الاشتباه في مجموعة Lazarus التابعة لكوريا الشمالية في سرقة 286 مليون دولار من Drift Protocol على شبكة Solana
أكد Drift Protocol، أكبر بورصة لامركزية للعقود الآجلة الدائمة على شبكة Solana، الاختراق بعد مشاهدة إجمالي القيمة المغلقة (TVL) الخاص به ينهار من حوالي 550 مليون دولار إلى أقل من 250 مليون دولار في صباح واحد، ليستقر الآن عند 232 مليون دولار. كانت Bitcoin.com News أول من أبلغ عن المشكلة. انخفض توكن DRIFT بنسبة تصل إلى 37%-42% في الساعات التالية، ليصل إلى أدنى مستوى بالقرب من 0.04 دولار إلى 0.05 دولار.
تشير التقارير إلى أن الهجوم لم يبدأ بخطأ في الكود ولكن بسحب من Tornado Cash. في 11 مارس، سحب المهاجم ETH من بروتوكول الخصوصية القائم على الإيثريوم واستخدم تلك الأموال لنشر توكن carbonvote، أو CVT، في 12 مارس. لاحظ محللو البلوكشين أن الطابع الزمني للنشر يتوافق مع حوالي الساعة 09:00 بتوقيت بيونغ يانغ، وهي تفاصيل أثارت علامات تحذير فورية.
توكن DRIFT في 3 أبريل 2026.تفصل عدة تقارير أنه على مدار الأسابيع الثلاثة التالية، زرع المهاجم سيولة ضئيلة لـ CVT على بورصة Raydium اللامركزية واستخدم التداول المزيف للحفاظ على سعر قريب من 1.00 دولار. قرأت أوراكل Drift هذا السعر على أنه شرعي. كان المهاجم قد بنى أصول ضمانية مزيفة بدت حقيقية لكل نظام آلي يراقبها.
"في وقت سابق اليوم، حصل فاعل خبيث على وصول غير مصرح به إلى Drift Protocol من خلال هجوم جديد يتضمن nonces دائمة، مما أدى إلى استيلاء سريع على الصلاحيات الإدارية لمجلس الأمن في Drift"، كتب فريق Drift.
أضاف حساب X الخاص بالمشروع:
ظاهريًا، بين 23 مارس و 30 مارس، انتقل مهاجم Drift إلى الطبقة البشرية. باستخدام ميزة Solana الشرعية تسمى nonces دائمة، حث المهاجم أعضاء multisig مجلس الأمن في Drift على التوقيع المسبق على معاملات بدت روتينية. أصبحت تلك التوقيعات مفاتيح وصول معتمدة مسبقًا، محتفظ بها في الاحتياطي حتى كان المهاجم جاهزًا.
أُغلقت الفتحة في 27 مارس، عندما هاجر Drift مجلس الأمن الخاص به إلى عتبة توقيع 2 من 5 وأزال timelock الخاص به بالكامل. يفرض timelock عادةً تأخيرًا من 24 إلى 72 ساعة على الإجراءات الإدارية، مما يمنح المجتمع وقتًا للقبض على أي شيء مشبوه وعكسه. بدونه، كان لدى المهاجم سلطة تنفيذ بدون تأخير. كانت المعاملات الموقعة مسبقًا نشطة في اللحظة التي اختفى فيها timelock.
في 1 أبريل، قام المهاجم بتفعيل تلك المعاملات، وأدرج CVT كأصول ضمانية صالحة، ورفع حدود السحب، وأودع مئات الملايين من توكنات CVT التي أصدرت محرك المخاطر في Drift ضدها أصول حقيقية. سلم البروتوكول ملايين من توكنات JLP، وملايين من USDC، وملايين من SOL، وكميات أصغر من البيتكوين والإيثريوم المغلفة. تم تصفية واحد وثلاثين معاملة سحب في حوالي 12 دقيقة.
حول المهاجم التوكنات المسروقة إلى USDC باستخدام Jupiter، وجسر إلى الإيثريوم، وتبادل إلى عشرات الآلاف من ETH. تم توجيه بعض الأموال عبر Hyperliquid، وانتقل جزء مباشرة إلى Binance. في 3 أبريل، أرسل Drift رسالة على السلسلة من عنوان الإيثريوم إلى أربع محافظ يسيطر عليها القراصنة. تشير منشورات cryptonomist.ch إلى أن الرسالة كانت:
نسبت شركات الأمن Elliptic و TRM Labs الهجوم إلى جهات تهديد مرتبطة بكوريا الشمالية، مشيرة إلى أصل Tornado Cash، وتوقيع النشر بتوقيت بيونغ يانغ، والتركيز على الهندسة الاجتماعية، وسرعة غسل الأموال بعد الاختراق. استخدمت مجموعة Lazarus نفس الصبر ونهج استهداف البشر في اختراق جسر Ronin في 2022. ربطت حكومة الولايات المتحدة هذه السرقات بتمويل برنامج الأسلحة الكوري الشمالي، وتتبعت Elliptic أكثر من 300 مليون دولار مسروقة في الربع الأول من عام 2026 وحده.
انتشرت العدوى إلى أكثر من 20 بروتوكولاً. أبلغت Prime Numbers Fi عن خسائر بالملايين. أوقف Carrot Protocol وظائف السك والاسترداد بعد أن تأثر 50% من إجمالي القيمة المغلقة (TVL) الخاص به. عطل Pyra Protocol السحوبات بالكامل، تاركًا جميع أموال المستخدمين غير قابلة للوصول. خسر Piggybank 106,000 دولار وعوض المستخدمين من خزينة فريقه الخاص.
أكدت DeFi Development Corp.، وهي شركة مدرجة في ناسداك مع استراتيجية خزينة Solana، في 1 أبريل أنه ليس لديها أي تعرض لـ Drift. استبعد إطار المخاطر الخاص بها البروتوكول بالكامل. جذبت هذه الحقيقة اهتمامًا أكبر مما كانت الشركة تنوي على الأرجح.
أنتجت حادثة Drift درسًا واضحًا واحدًا كانت معظم الصناعة تعرفه بالفعل ولكن لم تطبقه بالكامل: timelock ليس اختياريًا. حولت إزالة هذا الضمان الواحد في 27 مارس هجومًا معقدًا متعدد الأسابيع إلى صرف نقدي لمدة 12 دقيقة. حوكمة البروتوكول بدون آلية تأخير هي حوكمة بباب مفتوح.
تم وصف الـ 48 ساعة التالية بعد هجوم DeFi بأنها حاسمة لقدرة Drift على الاحتفاظ بثقة المستخدم وتخطيط مسار التعافي. اعتبارًا من 3 أبريل، لم يتم الإعلان عن خطة تعويض شاملة.
الأسئلة الشائعة 🔎
- ماذا حدث لـ Drift Protocol؟ استنزف المهاجمون 286 مليون دولار من Drift Protocol في 1 أبريل 2026، باستخدام أصول ضمانية مزيفة ومعاملات إدارية موقعة مسبقًا لإفراغ خزائن البروتوكول الأساسية في 12 دقيقة.
- من المسؤول عن اختراق Drift Protocol؟ نسبت شركات الأمن، بما في ذلك Elliptic و TRM Labs، الهجوم إلى جهات تهديد مرتبطة بكوريا الشمالية، مشيرة إلى أنماط غسل الأموال والطوابع الزمنية على السلسلة المتسقة مع أساليب مجموعة Lazarus.
- هل أموالي آمنة على Drift Protocol؟ علق Drift جميع الإيداعات والسحوبات بعد الهجوم؛ يظل المستخدمون في البروتوكولات المتأثرة مثل Pyra و Carrot غير قادرين على الوصول إلى الأموال اعتبارًا من 3 أبريل 2026.
- ما هو هجوم nonce الدائم في Solana DeFi؟ يستخدم هجوم nonce الدائم ميزة Solana الشرعية للتوقيع المسبق على المعاملات التي تبدو روتينية، والاحتفاظ بها كمفاتيح تفويض نشطة حتى يختار المهاجم تنفيذها.
المصدر: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
