استعادة عميقة لحدث الاختراق بقيمة 285 مليون دولار من Drift: كيف يجب أن تودع إدارة التمويل اللامركزي "الفرقة غير الرسمية"؟

null

في 1 أبريل 2026، تعرض أكبر بورصة عقود دائمة لامركزية في نظام إيكولوجي سولانا، Drift Protocol، لضربة تاريخية. خلال بضعة عشر دقيقة فقط، تم نهب ما يصل إلى 285 مليون دولار من الأصول المشفرة، مسجلاً أكبر حادث أمني في مجال التمويل اللامركزي (DeFi) هذا العام.

مع تحليل بيانات السلسلة وتدخل المؤسسات الأمنية بشكل متعمق، بدأت صورة هجوم APT المشتبه بقيادته من قبل منظمة قرصنة كورية شمالية تتضح تدريجيًا. والمؤسف أن تدمير هذا الحصن الذي يحوي مئات الملايين من الدولارات من DeFi لم يكن بسبب ثغرة يوم الصفر (0-day) المعقدة، بل كان نتيجة عملية طويلة الأمد من الهندسة الاجتماعية التي استهدفت الطبيعة البشرية.

هذه الكارثة ليست فقط أظلم لحظة لـ Drift، بل كشفت أيضًا عن عيوب إدارة الحوكمة والمفاتيح في صناعة DeFi الحالية.

مخطط مسبق للهجوم: كيف سقط Drift خطوة بخطوة؟

عند استعراض مسار هجوم القراصنة، نكتشف أنه كان عملية منسقة بشكل دقيق، تتسم بالصبر والتعاون متعدد الخطوط. استغل المهاجمون بشكل مثالي ثقة مجتمع مطوري Web3 في مبدأ “الكود هو القانون”، وإهمال الحلقة الأضعف وهي “البشر”.

الخطوة الأولى: التسلل تحت غطاء “تاجر السوق”

قبل ستة أشهر من الحادث، تظاهر المهاجمون بأنهم مؤسسة تداول كمي ذات رأس مال كبير. لم يقتصر الأمر على التواجد في مؤتمرات التشفير الكبرى مع فريق Drift، بل قاموا أيضًا بإيداع مئات الآلاف من الدولارات في البروتوكول. من خلال المشاركة في اختبار المنتج، وتقديم استراتيجيات عالية الجودة، تمكن القراصنة من الاختلاط في مجموعات التواصل الداخلية لـ Drift، وبناء ثقة قاتلة.

الخطوة الثانية: زرع قنبلة موقوتة باستخدام “الأرقام العشوائية الدائمة”

بعد كسب ثقة المساهمين الرئيسيين، بدأ المهاجمون في استغلال آلية “الأرقام العشوائية الدائمة (Durable Nonces)” الخاصة بشبكة سولانا. تتيح هذه الآلية توقيع المعاملات مسبقًا خارج الشبكة، ثم بثها وتنفيذها في أي وقت لاحق. باستخدام أساليب ذكية وطلبات اختبار مزيفة، حث المهاجمون أعضاء لجنة الأمان في Drift على توقيع “توقيع أعمى (Blind Signing)” لعدة معاملات تبدو عادية. لكن المحتوى الحقيقي لهذه المعاملات كان لنقل السيطرة العليا على إدارة البروتوكول (Admin).

الخطوة الثالثة: التوقيع متعدد التواقيع 2/5 وغياب قفل الوقت

في 27 مارس، أجرى Drift تحديثًا حاسمًا للحوكمة: نقل لجنة الأمان إلى بنية توقيع متعدد 2/5 جديدة، وإزالة قفل الوقت (Timelock). هذا يعني أنه بمجرد جمع توقيعين، يمكن تنفيذ أي تعديل على منطق البروتوكول على الفور، دون أي وقت للاستجابة أو فصل الاتصال.

الخطوة الرابعة: آلة سحب العملة الوهمية الوهمية

في 1 أبريل، قام المهاجمون بتفعيل جميع الأوامر التي تم التلاعب بها مسبقًا. بثوا أوامر التوقيع المتعددة التي حصلوا عليها مسبقًا، واستولوا على صلاحية إدارة البروتوكول. ثم أضافوا عملة وهمية تسمى CVT (CarbonVote Token) إلى القائمة البيضاء، ورفعوا حد الاقتراض الخاص بها إلى الحد الأقصى. وبالاعتماد على تلاعب الأسعار بواسطة أوامر البيانات (Oracle)، استخدم المهاجمون عملات غير حقيقية كضمان، واستولوا بشكل قانوني على 285 مليون دولار من USDC وSOL وETH من خزائن Drift.

التوقيع الشرعي ≠ النية الشرعية: نقطة ضعف أمان DeFi

ما يثير الإحباط في حادثة Drift هو أن كل خطوة قام بها المهاجمون كانت “مشروعة” في نظر آلة الافتراضية للبلوكشين. لم يستغلوا ثغرات تجاوز السعة أو هجمات إعادة الدخول، بل حصلوا ببساطة على مفاتيح المدير الشرعية، ودخلوا بشكل قانوني إلى الخزينة.

هذا يكشف عن خلل كبير في إدارة الأموال في بروتوكولات DeFi الحالية: استخدام أدوات إدارة صغيرة الحجم لإدارة خزائن بمليارات الدولارات على مستوى المؤسسات.

حتى الآن، تعتمد معظم بروتوكولات DeFi الرائدة بشكل كبير على التوقيعات المتعددة المستندة إلى العقود الذكية (مثل Safe أو آليات التوقيع المتعددة الأصلية). لكن هذا الهيكل يعاني من عيوب قاتلة:

عدم القدرة على مقاومة الهندسة الاجتماعية: طالما تمكن المهاجمون من السيطرة على عدد من الأشخاص الرئيسيين الذين يملكون المفاتيح الخاصة، تنهار الدفاعات.

نقص التحقق من النية: التوقيع المتعدد يتحقق فقط من “هل هؤلاء الأشخاص هم من وقعوا”، ولا يتحقق من “هل ينوون البيع أو التنازل عن السيطرة”.

من التجارب التقنية إلى البنية التحتية المالية: التطور الضروري لأمان Web3

لقد كلفنا هجوم Drift 285 مليون دولار درسًا باهظ الثمن: مع تسارع دمج Web3 مع التمويل التقليدي، يجب على بروتوكولات DeFi أن تتخلى عن نماذج الحوكمة التي تعتمد فقط على ضمير المطورين والتوقيعات المتعددة البسيطة، وأن تتجه نحو معايير أمان على مستوى المؤسسات.

حاليًا، توصلت المؤسسات الرائدة والمراقبون الأمنيون إلى إجماع، على أن التحديث الأمني التالي للبنية التحتية لـ DeFi يجب أن يتضمن ترقية في عدة مجالات رئيسية:

ترقية الأساسيات التشفيرية: التوجه نحو HSM (وحدة الأمان المادية)

مقارنة بالتجميع البرمجي للتوقيعات المتعددة، تخزن HSM مفاتيح البروتوكول الخاصة في شرائح معتمدة ومشفرة على مستوى عسكري، بحيث لا يمكن تصدير المفاتيح. هذا الفصل المادي والأمني من خلال الأجهزة يمنع بشكل جذري مخاطر الهجمات الاجتماعية من قبل الموظفين الداخليين أو الاختراقات للأجهزة، ويوفر حماية أمنية تفوق بكثير التوقيعات المتعددة التقليدية.

إدخال “محرك السياسات المستند إلى النية” (Policy Engine)

مستقبل إدارة صلاحيات DeFi لا يجب أن يقتصر على “التحقق من التوقيع” فقط. يجب أن يتضمن النظام آلية مراقبة داخلية، مثل: عند محاولة تعديل حد اقتراض رمز غير معروف (مثل CVT في حالة Drift) إلى غير محدود، يجب أن يتمكن محرك السياسات من التعرف على النية غير الطبيعية، وتفعيل آلية إيقاف الطوارئ، وفرض تحقق متعدد المستويات (مثل المراجعة اليدوية، التحقق بالفيديو، أو قفل الوقت الإجباري).

اعتماد قوة الحفظ المستقلة والمنظمة

مع تزايد قيمة الأصول المقفلة (TVL)، ينبغي على مطوري البروتوكولات أن يركزوا على منطق الكود والابتكار في الأعمال، وأن يتركوا السيطرة على خزائن المليارات والأمان لمؤسسات تنظيمية محترفة ومرخصة. تمامًا كما في التمويل التقليدي، حيث لا تضع البورصات أصول المستخدمين في خزائن شخصية للمديرين. إدخال عمليات إدارة أمنية قوية وموثوقة، مدققة، هو الطريق الوحيد لجعل DeFi أكثر انتشارًا.

كما تدعو إليه شركات مثل Cactus Custody، التي تعمل منذ فترة طويلة على أمن الأصول الرقمية: لا ينبغي أن يكون اللامركزية في DeFi ذريعة للهروب من الرقابة النظامية.

حادثة هجوم Drift قد تكون نقطة تحول. فهي تعلن عن فشل “الحوكمة التقليدية” وتبشر بقدوم نمط أمني جديد يعتمد على البنية التحتية المادية، والتحقق من النية، والإدارة المنظمة. فقط من خلال بناء هذه الدفاعات، يمكن لـ Web3 أن يحمل مستقبلًا بقيمة تريليونات الدولارات.