الأخبار

(إعلان)

إعلان مميز على الهاتف المحمول

ألقت مجموعة كورية شمالية باللوم على عملية اختراق بروتوكول دريفت التي بلغت قيمتها 285 مليون دولار، والتي استغرقت ستة أشهر من التخطيط.

سلسلة

كان اختراق بروتوكول دريفت في أبريل 2026، والذي بلغت خسائره 285 مليون دولار، عملية هندسة اجتماعية كورية شمالية استمرت ستة أشهر. إليكم تفاصيل العملية وما تعنيه لأمن التمويل اللامركزي.

Soumen Datta

6 نيسان 2026

إعلان أصلي على الهاتف المحمول من ad1

(إعلان)

جدول المحتويات

كيف بدأت عملية اختراق بروتوكول دريفت فعلياً؟ما هي أساليب الهجوم التقنية؟ما مدى سرعة تنفيذ الهجوم؟أين ذهبت الـ 285 مليون دولار؟من يقف وراء هذا الهجوم؟خاتمةالمصادرالأسئلة الشائعة

1 أبريل 2026 استغلال of الاستلقاء تحت أشعة الشمسلم يكن هجوم بروتوكول دريفت، الذي استنزف ما يقرب من 285 مليون دولار من المنصة، هجومًا عفويًا. وفقًا للتقرير الأولي لبروتوكول دريفت تحقيق، وكان ذلك نتيجة لعملية استخباراتية منظمة بدأت قبل ستة أشهر على الأقل، ونُسبت بدرجة ثقة متوسطة إلى عالية إلى UNC4736، وهي جماعة تهديد تابعة للدولة الكورية الشمالية يتم تتبعها أيضًا باسم AppleJeus أو Citrine Sleet.

كيف بدأت عملية اختراق بروتوكول دريفت فعلياً؟

بحسب فريق بروتوكول دريفت، بدأت العملية في مؤتمر رئيسي للعملات الرقمية في خريف عام 2025، حيث تواصل أفرادٌ قدّموا أنفسهم كشركة تداول كمّي مع المساهمين في دريفت. لم تكن العملية مجرد محاولة تصيّد سريعة، بل كانت حملة بناء علاقات مُتعمّدة استمرت لأشهر، ونُفّذت عبر اجتماعات شخصية متعددة، في مؤتمرات صناعية مختلفة، وفي بلدان متعددة.

كان الفريق يتمتع بكفاءة تقنية عالية، وخلفيات مهنية موثقة، وإلمام دقيق بآلية عمل منصة دريفت. تم إنشاء مجموعة على تطبيق تيليجرام بعد الاجتماع الأول، واستمرت المناقشات الجوهرية حول استراتيجيات التداول وتكامل الخزائن لعدة أشهر. لاحظ فريق دريفت أن هذه التفاعلات تتوافق تمامًا مع الطريقة التي تتعامل بها شركات التداول الشرعية عادةً مع البروتوكول.

في الفترة من ديسمبر 2025 إلى يناير 2026، أنشأت المجموعة صندوقًا خاصًا بها على منصة دريفت. تضمنت هذه العملية تقديم تفاصيل الاستراتيجية عبر نموذج رسمي، والمشاركة في جلسات عمل متعددة مع المساهمين في دريفت، وإيداع أكثر من مليون دولار من رأس مالهم الخاص. لقد بنوا وجودًا تشغيليًا فعالًا داخل البروتوكول، بحرص وصبر.

الأشهر الأخيرة قبل الاستغلال

استمرت حوارات التكامل خلال شهري فبراير ومارس من عام 2026. والتقى مساهمو دريفت بأفراد من المجموعة مجددًا، وجهًا لوجه، في فعاليات صناعية كبرى. وبحلول شهر أبريل، كانت العلاقة قد مضى عليها ما يقارب ستة أشهر. لم يكونوا غرباء، بل كانوا أشخاصًا عمل معهم فريق دريفت والتقوا بهم وجهًا لوجه في مناسبات عديدة.

خلال هذه الفترة، تبادلت المجموعة روابط لمشاريع وأدوات وتطبيقات زعمت أنها تعمل على تطويرها. يُعد تبادل هذه الموارد ممارسة شائعة في علاقات شركات التداول، وهو ما جعلها آلية توصيل فعّالة.

ما هي أساليب الهجوم التقنية؟

بعد استغلال الثغرة الأمنية في الأول من أبريل، أجرت شركة دريفت مراجعة جنائية للأجهزة والحسابات وسجلات الاتصالات المتأثرة. وقد تم مسح محادثات تيليجرام والبرامج الخبيثة التي استخدمتها المجموعة بالكامل فور وقوع الهجوم. وحدد تحقيق دريفت ثلاثة مسارات اختراق محتملة:

  • ربما تعرض أحد المساهمين للاختراق بعد استنساخ مستودع التعليمات البرمجية الذي شاركته المجموعة، والذي تم تقديمه كأداة نشر واجهة أمامية لخزنتهم.
  • تم حثّ مساهم ثانٍ على تنزيل تطبيق TestFlight الذي وصفته المجموعة بأنه منتج محفظتهم. TestFlight هي منصة Apple لتوزيع النسخ التجريبية من تطبيقات iOS قبل إصدارها للجمهور.
  • بالنسبة للأسلوب القائم على المستودع، كانت الآلية المحتملة هي ثغرة أمنية معروفة في محرري التعليمات البرمجية VSCode و Cursor والتي كان باحثو الأمن يشيرون إليها بنشاط بين ديسمبر 2025 وفبراير 2026. وكان فتح ملف أو مجلد أو مستودع في المحرر المتأثر كافيًا لتنفيذ تعليمات برمجية عشوائية بصمت، دون أي مطالبة أو تحذير أو مربع حوار أذونات أو أي إشارة مرئية للمستخدم.

كان التحليل الجنائي الكامل للأجهزة المتضررة لا يزال جارياً وقت النشر.

ما مدى سرعة تنفيذ الهجوم؟

قد يكون الإعداد قد استغرق ستة أشهر، لكن التنفيذ كان سريعًا. بمجرد الاستيلاء على سيطرة الإدارة على البروتوكول، تم استنزاف أموال المستخدمين الحقيقيين في أقل من 12 دقيقة. انخفضت القيمة الإجمالية المقفلة (TVL) لـ Drift من حوالي 550 مليون دولار إلى أقل من 300 مليون دولار في أقل من ساعة. انخفض رمز DRIFT بأكثر من 40% خلال الحادث. أكدت شركة الأمن PeckShield أن إجمالي الخسارة تجاوز 285 مليون دولار، وهو ما يمثل أكثر من 50% من القيمة الإجمالية المقفلة للبروتوكول في ذلك الوقت.

نشر فريق دريفت بيانًا على منصة إكس خلال الفوضى لتوضيح أن الموقف حقيقي، وكتب: "هذه ليست مزحة كذبة أبريل. توخوا الحذر حتى إشعار آخر". تم تعليق جميع عمليات الإيداع والسحب مع بدء التحقيق.

مشاريع واعدة...

(إعلان)

بولي ماركت | أكبر سوق للتنبؤات في العالمCloudbetASXبولي ماركت | أكبر سوق للتنبؤات في العالمCloudbetASXبولي ماركت | أكبر سوق للتنبؤات في العالمCloudbetASX
تستمر المقالة...

أين ذهبت الـ 285 مليون دولار؟

سارع المهاجم إلى إخفاء مسار الأموال بعد استغلال الثغرة. حُوِّلت الأصول المسروقة إلى عملتي USDC وSOL، ثم نُقلت من منصة Solana إلى شبكة Ethereum باستخدام بروتوكول نقل البيانات عبر السلاسل (CCTP) الخاص بشركة Circle. يُعدّ CCTP البنية التحتية الأصلية لشبكة Circle التي تسمح بتحويل عملة USDC بين سلاسل الكتل المختلفة دون الحاجة إلى تغليفها. على شبكة Ethereum، حُوِّلت الأموال إلى عملة ETH. أكّدت عمليات التتبع على السلسلة أن المهاجم جمع في نهاية المطاف 129,066 عملة ETH، بقيمة تُقدَّر بنحو 273 مليون دولار أمريكي في ذلك الوقت.

كما قام المهاجم بإيداع عملة SOL في كل من HyperLiquid و Binance، مما أدى إلى نشر النشاط عبر منصات متعددة لتعقيد جهود التتبع.

هل استجابت شركة سيركل بالسرعة الكافية؟

انتقد المحقق في سلسلة الكتل ZachXBT شركة Circle علنًا بعد الثغرة الأمنية، مشيرًا إلى أن كميات كبيرة من عملة USDC المسروقة تم تحويلها من Solana إلى Ethereum خلال ساعات العمل في الولايات المتحدة دون تجميدها. وقارن ZachXBT هذا بقرار Circle الأخير بتجميد 16 محفظة ساخنة تابعة لشركات أخرى في قضية مدنية سرية في الولايات المتحدة، مؤكدًا أن Circle كانت تمتلك القدرة التقنية وسابقة واضحة للتدخل، لكنها فشلت في التحرك بالسرعة الكافية للحد من الضرر.

من يقف وراء هذا الهجوم؟

استنادًا إلى تحقيقات فريق SEALS 911، وبثقة متوسطة إلى عالية، يُعزى تحقيق دريفت العملية إلى نفس الجهات الفاعلة المسؤولة عن اختراق راديانت كابيتال في أكتوبر 2024. وقد نسبت مانديانت هذا الهجوم رسميًا إلى UNC4736، وهي جماعة تابعة لكوريا الشمالية.

يستند هذا الربط إلى أساسين: على مستوى سلسلة الكتل والعمليات التشغيلية. إذ تُشير تدفقات الأموال المستخدمة في إعداد واختبار عملية "دريفت" إلى محافظ مرتبطة بمهاجمي "راديانت". علاوة على ذلك، تتشابه الشخصيات المستخدمة في حملة "دريفت" بشكل واضح مع أنماط النشاط المعروفة المرتبطة بكوريا الشمالية.

أوضح فريق دريفت توضيحاً هاماً: الأفراد الذين حضروا المؤتمرات شخصياً لم يكونوا من مواطني كوريا الشمالية. ففي هذا المستوى من العمليات، من المعروف أن الجهات الفاعلة المرتبطة بكوريا الشمالية تستخدم وسطاء من أطراف ثالثة للتواصل المباشر، مما يُبقي العملاء الفعليين على مسافة.

تم التعاقد رسميًا مع شركة مانديانت للتحقيق في الأمر، لكنها لم تُصدر بعدُ بيانًا رسميًا يُحدد الجهة المسؤولة عن استغلال ثغرة دريفت. ويتطلب هذا التحديد استكمال التحليل الجنائي للأجهزة، والذي لا يزال جاريًا.

تدابير الاستجابة الحالية

حتى تاريخ النشر، اتخذت شركة دريفت الخطوات التالية:

  • تم تجميد جميع وظائف البروتوكول المتبقية
  • تمت إزالة المحافظ المخترقة من التوقيعات المتعددة
  • تم رصد محافظ إلكترونية تابعة للمهاجمين عبر منصات التداول ومشغلي جسور التداول.
  • تم التعاقد مع شركة مانديانت كشريك الطب الشرعي الرئيسي

صرحت شركة Drift بأنها تشارك هذه التفاصيل علنًا حتى تتمكن الفرق الأخرى في النظام البيئي من فهم الشكل الحقيقي لهذا النوع من الهجمات، واتخاذ خطوات لحماية أنفسهم وفقًا لذلك.

خاتمة

إن اختراق بروتوكول دريفت ليس مجرد قصة عن ثغرة برمجية أفلتت من التدقيق، بل هو قصة خداع بشري متقن. فقد أمضى المهاجمون ستة أشهر في بناء مصداقيتهم من خلال اجتماعات شخصية، ودمج نظام خزنة فعال، وأكثر من مليون دولار من رأس مالهم المودع، قبل تنفيذ عملية استنزاف استغرقت 12 دقيقة فقط، بلغت قيمتها 285 مليون دولار.

 كانت الأساليب التقنية، المتمثلة في مستودع التعليمات البرمجية الخبيثة وتطبيق TestFlight المزيف، فعالة على وجه التحديد لأن الثقة المطلوبة لفتحها قد تم بناؤها بعناية مسبقًا. 

بالنسبة لبروتوكولات التمويل اللامركزي، الدرس واضح: لا يقتصر نطاق الهجوم على العقود الذكية فحسب، بل يشمل كل جهاز مساهم، وكل مستودع تابع لجهة خارجية، وكل علاقة تُبنى في مؤتمر صناعي. وقد أثبت UNC4736 ذلك مرتين، الأولى في مؤتمر Radiant Capital في أكتوبر 2024، والثانية في مؤتمر Drift في أبريل 2026، بنفس النهج الصبور المدعوم بالموارد في كل مرة.

المصادر

  1. بروتوكول الانجراف على Xمنشور بتاريخ 5 مارس

  2. بيك شيلد على Xالمنشورات (1-2 أبريل)

  3. انظر على Xالمنشورات (1-2 أبريل)

الأسئلة الشائعة

كيف حدث اختراق بروتوكول دريفت؟

كان اختراق منصة Drift في الأول من أبريل/نيسان 2026 نتيجة لعملية هندسة اجتماعية استمرت ستة أشهر. انتحل المهاجمون صفة شركة تداول كمي، وبنوا علاقات مع المساهمين في Drift من خلال لقاءات شخصية متعددة في مؤتمرات القطاع، وأودعوا أكثر من مليون دولار لإضفاء المصداقية، وفي النهاية تمكنوا من اختراق أجهزة المساهمين عبر مستودعات برمجيات خبيثة وتطبيق TestFlight مزيف. وبمجرد دخولهم، استولوا على 285 مليون دولار في أقل من 12 دقيقة.

من المسؤول عن اختراق بروتوكول دريفت؟

بثقة متوسطة إلى عالية، يُعزى الهجوم، وفقًا لتحقيقات شركة دريفت، إلى مجموعة UNC4736، وهي جماعة تهديد تابعة لكوريا الشمالية، تُعرف أيضًا باسم AppleJeus أو Citrine Sleet. وقد عزت شركة مانديانت هذه المجموعة نفسها إلى اختراق شركة راديانت كابيتال في أكتوبر 2024. وتربط تدفقات الأموال على البلوك تشين بين العمليتين، كما تتطابق أساليب التنفيذ مع أنماط النشاط المعروفة المرتبطة بكوريا الشمالية. ولم تُصدر مانديانت بيانًا رسميًا يُنسب فيه الهجوم إلى دريفت تحديدًا، نظرًا لأن التحقيقات الجنائية للأجهزة لا تزال جارية.

ماذا حدث للأموال المسروقة من بروتوكول دريفت؟

بعد استغلال الثغرة، حوّل المهاجم الأصول المسروقة إلى عملتي USDC وSOL، ثم ربطها من منصة Solana إلى شبكة Ethereum باستخدام بنية CCTP الخاصة بشركة Circle. على شبكة Ethereum، حُوّلت الأموال إلى عملة ETH. في نهاية المطاف، جمع المهاجم 129,066 عملة ETH، بقيمة تقارب 273 مليون دولار أمريكي آنذاك. كما أُودعت عملات SOL إضافية في منصتي HyperLiquid وBinance لزيادة صعوبة تتبعها.

إخلاء مسؤولية

إخلاء مسؤولية: الآراء الواردة في هذه المقالة لا تعكس بالضرورة آراء BSCN. المعلومات الواردة في هذه المقالة هي لأغراض تعليمية وترفيهية فقط، ولا ينبغي اعتبارها نصيحة استثمارية، أو أي نوع من أنواع المشورة. لا تتحمل BSCN أي مسؤولية عن أي قرارات استثمارية تُتخذ بناءً على المعلومات الواردة في هذه المقالة. إذا كنت تعتقد أنه يجب تعديل المقالة، يُرجى التواصل مع فريق BSCN عبر البريد الإلكتروني. [البريد الإلكتروني محمي].

المعلن / كاتب التعليق

Soumen Datta

سومين باحث في مجال العملات المشفرة منذ عام ٢٠٢٠، وحاصل على ماجستير في الفيزياء. نُشرت كتاباته وأبحاثه في منشورات مثل CryptoSlate وDailyCoin، بالإضافة إلى BSCN. تشمل مجالات تركيزه بيتكوين، والتمويل اللامركزي، والعملات البديلة عالية الإمكانات مثل إيثريوم، وسولانا، وريبل، وتشينلينك. يجمع سومين بين العمق التحليلي والوضوح الصحفي لتقديم رؤى قيّمة لكل من المبتدئين وقراء العملات المشفرة المخضرمين.

(إعلان)

إعلان أصلي على الهاتف المحمول من ad2

آخـر الأخبار

منذ 1 ساعات و 6 دقيقة

أستر تصل إلى 15 مليون مستخدم مسجل

منذ 2 ساعات و 0 دقيقة

تقترب شبكة كاسبا من ملياري معاملة مع اقتراب توكاتا

منذ 4 ساعات و 30 دقيقة

سوبرا تطلق نظام التشغيل SupraOS مع نظام تحكم ذاتي الاستضافة يعمل بالذكاء الاصطناعي

منذ 6 ساعات و 0 دقيقة

انهيار عملة RAVE الرقمية مع كشف منصتي Binance وBitget عن محاولات للتلاعب بها.

منذ 8 ساعات و 45 دقيقة

تم استغلال جسر KelpDAO للحصول على 292 مليون دولار، وترتبط مجموعة لازاروس بالهجوم.

17 نيسان 2026

انخفاض احتياطي البيتكوين نتيجة بيع بعض العملات المعدنية

17 نيسان 2026

يقول بنك جيه بي مورغان إن قانون الوضوح أقرب مما نعتقد

17 نيسان 2026

أطلقت سكاي خدمتي USDS و sUSDS بشكل أصلي على منصة أفالانش

(إعلان)

إعلان جانبي 1

أحدث تشفير الأخبار

احصل على آخر الأخبار والأحداث المتعلقة بالعملات المشفرة

عرض الكلحق

اشترك في صحيفتنا الإخبارية

اشترك للحصول على أفضل البرامج التعليمية وأحدث أخبار Web3.

اشترك هنا!
بكالوريوس في علوم الكمبيوتر

BSCN

موجز RSS لشبكة BSCN

BSCN هي وجهتك الأمثل لكل ما يتعلق بالعملات المشفرة والبلوك تشين. اكتشف آخر أخبار العملات المشفرة، وتحليلات السوق، والأبحاث، بما في ذلك بيتكوين، وإيثريوم، والعملات البديلة، وميمكوينز، وكل ما بينهما.

الأخبار

إلى البيتكوينإثيريمالاستلقاء تحت أشعة الشمسBNBشبكة PIAltcoinsmemecoins

معلومات عنا

اتصل بنانبذة عناسياسة الخصوصيةشروط الخدمة

© ٢٠٢٥ BSCN. جميع الحقوق محفوظة.

(إعلان)

لافتة لاصقة