كيف يهاجم القراصنة على مستوى الدولة منصات DeFi؟ تحقيق معمق في حادثة اختراق Drift

加密安全事件的攻击重心正在从代码层向人类信任层急剧转移。

في 1 أبريل 2026، تعرضت بروتوكول Drift Protocol، وهو من أبرز بروتوكولات المشتقات اللامركزية في نظام سولانا البيئي، لهجوم، مع خسائر تقارب 285 مليون دولار. انخفض إجمالي القيمة المقفلة في المنصة (TVL) من نحو 550 مليون دولار قبل وقوع الحادث إلى حوالي 230 مليون دولار. أكدت التحقيقات الأولية التي نشرتها Drift لاحقًا أن العملية تمت برمجتها بواسطة مجموعة القراصنة UNC4736 المرتبطة بحكومة كوريا الشمالية، وهي “عملية معلوماتية منظمة استمرت 6 أشهر”.

إن التغيير الذي تكشفه هذه النتيجة يتجاوز بكثير مجرد حادث أمني واحد: عندما تنتقل الهجمات على مستوى الدول من اكتشاف ثغرات الكود إلى اختراق الثقة البشرية المستمر لعدة أشهر، فإن نمط الأمان في كامل قطاع DeFi يُعاد كتابته بشكل منهجي. لم تعد الهجمات تتطلب ثغرات معقدة في العقود الذكية أو سرقة مفاتيح خاصة—يكفيها فقط علاقة صبورة، وهوية مموهة بعناية، وكمية كافية من الوقت.

ما هي آلية عمل الهجوم؟

تُظهر خطة UNC4736 الانضباط التنظيمي وتخصيص الموارد على نحو يتجاوز بكثير ما اعتادته العصابات القراصنة العادية. منذ خريف 2025، تواصل أشخاص يتخفون على أنهم شركات تداول كميّ بشكل نشط مع مساهمي Drift في عدة مؤتمرات تشفير دولية. كان هؤلاء الأشخاص يجيدون اللغة التقنية بطلاقة، ولديهم خلفيات مهنية يمكن التحقق منها، كما كانوا على دراية بكيفية عمل Drift. ومن اللافت أن الأشخاص الذين تمت مقابلتهم مباشرة لم يكونوا كوريين شماليين، بل تم اعتبارهم وسطاء من أطراف ثالثة تم نشرهم بواسطة جهات تهديد كورية شمالية.

بعد بناء الثقة، انتقلت هذه المجموعة خلال الفترة من ديسمبر 2025 إلى يناير 2026 إلى الإقامة داخل خزانة منظومة (Ecosystem Vault) ضمن نظام Drift البيئي، وقامت فعليًا بإيداع أكثر من 1 مليون دولار من أموالهم الخاصة بهدف بناء المصداقية. وخلال هذه العملية، أجروا مناقشات تفصيلية واحترافية حول أسئلة متعلقة بالمنتج مع عدة مساهمين.

أما الاختراق التقني فتم عبر مسارين: تم اختراق أحد المساهمين عند استنساخه لمستودع أكواد خبيثة، إذ استغل هذا المستودع ثغرات كانت مجموعات الأمان تحذر منها باستمرار داخل محرري VSCode وCursor—فمجرد فتح ملف أو مجلد أو مستودع داخل المحرر يسمح بالتنفيذ الصامت لأي كود دون الحاجة إلى أي إشعار للمستخدم أو نقر؛ كما تم خداع مساهم آخر لتحميل تطبيق محفظة مزيف عبر منصة Apple TestFlight. وبعد الحصول على صلاحيات داخلية، استخدم المهاجمون ميزة Solana الأصلية Durable Nonce لتوقيع المعاملات مسبقًا، وبعد الموافقات متعددة التوقيعات (multi-sig) تم تنفيذ عملية تفريغ الأموال فورًا في لحظة.

ما هي التكاليف التي يجلبها هذا النمط من الهجوم؟

إن تكلفة حادث Drift متعددة الأبعاد، ولا تقتصر على مجرد خسارة دفترية قدرها 285 مليون دولار.

تظهر التكلفة الأكثر مباشرة في خسارة الأموال وصدمة السوق. يُعد هذا الهجوم أكبر حادث أمني DeFi من حيث الحجم حتى ذلك الحين في 2026، وهو ثاني أكبر حادث أمني في تاريخ نظام سولانا البيئي. بعد وقوع الحادث، انخفض سعر رمز DRIFT إلى حد بعيد من أعلى مستوى تاريخي وبلغ تراجعًا تجاوز 90% لفترة.

لكن ما يستدعي قدرًا أكبر من القلق هو أثر انتقال الهجوم. فقد توسعت البروتوكولات المتأثرة بحادث ثغرة Drift من 11 في البداية إلى أكثر من 20؛ وتشمل الإضافات بروتوكولات مثل PiggyBank وPerena وVectis وPrime Numbers Fi وغيرها، وقد أوقفت بعض البروتوكولات وظائف مثل الإصدار (mint) أو الاسترداد (redeem) أو الإيداع والسحب. بعد توقف بروتوكول الاقتراض اللامركزي Project 0 عن العمل، بدأ تنفيذ عملية تخفيض الرافعة (deleveraging)، حيث تم تخفيض أصول المقرضين بمتوسط 2.61%.

أما أعمق وأصعب تكلفة للتكميم، فهي اهتزاز جذور الثقة الأمنية في قطاع DeFi. شددت Drift بعد الحادث على أن جميع أعضاء multi-sig استخدموا محافظ باردة (cold wallets)، ومع ذلك لم يكن ذلك كافيًا لمنع الهجوم، مما يشير إلى أنه عندما ينحصر الهجوم في طبقة الإنسان، فقد يمكن تجاوز حتى ضوابط العتاد الصارمة. إذا تحرك المهاجمون بتظاهرهم كجهة تنظيمية حقيقية لمدة نصف عام، واستثمروا أموالًا، وشاركوا في النظام البيئي، فإن الأنظمة الأمنية القائمة تكاد تكون غير قادرة على اكتشافهم.

ماذا يعني ذلك بالنسبة لمشهد قطاع DeFi؟

يدفع حادث Drift كامل القطاع إلى إعادة فحص سؤال جوهري: هل لا تزال افتراضات أمان التمويل اللامركزي صحيحة؟

يركز أحد أهم الانعكاسات داخل الصناعة على الثغرة البنيوية في منظومة الثقة الخاصة بالوسطاء من الأطراف الثالثة. تُظهر مسار هجوم UNC4736 أن نظام DeFi الحالي يفتقر إلى آليات تدقيق أمني منهجي للأطراف الجديدة والمتابعة المستمرة. إن السلوكيات التي يُنظر إليها داخل الصناعة على أنها نشاطات تجارية طبيعية—التواصل عبر المؤتمرات، والمراسلة الفورية، والانضمام إلى خزائن النظام البيئي—هي في الواقع أفضل غطاء لاختراق جهات تهديد على مستوى الدول.

ومن الجدل الآخر الذي لا يمكن تجاهله ما يتعلق بالشرخ التنظيمي (compliance gap) في عملية استرداد الأموال. أشار المحققون على السلسلة (on-chain) إلى أن المهاجمين قاموا بنقل حوالي 232 مليون دولار من USDC عبر بروتوكول تحويل عبر السلاسل من جسر سولانا إلى إيثيريوم، بينما يمتلك مُصدرو العملات المستقرة نافذة زمنية تقارب 6 ساعات لتجميد هذه الأموال، لكنهم لم يتخذوا إجراءً. يلمس هذا الخلاف قضية مؤسسية أعمق: بعد فشل الدفاع الأمني الخاص ببروتوكولات DeFi نفسها، هل يكون الاعتماد على استجابة تنظيمية من مُصدري العملات المستقرة المركزية لتعويض القصور ممكنًا على نحو مستدام ضمن نموذج هجين؟ وأين تكون الحدود التي تتحرك ضمنها الكيانات الامتثالية عندما تواجه تدفقات كبيرة من الأموال؟

كيف قد يتطور الأمر في المستقبل؟

استنادًا إلى تقدم التحقيقات الحالية وردود فعل الصناعة، ظهرت بالفعل عدة اتجاهات مستقبلية.

سيتم إعادة تقييم الميزانيات الأمنية على نحو منهجي. تجاوزت خسائر أمان التشفير عالميًا في 2025 حاجز 3.4 مليارات دولار، وسجل مجال Web3 89 حادثًا أمنيًا مؤكدًا في 2025 بإجمالي خسائر بلغ 2.54 مليار دولار. وفي ظل تزايد شيوع الهجمات على مستوى الدول، لم تعد استراتيجيات الدفاع القائمة على تدقيق الكود واختبارات الأمان وحدها كافية. من المتوقع أن يخصص المزيد من البروتوكولات موارد إضافية لتدريب الأمان التشغيلي، وتمارين الدفاع ضد الهندسة الاجتماعية، وإجراءات تدقيق الخلفيات.

ستصبح ظاهرة انتقال مخاطر الهجوم عبر البروتوكولات بُعدًا جديدًا للتركيز على الأمان. يوضح التأثير المتسلسل لحادث Drift على أكثر من 20 بروتوكول أن قابلية تركيب DeFi (composability) سلاح ذو حدين على مستوى الأمان. وقد تظهر مستقبلًا نوعان من خطط المعالجة: أولًا، عزل الاعتماد وترتيب مستويات الأمان على مستوى البروتوكول، وثانيًا، إنشاء آلية موحدة للاستجابة للحوادث وتبادل المعلومات على مستوى الصناعة.

ستستمر لعبة شدّ الحبل بين التنظيم والامتثال. ستصبح معايير تصرف مُصدري العملات المستقرة في أحداث مماثلة محور نقاشات تنظيمية، وقد تؤدي إلى نشوء إطار استجابة عاجلة لتدفقات الأصول المشفرة عبر الحدود.

ما هي المخاطر المحتملة التي لا تزال ضمن نطاق الإنذار؟

على الرغم من أن Drift قد جمدت جميع وظائف البروتوكولات ونقلت المحافظ المتضررة خارج المحافظ متعددة التوقيعات، فلا يزال هناك عدة أبعاد للمخاطر تستحق المتابعة المستمرة.

عدم قابلية استرداد الأموال بشكل غير قابل للإرجاع. بعد تنفيذ السرقة، قام المهاجمون بسرعة بمسح سجلات المراسلة الفورية والبرمجيات الخبيثة، كما تم تحويل أموال على السلسلة عبر الجسور إلى شبكة إيثيريوم. تمتلك جماعات القراصنة الكورية الشمالية تاريخًا طويلًا من امتلاك شبكات غسيل أموال متقدمة وقدرات خلط عبر السلاسل (cross-chain mixing)، ومن المحتمل أن يكون جزء كبير من الأموال المسروقة قد دخل قنوات يصعب استردادها.

منافسة غير متكافئة في قدرات أمان الصناعة. تمتلك جهات تهديد على مستوى الدول موارد تنظيمية ودعمًا ماليًا مستمرًا وتقسيمًا متخصصًا للعمل، بينما تعمل غالبية بروتوكولات DeFi على شكل فرق صغيرة مع موارد أمنية محدودة. يتم استغلال هذا اللاتكافؤ بشكل منهجي من قبل المهاجمين. تم بناء الهويات التي يستخدمها هؤلاء المهاجمون بحيث تحتوي على سجل مهني كامل وشهادات هوية علنية وشبكات اجتماعية مهنية، ما يسمح لها بتحمل التدقيق الطبيعي في سياق التعاون التجاري.

إرهاق الثقة الذي يثبط ابتكار الصناعة. إذا كانت كل مرة يتم فيها إدخال طرف جديد تتطلب تدقيقًا أمنيًا صارمًا ومراقبة مستمرة، فستواجه الميزة الأساسية لـ DeFi—الانفتاح وقابلية التركيب—خطر التآكل. وسيكون إيجاد التوازن بين الدفاع الأمني وكفاءة التشغيل سؤالًا يجب على الصناعة الإجابة عنه.

الخلاصة

كشف حادث اختراق Drift واقعًا كان يتجاهله القطاع لفترة طويلة: تهديدات الأمان في قطاع DeFi قد انتقلت فعليًا إلى قفزة جيلية. من ثغرات العقود الذكية إلى سرقة المفاتيح الخاصة، ثم إلى اختراق الهندسة الاجتماعية على مستوى الدول لمدة تصل إلى 6 أشهر؛ وتيرة تطور تكتيكات المهاجمين تفوق بكثير وتيرة تطور منظومات الدفاع. عندما لا يحتاج المهاجمون إلى اختراق الكود بل فقط اختراق ثقة شخص واحد، تتم إعادة تقييم فعالية أدوات الأمان التقليدية مثل multi-sig والمحافظ الباردة والعزل عبر العتاد.

ما يحتاجه القطاع ليس فقط تدقيق كود أفضل وضوابط وصول أشد صرامة، بل أيضًا تفكير أمني جديد تمامًا: اعتبار “الثقة البشرية” كوجه للهجوم بنفس أهمية “كود العقد الذكي”. من تدقيق الخلفيات إلى ثقافة الأمان التشغيلي، ومن المراقبة المستمرة للشركاء في النظام البيئي إلى التنسيق عبر البروتوكولات لآليات الاستجابة للطوارئ—يجب إعادة تعريف كل حلقة. وفي ظل نمط جديد من أمان التشفير بمشاركة القوى على مستوى الدول، لا يمكن لأي بروتوكول أن ينأى بنفسه عن المخاطر—سلسلة الدفاع الأمني في كامل الصناعة لا يمكن أن تبلغ إلا مستوى قوة أضعف حلقة فيها.

الأسئلة الشائعة

س: هل UNC4736 هو نفس التنظيم مثل Lazarus؟

UNC4736 هو رمز تستخدمه شركة أمنية لتتبع الجهات التهديدية المرتبطة بحكومة كوريا الشمالية، وهو يتقاطع مع Lazarus Group المعروف على نطاق أوسع لكنه ليس مطابقًا له تمامًا. يُعتقد أن UNC4736 ينفذ مهامًا أكثر استمرارًا للحصول على دخل مستقر داخل مجال العملات المشفرة، مع التركيز على اختراق مستمر لأهداف صغيرة إلى متوسطة الحجم.

س: لماذا لم يمنع استخدام multi-sig في Drift الهجوم؟

لم يقم المهاجمون بسرقة مفاتيح multi-sig مباشرة؛ بل حصلوا على صلاحيات الموافقة متعددة التوقيعات عبر الهندسة الاجتماعية، ثم استخدموا ميزة Solana Durable Nonce لتوقيع المعاملات مسبقًا، وبعد الحصول على الصلاحيات الكافية تم تنفيذ العملية فورًا. وهذا يوضح أن الافتراض الأمني في آلية multi-sig هو أن الموقعين لم يتم التلاعب بهم عبر أساليب الهندسة الاجتماعية.

س: هل تضمنت هذه العملية ثغرات في العقود الذكية؟

لا. أكدت Drift رسميًا أن جوهر هذا الهجوم هو اختراق عبر الهندسة الاجتماعية وإساءة استخدام ميزة Durable Nonce، وليس ثغرات تقليدية في كود العقود الذكية.

س: ما الإجراءات التي اتخذتها Drift بعد وقوع الحادث؟

قامت Drift بتجميد جميع وظائف البروتوكولات، ونقلت المحافظ المتضررة خارج multi-sig، ودعت شركات أمنية للمشاركة في تحقيقات معمقة بشأن جمع الأدلة. وأفاد فريق البروتوكول بأنه يعمل مع جهات إنفاذ القانون لمحاولة تتبع الأموال المسروقة.