اختراق بروتوكول دريفت وسرقة 285 مليون دولار: ما الخطأ الذي حدث وماذا سيحدث لاحقاً؟

في الأول من أبريل/نيسان 2026، تم استغلال بروتوكول دريفت المبني على منصة سولانا، ما أسفر عن خسارة تُقدر بنحو 285 مليون دولار أمريكي، ليصبح بذلك أكبر اختراق لشبكات التمويل اللامركزي (DeFi) في ذلك العام حتى الآن. استخدم المهاجم خطة مُحكمة استمرت لعدة أسابيع، تضمنت رمزًا مزيفًا، وتلاعبًا بأسعار البيانات، ومعاملات مُوقعة مسبقًا، للاستيلاء على صلاحيات إدارة البروتوكول، ثم قام بسحب أموال المستخدمين الحقيقيين في أقل من 12 دقيقة.

ماذا حدث لبروتوكول الانجراف في الأول من أبريل؟

لم يكن الهجوم مفاجئاً. فبحسب فريق بروتوكول الانجراف، كان نتيجة أيام من التحضير لم تتضح إلا بعد وقوع الضرر.

انخفضت القيمة الإجمالية المقفلة لشركة دريفت من حوالي 550 مليون دولار إلى أقل من ذلك 300 مليون دولار في أقل من ساعة. انخفض سعر عملة DRIFT الرقمية بأكثر من 40% خلال الحادث. شركة الأمن PeckShield مؤكد تجاوزت الخسارة 285 مليون دولار، وهو ما يمثل أكثر من 50% من إجمالي الخسائر المتوقعة للبروتوكول في ذلك الوقت.

تسبب التوقيت في ارتباك فوري. نشر فريق دريفت على منصة X لتوضيح أن الموقف حقيقي، وكتبوا: "هذه ليست مزحة كذبة أبريل. توخوا الحذر حتى إشعار آخر."

تم تعليق جميع عمليات الإيداع والسحب بموجب البروتوكول مع بدء التحقيق.

كيف قام المهاجم بإعداد عملية الاستغلال قبل أيام؟

وبحسب التقارير، أمضى المهاجم تسعة أيام على الأقل في تهيئة الظروف اللازمة للسرقة قبل تنفيذها.

الرمز المزيف وفخ أوراكل

أنشأ المهاجم رمزًا يُسمى رمز CarbonVote (CVT)قاموا بسكّ ما يقارب 750 مليون وحدة. وقد أنشأوا مجمع سيولة على منصة Raydium بمبلغ 500 دولار فقط، واستخدموا التداول الوهمي، حيث قاموا بشراء وبيع الرمز المميز بين محافظهم الخاصة، لبناء تاريخ سعري مزيف يقارب دولارًا واحدًا. وبمرور الوقت، رصدت أنظمة التنبؤ بالأسعار على السلسلة هذا السعر المصطنع، وتعاملت مع CVT كأصل شرعي بقيمة تقارب دولارًا واحدًا لكل رمز مميز.

خدمة "أوراكل" هي خدمة تُزوّد ​​العقد الذكي ببيانات أسعار خارجية. وعندما تُزوّد ​​خدمة "أوراكل" ببيانات مُعدّلة، لا يستطيع العقد الذكي معرفة أن السعر مُزيّف.

هجوم نونْس الدائم

بشكل منفصل، استخدم المهاجم ميزة في سولانا تُسمى "الأرقام العشوائية الدائمة" لتوقيع المعاملات مسبقًا وتأخير تنفيذها. تحل الأرقام العشوائية الدائمة محل آلية انتهاء صلاحية المعاملات العادية، مما يسمح بالاحتفاظ بالمعاملة الموقعة وإرسالها في أي وقت لاحق.

اكتشف المشاريع الواعدة...

مشاريع واعدة...

(إعلان)

تستمر المقالة...

الجدول الزمني:

• 23 مارس: تم إنشاء أربعة حسابات مؤقتة دائمة. اثنان منها مرتبطان بأعضاء حقيقيين في مجلس أمن دريفت متعدد التوقيعات. اثنان منها كانا تحت سيطرة المهاجم.
• 27 مارس: قامت شركة دريفت بنقل مجلس الأمن الخاص بها بسبب تغيير مُخطط له في الأعضاء. كما تمكن المهاجم من الوصول إلى اثنين من المُوقعين في نظام التوقيع المتعدد المُحدث.
• 30 مارس: تم إنشاء حساب جديد دائم (nonce) لأحد أعضاء مجموعة التوقيعات المتعددة المحدثة.
• أبريل شنومكس: نفذ المهاجم معاملتين من نوع "nonce" دائمتين موقعتين مسبقًا، يفصل بينهما أربعة خانات، وأكمل عملية نقل إدارية منحته السيطرة على أذونات مستوى البروتوكول.

بعد تأمين الوصول الإداري، قام المهاجم بإدراج CVT كسوق صالح على Drift، وأزال جميع حدود السحب، وأودع مئات الملايين من رموز CVT كضمان، ثم نفذ 31 عملية سحب سريعة استنزفت أصولًا حقيقية، بما في ذلك USDC وJLP وSOL وBTC المغلف وJito (JTO) وFartcoin (FRT) memecoin، في حوالي 12 دقيقة.

أكدت شركة دريفت أن الهجوم لم يكن نتيجة خلل في عقودها الذكية أو أي عبارات استخلاص مخترقة. بل تضمن "موافقات غير مصرح بها أو مزورة على المعاملات تم الحصول عليها قبل التنفيذ".

وقد برأت عمليات التدقيق الأمني ​​التي أجرتها شركة Trail of Bits في عام 2022 وشركة ClawSecure في فبراير 2026 شركة Drift، لكن لم ترصد أي من المراجعتين طرحها في سوق CVT أو التغييرات الإدارية التي جعلت الهجوم ممكناً.

أين ذهبت الأموال المسروقة؟

بعد استغلال الثغرة، تحرك المهاجم بسرعة لإخفاء الأثر.

تم تحويل الأصول المسروقة إلى عملتي USDC وSOL، ثم نُقلت من منصة سولانا إلى إيثيريوم باستخدام بروتوكول نقل البيانات عبر السلاسل (CCTP) الخاص بشركة سيركل. على إيثيريوم، قام المهاجم بتحويل الأموال إلى ETH. ووفقًا لتتبع البيانات على السلسلة، جمع المهاجم في النهاية 129,066 ETH، بقيمة تقريبية 273 مليون دولار في ذلك الوقت.

كما قام المهاجم بإيداع عملة SOL في كل من HyperLiquid و Binance، مما أدى إلى تعقيد جهود التتبع عبر منصات ومحافظ متعددة.

هل بذلت شركة سيركل ما يكفي لوقف السرقة؟

المحقق على السلسلة ZachXBT انتقد علنا تشير الدائرة بعد الثغرة إلى أنه تم تحويل كميات كبيرة من عملة USDC المسروقة من Solana إلى Ethereum خلال ساعات العمل الأمريكية دون تجميدها.

قارن ZachXBT هذا الرد بقرار Circle الأخير بتجميد 16 محفظة ساخنة لشركات غير ذات صلة في قضية مدنية أمريكية مغلقة، بحجة أن Circle كان لديها القدرة والسابقة للتدخل لكنها فشلت في التصرف بسرعة كافية للحد من الضرر.

ما هي البروتوكولات التي تأثرت بالإضافة إلى الانجراف؟

امتدت التداعيات لتشمل النظام البيئي للتمويل اللامركزي (DeFi) التابع لشركة سولانا. وقد أوقفت العديد من المنصات المرتبطة بسيولة دريفت عملياتها أو أبلغت عن خسائر.

• أبلغت PiggyBank_fi عن تعرضها لما يقرب من 106,000 دولار من خلال استراتيجيات دلتا المحايدة وقامت بتغطية المستخدمين مباشرة باستخدام أموال الفريق.
• أوقفت شركة Reflect Money عمليات سك واسترداد عملتي USDC+ وUSDT+.
• أوقفت شركة رينجر فاينانس عمليات الإيداع والسحب بعملة RGUSD، مع تقديرات للتعرض للمخاطر بأكثر من 900,000 دولار.
• أوقف مشروع Project0 الاقتراض مقابل مراكز Drift كإجراء احترازي.
• قامت كل من TradeNeutral و GetPyra و xPlace و Uselulo و Elemental DeFi بتعليق الميزات الرئيسية أو الإبلاغ عن تعرض محدود.
• أكدت بورصة جوبيتر أن محفظة عقود القروض اليابانية (JLP) الخاصة بها لا تزال مدعومة بالكامل.

ماذا سيحدث لفيلم دريفت بعد ذلك؟

تتعاون منصة Drift مع العديد من شركات الأمن، ومنصات التداول، وشبكات الربط، وجهات إنفاذ القانون لتتبع واستعادة الأصول المسروقة. تم تحديث التوقيع المتعدد لإزالة المحفظة المخترقة. وتبقى جميع وظائف البروتوكول الأخرى معطلة.

بحسب Immunefi الرئيس التنفيذي ميتشل أمادورغالباً ما يستمر تأثير اختراق العملة الرقمية على سعرها لفترة أطول من مدة الاختراق نفسه. وتشير بيانات Immunefi إلى أن 83% من العملات الرقمية الأصلية للبروتوكولات المخترقة لا تعود أبداً إلى أسعارها قبل الاختراق.

من المتوقع صدور تقرير مفصل من دريفت في الأيام القادمة.

المصادر

1. بيك شيلد على Xالمنشورات (1-2 أبريل)

2. انظر على Xالمنشورات (1-2 أبريل)

3. بروتوكول الانجراف على Xالمنشورات (1-2 أبريل)

4. ميتشل أمادور على إكسمنشور بتاريخ 25 مارس