مفاجأة استغلال Drift تدفع تواصلًا على السلسلة لاستهداف $280M إيثريوم مسروق بعد هجوم Solana–Ethereum

عقب هجوم كبير في قطاع التمويل اللامركزي (DeFi)، بدأ بروتوكول Drift تواصلًا مباشرًا بخصوص ثغرة drift، بينما يقوم المحققون بتتبع الأموال عبر عدة شبكات بلوك تشين.

يستهدف Drift محافظ الهاكرز برسائل على السلسلة

في 3 أبريل، قام بروتوكول Drift بتصعيد استجابته للاختراق الأخير عبر إرسال رسائل على السلسلة إلى أربع محافظ على شبكة Ethereum تحمل الجزء الأكبر من الأصول المسروقة. ووفقًا لبيانات البلوك تشين، تتحكم هذه العناوين معًا في نحو 129,000 ETH، وهي مرتبطة بما أصبح أحد أكبر اختراقات DeFi في 2026.

استنزف الاختراق تقديريًا ما بين 270 مليون دولار و285 مليون دولار من البروتوكول، مما أدى إلى اضطراب شديد في ظروف التداول والسيولة. ومع ذلك، يزعم الفريق الآن أنه حدد أطرافًا رئيسية مرتبطة بالحادث، ويحثهم علنًا على فتح حوار بدلًا من البقاء صامتين.

تم إجراء عملية التوصل من عنوان معروف يسيطر عليه Drift، حيث أرسل رسالة معيارية إلى كل واحدة من المحافظ الأربع المستهدفة. علاوة على ذلك، تشير هذه الخطوة إلى أن البروتوكول مستعد لاستكشاف حلول تفاوضية، وهو المسار الذي اتبعته مشاريع كريبتو أخرى في عمليات سرقة كبيرة سابقة.

الرسالة تدعو إلى التواصل عبر محادثة Blockscan

كان محتوى الرسالة مختصرًا. أخبر Drift مالكي المحافظ أنه “جاهز للتحدث” وطلب أن يردوا باستخدام محادثة Blockscan، وهي أداة تواصل خارج السلسلة مرتبطة بعناوين Ethereum. وهذا يطابق الحالات السابقة التي سعت فيها المشاريع التي تعرضت للهجوم إلى فتح قناة تواصل مع الهاكرز.

تاريخيًا، أسفرت مثل هذه الجهود عن نتائج متباينة. ففي بعض الاختراقات عالية الظهور، أدى الحوار إلى استرداد جزئي أو حتى كامل للأصول، أحيانًا تحت مسمى ترتيب “قبعة بيضاء” (white-hat). ومع ذلك، في حالات أخرى، تجاهل المهاجمون الرسائل واستمروا في نقل الأموال، ما ترك الضحايا دون أمل كبير في التعويض.

في هذه الحالة أيضًا، يقوم فرق الأمن ومزوّدو تحليلات على السلسلة بفحص ما إذا كانت عملية السرقة والتحويلات اللاحقة تُظهر أنماطًا مرتبطة بالجريمة الإلكترونية المنظمة. ومع ذلك، يبقى أي تحديد للهوية المحتملة غير مؤكد، وتتمثل الأولوية الآن في تتبع التدفقات والحفاظ على الأدلة.

كيف تجاوز الهجوم العقود الذكية

يمتاز اختراق drift لأنه لم يعتمد على خطأ تقليدي في العقد الذكي. بدلًا من ذلك، استغل ضعفًا على مستوى النظام يتعلق بـ Solana durable nonces، وهي ميزة مشروعة تتيح للمطورين إعداد المعاملات والتوقيع عليها مسبقًا من أجل تقديمها لاحقًا.

استخدم المهاجم معاملات مُوقعة مسبقًا كانت قد أُنشئت قبل أسابيع، ثم تمكن من الحصول على سيطرة جزئية على إعداد الحوكمة متعددة التوقيعات (multisig) الخاصة بالبروتوكول. وبفضل هذا النفوذ، قام بتعطيل أو تجاوز عدة ضوابط مخاطر مصممة لحماية أموال المستخدمين. ونتيجة لذلك، بمجرد إضعاف الإجراءات الوقائية، استطاع الهاكر سحب رأس المال من عدة خزائن (vaults) على نحو سريع ومتتابع.

انكشفت العملية بأكملها بسرعة، ما أدى إلى خسارة أكثر من نصف إجمالي القيمة المقفلة في بروتوكول Drift. علاوة على ذلك، يبرز الحدث أن تصميم الحوكمة وإدارة المفاتيح قد تكون بنفس أهمية كود العقود في حماية منصات DeFi.

تحويلات عبر السلاسل وتركيز ETH المسروق

بعد إفراغ الخزائن، لم يترك المهاجم الأصول على Solana. بدلًا من ذلك، استخدم بنية تحتية عبر السلاسل لنقل الأموال إلى Ethereum، محوّلًا جزءًا كبيرًا منها إلى ETH. وتُظهر بيانات السلسلة، التي أبرزتها شركات تحليلات مثل Arkham، أنه تم توزيع نحو 129,000 ETH الآن عبر أربع محافظ رئيسية.

يتوافق هذا النمط مع اتجاه أوسع حيث يستخدم المهاجمون أموالًا مجسّرة عبر السلاسل (cross chain bridged) لتعقيد التتبع والاسترداد. ومع ذلك، فإن مثل هذه الخطوات تخلق أيضًا تركيزات قيمة شديدة الوضوح يمكن مراقبتها في الوقت الفعلي بواسطة البورصات وجهات إنفاذ القانون والباحثين المستقلين.

على الرغم من المراقبة النشطة، كانت هناك انتقادات من بعض أفراد المجتمع لما يرونه استجابة تشغيلية بطيئة. وبالتحديد، تساءل المستخدمون عن سبب عدم تجميد بعض الرموز أو المراكز مبكرًا أو التحوط بشكل أكثر حزمًا بمجرد رصد نشاط غير اعتيادي في الحوكمة.

اشتباه بالجريمة المنظمة والتحقيق مستمر

توقع عدد من المراقبين في الصناعة وجود صلات محتملة بين المهاجم ومنظمات معروفة للجريمة الإلكترونية، خصوصًا بالنظر إلى مدى تعقيد الاستيلاء على الحوكمة وتخطيط المعاملات. ومع ذلك، تؤكد التصريحات العامة الصادرة عن Drift وفِرق أمن خارجية أنه لا توجد نسب مؤكدة بعد.

يُقال إن جهات إنفاذ القانون وجماعات الاستجابة للحوادث الخاصة تنسق حاليًا لتتبع أثر رسالة على السلسلة وتدفقات ETH المسروق. علاوة على ذلك، يقوم المحققون بفحص النشاط التاريخي على المحافظ المتأثرة لمعرفة ما إذا كانت المعاملات الأقدم ترتبط بكيانات تم رصدها سابقًا على أنها موضع شبهة.

في الوقت الحالي، تعهدت Drift بإصدار المزيد من المعلومات بعد اكتمال عمليات التدقيق من طرف ثالث ومراجعات الأدلة الجنائية. وقد تم استخدام قنواتها الاجتماعية، بما في ذلك حسابها الرسمي على X، لتجميع التحديثات والإشارة إلى معاملات على السلسلة ذات أهمية للcommunity.

الأثر على Drift وتوكن DRIFT وسيولة DeFi

يمتد تداعى الأمر إلى ما وراء خسائر البروتوكول الفورية. تشير بيانات حديثة إلى أن ما يقرب من 20 مشروعًا مترابطًا في DeFi تعرضت لتأثيرات جانبية نتيجة الحادث. ففي بعض البروتوكولات، تم إيقاف الخدمات مؤقتًا أو تقييد بعض العمليات لمنع احتمالات العدوى وإدارة أثر سيولة DeFi.

استجاب توكن DRIFT الأصلي بحدة، مُسجلًا هبوطًا حادًا مع انتشار خبر اختراق البروتوكول والتلاعب في الحوكمة. كما تلقت ثقة السوق في الرافعة المالية ومنتجات المشتقات على Solana ضربة، بما يعكس إعادة تقييم أوسع للمخاطر من قبل المتداولين المحترفين والمتداولين الأفراد على حد سواء.

ومع ذلك، من المهم ملاحظة أن طبقة الأساس في Solana ما زالت تعمل بشكل طبيعي. حدث الاختراق على مستوى التطبيق والحوكمة، وليس بسبب فشل في الإجماع أو فشل في البروتوكول. وتُعد هذه التفرقة مهمة لِتصور النظام البيئي على المدى الطويل، وللمستثمرين الذين يقيمون مخاطر العقود الذكية.

دروس لتصميم الحوكمة والأمن

يُظهر الهجوم كيف يمكن أن تُقوَّض حتى الشيفرة التي خضعت لمراجعات جيدة بسبب نقاط ضعف في هياكل الحوكمة ومشاركة المفاتيح والعمليات التشغيلية. في هذه الحالة، مكّن اختراق جزئي لحوكمة multisig المهاجم من توظيف معاملات مُوقعة مسبقًا وميزات بروتوكول شرعية.

يجادل خبراء الأمن بأن سياسات تدوير مفاتيح أكثر قوة، وضوابط وصول أكثر إحكامًا، ومراقبة لحظية لأفعال الحوكمة كان يمكن أن تحد من حجم الضرر. علاوة على ذلك، قد تساعد قوائم تشغيل أوضح للحوادث (incident playbooks) وقواطع دارة (circuit breakers) آلية البروتوكولات على التصرف بشكل أسرع عندما تحدث تغييرات غير طبيعية في الأذونات أو سلوك الخزائن (vaults).

وبينما يستمر التحقيق في اختراق بروتوكول Drift، من المرجح أن يصبح هذا الملف نقطة مرجعية لأطر إدارة المخاطر ومراجعات الأمن عبر DeFi. باختصار، يبرز الحادث أن عمليات تدقيق الشيفرة وحدها ليست كافية؛ فحوكمة مرنة وإدارة مفاتيح ومراقبة عبر السلاسل ضرورية لمنع خسائر كبيرة مماثلة.