#DriftProtocolHacked

$286 مليون دولار اختفت خلال 12 دقيقة. ليس لأن العقود الذكية كانت بها أخطاء برمجية. ليس لأن شخصًا ما نسي تصحيح تبعية. بل لأن البشر وثقوا في بشر آخرين، وكان أحد هؤلاء البشر يلعب لعبة مختلفة تمامًا.

في 1 أبريل 2026، تم تفريغ بروتوكول Drift، وهو بورصة عقود مستقبلية دائمة تعتمد على سولانا والتي كانت في ذروتها تمتلك أكثر من 1.5 مليار دولار من القيمة المقفلة الإجمالية، لم يبدأ الهجوم في ذلك اليوم. بدأ قبل ثلاثة أسابيع، في 23 مارس، عندما أنشأ المهاجم بهدوء مجموعة من حسابات nonce الدائمة على سولانا. هذه التفاصيل مهمة جدًا، لأن nonce الدائم هو ميزة شرعية ومقصودة في سولانا تسمح بمعاملات موقعة مسبقًا وتنفيذها لاحقًا، بدون انتهاء صلاحية. استخدم المهاجم هذه الميزة كسلاح.

كانت آليات ما حدث بعد ذلك منهجية وباردة. مجلس أمن بروتوكول Drift يعمل كـ multisig، مما يعني أن عدة موقعين يجب أن يوافقوا على التغييرات الإدارية قبل أن تدخل حيز التنفيذ. هذه ممارسة قياسية في التمويل اللامركزي وتُصمم كوسيلة حماية. قام المهاجم بتوجيه على الأقل اثنين من أعضاء المجلس الخمسة للتوقيع مسبقًا على معاملات بدت روتينية. ربما اعتقد الموقعون أنهم يوافقون على شيء عادي، ربما جزء من هجرة multisig المخططة التي حدثت في 27 مارس. لم يكونوا كذلك. كانوا يوقعون مسبقًا على أمر وفاة البروتوكول، المقرر تنفيذه على مؤقت.

في 1 أبريل، تم تفعيل التسلسل. تم أولاً إجراء سحب اختبار صغير، مؤكدًا أن المعاملات الإدارية الموقعة مسبقًا ستُنفذ. بعد أربع فتحات سولانا، أي حوالي 1.6 ثانية في الوقت الحقيقي، تم الاستيلاء على السيطرة الإدارية. ما تبع ذلك كان منهجيًا: تم إيداع رموز CVT، التي صنعها المهاجم وذكرها كضمان صالح ضمن محرك المخاطر الخاص بالبروتوكول. أصدر المحرك، وفقًا لقواعده الخاصة، أصولًا حقيقية مقابل هذا الضمان المزيف. تم تفريغ أكثر من 20 خزنة خلال حوالي 12 دقيقة. تدفقت USDC، البيتكوين المغلف، رموز JLP، وSOL خارجًا.

انتقلت الأموال المسروقة إلى إيثريوم. في 3 أبريل، نشر Drift رسائل على السلسلة إلى أربعة عناوين محفظة إيثريوم تحمل العائدات، داعيًا للتفاوض. لاحظت شركة تحليلات البلوكتشين Elliptic وجود روابط مشتبه بها مع DPRK، وهو نمط يتوافق مع عمليات مجموعة Lazarus التي حققت لكوريا الشمالية ما يقدر بـ $2 مليار أو أكثر من سرقات العملات المشفرة على مدى السنوات الماضية، أموال يعتقد أن وكالات الاستخبارات تمول برامج الأسلحة وتجنب العقوبات من خلالها.

في وقت الهجوم، انهارت القيمة الإجمالية المقفلة لـ Drift من 1.5 مليار دولار إلى $247 مليون دولار. انخفض رمز الحوكمة DRIFT إلى أدنى مستوى له على الإطلاق عند 0.040 دولار، بانخفاض أكثر من 41% خلال 24 ساعة. وجد مستخدمو البروتوكولات المعتمدة، بما في ذلك Pyra وCarrot، أنفسهم محجوبين عن أموالهم دون جدول زمني للحل.

هناك عدة أمور تستحق أن تُقال بوضوح عما يكشفه هذا الحدث.

أولًا، الحلقة الأضعف في أمان التمويل اللامركزي لا تزال الإنسان. تدقيق العقود الذكية، التحقق الرسمي، برامج مكافأة الأخطاء، كل ذلك يصبح ثانويًا عندما يمكن خداع الأشخاص الذين يحملون مفاتيح التوقيع لاستخدامها. الهندسة الاجتماعية ليست غريبة؛ إنها أقدم وسيلة هجوم موجودة. لا تزال الصناعة تستثمر بشكل منخفض في تدريب الأمان التشغيلي للأشخاص الحقيقيين الذين يمتلكون الوصول الإداري.

ثانيًا، هياكل الحوكمة متعددة التوقيعات ليست آمنة كما يفترض المجتمع عندما يتم إجراء عملية التوقيع عن بعد وبشكل غير متزامن. الموقع الذي يراجع معاملة على شاشته الخاصة، بدون تنسيق فوري مع الموقعين الآخرين، وبدون التحقق المستقل مما تفعله المعاملة على السلسلة، هو ثغرة، وليس حماية. ميزة nonce الدائم زادت من ذلك لأنها فصلت لحظة التوقيع عن لحظة التنفيذ. لم يكن لدى الموقعين سبب للاعتقاد أن معاملاتهم المعتمدة ستُنفذ بعد أسابيع في سياق مختلف.

ثالثًا، استخدام ضمان مزيف لتفريغ بروتوكول إقراض ليس تقنية جديدة. ما جعل هذا الإصدار متطورًا هو الوصول المطلوب لإدراج الضمان في المقام الأول. لم يكن ذلك تلاعبًا بسعر أو Oracle. لم يكن هجومًا عبر قرض فلاش. كان يتطلب بيانات اعتماد إدارية بنى المهاجم عليها بصبر على مدى أسابيع. هذا الصبر هو إشارة في حد ذاته تشير إلى جهات على مستوى الدولة، التي تعمل وفق جداول زمنية وموارد نادرًا ما تحافظ عليها المجموعات الإجرامية التي تهدف فقط للربح.

رابعًا، سرعة التفريغ، $286 مليون عبر أكثر من 20 خزنة خلال 12 دقيقة، تبرز مدى لا رجعة فيه لنموذج تنفيذ سولانا بمجرد بدء تسلسل. لم يكن هناك قاطع دائرة يفعّل بسرعة كافية. لم يكن هناك وقت لتدخل بشري. سرعة البروتوكول نفسه، إحدى مزاياه التسويقية، أصبحت ميزة تشغيلية للمهاجم.

ما يحدث من هنا يتبع عادة سيناريو صدمة التمويل اللامركزي المتوقع. يُنشر تقرير بعد الحادث. يُناقش ويُجادل حول التعويضات. يستعيد بعض المستخدمين جزءًا من أموالهم. يستقر رمز DRIFT عند مستوى أدنى جديد. تمتص البروتوكولات المنافسة السيولة التي تم إزاحتها. تأخذ الصناعة ملاحظات، وتحدث إجراءات multisig الخاصة بها لبضعة أشهر، ثم تتلاشى الحاجة الملحة.

السؤال الأصعب هو ما إذا كانت الحوكمة اللامركزية على هذا المقياس من الأصول تتوافق بشكل هيكلي مع ممارسات الأمان اللازمة لحماية المودعين الأفراد. عندما يمكن تفريغ $285 مليون دولار من أموال المستخدمين لأن اثنين من بين خمسة أشخاص أخطأوا تحت ضغط اجتماعي، كانت اللامركزية دائمًا جزئية. لم تكن المخاطر موزعة بشكل كامل. كانت مركزة في مجلس أمن غالبًا ما لا يعرف المودعون وجوده، ولا يمكنهم تقييم أعضائه، ولا يملكون رؤية واضحة لإجراءات التوقيع الخاصة به.

هذه ليست انتقادًا خاصًا بـ Drift. إنها حالة تقريبًا كل بروتوكول DeFi كبير يعمل اليوم.