مفتاح الإله في التمويل اللامركزي (DeFi): من سرقة Drift بمبلغ 285 مليون دولار، أكبر ثغرة في التمويل اللامركزي

المؤلف: شين تشاو تِكفلو

في 1 أبريل، يوم كذبة أبريل.

أكبر منصة لعقود الفروقات الدائمة على شبكة سولانا، Drift Protocol، يتم تفريغها، واستجابة المجتمع الأولى كانت: “نكتة لطيفة حقًا ليوم كذبة أبريل”.

هذه ليست مزحة. حوالي الساعة 1:30 مساءً، أطلق كلٌّ من حساب المراقبة على السلسلة Lookonchain وPeckShield إنذارًا في الوقت نفسه تقريبًا: محفظة غريبة تبدأ بـ “HkGz4K” كانت تسحب الأصول من خزان Drift بسرعة مذهلة. كانت الدفعة الأولى 41 مليونًا من رموز JLP، بقيمة 155 مليون دولار. تلتها مباشرة 51.6 مليون USDC، و125 ألف WSOL، و164 ألف cbBTC…… أكثر من عشرة أنواع من الأصول اندفعت خارجًا كالماء المتدفق من حوض تُسحب منه السدادات الواحدة تلو الأخرى.

ساعة واحدة. هبطت أصول الخزان من 309 ملايين دولار إلى 41 مليونًا. أكثر من نصف TVL، وتبخرت.

نشر فريق Drift على X تغريدة بصياغة نادرة الحدة والاندفاع: “يتعرض Drift Protocol لهجوم مُباشر. تم تعليق الإيداع والسحب. نحن ننسق مع عدة شركات أمنية وجسور عبر السلاسل وبورصات للسيطرة على الوضع.”

ثم جاءت الجملة التي ستُكتب حتمًا في تاريخ التشفير كمُلحق: “This is not an April Fools joke.”

مفتاح واحد، يفتح كل الأبواب

تتفاوت الأرقام بشأن الأصول الرقمية التي سُرقت من Drift من مصادر مختلفة. تقدر PeckShield حوالي 285 مليون دولار، بينما تقدم Arkham رقمًا يزيد عن 250 مليونًا، وتقدير CertiK الأولي يقارب 136 مليونًا. لكن بغض النظر عن أي رقم صحيح، فهذا هو أكبر حادث أمني DeFi حتى الآن حتى عام 2026.

الأكثر جدارة بالتركيز من الأرقام، هو أسلوب الهجوم.

قال مؤسس PeckShield، جيانغ شو شيان، لـ Decrypt بوضوح شديد: إن مفتاح المدير خلف Drift “تم تسريبه بشكل واضح أو تم اختراقه”. وتظهر صورة الهجوم التي جُمعت من أبحاث على السلسلة أن القراصنة حصلوا على صلاحية وصول متميزة إلى بروتوكول Drift، ومن ثم سيطروا على اتجاه تدفق أموال الخزان.

بعبارة أخرى، لا توجد استغلالات ثغرات ذكية دقيقة، ولا هجمات قروض لحظية، ولا تلاعبات بالأنظمة الإخبارية. الأمر هو فشل أمني بدائي وأعتياد قديم: شخص ما فقد المفتاح الخاص.

والتفصيل الأكثر إزعاجًا هو أن المهاجم لم يكن يتصرف بدافع مفاجئ. تُظهر بيانات على السلسلة أن هذه المحفظة حصلت على التمويل الأولي عبر Near Intents قبل وقوع الهجوم بـ 8 أيام، ثم بقيت في حالة خمول. قبل الهجوم بأسبوع، كانت قد استلمت حتى من خزان Drift تحويلًا صغيرًا بقيمة 2.52 دولار. تجربة أولى، و"طرقة على الباب".

بعد أسبوع، تم كسر الباب.

سقوط النسخة المشفرة من Robinhood

بالنسبة للمؤسسة المشاركة لـ Drift، سيندي ليو، فإن كابوس 1 أبريل يحمل طبقة أكثر قسوة من الخلفية.

كانت قصة هذا الرائد الماليزي من أصل صيني من بين أكثر القصص الإلهامية الجيدة في عالم سولانا DeFi. بدأ عام 2016 في مجال التحكيم بين البيتكوين في الصين وكوريا، ثم عمل في صندوق استثماري خاص، وأسهم في مشاريع المشتقات على الإيثيريوم. في عام 2021، وبالاشتراك مع David Lu، أنشأ Drift، راهن على ميزة السرعة في سولانا لإطلاق عقود دائمة على السلسلة.

ومن منظور الجدول الزمني، بدا أن Drift يكاد لا يخطئ أي فرصة. حصل في 2024 على جولتين من التمويل تقودهما Polychain وMulticoin، بإجمالي 52.5 مليون دولار. طرح سوق التنبؤات في مواجهة Polymarket، واطلق رافعة 50x، فتجاوز TVL حاجز 550 مليون دولار، وتخطى حجم التداول التراكمي 50 مليارًا. استخدمت ليو في مقابلة مع Fortune عبارة طموحة للتحديد: “سنجعلها Robinhood في عالم التشفير”.

هذا التشبيه الآن يبدو بمرارة مختلفة. الوعد الأساسي لـ Robinhood هو تمكين الناس العاديين من أدوات التمويل في وول ستريت. الوعد الأساسي لـ Drift هو منح المستخدمين تجربة تداول “غير وصي” على السلسلة، حيث لا تمر أموالك عبر يد أي شخص، بل تتفاعل فقط مع الكود.

لكن خلف الكود يوجد مفتاح مدير. وأمان هذه المفتاح يعتمد في النهاية على البشر، وليس على علم التشفير.

وهناك أيضًا تطابق تاريخي يلسع الأعصاب. في عام 2022، شهدت حقبة Drift v1 حادثة سُحب فيها الخزان بالكامل. بعد الحادث، كتب الفريق تقريرًا تقنيًا تفصيليًا للغاية، بل ونشر حتى جزءًا من كود إثبات مفهوم، يوضح كيف يمكن للمهاجم تفريغ الخزان بالكامل في معاملة واحدة. كانت خسارة تلك المرة 14.5 مليون دولار، وقام الفريق بتعويض المستخدمين بالكامل من جيبه.

بعد أربع سنوات، تكرر نفس الكابوس بحجم أكبر بمقدار 20 مرة.

الإيمان باللامركزية، ونقطة الضعف في المركزية

إذا وسّعت نطاق النظر بعيدًا عن Drift، ستجد نمطًا غير مريح يتشكل تدريجيًا.

في مطلع 2025، تم اختراق خدمة إدارة مفاتيح AWS التابعة لـ Resolv Labs، واستخدم المهاجم مفاتيح امتياز لاعتماد عملية سك واسعة النطاق لـ USR stablecoin، ما أدى إلى خسائر متسلسلة عبر منصات متعددة. وفي العام نفسه، بلغ إجمالي سرقات التشفير لعام 2025 رقمًا قياسيًا بلغ 3.4 مليارات دولار، وأشار تقرير Chainalysis بشكل خاص إلى تحول في اتجاه: أكثر الأحداث تدميرًا تحدث على مستوى البنية التحتية. الأجهزة المطوّرة المخترقة، ومفتاح سك واحد محفوظ في السحابة، وإجراءات التوقيع التي يتم اصطيادها عبر الهندسة الاجتماعية/التصيد بالرسائل—هذه هي حقًا الأحواض السوداء التي تلتهم الأموال.

الآن، أضف Drift إلى ذلك.

إذا وضعت هذه الحالات جنبًا إلى جنب، فهناك نتيجة واحدة شبه لا يمكن تجنبها: أصبحت سلامة المفاتيح الخاصة تتجاوز ثغرات العقود الذكية لتصبح أكبر خطر نظامي في DeFi.

ضمن ذلك فجوة إدراكية كبيرة بما يكفي لابتلاع مئات المليارات.

القصة التي ترويها بروتوكولات DeFi للعالم هي “اللامركزية”، و"غير الوصاية"، و"لا حاجة للثقة". أصولك تُحفظ بواسطة الكود، ولا يوجد أي وسيط يمكنه لمس أموالك. استمع المستخدمون إلى هذه القصة، وأودعوا أموالهم في هذه البروتوكولات، وكان ما يخطر في بالهم هو: “أنا أتعامل مع الرياضيات”.

لكن الواقع هو أن كل بروتوكول DeFi يعمل تقريبًا لديه مفتاح أو عدة مفاتيح تُعد “مفاتيح الآلهة”: admin key، وصلاحيات الترقية، والتحكم في الخزان، ومفاتيح الإيقاف الطارئة. وجود هذه المفاتيح، أحيانًا يكون لأجل الأمان (لإيقاف سريع عند حدوث مشكلة)، وأحيانًا لأجل المرونة (لترقية منطق العقود)، لكن جوهرها واحد: نقطة ثقة مركزية ملفوفة داخل سردية لا مركزية.

يعتقد المستخدمون أنهم يتفاعلون مع الكود. في الحقيقة، هم يثقون بشخص واحد، أو مجموعة صغيرة من الأشخاص: لا يخطئون، ولا يقع أسهمهم في فخاخ التصيد، ولا يتم إكراههم، ولا ينسون دفاترهم المحمولة في مقهى في ساعة متأخرة من الليل.

هذه ليست مشكلة حصرية لـ Drift؛ بل هي تناقض بنيوي في كامل صناعة DeFi.

إلى أين ذهبت 285 مليون دولار؟

كانت تحركات المهاجم على السلسلة نظيفة وحاسمة، وببرود لاعب محترف.

بعد سحب الأصول من خزان Drift، حوّل بسرعة معظم الرموز إلى عملات مستقرة (stablecoins)، ثم نقل الأموال عبر Wormhole bridge إلى شبكة الإيثيريوم. على الإيثيريوم، اشترى باستخدام جزء من العملات المستقرة حوالي 19,913 ETH (بقيمة تقارب 42.60 مليون دولار)، بينما توزعت باقي الأموال على عناوين محافظ متعددة.

وهناك تفصيل عبثي: كانت محفظة المهاجم تحمل أيضًا كمية كبيرة من Fartcoin، ما يمثل حوالي 2.5% من إجمالي المعروض من هذا الرمز. هاكر انتهى لتوه من أكبر سرقة DeFi في العام، يحمل بين يديه مجموعة من عملات meme المسماة بألفاظ مرتبطة بالانتفاخ/التبرز.

حتى وقت إعداد هذا التقرير، ما زالت عمليات الإيداع والسحب في Drift متوقفة، وانخفض رمز DRIFT من حوالي 0.072 دولار قبل الهجوم إلى حوالي 0.05 دولار، أي بهبوط يزيد عن 28%. وبالاحتساب من أعلى مستوى تاريخي 2.60 دولار، بلغ الانخفاض التراكمي أكثر من 98%. وقد أظهر تطبيق Phantom تحذيرًا للمستخدمين الذين يحاولون الوصول إلى Drift.

يقول فريق Drift إنه ينسق مع شركات أمنية، ومشغلي جسور عبر السلاسل، وبورصات مركزية، لمحاولة تجميد وتتبع الأموال المسروقة. لكن إذا كانت هناك أية مرجعية تعطيها لنا التاريخ، فإن احتمال استرداد الأموال التي تم تحويلها عبر الجسور وتوزيعها على محافظ متعددة ليس متفائلًا.

سؤال يجب على هذه الصناعة أن تواجهه بصراحة

هذه ضربة لـ Drift أصابت واحدة من أعمق الجروح التي لا ترغب الصناعة في مواجهتها.

في تقرير نهاية 2025، سبق لـ Chainalysis أن كانت متفائلة حين ذكرت أن أمن DeFi حقق “تقدمًا ملموسًا”، وحتى إذا تضاعف TVL ليعود إلى 119 مليار دولار، فإن خسائر قراصنة DeFi كانت في انخفاض. وتم تقديم حالة Venus Protocol كدليل إيجابي: نظام مراقبة أمني اكتشف سلوكًا غير طبيعي قبل 18 ساعة من وقوع الهجوم، فأوقف البروتوكول بسرعة التشغيل، وتجمّد نظام الحوكمة أموال المهاجم، بل إن المهاجم خسر المال حتى.

خفض Drift من قيمة “سردية التقدم” هذه. يمكنك أن تصل بتدقيق العقود الذكية إلى أقصى حد، ويمكنك نشر أحدث أنظمة المراقبة على السلسلة، لكن طالما أن مفتاح مدير واحد تم اختراقه بالهندسة الاجتماعية/التصيد أو وقع في فخ الرسائل، أو تم تكسيره بالقوة، فإن كل البنية التحتية للأمان تصبح مثل حصون تُبنى فوق الرمال.

يحتاج قطاع DeFi إلى التوقف لحظة، والإجابة بصراحة عن سؤال واحد: عندما تقول للمستخدمين “غير وصاية”، فماذا تقصد بالضبط؟

إذا كان بإمكان مفتاح admin أن ينقل في أي وقت جميع الأصول داخل الخزان، فما الفرق الحقيقي بين ذلك وبين إيداع المال في حساب بنكي لشخص لا تعرفه؟ على الأقل لدى البنوك تأمين، وتنظيم، وحق في المطالبة القانونية.

ربما لا تكون الإجابة بإلغاء هذه الصلاحيات الإدارية، لأن وجودها ضروري في كثير من الحالات. لكن على الأقل، يجب على الصناعة أن تتوقف عن التظاهر بأنها غير موجودة. الحوكمة متعددة التوقيعات (multisig)، وأقفال الوقت (time lock)، ووحدات الأمان على العتاد (HSM)، وتدوير المفاتيح (key rotation)… هذه الحلول التقنية موجودة منذ سنوات، لكن كثيرًا من البروتوكولات ما زالت تربط عشرات ومئات الملايين من الدولارات من الأمان بتوجيه/يقظة شخص واحد أو اثنين من المشغلين البشر.

حلم “Robinhood في عالم التشفير” جميل. لكن قبل تحقيقه، ربما ينبغي طرح سؤال أكثر أساسية أولًا: من الذي يحتفظ بتلك المفاتيح؟