تم سرقة أكثر من 2.8 مليار دولار من Drift في عيد الفصح. هل كانت هجمة قرصنة أم سرقة من الداخل؟

شاو، الأخبار المالية الذهبية

في 2 أبريل، تعرضت منصة تداول المشتقات Drift Protocol لحادثة أمنية، وتُظهر بيانات السلسلة أن الخسائر تجاوزت 285 مليون دولار. صرّح الجهة المطوّرة بأنها اكتشفت نشاطًا غير طبيعي وتعمل حاليًا على التحقيق، مع تنبيه المستخدمين إلى عدم إيداع أموال في البروتوكول مؤقتًا، والتأكيد على أن “هذا ليس مزحة في يوم كذبة أبريل”.

تتعلق عملية الهجوم بعدة مجمعات أموال، بما في ذلك JLP Delta Neutral وSOL Super Staking وBTC Super Staking وغيرها. بلغت قيمة تحويل رموز JLP بحجم صفقة واحدة بنحو 41.7 مليون رمز، ما يقدّر بحوالي 155 مليون دولار، بالإضافة إلى خروج أصول مثل SOL وUSDC وcbBTC وwBTC وغيرها.

وفقًا للإحصاءات، قد تصبح هذه الحادثة واحدة من أكبر هجمات DeFi في حجمها على الإطلاق في نظام Solana البيئي، بعد استغلال Wormhole bridge.

أولًا: أحدث التحديثات بشأن حادث تعرض Drift Protocol للهجوم

في 1 أبريل 2026 حسب توقيت شرق الولايات المتحدة، واجه بروتوكول المشتقات اللامركزي Drift Protocol على نظام Solana البيئي هجومًا اختراقيًا كبيرًا، حيث بلغت الأصول المسروقة نحو 285 مليون دولار، وكانت الأصول الأساسية المسروقة بشكل رئيسي: حوالي 41.7 مليون رمز JLP بقيمة 155.6 مليون دولار؛ فضلًا عن أصول متنوعة مثل USDC وSOL وcbBTC وwBTC. أصبحت حادثة السرقة واحدة من ثاني أكبر هجوم في تاريخ Solana وأكبر هجوم بحجم من نوعه على DeFi.

وعقب ذلك، نشر Drift Protocol رسميًا على منصة اجتماعية تأكيدًا: “Drift Protocol يتعرض للهجوم. تم إيقاف وظائف الإيداع والسحب. نحن نعمل مع عدة جهات أمنية وجسور عبر السلاسل وبورصات للتعاون معًا للسيطرة التامة على تطور الأمور. هذا ليس مزحة في يوم كذبة أبريل. ستتم مشاركة المزيد من المعلومات في أقرب وقت ممكن عبر هذا الحساب.”

بدأ الهجوم في ساعات فجر 2 أبريل. أطلقت منصة مراقبة السلسلة PeckShield تنبيهًا: بدأ عنوان المحفظة الرئيسية (المخزن الرئيسي) في Drift بتحويل مبالغ كبيرة إلى محفظة جديدة تم إنشاؤها تحمل اسم HkGz4K. كانت الدفعة الأولى من الرموز المسحوبة بشكل أساسي هي رموز JLP (Jito Liquidity Provider) بقيمة تقارب 155 مليون دولار، ثم تلتها USDC وSOL وcbBTC وwBTC وWETH وبعض العملات meme. تُظهر بيانات PeckShield أنه خلال فترة قصيرة، بلغ إجمالي خروج الأصول 285 مليون دولار.

وفقًا لمراقبة Yu Jin، تم بالفعل تبديل أصول الـ 285 مليون دولار التي سُرقت من Drift إلى 129 ألفًا و600 ETH (278 مليون دولار). خلال الساعات القليلة الماضية، وباستخدام عدة طرق، قام القراصنة ببيع هذه الأصول وتحويلها عبر السلسلة إلى شبكة Ethereum، ثم في شبكة Ethereum قاموا بشراء ETH. الآن، أصبحت أصول الـ 285 مليون دولار التي تم سرقتها على Solana قد تم شراؤها وتحويلها على شبكة Ethereum إلى 129,066 ETH.

بالإضافة إلى ذلك، أفادت مجموعة أمان SlowMist في منشور على وسائل التواصل الاجتماعي بأن الأموال المسروقة تم تجميعها حاليًا بشكل أساسي في عناوين Ethereum التالية: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674 و0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7 و0xaa843ed65c1f061f111b5289169731351c5e57c1، بإجمالي: 105,969 ETH (قرابة 226 مليون دولار).

مجموعة عناوين القراصنة:

ثانيًا: تفسير هجوم Drift Protocol، هل “السارق من داخل الحراسة”؟

هذه الهجمة كانت مزيجًا مدروسًا من اختراق صلاحيات + هجوم تلاعب بالأسعار؛ والجوهر يتمثل في أن القراصنة بعد الاستيلاء على صلاحيات المسؤول، وبالاستناد إلى تزوير رموز وتلاعب بالأوراكل، تمكنوا على الفور من تجاوز حدود التمويل، ونهبوا خزينة البروتوكول. بعد الحصول على المفتاح الخاص للمسؤول، قام القراصنة بإلغاء آلية المخاطر الأساسية في البروتوكول (حدود السحب)، ثم استخدموا ضمانات وهمية لسحب مبالغ كبيرة بالجملة من مجمع الأموال، وأكملوا عملية غسل الأموال عبر تحويل الأصول عبر السلاسل.

وبخصوص حادثة سرقة الأصول الناجمة عن هجوم على Drift Protocol، كتب مؤسس SlowMist Yu Xian تحليلًا يشير فيه إلى أن قبل الهجوم بأسبوع، قام Drift بتعديل آلية الحساب متعدد التوقيعات إلى “2/5” (موقّع قديم واحد + 4 موقّعين جدد)، ولم يتم إعداد قفل زمني (timelock). ثم حصل المهاجم على صلاحيات المسؤول، وقام بتزوير رموز CVT، والتلاعب بالأوراكل، وإيقاف آليات الأمان، ونقل أصولًا عالية القيمة من مجمع الأموال.

كما ذكر Omer Goldberg، الشريك المؤسس لدى Chaos Labs، في منشور على وسائل التواصل الاجتماعي أنه قبل أسبوع، تم ترحيل Drift إلى محفظة جديدة متعددة التوقيعات، وأن هذه المحفظة تم إنشاؤها بواسطة أحد الموقعين ضمن المجموعة متعددة التوقيعات القديمة. ولم يقم هذا الموقّع بإضافة نفسه إلى قائمة الموقّعين الجديدة. وفي الوقت نفسه، قام المهاجم بتقديم اقتراح داخل المجموعة متعددة التوقيعات القديمة لنقل صلاحيات المسؤول إلى هذه المحفظة الجديدة. تضم المجموعة متعددة التوقيعات الجديدة 5 موقّعين، يوجد واحد فقط من الفريق الأصلي، بينما الأربعة الآخرون عناوين جديدة بالكامل. تم ضبط هذه المحفظة على عتبة توقيع 2/5، وبدون أي قفل زمني (تأخير 0 ثانية). قبل نحو 5 ساعات، قدم الموقّع الوحيد من النسخة الأصلية (ضمن المجموعة القديمة) اقتراحًا عبر المجموعة متعددة التوقيعات الجديدة لتغيير صلاحيات مدير Drift. وقام أحد الموقّعين الجدد بالموافقة الموقّتة خلال ثانية واحدة، ما حقق فورًا عتبة 2/5. وبسبب عدم وجود قفل زمني، تم تنفيذ العملية مباشرة.

بالنظر إلى الأدلة الحالية على السلسلة، وسلوك الفريق، واتجاه تدفق الأموال، فإن احتمال “السارق من داخل الحراسة” يعد بالفعل الاتجاه الأعلى تداولًا والأثقل بالشكوك في الأوساط الحالية، بل إنه أكثر اتساقًا منطقيًا من “اختراق القراصنة من الخارج”. سابقًا، قامت الجهة الرسمية بتعديل آلية متعددة التوقيعات، مما جعل بنية الصلاحيات “مناسبة جدًا للهجوم”، وليس شيئًا يمكن اعتباره حادثًا؛ كما أن أسلوب الهجوم “يفهم المنطق الداخلي تمامًا”، ولا يشبه أسلوب القراصنة الخارجيين إطلاقًا. وعلاوة على ذلك، أظهرت الجهة الرسمية برودًا غير معتاد تجاه سرقة هذا المبلغ الضخم. بعد وقوع السرقة، كان اتجاه تدفق الأموال واضحًا ونظيفًا للغاية، وتم تبديل الأموال سريعًا إلى ETH وإجراء عمليات عبْر السلسلة، ولم يتم ضخ الأموال إلى بورصات مركزية يمكن تجميدها بسهولة. سلسلة الأحداث وطريقة تنفيذ العمليات هذه دفعت المجتمع إلى الشك بخصوص “السارق من داخل الحراسة” لدى Drift الرسمي بشكل متزايد.

ثالثًا: الأطراف المعنية ورد فعل مجتمع التشفير

بعد وقوع حادثة سرقة أصول Drift Protocol، اختلفت ردود فعل الأطراف المعنية ومجتمع التشفير:

• في حادث سرقة بروتوكول DeFi Drift، بلغ خسارة مركز JLP حوالي 155.6 مليون دولار. وبخصوص ذلك، صرّح Jupiter الرسمي بأن المنصة لم تتأثر بهذه الحادثة، وأن منتج الإقراض الخاص بها Jupiter Lend لا يتضمن سوق Drift، وأن أصول JLP “مدعومة بالكامل بالأصول الأساسية”. كما ذكر Jupiter أن هذه الحادثة بالنسبة لنظام Solana DeFi كانت “يومًا صعبًا”، وأعرب عن قلقه تجاه فريق Drift والمستخدمين المتأثرين.

• بروتوكول توليد العوائد Unitas Protocol نشر تغريدة جاء فيها أنه لم يتعرض لأي تأثير من حادثة هجوم Drift Protocol. لا توجد لدى Unitas أي تعرضات على Drift. جميع الضمانات آمنة، وجميع الاستراتيجيات (بما فيها استراتيجية JLP Delta المحايدة) تعمل بشكل طبيعي. أموال المستخدمين آمنة. يمكن التحقق من الضمانات بشكل فوري عبر لوحة معلومات إثباتات الاحتياط عبر Accountable وPrimus Labs.

• بروتوكول سيولة Solana Meteora نشر تغريدة جاء فيها أن جميع الأموال على Meteora آمنة، وأن جميع وظائف المنصة وخزائنها لم تتفاعل مع بروتوكول Drift.

• Anna، مؤسِّسة البنية التحتية للعملات المستقرة Perena، نشر تغريدة جاء فيها أن Perena USD* وUSD*-J وUSD*-P لم تتأثر بحادثة هجوم Drift. لكن تبين أن خزينة JLP التابعة لمنصة مشاركة استراتيجيات القياس الكمي في نظام Solana Neutral Trade قد تأثرت لأنها تعمل على Drift Protocol، ويتواصل الفريق مع الشركاء وسيواصل تحديث التقدم.

• مستخدمو منصة X @hzkj99: تم اختراق بروتوكول Drift في نظام SOL، وكانت الخسائر بمئات الملايين من الأموال. كلما كان هناك أموال، فإن الأمان هو الأولوية القصوى دائمًا، وخصوصًا في سوق هابطة حيث ستظهر بالتأكيد بروتوكولات جديدة يتم اختراقها. إن هذا العالم عبارة عن فريق عمل كبير مؤقت، وبعض البروتوكولات يمكن اختراقها عدة مرات، وDrift ليس آخر بروتوكول تم اختراقه

• مستخدمو منصة X @lanhubiji: تعرض Drift Protocol لاستغلال ثغرة كبيرة، وخسارته في حدود 270 مليون دولار تقريبًا، وهو أحد أكبر حوادث هجمات DeFi حتى الآن في عام 2026. بعض المنشورات، وبأسلوب جاد، تقول: “مؤسسة Solana تتعاون مع خوادم Toly (المؤسس المشارك) في القبو لتطبيق استرجاع/rollback”. صحيح إنها نكتة، لكن قول ذلك مبالغ فيه قليلًا.

• مستخدمو منصة X @EnHeng456: في سوق هابطة، حقًا يجب أن تكون حذرًا جدًا عند حفظ الأموال، فالأجواء أصبحت أقل أمانًا أكثر فأكثر، وهناك أخبار عن سرقات في كل مكان. وبعض البروتوكولات القديمة أيضًا تواجه مشاكل تحديدًا في السوق الهابطة، ومن الصعب عليك التفريق بين هجوم القراصنة و“السارق من داخل الحراسة”. مؤخرًا أنا كنت محافظًا أيضًا، فقط وضعت أموالي بأمان في USD1 ولم أعد أودع في كل مكان. في مثل هذه الأوضاع، كلما زاد العبث كان من الأسهل حدوث مشكلة. أحيانًا أن لا تتحرك يكون الخيار الأفضل، وقد تم اختراق Drift بملياري دولار ثم وصلت الأموال إلى جيب الجنرال.

رابعًا: تأثير حادثة اختراق Drift Protocol

تعد حادثة اختراق Drift Protocol التي طالت 285 مليون دولار ثاني أكبر هجوم DeFi في تاريخ نظام Solana، وتأثيرها يتجاوز البروتوكول نفسه بكثير، مما أدى إلى ضربة قوية لثقة نظام Solana البيئي وتسريع التحول في أمن DeFi.

لقد كشفت هذه الهجمة عن عيوب قاتلة لدى مشاريع DeFi في إدارة الصلاحيات متعددة التوقيعات وفي أمان الأوراكل. الصلاحيات هي بمثابة الخزينة، وبمجرد أن تتعرض مفاتيح المسؤولين للخطر وغياب آليات الإيقاف العاجل مثل القفل الزمني، فقد تفشل أي منطق معقدة في الشيفرة فورًا. بالنسبة إلى Drift Protocol، ما لم يتم استرداد الأموال الكبيرة أو دخول “عملاق” كجهة مشترية، فسيمضي الأمر نحو التصفية والإفلاس والدعاوى القضائية. وبالنسبة إلى Solana ونظامها البيئي، فإن سمعة النظام تلحق بها ضربة قوية، مع تدفق رؤوس أموال في المدى القصير وتباطؤ في النمو على المدى القصير، وعلى المدى الطويل ستفرض الحاجة إلى ترقية الأمان. وأما بالنسبة إلى صناعة DeFi بأكملها، فيمكن القول إنها بمثابة نقطة تحول للصناعة: “أمن الصلاحيات أهم من أمن الكود” ستصبح قاعدة حديدية، وترتفع تكلفة الثقة بشكل حاد، وسيصل DeFi إلى مرحلة جديدة من المزيد من الامتثال والشفافية والأكثر مركزية (حوكمة الأمان).