هک پروتکل Drift در سال ۲۰۲۶: چه اتفاقی افتاد، چه کسانی پول از دست دادند، و قدم بعدی چیست

گروه لازاروس کره شمالی (DPRK) مظنون اصلی سرقت ۲۸۶ میلیون دلاری سولانا از Drift Protocol

Drift Protocol، بزرگ‌ترین صرافی غیرمتمرکز معاملات آتی دائمی در شبکه سولانا، پس از مشاهده فروپاشی ارزش کل قفل‌شده (TVL) از حدود ۵۵۰ میلیون دلار به کمتر از ۲۵۰ میلیون دلار در یک صبح، این سوءاستفاده را تأیید کرد؛ رقمی که اکنون در ۲۳۲ میلیون دلار قرار دارد. Bitcoin.com News نخستین رسانه‌ای بود که گزارش داد این مسئله رخ داده است. توکن DRIFT در ساعت‌های بعد تا ۳۷٪ تا ۴۲٪ سقوط کرد و در محدوده ۰.۰۴ تا ۰.۰۵ دلار کف‌سازی کرد.

گزارش‌ها اشاره می‌کنند که حمله نه با یک باگ کدنویسی، بلکه با یک برداشت از Tornado Cash آغاز شد. در ۱۱ مارس، مهاجم ETH را از پروتکل حریم خصوصیِ مبتنی بر اتریوم برداشت و از آن منابع برای استقرار توکن carbonvote یا CVT در ۱۲ مارس استفاده کرد. تحلیلگران بلاکچین یادآور شدند که زمان‌ثبت استقرار با حدود ساعت ۰۹:۰۰ به وقت پیونگ‌یانگ هم‌زمان بوده است؛ جزئیاتی که بلافاصله زنگ خطر را به صدا درآورد.

چندین گزارش توضیح می‌دهند که طی سه هفته بعد، مهاجم مقدار اندکی نقدینگی برای CVT در صرافی غیرمتمرکز Raydium ایجاد کرد و با معاملات شستشو (wash trading) قیمت را نزدیک ۱.۰۰ دلار نگه داشت. اوراکل‌های Drift آن قیمت را معتبر تلقی کردند. مهاجم وثیقه‌ای جعلی ساخته بود که برای هر سامانه خودکاری که آن را رصد می‌کرد، واقعی به نظر می‌رسید.

تیم Drift نوشت: «اوایل امروز، یک بازیگر مخرب از طریق یک حمله نوآورانه شامل durable nonceها به Drift Protocol دسترسی غیرمجاز پیدا کرد که در نتیجه آن، قدرت‌های مدیریتی شورای امنیت Drift به‌سرعت تصاحب شد.»

حساب X این پروژه افزود:

«این یک عملیات بسیار پیچیده بود که به نظر می‌رسد شامل تدارک چند هفته‌ای و اجرای مرحله‌ای بوده است؛ از جمله استفاده از حساب‌های durable nonce برای پیش‌امضا کردن تراکنش‌هایی که اجرای آن‌ها با تأخیر انجام می‌شد.»

ظاهراً بین ۲۳ مارس تا ۳۰ مارس، مهاجم به لایه انسانی منتقل شد. با استفاده از یک قابلیت مشروع سولانا به نام durable nonce، مهاجم بنا بر گزارش‌ها اعضای چندامضایی شورای امنیت Drift را ترغیب کرد تراکنش‌هایی را که روتین به نظر می‌رسیدند از پیش امضا کنند. آن امضاها به کلیدهای دسترسیِ از پیش تأییدشده تبدیل شدند و تا زمانی که مهاجم آماده باشد، به صورت ذخیره نگه داشته شدند.

فرصت در ۲۷ مارس ایجاد شد؛ زمانی که Drift شورای امنیت خود را به آستانه امضای ۲ از ۵ مهاجرت داد و تایم‌لاک را به‌طور کامل حذف کرد. تایم‌لاک معمولاً برای اقدامات مدیریتی یک تأخیر ۲۴ تا ۷۲ ساعته اعمال می‌کند تا به جامعه زمان بدهد هر چیز مشکوکی را تشخیص داده و معکوس کند. بدون آن، مهاجم اختیار اجرای بدون تأخیر داشت. تراکنش‌های از پیش امضاشده همان لحظه‌ای که تایم‌لاک حذف شد، فعال شدند.

در ۱ آوریل، مهاجم آن تراکنش‌ها را فعال کرد، CVT را به‌عنوان وثیقه معتبر فهرست کرد، سقف‌های برداشت را افزایش داد و صدها میلیون CVT واریز کرد که در برابر آن، موتور ریسک Drift دارایی‌های واقعی صادر کرد. پروتکل میلیون‌ها توکن JLP، میلیون‌ها USDC، میلیون‌ها SOL و مقادیر کمتری رپد بیت‌کوین و اتریوم را تحویل داد. سی‌ویک تراکنش برداشت در حدود ۱۲ دقیقه تسویه شد.

مهاجم توکن‌های سرقت‌شده را با استفاده از Jupiter به USDC تبدیل کرد، به اتریوم بریج کرد و به ده‌ها هزار ETH سواپ نمود. بخشی از وجوه از طریق Hyperliquid مسیردهی شد و بخشی نیز مستقیماً به Binance منتقل شد. در ۳ آوریل، Drift یک پیام آن‌چین از یک آدرس اتریوم به چهار کیف‌پول تحت کنترل هکرها ارسال کرد. نشریه cryptonomist.ch گزارش می‌دهد که پیام این‌گونه بود:

«ما آماده گفتگو هستیم.»

شرکت‌های امنیتی Elliptic و TRM Labs این حمله را به بازیگران تهدید مرتبط با DPRK نسبت داده‌اند و به منشأ Tornado Cash، نشانه زمانی استقرار مطابق با وقت پیونگ‌یانگ، تمرکز بر مهندسی اجتماعی و سرعت پول‌شویی پس از هک استناد کرده‌اند. گروه لازاروس در هک پل Ronin در سال ۲۰۲۲ نیز همین رویکردِ صبورانه و هدف‌گیری انسانی را به کار برد. دولت آمریکا این سرقت‌ها را به تأمین مالی برنامه تسلیحاتی کره شمالی مرتبط دانسته است و Elliptic ردیابی کرده که تنها در سه‌ماهه نخست ۲۰۲۶ بیش از ۳۰۰ میلیون دلار به سرقت رفته است.

سرایت این رخداد به بیش از ۲۰ پروتکل رسید. Prime Numbers Fi زیان‌هایی چند میلیون دلاری گزارش کرد. Carrot Protocol پس از آنکه ۵۰٪ از TVL آن تحت تأثیر قرار گرفت، عملکردهای مینت و ریدیم را متوقف کرد. Pyra Protocol برداشت‌ها را به‌طور کامل غیرفعال کرد و تمام وجوه کاربران را غیرقابل‌دسترسی گذاشت. Piggybank مبلغ ۱۰۶٬۰۰۰ دلار از دست داد و از خزانه تیم خود به کاربران بازپرداخت کرد.

DeFi Development Corp.، یک شرکت فهرست‌شده در نزدک با استراتژی خزانه سولانا، در ۱ آوریل تأیید کرد که هیچ مواجهه‌ای با Drift نداشته است. چارچوب ریسک آن، این پروتکل را به‌طور کامل کنار گذاشته بود. همین موضوع بیشتر از آنچه احتمالاً شرکت قصدش را داشت، توجه جلب کرد.

حادثه Drift یک درس روشن به همراه داشت که بیشتر صنعت از قبل می‌دانست اما آن را به‌طور کامل به کار نبسته بود: تایم‌لاک اختیاری نیست. حذف همین یک سپر دفاعی در ۲۷ مارس، یک حمله پیچیده چندهفته‌ای را به یک «نقدکردن» ۱۲ دقیقه‌ای تبدیل کرد. حکمرانی پروتکل بدون سازوکار تأخیر، حکمرانی با درِ باز است.

۴۸ ساعت بعد از حمله دیفای به‌عنوان بازه‌ای حیاتی برای توان Drift در حفظ اعتماد کاربران و ترسیم مسیر بازیابی توصیف شد. تا تاریخ ۳ آوریل، هیچ برنامه جامع بازپرداختی اعلام نشده بود.

پرسش‌های متداول 🔎

• چه اتفاقی برای Drift Protocol افتاد؟ مهاجمان در ۱ آوریل ۲۰۲۶ با استفاده از وثیقه جعلی و تراکنش‌های مدیریتی از پیش امضاشده، ۲۸۶ میلیون دلار از Drift Protocol خارج کردند و خزانه‌های اصلی پروتکل را در ۱۲ دقیقه خالی کردند.
• چه کسی مسئول هک Drift Protocol است؟ شرکت‌های امنیتی، از جمله Elliptic و TRM Labs، این حمله را به بازیگران تهدید مرتبط با DPRK نسبت داده‌اند و به الگوهای پول‌شویی و زمان‌مهرهای آن‌چین مطابق با شیوه‌های عملیاتی گروه لازاروس استناد کرده‌اند.
• آیا پول من در Drift Protocol امن است؟ Drift پس از حمله همه واریزها و برداشت‌ها را تعلیق کرد؛ کاربران در پروتکل‌های آسیب‌دیده‌ای مانند Pyra و Carrot تا تاریخ ۳ آوریل ۲۰۲۶ همچنان قادر به دسترسی به وجوه نیستند.
• حمله durable nonce در دیفای سولانا چیست؟ حمله durable nonce از یک قابلیت مشروع سولانا برای پیش‌امضا کردن تراکنش‌هایی که روتین به نظر می‌رسند استفاده می‌کند و آن‌ها را به‌عنوان کلیدهای مجوزِ فعال نگه می‌دارد تا زمانی که مهاجم تصمیم به اجرای آن‌ها بگیرد.