هل تم سرقة أكثر من 2.8 مليار دولار في “Drift” خلال “عيد الفصح”؟ اختراق من قِبل القراصنة أم سرقة من الداخل؟

شو، قناة الأخبار المالية الذهبية

في 2 أبريل، وقعت حادثة أمنية على منصة تداول المشتقات Drift Protocol، وتشير بيانات السلسلة إلى أن الخسائر تتجاوز 285 مليون دولار. وذكر فريق المشروع أنه اكتشف نشاطًا غير اعتياديًا ويجري التحقيق، محذرًا المستخدمين من عدم إيداع أموال في البروتوكول مؤقتًا، ومؤكدًا أن “هذا ليس مزحة في يوم كذبة أبريل”.

تتعلق هذه الهجمة بعدة مجمعات سيولة، بما في ذلك JLP Delta Neutral وSOL Super Staking وBTC Super Staking وغيرها. تم تحويل ما يقارب 41.7 مليون توكن من JLP في صفقة واحدة بقيمة تقارب 155 مليون دولار، إضافة إلى ذلك تم إخراج أصول مثل SOL وUSDC وcbBTC وwBTC وغيرها.

وفقًا للتقديرات، قد تصبح هذه الحادثة واحدة من أكبر هجمات DeFi في حجمها داخل منظومة Solana، بعد استغلال Wormhole bridge.

أولًا: آخر التطورات في حادثة اختراق Drift Protocol

في يوم 1 أبريل 2026، بتوقيت الساحل الشرقي للولايات المتحدة، تعرض بروتوكول المشتقات اللامركزي في نظام Solana Drift Protocol لهجمة قرصنة كبيرة؛ وتقدر قيمة الأصول المسروقة بنحو 285 مليون دولار. وتتمثل الأصول الأساسية التي تم اختراقها في: حوالي 41.7 مليون توكن من JLP بقيمة 155.6 مليون دولار؛ وكذلك مجموعة متنوعة من الأصول مثل USDC وSOL وcbBTC وwBTC وغيرها. وقد أصبحت حادثة السرقة هذه واحدة من أكبر الهجمات في تاريخ Solana من حيث الحجم، ومن بين أكبر هجمات DeFi.

بعد ذلك، نشر Drift Protocol رسميًا على منصة اجتماعية لتأكيد: “Drift Protocol يتعرض لهجوم. تم إيقاف وظائف الإيداع والسحب. نعمل حاليًا بالتعاون مع عدة جهات أمنية وجسور عبر السلاسل وبورصات، من أجل السيطرة الكاملة على تطورات الموقف. هذه ليست مزحة في يوم كذبة أبريل. ستتم مشاركة المزيد من المعلومات في أقرب وقت عبر هذا الحساب.”

بدأت الهجمة في الساعات الأولى من 2 أبريل. أطلقت منصة مراقبة السلسلة PeckShield إنذارًا: بدأت العناوين الخاصة بالـ“الخزنة الرئيسية” في Drift في إجراء تحويلات واسعة النطاق إلى محفظة جديدة تم إنشاؤها باسم HkGz4K. وكانت أولى الأصول المحولة الأساسية هي توكنات JLP (Jito Liquidity Provider) بقيمة تقارب 155 مليون دولار، ثم تبعتها USDC وSOL وcbBTC وwBTC وWETH وبعض عملات meme. وتظهر بيانات PeckShield أنه خلال فترة قصيرة، بلغ إجمالي الأموال التي غادرت 285 مليون دولار.

وفقًا لمراقبة余烬، الأصول البالغة 285 مليون دولار التي تم سرقتها من Drift تم تحويلها حاليًا إلى 129k ETH (278 مليون دولار). خلال الساعات القليلة الماضية، قام المهاجمون ببيع هذه الأصول بطرق متعددة ثم عبروا بها إلى شبكة Ethereum، وبعد ذلك قاموا على شبكة Ethereum بشراء ETH. والآن، أصبحت أصول الـ285 مليون دولار التي سرقها المهاجمون على Solana قد تم تحويلها على شبكة Ethereum إلى 129,066 ETH.

بالإضافة إلى ذلك، ذكر فريق أمان SlowMist في منشور على وسائل التواصل الاجتماعي أنه حاليًا، تم تجميع الأموال المسروقة بشكل أساسي في عناوين Ethereum التالية: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674 و0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7 و0xaa843ed65c1f061f111b5289169731351c5e57c1، الإجمالي: 105,969 ETH (حوالي 226 مليون دولار).

عنقود عناوين المهاجمين:

ثانيًا: تفسير هجوم Drift Protocol، هل “سُرقَ من الداخل” من قِبل الجهة المطوِّرة؟

هذه الهجمة كانت مزيجًا مُحكم التخطيط من اختراق صلاحيات + هجوم تلاعب بالأسعار. تكمن الفكرة الأساسية في أن المهاجم بعد الاستيلاء على صلاحيات المسؤول، وبواسطة تزوير توكنات والتلاعب بالـoracle، تمكن بسرعة من تجاوز حدود التمويل، ثم قام بنهب خزنة البروتوكول. بعد الحصول على المفتاح الخاص للمسؤول، قام المهاجم بإلغاء إجراءات الحوكمة/التحكم الأساسية في البروتوكول المتعلقة بالمخاطر (حدود السحب)، ثم استخدم ضمانات مزيفة لسحب دفعات كبيرة من مجمعات التمويل، واختتم العملية بتحويل الأصول عبر السلاسل لإتمام غسل الأموال.

وبخصوص حادثة اختراق Drift Protocol التي أدت إلى سرقة الأصول، حلل مؤسس SlowMist،余弦، في منشور بأن الهجوم وقعت قبل أسبوع؛ حيث قام Drift بتعديل آلية الـmultisig إلى “2/5” (موقّع قديم واحد + 4 موقّعين جدد)، ولم يتم ضبط قفل زمني (timelock). ثم حصل المهاجم على صلاحيات المسؤول، وزوّر توكنات CVT، والتلاعب بالـoracle، وإيقاف آليات الأمان، ونقل أصولًا عالية القيمة من مجمع التمويل.

ذكر أيضًا Omer Goldberg، الشريك المؤسس في Chaos Labs، في منشور على وسائل التواصل الاجتماعي أنه قبل أسبوع، انتقل Drift إلى محفظة multisig جديدة، وأن هذه المحفظة تم إنشاؤها بواسطة أحد الموقّعين في multisig السابق. ولم يقم هذا الموقّع بإضافة نفسه إلى قائمة الموقّعين الجدد. وفي الوقت نفسه، قام المهاجم بإطلاق اقتراح داخل الـmultisig القديم لنقل صلاحيات المسؤول إلى هذه المحفظة الجديدة. يتضمن الـmultisig الجديد 5 موقّعين، واحد فقط منهم من الفريق الأصلي، أما الأربعة الآخرون فجميعهم عناوين جديدة بالكامل. تم ضبط هذه المحفظة على عتبة multisig تبلغ 2/5، وبدون أي قفل زمني (تأخير 0 ثانية). في فجر 2 أبريل، أطلق الموقّع الوحيد من الموقّعين الأصليين اقتراحًا عبر multisig الجديد لتغيير صلاحيات مدير Drift. قام موقّع جديد بالتوقيع المشترك خلال ثانية واحدة، وبذلك تحقق فورًا شرط عتبة 2/5. ولأنه لا توجد مدة قفل زمني، تم تنفيذ المعاملة فورًا.

علاوة على ذلك، تنتشر في المجتمع رواية مفادها أن أحد الأعضاء الأساسيين في فريق Drift استقال قبل شهر تقريبًا، لكن هذه ليست حقيقة أكدتها الجهة الرسمية، ولا توجد أدلة تدعمها. حاليًا هي مجرد تخمين/شائعة تتداولها مجتمعات X (تويتر)، دون أسماء محددة، وبدون تأكيد من وسائل إعلام رئيسية أو من Drift نفسه؛ وفي الأخبار السائدة وبيانات Drift الرسمية، لم تتم الإشارة إطلاقًا إلى استقالة أي عضو في الفريق قبل شهر.

ومع ذلك، فاحتمال “السرقة من الداخل” حقًا هو الاتجاه الأعلى حاليًا من حيث نسبة التداول وأثقل الشبهات في النقاش داخل الدائرة، بل إنه أكثر اتساقًا منطقيًا حتى من “اختراق خارجي من قِبل قراصنة”. سابقًا، قامت الجهة الرسمية بتعديل آلية multisig بحيث أصبحت بنية الصلاحيات “ملائمة جدًا للهجوم”، وليس شيئًا يمكن تفسيره كحادث غير مقصود؛ كما أن أسلوب الهجوم “يفهم منطقًا داخليًا بشكل مبالغ فيه”، ولا يشبه إطلاقًا أسلوب القراصنة الخارجيين؛ كذلك أظهرت الجهة الرسمية برودًا غير معتاد تجاه سرقة مبالغ بهذا الحجم؛ وبعد وقوع السرقة، كانت مسارات تدفق الأموال واضحة جدًا ونظيفة، وتم تحويلها بسرعة إلى ETH وإجراء عمليات عبر السلاسل، ولم تتدفق إلى بورصة مركزية يسهل أن تتعرض للتجميد. كل سلسلة الأحداث هذه ومنطق العمليات جعلت شكوك المجتمع حول “السرقة من الداخل” التي ينسبها البعض إلى Drift الرسمي تتصاعد بشدة.

ثالثًا: الأطراف المعنية وردود فعل مجتمع التشفير

بعد وقوع حادثة اختراق Drift Protocol وسرقة الأصول، اختلفت ردود الفعل من الأطراف المعنية ومن مجتمع التشفير:

• في حادثة اختراق بروتوكول DeFi Drift، بلغت خسارة مركز JLP نحو 155.6 مليون دولار. وفي هذا الصدد صرحت Jupiter الرسمية بأن المنصة لم تتأثر بهذه الحادثة، وأن منتج الإقراض لديها Jupiter Lend لا يتضمن سوق Drift، وأن أصول JLP “مدعومة بالكامل بأصول الأساس”. كما أشارت Jupiter إلى أن هذه الحادثة كانت “يومًا صعبًا” بالنسبة إلى نظام Solana DeFi، وقدمت تعبيرات عن القلق لفريق Drift وللمستخدمين المتضررين.

• بروتوكول توليد العوائد Unitas Protocol غرد بأن حادثة اختراق Drift Protocol لم تؤثر عليه. لا توجد أي تعرضات في Unitas تجاه Drift. جميع الضمانات آمنة، وجميع الاستراتيجيات (بما في ذلك استراتيجية JLP Delta Neutral) تعمل بشكل طبيعي. أموال المستخدمين آمنة. يمكن التحقق من الضمانات بشكل فوري عبر لوحات إثبات الاحتياطيات في Accountable وPrimus Labs.

• بروتوكول سيولة Solana Meteora غرد بأن جميع الأموال على Meteora آمنة، وأن جميع وظائف المنصة والخزنة لم تتفاعل مع بروتوكول Drift.

• مؤسسة البنية التحتية للستيبلكوين Perena، Anna غردت بأن Perena USD* وUSD*-J وUSD*-P لم تتأثر بحادثة هجوم Drift. لكن خزانة JLP التابعة لمنصة مشاركة استراتيجيات الكم في نظام Solana Neutral Trade، والتي تعمل على بروتوكول Drift، تأثرت؛ ويتواصل الفريق حاليًا مع الشركاء وسيستمر في تحديث التقدم.

• مستخدمو منصة X @hzkj99: بروتوكول الأصول Drift Protocol في نظام SOL تم اختراقه، وخسائر بمئات الملايين إن كانت الأموال المتورطة، ففي أي وقت تكون السلامة هي الأولوية القصوى، وخصوصًا في سوق هابطة (bear market) ستكون هناك بالتأكيد بروتوكولات جديدة يتم اختراقها. هذا العالم حقًا عبارة عن منصة عمل مؤقتة ضخمة (فرقة غير احترافية)، وبعض البروتوكولات حتى يمكن سرقتها عدة مرات، وDrift أيضًا ليس آخر بروتوكول تم اختراقه

• مستخدمو منصة X @lanhubiji: تعرض Drift Protocol لاستغلال ثغرة كبيرة، بخسائر بمستوى نحو 270 مليون دولار تقريبًا، وهي واحدة من أكبر حوادث هجمات DeFi حتى الآن في عام 2026. بعض المشاركات تقول بجدية “مؤسسة Solana تتولى التنسيق مع خوادم تيولي (المؤسس المشارك) في القبو”. حتى لو كانت نكتة، فإن القول بهذا الشكل مبالغ فيه قليلًا.

• مستخدمو منصة X @EnHeng456: في سوق هابطة تخزين الأموال حقًا يجب أن تكون حذرًا جدًا، والبيئة الحالية أصبحت أقل أمانًا أكثر فأكثر. في كل مكان أخبار عن السرقة. بعض البروتوكولات القديمة أيضًا تعاني مشكلات خاصة في سوق هابطة، ومن الصعب جدًا التمييز بين هجوم القراصنة أو “السرقة من الداخل”. مؤخرًا كنت محافظًا أكثر، ووضعتها ببساطة في USD1 فقط، ولم أعد أضعها في كل مكان. في مثل هذه السوق، كلما تعقّدت أكثر زادت فرص حدوث المشكلات؛ وأحيانًا عدم التحرك هو الخيار الأفضل. تم اختراق Drift بملياري دولار ثم انتهى الأمر في جيب الجنرال.

رابعًا: أثر حادثة اختراق Drift Protocol

حادثة اختراق Drift Protocol البالغة 285 مليون دولار هي ثاني أكبر هجوم DeFi في تاريخ نظام Solana، وتأثيرها يتجاوز البروتوكول نفسه بكثير؛ إذ تلحق ضررًا بالغًا بثقة منظومة Solana وتُسرّع التحولات نحو تحسين أمان DeFi.

هذه الهجمة كشفت عن عيوب قاتلة في مشاريع DeFi فيما يتعلق بإدارة صلاحيات multisig وأمن الـoracle. الصلاحيات هي الخزنة، وبمجرد أن تفشل مفاتيح مدير النظام (المسؤول)، وغياب آليات المكابح العاجلة مثل القفل الزمني، فقد تفشل أي منطق برمجي معقد بشكل لحظي. وبالنسبة إلى Drift Protocol، فإنه—ما لم يتم استعادة الأموال الكبيرة أو إيجاد “عملاق” ليحل محله في الاستحواذ—سيمضي نحو التصفية والإفلاس واللجوء إلى التقاضي. وبالنسبة إلى Solana ونظامها البيئي، فإن السمعة البيئية تتلقى ضربة قوية، ويتسبب ذلك في خروج أموال على المدى القصير وتباطؤ النمو، ويدفع على المدى الطويل إلى تحديثات أمنية. وبالنسبة إلى قطاع DeFi ككل، يمكن القول إنها بمثابة نقطة تحول للصناعة: “أمان الصلاحيات أهم من أمان الكود” تصبح قاعدة لا جدال فيها، وترتفع تكاليف الثقة بشكل حاد. سيدخل DeFi مرحلة جديدة من أكثر امتثالًا وأكثر شفافية وأكثر مركزية (حوكمة أمنية).