift أصولًا حقيقية مقابلها. سلم البروتوكول ملايين من توكنات JLP، وملايين من USDC، وملايين من SOL، ومبالغ أصغر من البيتكوين والإيثريوم المغلفة. تمت تسوية 31 معاملة سحب في حوالي 12 دقيقة.

قام المهاجم بتحويل الرموز المسروقة إلى USDC باستخدام Jupiter، وربطها بـ Ethereum، وتبادلها بعشرات الآلاف من ETH. تم توجيه بعض الأموال عبر Hyperliquid، ونقل جزء منها مباشرة إلى Binance. في 3 أبريل، أرسلت Drift رسالة على السلسلة من عنوان Ethereum إلى أربع محافظ يسيطر عليها المخترق. أفاد موقع cryptonomist.ch أن الرسالة نصها:

"نحن مستعدون للتحدث."

عزت شركتا الأمن Elliptic و TRM Labs الهجوم إلى جهات تهديد مرتبطة بكوريا الشمالية، مستشهدتين بأصل Tornado Cash، وتوقيع النشر بتوقيت بيونغ يانغ، والتركيز على الهندسة الاجتماعية، وسرعة غسل الأموال بعد الاختراق. استخدمت مجموعة Lazarus نفس النهج القائم على الصبر واستهداف البشر في اختراق جسر Ronin عام 2022. ربطت الحكومة الأمريكية هذه السرقات بتمويل برنامج الأسلحة الكوري الشمالي، وتتبعت Elliptic أكثر من 300 مليون دولار تمت سرقتها في الربع الأول من عام 2026 وحده.

انتشر الوباء إلى أكثر من 20 بروتوكولًا. أبلغت Prime Numbers Fi عن خسائر بالملايين. أوقف بروتوكول Carrot وظائف الإصدار والاسترداد بعد أن تأثر 50٪ من إجمالي القيمة المقفلة (TVL) لديه. قامت Pyra Protocol بتعطيل عمليات السحب تمامًا، مما جعل جميع أموال المستخدمين غير قابلة للوصول. خسرت Piggybank 106,000 دولار وقامت بتعويض المستخدمين من خزينة فريقها الخاص.

أكدت DeFi Development Corp.، وهي شركة مدرجة في بورصة ناسداك وتتبنى استراتيجية خزانة Solana، في 1 أبريل أنها لم تكن معرضة لخطر Drift. فقد استبعد إطار عمل المخاطر الخاص بها البروتوكول تمامًا. وقد جذب هذا الواقع انتباهًا أكبر مما كانت الشركة تنويه على الأرجح.

أنتجت حادثة Drift درسًا واضحًا واحدًا كان معظمه معروفًا بالفعل في الصناعة ولكن لم يتم تطبيقه بالكامل: القفل الزمني ليس اختياريًا. أدى إزالة هذا الإجراء الوقائي الوحيد في 27 مارس إلى تحويل هجوم معقد استمر لعدة أسابيع إلى عملية سحب نقدي استغرقت 12 دقيقة. إدارة البروتوكول بدون آلية تأخير هي إدارة بباب مفتوح.

وُصفت الـ 48 ساعة التالية للهجوم على DeFi بأنها حاسمة بالنسبة لقدرة Drift على الحفاظ على ثقة المستخدمين ورسم مسار للتعافي. وحتى 3 أبريل، لم يتم الإعلان عن أي خطة تعويض شاملة.

الأسئلة الشائعة 🔎

• ماذا حدث لبروتوكول Drift؟ استنزف المهاجمون 286 مليون دولار من بروتوكول Drift في 1 أبريل 2026، باستخدام ضمانات مزيفة ومعاملات إدارية موقعة مسبقًا لتفريغ خزائن البروتوكول الأساسية في 12 دقيقة.
• من المسؤول عن اختراق بروتوكول Drift؟ عزت شركات الأمن، بما في ذلك Elliptic و TRM Labs، الهجوم إلى جهات تهديد مرتبطة بكوريا الشمالية، مستشهدة بأنماط غسل الأموال والطوابع الزمنية على السلسلة التي تتوافق مع أساليب مجموعة Lazarus.
• هل أموالي آمنة على بروتوكول Drift؟ أوقف Drift جميع عمليات الإيداع والسحب عقب الهجوم؛ ولا يزال المستخدمون في البروتوكولات المتضررة مثل Pyra و Carrot غير قادرين على الوصول إلى أموالهم حتى 3 أبريل 2026.
• ما هو هجوم nonce الدائم في Solana DeFi؟ يستخدم هجوم nonce الدائم ميزة Solana مشروعة لتوقيع المعاملات التي تبدو روتينية مسبقًا، والاحتفاظ بها كمفاتيح ترخيص حية حتى يقرر المهاجم تنفيذها.