#Gate广场四月发帖挑战

لم يكن أي شخص في التمويل اللامركزي يريد أن يصدق ذلك عندما رأى العنوان الرئيسي في 1 أبريل 2026. كان فريق بروتوكول دريفت نفسه مضطرًا إلى التوضيح فورًا أن هذا ليس مزحة April Fools joke. ما حدث لأحد أهم بورصات التمويل اللامركزي اللامركزية على شبكة Solana في ذلك اليوم كان أمرًا حقيقيًا، وكان مروعًا، ويُطلق عليه الآن ثاني أكبر استغلال في كامل تاريخ سلسلة بلوكتشين Solana.

بروتوكول دريفت هو بورصة عقود مستقبلية ومشتقات دائمة مبنية على Solana. في ذروته، كانت المنظومة تحتفظ بما يقارب $550 مليون دولار من إجمالي القيمة المقفلة (TVL) عبر خزائن مشتركة تضم ودائع المستخدمين بأصول مثل USDC وJitoSOL ورموز JLP وBitcoin المغلف وSolana. في 1 أبريل 2026، قام المهاجمون بسحب ما بين $280 مليون و$285 مليون من تلك الخزائن—أكثر من نصف كل ما كان المستخدمون يثقون في أن البروتوكول يحتفظ به. انهار TVL من $550 مليون إلى $24 مليون فقط في غضون ساعات قليلة.

ما يجعل هذا الاستغلال مقلقًا بشكل فريد هو أنه لم يتم كسر أي كود لعقد ذكي. لم تُسرق المفاتيح الخاصة بالمعنى التقليدي. لم يكن هذا خللًا في منطق برنامج دريفت على السلسلة. ما نفذه المهاجمون كان شيئًا أكثر تعقيدًا وأكثر إزعاجًا: عملية هندسة اجتماعية مصممة بعناية تستهدف البشر خلف بنية أمان البروتوكول.

بروتوكول دريفت، مثل العديد من مشاريع التمويل اللامركزي، استخدم نظام توقيع متعدد لمجلس الأمن Security Council بنمط 5-of-9 لإدارة القرارات على مستوى الإدارة. قضى المهاجمون عدة أسابيع في التحضير قبل تحريك أي دولار واحد. بدءًا من حوالي 23 مارس 2026، بدأوا في إنشاء حسابات Durable nonce—ميزة أصلية في Solana—مرتبطة بمحافظ موقعّي مجلس الأمن Security Council ضمن التوقيع المتعدد لدى دريفت. سمحت حسابات nonce هذه للمهاجمين بالتوقيع مسبقًا على معاملات يمكن تنفيذها في أي لحظة مستقبلية دون الحاجة لموافقة جديدة من الموقعين. ومن المحتمل أن الموقعين قد وافقوا على ما بدا معاملات روتينية أو غير مؤذية، دون أن يدركوا أنهم كانوا يتنازلون عن آلية الاستيلاء في المستقبل.

في 27 مارس، استغل المهاجمون حدث ترحيل التوقيع المتعدد المجدول—وهو إجراء صيانة بروتوكول شرعي—كغطاء. قاموا بإدخال بنيتهم التحتية الخبيثة داخل هذه العملية الروتينية دون تشغيل أي إنذارات. ثم في 1 أبريل، مباشرة بعد أن عالج الفريق عملية سحب اختبار شرعية، تم تنفيذ المعاملات الموقعة مسبقًا تلقائيًا. خلال أربع Solana blockchain slots تقريبًا—أي حوالي ثانيتين—كان المهاجمون قد منحوا أنفسهم السيطرة الكاملة على الإدارة (admin) فوق كامل البروتوكول.

بعد تأمين الوصول الإداري، انتقل الهجوم عبر ثلاث خطوات مدمرة. أولًا، تم الاستحواذ على صلاحيات الإدارة بالكامل. ثانيًا، تم إدخال أصل مزيف اسمه CarbonVote Token إلى البروتوكول، ثم تم تداوله على نحو مكثف (wash-traded) للتلاعب بمزودات/مقاييس أسعار الأوراكل كي تتعامل معه كأصل شرعي ذي قيمة حقيقية. ثالثًا، تم إزالة حدود السحب بالكامل، وقام المهاجمون بشكل منهجي بسحب حوالي عشرين خزينة مشتركة، وأخذوا كل ما استطاعوا أخذه من USDC وJitoSOL وJLP tokens وBitcoin المغلف وSOL. انهار رمز DRIFT نفسه بأكثر من 40 بالمئة في القيمة خلال ساعات من إعلان الاستغلال علنًا.

لم تبق الأموال على Solana. جرى ربط ما يقارب 278.5 مليون دولار إلى Ethereum باستخدام Circle's Cross-Chain Transfer Protocol تقريبًا فورًا بعد عملية السحب. تجنب المهاجمون عمدًا USDT—على الأرجح لتقليل مخاطر التجميد المركزي—ونقلوا الأموال عبر أربعة عناوين محفظة على Ethereum تم منذ ذلك الحين تتبعها ونشرها بواسطة شركة تحليلات بلوكتشين Arkham Intelligence. أفادت شركة الأمن Elliptic بوجود روابط محتملة مع North Korean state-affiliated threat actors، كما أن أجزاء من الأموال كانت قد انتقلت بالفعل عبر Tornado Cash—وهي أداة تمويه معروفة—في حين تم تحديد تدفقات أخرى نحو بورصة رئيسية قد تعقّد المزيد من الحركة بسبب متطلبات KYC.

استجاب بروتوكول دريفت عبر إيقاف جميع الإيداعات والسحوبات فورًا، وتجميد البروتوكول بالكامل، وإزالة محفظة التوقيع المتعدد المخترقة من أي وصول إداري إضافي. أكد الفريق أن صندوق التأمين لم يتأثر وأن DSOL المحتفظ به خارج دريفت لا يزال آمنًا. تمت إحالة الأمر إلى جهات إنفاذ القانون، ويعمل الفريق مع عدة شركات أمن بلوكتشين من أجل تحديد مصدر الأموال وإمكانية استردادها. كما تم الوعد بإجراء تحليل كامل بعد الحادثة (postmortem).

هذا الاستغلال ليس مجرد مشكلة تخص دريفت. إنه أهم درس أمني تلقاه التمويل اللامركزي منذ سنوات. لم يكن الهجوم فشلًا في الكود—بل فشلًا في الحوكمة. أنظمة التوقيع المتعدد لا تكون قوية إلا بقدر قوة البشر الذين يشغّلونها والعمليات المحيطة بها. تخلق Durable nonce على Solana ثغرة في التوقيع المسبق لم يعالجها النظام البيئي الأوسع بشكل كافٍ. أصبحت الهندسة الاجتماعية للموقعين الرئيسيين الآن مسار هجوم مثبتًا على نطاق واسع، و$285 مليون هي دليل على مفهوم الهجوم.

كل بروتوكول يعمل ببنية حوكمة التوقيع المتعدد، على Solana أو في أي مكان آخر، يحتاج إلى تدقيق فوري لتعرض حسابات nonce لديه. يحتاج كل مستخدم في التمويل اللامركزي إلى فهم أن تدقيقات الكود وحدها لا يمكنها الحماية من هجمات طبقة البشر بهذه الدرجة من التعقيد. يمثل استغلال دريفت لحظة محورية لتصميم الأمن اللامركزي، و$285 مليون التي كلفته تعود إلى مستخدمين حقيقيين وثقوا بالنظام.

التمويل اللامركزي ليس معطّلًا. لكنه يُختبر بحدة أكبر من أي وقت مضى.
#DriftProtocolHacked
#CreaterLeaderBoard