وقع أكبر اختراق لـ DeFi هذا العام الأسبوع الماضي في الأول من أبريل عندما تعرض بروتوكول Drift، أحد أكبر منصات التداول اللامركزية الدائمة على شبكة سولانا، لاستغلال أدى إلى اختفاء ما يقرب من 286 مليون دولار من البروتوكول. وارتبط الهجوم بمتسللين مرتبطين بكوريا الشمالية وحدث الاختراق بأكمله في 10 ثوانٍ فقط. ما يثير الدهشة في هذا الاختراق هو طبيعته الدقيقة. لم يتم كسر أي كود ولم يكن هناك خطأ في أي العقد الذكي. تشير التحقيقات من شركات الطب الشرعي للعملات المشفرة مثل Elliptic و TRM Labs في الواقع إلى اختراق أكثر حسابًا.
أمضى المهاجمون الكوريون الشماليون ثلاثة أسابيع في تصنيع توكن مزيف يسمى CarbonVote، وزرعوه ببضعة آلاف من الدولارات لجعله يبدو حقيقيًا، وفي نفس الوقت استخدموا الهندسة الاجتماعية لإقناع اثنين من خمسة موقعين في مجلس الأمن متعدد التوقيعات لـ Drift بالتوقيع المسبق على تفويضات مخفية لم يفهموها بالكامل. بعد ذلك، استخدموا ميزة في سولانا تسمى "durable nonces" للاحتفاظ بتلك التوقيعات في الاحتياطي لأكثر من أسبوع، في انتظار اللحظة المناسبة. كل ما تطلبه الأمر كان معاملة واحدة في الأول من أبريل.
كما أشارت Elliptic، كان هذا الهجوم هو الاختراق الثامن عشر للعملات المشفرة المرتبط بكوريا الشمالية هذا العام فقط، حيث سحب حوالي 300 مليون دولار من المجال. بعد أربعة أيام من الاختراق، صرح المدير التقني لـ Ledger علنًا لتسليط الضوء على الطبيعة المقلقة للاختراق وأن الذكاء الاصطناعي يدفع تكلفة الهجمات مثل هذه "إلى الصفر". هذا البيان مهم للغاية لأن اختراق Drift هو دراسة حالة حول كيفية عمل هذه العمليات الآن. لم يكن المهاجمون بحاجة إلى ثغرة يوم الصفر أو خبير تشفير من الدرجة الأولى. كل ما احتاجوه كان الصبر، وتوكن مزيف مقنع، وشخصين يمكنهم التلاعب بهما. كشف الاختراق في الواقع عن ضعف هيكلي في DeFi كما هو اليوم. يقوم DeFi ببناء بنية تحتية بمليارات الدولارات مؤمنة بواسطة مجموعات صغيرة من الأشخاص الذين يمكن خداعهم، بينما يزداد الخصوم براعة في القيام بذلك بالضبط.
كيف سرقت كوريا الشمالية 286 مليون دولار في 10 ثوانٍ
كان اختراق بروتوكول Drift استغلالًا متطورًا امتد على مدى ثلاثة أسابيع من التحضير. ذكرت بلومبرج الاختراق أولاً في الأول من أبريل، عندما أكد بروتوكول Drift أن ما يقرب من 286 مليون دولار من أصول المستخدمين قد تم سحبها. بدأ المخطط بأكمله في الواقع في 11 مارس عندما سحب المهاجم 10 ETH من Tornado Cash في حوالي الساعة 9 صباحًا بتوقيت بيونغ يانغ واستخدمها لنشر التوكن المزيف، CarbonVote (CVT)، وهو أصل خيالي تمامًا تم زرعه ببضعة آلاف من الدولارات من السيولة وتم إبقاؤه حيًا من خلال التداول المزيف.
على مدار الأسبوعين التاليين، بين 23 و 30 مارس، فتح المهاجم حسابات nonce دائمة، وهي ميزة شرعية على شبكة سولانا تتيح توقيع المعاملات مسبقًا والاحتفاظ بها إلى أجل غير مسمى دون انتهاء صلاحيتها. خلال هذه الفترة، استخدم المهاجم الهندسة الاجتماعية لإقناع اثنين من خمسة موقعين في مجلس الأمن متعدد التوقيعات لـ Drift بالموافقة على معاملات بدت طبيعية ولكن، كما أكدت TRM Labs لاحقًا، حملت تفويضات مخفية للتحكم الإداري الحرج.
وقعت القطعة الأخيرة في 27 مارس، عندما نقل Drift مجلس الأمن الخاص به إلى تكوين عتبة جديد 2/5 مع صفر timelock كما ذكرت BlockSec، مما أزال بشكل أساسي التأخير الوحيد الذي كان سيسمح لأي شخص بالتقاط ما كان قادمًا. بحلول الأول من أبريل، كان الفخ محملاً بالكامل منذ أيام.
في الأول من أبريل، استخدم المهاجم تلك الموافقات الموقعة مسبقًا لإدراج CarbonVote كضمان صالح، وضخم قيمته إلى مئات الملايين عبر تلاعب بتسعير أوراكل وتم الاستيلاء على الحوكمة. من هناك، أفرغت 31 معاملة سحب خزائن Drift في غضون ثوانٍ. تضمنت أكبر قطعة وحدها أكثر من 155 مليون دولار من توكنات JLP إلى جانب عشرات الملايين من USDC و SOL و ETH وغيرها من توكنات الستاكينج السائلة التي تم استنزافها وانهارت القيمة الإجمالية المقفلة على البروتوكول على الفور من حوالي 550 مليون دولار إلى أقل من 250 مليون دولار.
سرعة الاختراق هي جزء واحد فقط من هذه القصة. أظهرت خطة مفصلة استمرت لمدة ثلاثة أسابيع وانتهت باختراق لمدة 10 ثوانٍ مدى سهولة أن تصبح الحوكمة، وليس الكود، الحلقة الأضعف في DeFi.
حرب الكريبتو بقيمة 300 مليون دولار في كوريا الشمالية في 2026
هذا الاختراق، الذي يُزعم أنه ارتُكب من قبل مهاجمين مرتبطين بكوريا الشمالية، ليس بأي حال من الأحوال حدثًا معزولاً. في الواقع، إذا نظرت إلى بعض أبرز الاختراقات خلال السنوات القليلة الماضية، يصبح واضحًا أن هذا جزء من حملة أكبر بكثير مدفوعة من الدولة. هذا العام وحده، أفادت Elliptic أن استغلال Drift يجعله السرقة الثامنة عشرة للعملات المشفرة المنسوبة إلى كوريا الشمالية، مما دفع المبلغ الإجمالي للأموال المسروقة إلى أكثر من 300 مليون دولار حتى الآن هذا العام. إذا نظرت إلى ما وراء هذا العام، يصبح من الصعب جدًا تجاهل حجم مثل هذه الاختراقات من بلد واحد. في العام الماضي، سرق الفاعلون المرتبطون بكوريا الشمالية ما بين 1.92 مليار دولار وفقًا لـ TRM Labs بينما تضع Chainalysis هذا الرقم عند 2.02 مليار دولار من العملات المشفرة. هذا يمثل قفزة بنسبة 51٪ على أساس سنوي في الاختراقات التي نفذتها هذه المجموعة ودفع سرقتهم الإجمالية إلى 6.75 مليار دولار.
شكلت كوريا الشمالية رقمًا قياسيًا بنسبة 76٪ من جميع تسويات الخدمة في عام 2025، مما يعني أن بلدًا واحدًا مسؤول عن الغالبية العظمى من السرقات التي تحدث في الصناعة. على هذه الخلفية، يتناسب اختراق Drift، الذي يعد الآن ثاني أكبر استغلال ضمن النظام البيئي سولانا بعد اختراق Wormhole في عام 2022، مع نمط من الهجمات.
ما يحدد هذا النمط هو الاتساق. كان اختراق Bybit في فبراير 2025، أكبر سرقة للعملات المشفرة في التاريخ، يحتوي على إعدادات متطابقة تقريبًا تضمنت الهندسة الاجتماعية والوصول المخترق وتبادل الأموال المنسق. تلاحظ TRM Labs أن مشغلي كوريا الشمالية يعتمدون بشكل متزايد على شبكات "المغسلة الصينية" للأموال التي يتم تجسيرها عبر سلاسل مختلفة في غضون ساعات.
يُظهر هجوم Drift في الواقع نظامًا من الفرق المدعومة من الدولة التي تدير عمليات متعددة الأسابيع مع الاستطلاع والتلاعب البشري والبنية التحتية للغسيل العالمية الموجودة بالفعل.
الذكاء الاصطناعي يدفع تكاليف الهجوم "إلى الصفر": يحذر المدير التقني لـ Ledger
بعد أربعة أيام من استنزاف Drift، أخبر المدير التقني لـ Ledger Charles Guillemet موقع CoinDesk بشيء أعاد صياغة الحادث بأكمله. قال: "يصبح اكتشاف الثغرات واستغلالها سهلاً حقًا، حقًا". "التكلفة تنخفض إلى الصفر". لم يذكر Guillemet اسم Drift، لكنه وصف آلياته بالضبط. لا يساعد الذكاء الاصطناعي المهاجمين فقط في العثور على أخطاء الكود بشكل أسرع، بل يجعل الهندسة الاجتماعية أكثر إقناعًا، والتصيد أكثر تخصيصًا، وعمل التحضير الذي قضاه المشغلون الكوريون الشماليون ثلاثة أسابيع في القيام به على Drift أرخص وأكثر قابلية للتوسع بترتيب من حيث الحجم. كما أشار إلى مشكلة مركبة على الجانب الدفاعي: مع اعتماد المزيد من المطورين على الكود الذي تم إنشاؤه بواسطة الذكاء الاصطناعي، يمكن أن تنتشر الثغرات بشكل أسرع مما يمكن للمراجعين البشريين اكتشافها. قال: "لا يوجد زر 'اجعله آمنًا'". "سنقوم بإنتاج الكثير من الكود الذي سيكون غير آمن بالتصميم". تسببت الاختراقات والاستغلالات في خسائر بقيمة 1.4 مليار دولار من العملات المشفرة خلال العام الماضي، وتوقع Guillemet هو أن المنحنى يزداد انحدارًا، وليس أكثر تسطحًا.
اختراق Drift هو أوضح دليل على المفهوم لهذا التحذير. لم يلمس المهاجمون الكود أبدًا، بل استهدفوا الشخصين اللذين يحملان المفاتيح. لا يحتاج الذكاء الاصطناعي إلى كسر العقد الذكي إذا كان بإمكانه إنشاء ذريعة مقنعة بما يكفي لخداع موقع متعدد التوقيعات للموافقة على معاملة لا يفهمونها بالكامل. يتوقع Guillemet أن تنقسم الصناعة: ستستثمر الأنظمة الحرجة مثل المحافظ والبروتوكولات الأساسية بكثافة في الأمان وتتكيف، لكن الكثير من النظام البيئي الأوسع للبرمجيات قد تكافح لمواكبة الوتيرة. إصلاحاته الموصى بها، التحقق الرسمي باستخدام البراهين الرياضية، عزل الأجهزة للمفاتيح الخاصة، سليمة هيكليًا ولكنها تتطلب مستوى من الانضباط المؤسسي الذي لم تبنه معظم بروتوكولات DeFi، بما في ذلك Drift، بعد. قال: "عندما يكون لديك جهاز مخصص غير متصل بالإنترنت، فهو أكثر أمانًا بالتصميم". لم يكن لدى مجلس الأمن في Drift مثل هذا العازل. توقيعان، صفر timelock، وتوكن مزيف كان كل ما تطلبه الأمر.
ما الذي سيحدث بعد ذلك: تعافي Drift واستجابة الصناعة
ما الذي سيحدث بعد ذلك لبروتوكول Drift ليس واضحًا على الإطلاق والإشارات المبكرة تقسم الصناعة بالفعل. في الأعقاب المباشرة، اقترح Anatoly Yakovenko مسار تعافي محتمل: إصدار token airdrop على طراز IOU للمستخدمين المتأثرين، مما يعكس دليل Bitfinex لعام 2016 بعد اختراقها بقيمة 72 مليون دولار.
الفكرة بسيطة - إضفاء الطابع الاجتماعي على الخسائر الآن، وسداد المستخدمين بمرور الوقت إذا تعافى البروتوكول. لكن السياق مختلف تمامًا. تم تخفيض TVL لـ Drift إلى النصف تقريبًا، وتظل الإيداعات والسحوبات معلقة، وعلى عكس Bitfinex، يفتقر إلى محرك إيرادات مركزي لدعم تلك الالتزامات. وقد أدى ذلك إلى رد فعل فوري: توكنات IOU، في هذه الحالة، تخاطر بأن تصبح أدوات مضاربة بحتة دون مسار واضح للاسترداد.
في الوقت نفسه، يثير النشاط على السلسلة مخاوف جديدة. أشار Onchain Lens إلى أن محفظة مرتبطة بفريق Drift نقلت 56.25 مليون توكن DRIFT (≈ 2.44 مليون دولار) إلى منصات تداول مركزية بما في ذلك Bybit و Gate بعد وقت قصير من الاستغلال، وهي خطوة تسبق عادة ضغط البيع وأثارت تكهنات حول تحديد موقع المطلعين أثناء أزمة السيولة.
في هذه الأثناء، تم بالفعل تجسير أموال المهاجم عبر السلاسل، لا سيما إلى الإيثريوم، مما يقلل من احتمالية التعافي الهادف مع مرور كل يوم. الآثار الأوسع هي أن هذا الحادث لن ينتهي مع Drift. من المرجح أن يسرع التدقيق على مستوى الصناعة حول حوكمة DeFi نفسها، من معايير الأمان متعدد التوقيعات ومتطلبات timelock إلى تصميم أوراكل وضوابط التنفيذ. ما يأتي بعد ذلك يعتمد على ثلاثة متغيرات: ما إذا كان Drift يمكن أن يقدم خطة تعافي ذات مصداقية، وما إذا كان يمكن تتبع أي جزء من الأموال أو تجميدها، وما إذا كان هذا يفرض أخيرًا إصلاحًا هيكليًا، أو يصبح مجرد درس مكلف آخر تتجاوزه الصناعة.
إذا كنت تقرأ هذا، فأنت بالفعل في المقدمة. ابق هناك مع نشرتنا الإخبارية.
المصدر: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
