في 1 أبريل 2026، في الساعة 16:00 بتوقيت UTC، بلغت إجمالي الأصول في خزينة Drift Protocol مبلغ $309 مليون. وبعد ساعة واحدة فقط، لم يتبق سوى $41 مليون. لم تكن هذه مزحة ليوم كذبة أبريل—اضطر فريق Drift إلى التوضيح عبر منصة X بأن "هذا ليس مزحة ليوم كذبة أبريل". فقد استولى المهاجمون على ما يقارب $285 مليون من الأصول المشفرة من البروتوكول، ليصبح هذا أكبر اختراق في التمويل اللامركزي (DeFi) لعام 2026 حتى الآن، وأخطر حادثة أمنية في نظام Solana منذ اختراق جسر Wormhole بقيمة $325 مليون في عام 2022.
لم يكن هذا هجوم قرض سريع أو استغلالاً لشفرة العقد الذكي. بل استخدم المهاجم طريقة هجوم نادرة النقاش—توقيعات مسبقة للرقم الدائم (durable nonce)—مع ثغرة في حوكمة التوقيع المتعدد (multisig)، مستغلاً فقط $500 لفتح أصول بقيمة $285 مليون. تستعرض هذه المقالة الحادث بشكل منهجي، وتشمل الجدول الزمني للأحداث، التحليل الفني، تفصيل البيانات، الجدل، وتأثير الحادث على الصناعة.
من $309 مليون إلى $41 مليون في ساعة واحدة
في 1 أبريل 2026، اكتشفت شركتا مراقبة البلوكشين Lookonchain وPeckShield نشاطاً غير طبيعي في الوقت ذاته: بدأ عنوان المحفظة "HkGz4K"، الذي تم إنشاؤه قبل ثمانية أيام فقط، بتحويل الأصول بسرعة من عدة خزائن أساسية لـ Drift. تضمنت أول عملية تحويل 41.7 مليون رمز JLP، بقيمة تقارب $155.6 مليون. خلال حوالي 12 دقيقة و31 عملية، استنزف المهاجم الأصول، بما في ذلك USDC وSOL وcbBTC وwBTC وWETH ورموز تجمع السيولة وحتى عملة الميم Fartcoin.
خلال ساعة من الهجوم، انخفضت أصول خزينة Drift من حوالي $309 مليون إلى $41 مليون. أكدت شركتا PeckShield وArkham Intelligence بشكل مستقل خسائر تقارب $285 مليون. وقدر مؤسس SlowMist، Cosine، خسائر تتجاوز $200 مليون. من الأصول المسروقة، شكلت رموز JLP حوالي $155.6 مليون، وUSDC حوالي $60 مليون، والبقية موزعة بين SOL وcbBTC وwBTC ورموز سيولة متنوعة.
عملية منظمة بدقة على مدى ثلاثة أسابيع
لم يكن هذا الهجوم عملاً عشوائياً بل عملية مخططة متعددة المراحل. بدأ المهاجم التحضيرات في منتصف مارس، وكان الجدول الزمني كالتالي:
| المرحلة | التاريخ | الإجراءات الرئيسية |
|---|---|---|
| التحضير المسبق | ~11 مارس | إنشاء رمز CVT بإجمالي عرض ~750 مليون، المهاجم يسيطر على أكثر من %80 |
| التحضير المسبق | ~11 مارس | إطلاق تجمع سيولة بقيمة $500 على Raydium، وتزييف إشارات الأسعار عبر التداول الوهمي |
| ترحيل التوقيع المتعدد | ~23 مارس | Drift انتقل إلى نموذج توقيع متعدد 2/5، أضاف 4 موقعين جدد، دون ضبط فترة انتظار (timelock) |
| مرحلة التوقيع المسبق | من 23 مارس | أنشأ المهاجم حسابات الرقم الدائم لموقعين من التوقيع المتعدد، وحصل على موافقات توقيع مسبقة |
| ترحيل توقيع متعدد شرعي | 27 مارس | Drift نفذ ترحيل توقيع متعدد شرعي، لكن المهاجم استعاد الوصول إلى الموقعين الجدد |
| تنفيذ الهجوم | 1 أبريل، 16:05 UTC | استخدم المهاجم أرقام دائمة لتنفيذ معاملات مسبقة التوقيع دفعة واحدة، واستحوذ على صلاحيات الإدارة |
| استنزاف الأصول | 1 أبريل، 16:05-17:05 UTC | أطلق سوق CVT الفوري → عطّل حماية السحب → سحب أصول حقيقية باستخدام ضمانات مزيفة |
| تحويل الأصول | بعد ساعات من الهجوم | حول الأصول إلى USDC، ونقلها إلى Ethereum عبر CCTP، واشترى ETH |
وصفت Drift في بيانها الرسمي الهجوم بأنه "متطور للغاية، تم التحضير له على مدى عدة أسابيع، ونُفذ على مراحل". استخدم المهاجم معاملات مسبقة التوقيع بشكل مستمر بين 23 مارس و1 أبريل، مما يدل على مستوى عالٍ من التنظيم.
سلسلة هجوم من $500 إلى $285 مليون
الخطوة 1: توقيعات الرقم الدائم المسبقة—قنبلة موقوتة تجاوزت فترة الانتظار
تتيح ميزة الرقم الدائم في Solana للمستخدمين توقيع المعاملات مسبقاً وتخزينها على السلسلة لتنفيذها لاحقاً. صُممت هذه الآلية لتحسين تجربة المستخدم—تمكين التوقيع دون اتصال ثم الإرسال لاحقاً—لكنها تحولت إلى أداة في استغلال Drift.
استخدم المهاجم حسابات الرقم الدائم للحصول على موافقات توقيع مسبقة من اثنين من موقعين التوقيع المتعدد. أُكملت هذه المعاملات بين 23 و27 مارس، لكن تم تنفيذها دفعة واحدة في 1 أبريل.
حوالي 23 مارس، انتقل Drift إلى نموذج توقيع متعدد "2/5" (أي اثنان من خمسة موقعين يمكنهم تفويض عمليات عالية الامتياز)، وأضاف 4 موقعين جدد، والأهم دون فترة انتظار.
فترة الانتظار (timelock) إجراء أمني بالغ الأهمية في إعدادات التوقيع المتعدد. بدونها، بمجرد حصول المهاجم على توقيعات كافية، يمكنه تنفيذ إجراءات إدارية فوراً دون فترة حماية. أشار مؤسس SlowMist، Cosine، إلى أن هذا كان شرطاً أساسياً لنجاح الهجوم.
استغلال Resolv (قبل Drift بحوالي 10 أيام) أيضاً كان بسبب غياب التوقيع المتعدد—لم يكن لدى Resolv توقيع متعدد أصلاً. هذان الحادثان، بفارق 10 أيام فقط، يكشفان عن نقاط ضعف منهجية في هياكل حوكمة بروتوكولات التمويل اللامركزي.
الخطوة 2: رمز CVT المزيف بقيمة $500—رافعة لـ $285 مليون
أنشأ المهاجم رمزاً يسمى CarbonVote Token (CVT) بإجمالي عرض حوالي 750 مليون، يسيطر على أكثر من %80 في محفظته. أطلق تجمع سيولة بقيمة $500 فقط على Raydium، وقام بتداول وهمي لإظهار نشاط سوق مزيف.
وظيفة Drift initializeSpotMarket تتيح للمسؤولين تحديد عناوين الأوراكل ومصادر الأسعار مباشرة. بعد حصوله على صلاحيات الإدارة، أدرج المهاجم CVT كسوق فوري وتلاعب ببيانات سعر الأوراكل، مما خدع النظام ليعتبر CVT أصلًا ذا قيمة.
التلاعب بالأوراكل من أكثر طرق الهجوم تدميراً في التمويل اللامركزي. عندما يسيطر المهاجم على صلاحيات الإدارة وتسعير الأوراكل، يمكن إعادة تسعير أي أصل—ما يسمح باستخدام CVT عديم القيمة كضمان لسحب USDC وSOL وJLP حقيقية.
الخطوة 3: تعطيل الضمانات—تحويل ميزات الأمان إلى أدوات هجوم
يتضمن بروتوكول Drift ضوابط مخاطر مثل التحقق من صلاحية الأوراكل، تقليم TWAP، فحص نطاق انحراف السعر، وقواطع دوائر متعددة الطبقات. بعد حصول المهاجم على صلاحيات الإدارة، عطّل هذه الحمايات.
تسلسل المهاجم: سكّ CVT مزيف → تلاعب بالأوراكل → تعطيل آليات الأمان → إزالة قيود السحب → استخراج الأصول عالية القيمة.
تم تنفيذ الهجوم في الساعة 16:05 UTC يوم 1 أبريل، غالباً لسببين: كانت جميع المعاملات مسبقة التوقيع جاهزة، واقتراب عطلة نهاية الأسبوع قد يبطئ الاستجابة الأمنية.
الخطوة 4: الهروب عبر السلاسل—نقل الأصول من Solana إلى Ethereum
بعد الاستغلال، حول المهاجم الأصول المسروقة بسرعة إلى USDC عبر Jupiter Aggregator، ثم نقلها من Solana إلى Ethereum باستخدام بروتوكول نقل الأصول عبر السلاسل من Circle (CCTP).
خلال ساعات، اشترى المهاجم 13,000 ETH على Ethereum. أظهرت متابعة SlowMist أن الأموال المسروقة تم تجميعها في عناوين Ethereum، بإجمالي حوالي 105,969 ETH (بقيمة تقارب $226 مليون). لاحقاً، توسعت إلى حوالي 130,262 ETH، بقيمة تقارب $267 مليون.
جدير بالذكر أن المهاجم تجنب استخدام USDT عمداً، واستخدم USDC طوال عملية النقل عبر السلاسل. أشار الباحث الأمني Specter إلى أن ذلك يعكس ثقة المهاجم بأن Circle لن تجمد الأموال—وهو حكم ثبت صحته بالفعل.
تفصيل الجدل العام
أثار الحادث عدة جدالات ونقاشات أساسية في السوق.
الجدل 1: "عدم التحرك" من Circle—من انتقاد ZachXBT إلى مراجعة سياسات الصناعة
في 2 أبريل، انتقد المحقق على السلسلة ZachXBT شركة Circle علناً، مشيراً إلى أن عشرات الملايين من USDC تم نقلها من Solana إلى Ethereum عبر CCTP "خلال عدة ساعات دون تدخل" أثناء ساعات التداول الأمريكية بعد هجوم Drift. ادعى ZachXBT أن لدى Circle نافذة استجابة تقارب ست ساعات لكنها لم تتخذ أي إجراء لتجميد الأموال.
قبل أيام فقط (23 مارس)، جمدت Circle ما لا يقل عن 16 محفظة ساخنة تابعة لشركات في قضية مدنية مغلقة، ما أثر على بورصات ومعالجات دفع وشركات شرعية أخرى. وصف ZachXBT هذا بأنه "أحد أكثر عمليات التجميد غير المهنية التي رأيتها في خمس سنوات". لاحقاً، أفرجت Circle عن محفظة واحدة مرتبطة بـ Goated.com في 26 مارس، لكن معظم المحافظ لا تزال مجمدة تدريجياً.
أثار الحادث نقاشاً حول مسؤوليات التدخل الاستباقي التي ينبغي أن يتحملها مصدرو العملات المستقرة في أحداث أمنية للتمويل اللامركزي. يرى المنتقدون أن Circle تتصرف بسرعة في القضايا المدنية لكنها لم تفعل شيئاً في سرقة مؤكدة بمئات الملايين، ما يكشف عن معايير تدخل غير متسقة. في المقابل، يرى المؤيدون أن مصدري العملات المستقرة لا ينبغي أن يكونوا مسؤولين عن استرداد الأصول على السلسلة—ويجب أن يكون حق التدخل لخدمة الإجراءات القانونية وليس مراقبة السلسلة.
لو قامت Circle بتجميد USDC المعني خلال نافذة الهجوم، ربما لم يتمكن المهاجم من نقل الأموال إلى Ethereum، وكانت فرص استرداد الأصول ستتحسن. لكن ذلك يفترض أن Circle تستطيع تأكيد الطابع غير القانوني للأموال والتصرف خلال ساعات—وهو تحدٍ قانوني وإجرائي.
الجدل 2: ارتباط مجموعة Lazarus الكورية الشمالية
أصدرت شركة التحليلات Elliptic تقريراً في 2 أبريل يفيد بأن "عدة مؤشرات" تشير إلى أن الهجوم قد يكون مرتبطاً بمجموعة قراصنة مدعومة من الدولة الكورية الشمالية. استندت Elliptic إلى سلوك السلسلة، منهجية غسل الأموال، ومؤشرات على مستوى الشبكة تتطابق بشدة مع عمليات كورية شمالية سابقة. إذا تأكد ذلك، فسيكون هذا الهجوم الثامن عشر المرتبط بكوريا الشمالية الذي تتبعه Elliptic في 2026.
قارن مدير التقنية في Ledger، Charles Guillemet، هذا الهجوم باختراق Bybit بقيمة $1.5 مليار في 2025، مشيراً إلى أن كلاهما اتبع نمطاً شبه متطابق: اختراق موقعين توقيع متعدد، هندسة اجتماعية، ومعاملات خبيثة تبدو عمليات روتينية.
تحول اختراق قراصنة كوريا الشمالية لصناعة العملات المشفرة من "هجمات عرضية" إلى "عمل منهجي دائم من الدولة". في 2025، سرق قراصنة مرتبطون بكوريا الشمالية أكثر من $2 مليار من العملات المشفرة. إذا كانت Lazarus وراء هجوم Drift، فهذا يدل على أنهم أتقنوا أساليب هجوم متقدمة تستهدف حوكمة التوقيع المتعدد في Solana.
الجدل 3: عيوب هيكلية في حوكمة التوقيع المتعدد
أشار مؤسس SlowMist، Cosine، إلى أن عتبة التوقيع المتعدد 2/5 تعني أن اختراق شخصين فقط يمنح السيطرة على البروتوكول بالكامل. "كم يكلف اختراق شخصين؟ ليس $285 مليون—قد يكون بضعة أشهر من الهندسة الاجتماعية والتصيد المستهدف."
توصي أفضل الممارسات عادةً بنموذج توقيع متعدد 4/7 مع فترة انتظار 24–48 ساعة. تفرض فترة الانتظار فترة إلزامية قبل تنفيذ تغييرات عالية المخاطر، ما يمنح المجتمع وفِرق الأمن وقتاً لاكتشاف التدخل. بعد ترحيل التوقيع المتعدد في Drift، فترة الانتظار = 0.
يكشف الحادث ليس عن خلل في أمان العقد الذكي، بل عن فجوة في "أمان الحوكمة". حتى مع أفضل مراجعات الشيفرة، إذا كان هيكل الحوكمة معيباً، يصبح تعرض البروتوكول للمخاطر غير محدود.
تحليل تأثير الحادث على الصناعة
صدمة الثقة في نظام Solana
يعد Drift أكبر بورصة دائمة لامركزية على Solana، بحجم تداول تراكمي يتجاوز $55 مليار، وقيمة إجمالية مقفلة (TVL) تفوق $1 مليار، وأكثر من 200,000 متداول نشط قبل الهجوم. هذا أسوأ حادث أمني في Solana منذ اختراق Wormhole بقيمة $325 مليون في 2022.
انخفض سعر SOL حوالي %9 بعد انتشار الخبر، ليهبط مؤقتاً إلى حوالي $78.60، مع ارتفاع حجم التداول خلال 24 ساعة إلى $5.2 مليار. انخفض إجمالي TVL في Solana إلى $6.544 مليار، مع خروج الأموال من بروتوكولات رئيسية مثل Jito وRaydium وSanctum.
يعكس انخفاض TVL وتراجع نشاط البورصات اللامركزية ليس فقط تصحيحاً في الأسعار، بل تراجعاً في ثقة النظام. مع انسحاب مزودي السيولة، يقل عمق السوق، وتزداد التقلبات. قالت رئيسة مؤسسة Solana، Lily Liu، إن الحادث "ضربة قوية"، لكنها أكدت أن الثغرات الحقيقية تستهدف الآن "الأشخاص: الهندسة الاجتماعية وضعف الأمان التشغيلي، وليس أخطاء الشيفرة".
إعادة التفكير في مراجعات أمان التمويل اللامركزي
أجرت شركتا Trail of Bits وClawSecure مراجعة لشيفرة Drift. ومع ذلك، لم يمس هذا الهجوم سطراً واحداً من الشيفرة.
تركز المراجعات التقليدية على "طبقة التنفيذ"—البحث عن أخطاء في الشيفرة أثناء التشغيل. وقع هذا الهجوم في "طبقة التفويض"—حصل المهاجم على توقيعات تفويض صحيحة، فجعل كل الإجراءات المنفذة تبدو متوافقة تماماً. يكشف ذلك عن نقطة عمياء منهجية في مراجعات أمان التمويل اللامركزي: يمكنهم فحص أخطاء الشيفرة، لكن ليس ما إذا كانت الصلاحيات ممنوحة بشكل صحيح.
يتم إعادة تعريف حدود قيمة مراجعات الأمان. أمان الشيفرة هو الحد الأدنى فقط لأمان التمويل اللامركزي. حوكمة التوقيع المتعدد، أمان التوقيعات، الدفاع ضد الهندسة الاجتماعية، ضبط فترة الانتظار، وتكرار الأوراكل—هذه عناصر "أمان العمليات" غالباً ما تكون أكثر أهمية من مراجعات الشيفرة نفسها، لكنها عادة خارج نطاق المراجعة.
معضلة دور مصدري العملات المستقرة
يجبر هذا الحادث الصناعة على إعادة النظر: ما الدور الذي يجب أن يلعبه مصدرو العملات المستقرة؟ تمنح USDC وUSDT كلاهما للمصدرين سلطة أحادية لتجميد العناوين، مخصصة لتنفيذ القانون والأوامر القضائية. لكن عندما تحدث سرقة بمئات الملايين، هل يجب أن يستخدم المصدرون هذه السلطة استباقياً؟ وإذا كان الجواب نعم، فما هو المعيار؟ وإذا كان لا، فهل لهذه السلطة قيمة حقيقية؟
القضية الأكثر تعقيداً هي التدخل الانتقائي. جمدت Circle 16 محفظة شركات في قضية مدنية لكنها لم تتخذ إجراء في سرقة مؤكدة. قد تضر هذه الازدواجية بثقة الصناعة أكثر من "عدم التدخل مطلقاً".
سيناريوهات متعددة محتملة
استناداً إلى المعلومات الحالية، هناك عدة تطورات مستقبلية ممكنة:
السيناريو 1: صعوبة استرداد الأموال، وصندوق التأمين يقدم تعويضاً جزئياً
السبب: حول المهاجم حوالي $267 مليون إلى ETH وغسلها عبر جسور السلاسل ومزج الأموال. تاريخياً، معدل استرداد الأصول في اختراقات التمويل اللامركزي منخفض. صندوق التأمين في Drift لم يمس وقد يُستخدم لتعويض المستخدمين جزئياً.
المتغيرات الرئيسية: تدخل جهات إنفاذ القانون، فعالية تتبع السلسلة، تعاون جسور السلاسل والبورصات المركزية.
السيناريو 2: ترقية منهجية لمعايير أمان نظام Solana
السبب: كشف الحادث عن نقاط ضعف منهجية في حوكمة التوقيع المتعدد، ضبط فترة الانتظار، والدفاع ضد الهندسة الاجتماعية في Solana. قد تدفع الصناعة نحو معايير أكثر صرامة، مثل فرض فترة انتظار إلزامية، رفع عتبة التوقيع المتعدد، مراجعة نقاط النهاية للتوقيعات، وأوراكل متعددة المصادر.
المتغيرات الرئيسية: استعداد البروتوكولات الكبرى للاستثمار في الأمان، توسع خدمات شركات المراجعة، استجابة حوكمة المجتمع.
السيناريو 3: وضوح تنظيمي متسارع للعملات المستقرة
السبب: قد يدفع دور Circle المثير للجدل الجهات التنظيمية لتوضيح قواعد تدخل مصدري العملات المستقرة. القضايا الأساسية: إلى أي مدى يجب أن يراقب المصدرون تدفقات السلسلة؟ تحت أي ظروف يمكن أو يجب تجميد العناوين؟ ما التفويض القانوني المطلوب للتدخل؟
المتغيرات الرئيسية: تقدم التشريعات في الولايات المتحدة وغيرها من الدول الكبرى، تشكيل هيئات تنظيم ذاتي للصناعة، تغيرات في المنافسة بسوق العملات المستقرة.
السيناريو 4: تكرار أساليب الهجوم، مزيد من البروتوكولات معرضة للخطر
السبب: التقنية الأساسية—توقيعات الرقم الدائم المسبقة مع نافذة ترحيل التوقيع المتعدد—لم تكن معروفة تقريباً قبل هذا الهجوم. قد تواجه بروتوكولات Solana الأخرى ذات إعدادات توقيع متعدد مشابهة ودون فترة انتظار مخاطر مماثلة.
المتغيرات الرئيسية: سرعة استجابة مراجعات الأمان، دوافع المهاجمين والقيود الأخلاقية (إذا كان مرتبطاً بكوريا الشمالية، يرتفع خطر التكرار بشكل حاد).
الخلاصة
يمثل اختراق Drift Protocol بقيمة $285 مليون مرآة تعكس ليس هشاشة شيفرة العقد الذكي، بل الشقوق المهملة منذ زمن طويل في حوكمة التمويل اللامركزي: عتبات توقيع متعدد 2/5، غياب فترة الانتظار، التقليل من أهمية أمان نقاط نهاية التوقيع، وعدم وضوح حقوق التدخل لمصدري العملات المستقرة.
بينما تصب الصناعة معظم ميزانيات الأمان في مراجعات الشيفرة، اختار المهاجمون طريقاً أرخص وأكثر ربحاً—استهداف الأشخاص. هذا هو التحدي الأساسي لأمان التمويل اللامركزي في 2026: أمان الشيفرة وحده لم يعد كافياً. يجب رفع أمان الحوكمة، الأمان التشغيلي، والدفاع ضد الهندسة الاجتماعية إلى نفس أولوية مراجعات العقود الذكية.
قد تستمر صدمة الثقة في نظام Solana لأشهر، وربما أكثر. لكن بالنسبة لصناعة التمويل اللامركزي الأوسع، قد يكون هذا اختبار ضغط منهجي طال انتظاره—تذكير بأن النظام المالي بلا سلطة مركزية يتطلب أن تكون كل طبقة من الأمان حلقة لا غنى عنها في السلسلة. وقوة تلك السلسلة تحددها أضعف حلقة فيها.
