تم سرقة أكثر من 200 مليون دولار خلال 10 ثوانٍ من قبل بروتوكول الإقراض اللامركزي Drift، وتأثر أكثر من 15 مشروعًا بذلك

المؤلف: قو يو، ChainCatcher

حوالي الساعة 1 صباحًا اليوم، وقع مرة أخرى حادث سرقة كبير في مجال التمويل اللامركزي (DeFi). تعرض بروتوكول الاقتراض في سولانا Drift لهجوم من قراصنة، حيث تم نهب أصول المستخدمين التي تتجاوز 220 مليون دولار في غضون 10 ثوانٍ.

بعد وقوع الحادث، انخفض رمز Drift بسرعة بأكثر من 40%؛ حاليًا تبلغ القيمة المخففة بالكامل (FDV) حوالي 44 مليون دولار. وبسبب تورط العديد من الأصول في نظام سولانا البيئي، شهدت رموز ضمن مجال سولانا مثل SOL وJUP انخفاضات شاذة متفاوتة.

كان Drift سابقًا واحدًا من أكبر بروتوكولات الإقراض في نظام سولانا البيئي؛ ووفقًا لـ RootData، فإن إجمالي التمويل الذي جمعه هذا البروتوكول يتجاوز 52 مليون دولار، ومن بين المستثمرين الذين شملتهم هذه الجولة: Multicoin Capital وPolychain وRobot Ventures وBlockchain Capital وEthereal Ventures وJump Capital وغيرها من شركات رأس المال الاستثماري (VC) الرائدة.

وفقًا لتحليلات منشورة، يرتبط هذا الحادث بسرقة Drift ارتباطًا وثيقًا بالحصول غير القانوني على السيطرة على عنوان متعدد التواقيع (multisig)، كما يتزامن مع أساليب هجوم شائعة مثل هجوم الحوكمة (governance) وهجوم على الأوراكل (oracles). استغل المهاجم مفتاح توقيع واحد فقط، وأنجز جميع العمليات في معاملة واحدة: إنشاء سوق مزيف، والتلاعب بالأوراكل، وإزالة قيود السحب. وفي هذا السياق، توجد احتمالية أن يكون تسرب مفتاح عنوان متعدد التواقيع الخاص قد تم بدافع داخلي.

تكشف أساليب هجوم متكررة، إلى جانب إجراءات الوقاية الضعيفة من جانب فريق المشروع، مجددًا هشاشة مجال DeFi. ووفقًا لتغريدة ومناقشات مرتبطة بمؤسس Chaos Labs Omer Goldberg، فيما يلي تحليل مفصل لعملية السرقة:

أول بوادر الحادث حدثت قبل أسبوع. قبل أسبوع، نقل Drift صلاحيات إدارة البروتوكول من محفظة متعدد التواقيع القديمة إلى محفظة متعدد التواقيع جديدة. وقد تم إنشاء هذه المحفظة الجديدة بواسطة أحد الموقّعين في متعدد التواقيع القديم، لكن هذا الموقّع لم يقم بإضافة نفسه إلى متعدد التواقيع الجديد.

استغل المهاجم هذه الثغرة. أولًا، في متعدد التواقيع القديم، قدم اقتراحًا لنقل صلاحيات مدير Drift إلى محفظة جديدة (يسيطر عليها المهاجم).

تضمّن متعدد التواقيع الجديد 5 موقّعين؛ واحد فقط جاء من متعدد التواقيع القديم، والباقون الأربعة كانوا جميعًا جددًا تمامًا. كانت القواعد متساهلة للغاية: يكفي موافقة 2/5 (أي يكفي أن يوقّع شخصان)، كما تم تعيين قفل زمني قدره 0 ثانية (يُنفّذ الاقتراح فور تمريره دون أي فترة انتظار).

في صباح اليوم، استخدم الموقّع القديم الوحيد الذي بقي في مكانه متعدد التواقيع الجديد لتقديم اقتراح: “تغيير صلاحيات مدير Drift إلى المحفظة التي يسيطر عليها المهاجم بالفعل”.

بعد بضع ثوانٍ، قام موقّع جديد آخر بالتوقيع فورًا، وتم بسهولة الوصول إلى عتبة 2/5.
وبسبب عدم وجود قفل زمني، تم تنفيذ الاقتراح على الفور، فحصل المهاجم على كامل صلاحيات المدير.

بعد ذلك مباشرة، استخدم المهاجم الصلاحيات لإنشاء سوق نقدي (spot) لرمز CVT داخل بروتوكول Drift؛ ويبلغ إجمالي المعروض لذلك الرمز حوالي 750 مليون، وكان المهاجم يمتلك 600 مليون. ثم استخدم المهاجم أوراكل SwitchboardOnDemand الذي يتحكم به، وقام بتكوين Drift لقراءة هذا الأوراكل.

بعد اكتمال العملية، رفع المهاجم سعر رمزه CVT—الذي كان شبه بلا قيمة—عن طريق 20 معاملة، بحيث جعل 600 مليون CVT التي قام بإيداعها تبدو قيمتها بمئات الملايين/عدة مئات الملايين من الدولارات. وبهذا، اقترض المهاجم أصولًا بقيمة تقريبية تتراوح بين 220 مليون و280 مليون دولار، بما في ذلك 41.72 مليون JLP (رمز Jupiter LP token، وقيمته حوالي 155 مليون دولار)، و51.61 مليون USDC، و164 cbBTC (بقيمة 11.29 مليون دولار) وغيرها.

كانت البنية “المكعبات” (Lego-style) في DeFi تُنظر إليها سابقًا على أنها أكبر ميزة في هذا المجال، لكن الآن أصبحت هذه الميزة تنتقل بالمخاطر أيضًا إلى نظام سولانا، بما في ذلك بروتوكولات DeFi الأخرى المدمجة لسوق الإقراض Drifi.

يُعد Jupiter أكبر المتضررين من حادث الأمان هذا، حيث إن أكبر كمية من JLP تم سرقتها كانت من أصول LP الأساسية في سوق العقود الدائمة (perpetual) لدى Jupiter. ستؤدي السرقة إلى انخفاض كبير في سيولة سوق العقود الدائمة في Jupiter، فضلًا عن سلسلة من التفاعلات مثل الخروج الخسِر/الذعر من الأموال وسقوط رمز JUP.

إضافة إلى ذلك، نشرت أكثر من 15 منصة DeFi مثل Perena وProject 0 وExponent وCarrot وRanger وPiggyBank وReflect وElemental وNeutral Trade وPyra وFuse وXPlace تأكيدات بأنها تأثرت بدرجات مختلفة بحادث سرقة Drift، وتم تعليق بعض وظائف السحب.

لكن في كل حوادث الأمان، ما يزال أكبر المتضررين هم المستخدمون؛ إذ إن موجات متواصلة من الهجمات الإلكترونية تواصل ضرب ثقة المستخدمين في DeFi.

“اليوم لا أفعل أي شيء آخر، أخرج كل أموال المشاريع القديمة على السلسلة، ولا أُدخل المشاريع الجديدة إلا إذا كنت أفهمها جيدًا بشكل خاص؛ هذه أيام كثيرة الأمور، ولا تختبروا الطبيعة البشرية.” بعد أن تسبب هذا الحدث بخسارة تزيد عن 6000 دولار، كتب KOL مشهور باسم 土澳大师兄 منشورًا قال فيه ذلك.