مفتاح الإله في التمويل اللامركزي (DeFi): من سرقة Drift بمبلغ 285 مليون دولار، أكبر ثغرة في التمويل اللامركزي

الضربة التي وجّهها Drift لم تُصبّ مجرد عقدٍ أو ثغرة… بل قطعت في أخطر جرح في صناعة لا تريد مواجهة هذا النوع من الألم.

المؤلف: شينشو TechFlow

في 1 أبريل، يوم كذّاب أبريل.

أكبر بورصة تداول للعقود الدائمة على سلسلة Solana، Drift Protocol، يتم تفريغها، ورد فعل المجتمع الأول كان: “نكتة لطيفة في يوم كذّاب أبريل.”

هذه ليست نكتة.

قرابة الساعة 1:30 بعد الظهر، أطلقت حسابات المراقبة على السلسلة Lookonchain وPeckShield إنذارًا تقريبًا في الوقت نفسه: محفظة غريبة تبدأ بـ"HkGz4K" كانت تسحب أصولًا من خزنة Drift بوتيرة مذهلة. الدفعة الأولى: 41 مليون رمز JLP بقيمة 155 مليون دولار. ثم مباشرةً: 51.6 مليون USDC، و125 ألف WSOL، و164 ألف cbBTC…… عشرات الأصول خرجت كالماء من حوض استُخرجت منه الموانع واحدة تلو الأخرى.

ساعة واحدة فقط.

هبطت أصول الخزنة من 309 مليون دولار إلى 41 مليون دولار. أكثر من نصف TVL؛ تبخّر كل شيء.

نشر فريق Drift تغريدة على X جاءت بصياغة نادرة الاندفاع: “يتعرض Drift Protocol لهجوم نشط. تم إيقاف الإيداع والسحب. نحن ننسّق مع عدة شركات أمنية وجسور عبر السلاسل وبورصات للسيطرة على الوضع.”

ثم جاءت تلك الإضافة التي من المؤكد أنها ستُكتب في تاريخ التشفير:
“This is not an April Fools joke.”

مفتاح واحد يفتح كل الأبواب

الأرقام الخاصة بالسرقة من Drift تختلف باختلاف المصادر. قدّر PeckShield الخسارة بنحو 285 مليون دولار، بينما قدّم Arkham رقمًا يتجاوز 250 مليونًا، وتقييم CertiK الأولي كان في حدود 136 مليونًا تقريبًا. لكن بغض النظر عن الرقم الصحيح، فهذه تُعد أكبر حادث أمني DeFi حتى الآن حتى عام 2026.

الأكثر أهمية من الأرقام، هو طريقة الهجوم.

قال مؤسس PeckShield، جيانغ شو-سيان، لـDecrypt بوضوح شديد: إن مفتاح المدير خلف Drift “تم تسريبه بوضوح أو تم اختراقه”. وتُظهر صورة الهجوم التي جمّعها باحثون على السلسلة أن المهاجم حصل على صلاحيات وصول مميزة لبروتوكول Drift، ثم تحكم في مسار تدفق أموال الخزنة.

بعبارة أخرى: لا يوجد استغلالٌ معقد لثغرة في العقود الذكية، ولا هجوم قروض فورية، ولا تلاعب بالـOracle. إنها أقدم فشل أمني تقليدي: شخصٌ ما فقد مفتاحه الخاص.

والتفاصيل الأكثر إزعاجًا هي أن المهاجم لم يكن يتصرف من قبيل الاندفاع اللحظي. تُظهر بيانات السلسلة أن هذه المحفظة حصلت على التمويل الأولي عبر Near Intents قبل وقوع الهجوم بـ8 أيام، ثم ظلت خاملة. قبل أسبوع من الهجوم، كانت قد استلمت حتى تحويلًا صغيرًا بقيمة 2.52 دولار من خزنة Drift. اختبار… و"طرق على الباب".

بعد أسبوع، فُتح الباب.

سقوط Robinhood بنسخة التشفير

بالنسبة للمؤسس المشارك لـDrift، سيندي ليو، فإن كابوس 1 أبريل يحمل لونًا أكثر قسوةً بشكل خاص.

كانت قصة هذه المُؤسِّسة من أصل صيني من ماليزيا واحدة من أفضل القصص التحفيزية في Solana DeFi. بدأت من التحكيم في تجارة البيتكوين بين الصين وكوريا في عام 2016، وعملت في صندوق استثماري خاص، وقدّمت مساهمات في مشاريع المشتقات على الإيثيريوم. وفي 2021، أسست Drift مع David Lu، رهانه على ميزة سرعة Solana في العقود الدائمة على السلسلة.

ومن منظور خط الزمن، يبدو أن Drift كاد يصيب كل فخ ممكن. في 2024 حصل على جولات تمويلتين بمشاركة Polychain وMulticoin كقائدتين للاجتماع، بإجمالي 52.5 مليون دولار. وبعد إطلاق سوق للتنبؤات لمواجهة Polymarket، تم إطلاق رافعة تبلغ 50x؛ وتجاوز TVL حاجز 550 مليون دولار، وتخطى إجمالي حجم التداول 50 مليار. وفي مقابلة مع Fortune، استخدمت Leow توصيفًا طموحًا: أن تُصبح “Robinhood بنسخة تشفير”.

هذا التشبيه صار يُقرأ الآن بمشاعر متناقضة. وعد Robinhood الأساسي هو تمكين عامة الناس من أدوات التمويل في وول ستريت. ووعد Drift الأساسي هو منح المستخدمين تجربة “غير وصائية” على السلسلة: أموالك لا تمر بيد أي شخص، وتتفاعل فقط مع الكود.

لكن خلف الكود، توجد مفاتيح مدير. وأمن هذه المفاتيح في النهاية يعتمد على الإنسان، لا على علم التشفير.

وهناك أيضًا مصادفة تاريخية مزعجة للأعصاب. في 2022، شهدت حقبة Drift v1 حادثة تم فيها تفريغ خزنة بالكامل مرة واحدة. بعد الحادثة، كتب الفريق تقريرًا تقنيًا تفصيليًا للغاية، ونشر حتى مقطعًا من كود إثبات مفهوم يوضح كيف يمكن للمهاجم تفريغ الخزنة بأكملها في صفقة واحدة. كانت خسارة ذلك الحادث 14.5 مليون دولار، وقد دفع الفريق من جيبه الخاص لتعويض المستخدمين بالكامل.

بعد أربع سنوات، تكرر نفس الكابوس بحجم يبلغ 20 ضعفًا.

الإيمان اللامركزي… ونقطة الضعف المركزية

إذا وسّعت النظر بعيدًا عن Drift قليلًا، ستجد نمطًا مقلقًا بدأ يتشكل.

في بداية 2025، تم اختراق خدمة إدارة مفاتيح AWS لدى Resolv Labs. استخدم المهاجم مفاتيح بصلاحيات خاصة للموافقة على عمليات سك كبيرة لعملة مستقرة USR، مما أدى إلى خسائر متسلسلة عبر منصات متعددة. وفي نفس العام 2025 بأكمله، بلغ إجمالي سرقات العملات المشفرة رقمًا قياسيًا بلغ 3.4 مليار دولار، وأشار تقرير Chainalysis بشكل خاص إلى تحول في الاتجاه: الأحداث الأكثر تدميرًا تحدث على مستوى البنية التحتية. الأجهزة المطوّرة المخترقة، ومفتاح سك واحد محفوظ في السحابة، وسير عمل التوقيعات الذي تم اصطياده عبر الهندسة الاجتماعية (phishing)… هذه هي الثقوب السوداء التي تلتهم الأموال فعلًا.

والآن أضف Drift إلى هذه القائمة.

إذا وضعت هذه الحالات جنبًا إلى جنب، فهناك نتيجة لا يمكن تجنّبها تقريبًا: لقد حَلّ أمن المفاتيح الخاصة محل ثغرات العقود الذكية ليصبح أكبر خطر نظامي في DeFi.

داخل هذه المسألة توجد فجوة إدراك كبيرة بما يكفي لابتلاع عشرات المليارات.

القصة التي يرويها بروتوكول DeFi للعالم هي: “لامركزي”، “غير وصائي”، “لا حاجة للثقة”. أصولك تُحفظ بواسطة الكود، ولا يوجد وسيط يستطيع لمس أموالك. استمع المستخدمون لهذه القصة، وأودعوا أموالهم في هذه البروتوكولات، وكان شعورهم: “أنا أتعامل مع الرياضيات.”

لكن الواقع هو أن كل بروتوكول DeFi يعمل تقريبًا لديه مفتاح أو عدة مفاتيح من نوع “مفاتيح الرب” (admin key)، وصلاحيات الترقية، والتحكم في الخزنة، ومفاتيح الإيقاف الطارئة. وجود هذه المفاتيح، أحيانًا يكون لأجل الأمان (كي يتيح الفرملة العاجلة عند حدوث مشكلة)، وأحيانًا يكون لأجل المرونة (كي تسمح بترقية منطق العقود)، لكن جوهرها واحد: نقطة ثقة مركزية، محاطة بسردٍ لامركزي.

يعتقد المستخدم أنه يتفاعل مع الكود. في الحقيقة، هو يثق بشخص—أو مجموعة صغيرة من الأشخاص—يضمنون أنهم لن يخطئوا، ولن يتم اصطيادهم عبر التصيد، ولن يتم تهديدهم، ولن ينسوا في ساعة متأخرة من الليل جهازهم المحمول في مقهى.

هذه ليست مشكلة حصرية لـDrift؛ إنها تناقض بنيوي لصناعة DeFi بأكملها.

إلى أين ذهبت 285 مليون دولار

حركة المهاجم على السلسلة كانت نظيفة وحاسمة، مع برودة المحترفين.

بعد سحب الأصول من خزنة Drift، قام بسرعة بتحويل معظم الرموز إلى عملات مستقرة، ثم نقل الأموال عبر Wormhole عبر جسر عبر السلاسل إلى شبكة الإيثيريوم. على الإيثيريوم، اشترى باستخدام جزء من العملات المستقرة حوالي 19,913 ETH (بقيمة تقارب 42.6 مليون دولار)، بينما تم توزيع بقية الأموال على عناوين محافظ متعددة.

هناك تفصيل عبثي: كانت محفظة المهاجم تحمل كمية كبيرة من Fartcoin، تمثل حوالي 2.5% من إجمالي المعروض من هذا الرمز. هاكر أنهى للتو أكبر سرقة DeFi في السنة، يمتلك أكوامًا من عملات meme سُمّيت على أساس… إطلاق الغازات.

حتى وقت نشر هذا المقال، ما يزال الإيداع والسحب في Drift متوقفين. انخفض رمز DRIFT من حوالي 0.072 دولار قبل الهجوم إلى قرابة 0.05 دولار، بانخفاض يتجاوز 28%. وبالقياس إلى أعلى مستوياته التاريخية 2.60 دولار، فإن إجمالي الانخفاض المتراكم يتجاوز 98%. محفظة Phantom أظهرت تحذيرًا للمستخدمين الذين حاولوا الوصول إلى Drift.

ذكر فريق Drift أنه يعمل على التنسيق مع شركات أمنية وجسور عبر السلاسل وبورصات مركزية لمحاولة تجميد الأموال المسروقة وتتبعها. لكن إذا كانت للتاريخ أي دلالة، فإن احتمال استرداد الأموال التي تم نقلها عبر جسور متعددة وتوزيعها على محافظ متعددة ليس مشجعًا.

مشكلة يجب على صناعة كاملة أن تواجهها بصدق

الضربة التي وجّهها Drift لم تُصبّ مجرد عقد… بل قطعت في أخطر جرح في صناعة لا تريد مواجهة هذا النوع من الألم.

في تقرير Chainalysis في أواخر 2025، كان هناك تعبير متفائل بأن أمن DeFi حقق “تقدمًا ملموسًا”، حتى مع أن TVL تضاعف ليعود إلى 119 مليار دولار، فإن خسائر مخترقي DeFi كانت تتناقص. عُرضت حالة Venus Protocol كمثال إيجابي: نظام مراقبة الأمان اكتشف الشذوذ قبل 18 ساعة من وقوع الهجوم، وأوقف البروتوكول تشغيله بسرعة، وآليات الحوكمة جمدت أموال المهاجمين، بل إن المهاجمين تكبدوا خسائر حتى.

لكن Drift قلّلت من قيمة رواية “التقدم”. يمكنك تنفيذ تدقيقات العقود الذكية إلى أقصى حد، ونشر أحدث أنظمة المراقبة على السلسلة، لكن طالما تم تسريب مفتاح مدير واحد عبر الهندسة الاجتماعية أو التصيّد أو تم كسره بالقوة، فستبدو كل البنية التحتية الأمنية كقلعة بُنيت فوق الرمال.

يحتاج قطاع DeFi إلى التوقف والرد بصدق على سؤال واحد: عندما تقول للمستخدمين “غير وصائي”، فماذا تعني بالضبط؟

إذا كان مفتاح admin يستطيع نقل جميع الأصول الموجودة في الخزنة في أي وقت، فما الفرق فعليًا عن وضع أموالك في حساب بنكي لشخص لا تعرفه؟ على الأقل للبنك تأمين، وتنظيم، وخيارات قانونية للمطالبة بالحقوق.

قد لا يكون الجواب إلغاء صلاحيات المدراء، وفي كثير من الحالات قد يكون وجودها ضروريًا. لكن على الأقل، يجب على الصناعة أن تتوقف عن التظاهر بعدم وجودها. الحوكمة متعددة التوقيعات، والأقفال الزمنية، ووحدات الأمان العتادي (HSM)، وتدوير المفاتيح… هذه حلول تقنية موجودة منذ سنوات، لكن الكثير من البروتوكولات ما زالت تُعلّق أمن عشرات أو مئات الملايين من الدولارات على يقظة مشغّل واحد أو اثنين من البشر.

حلم “Robinhood بنسخة تشفير” جميل. لكن قبل تحقيقه، ربما يجب أولًا الإجابة عن سؤال أبسط: من الذي يحفظ تلك الأداة—ذلك المفتاح؟