وقع أكبر اختراق DeFi هذا العام في الأول من أبريل الماضي، حيث تعرض بروتوكول دريفت، أحد أكبر منصات التداول اللامركزية على شبكة solana ، لثغرة أمنية أدت إلى اختفاء ما يقارب 286 مليون دولار من رصيده. نُسب الهجوم إلى قراصنة مرتبطين بكوريا الشمالية، واستغرقت العملية برمتها 10 ثوانٍ فقط. لكن المثير للدهشة في هذا الاختراق هو دقته المتناهية، إذ لم يتم اختراق أي شفرة برمجية أو وجود أي خلل فيtracالذكية. وتشير تحقيقات شركات الطب الشرعي الرقمي مثل إليبتيك وتي آر إم لابز إلى أن الاختراق كان أكثر تخطيطًا وتدبيرًا.
أمضى مهاجمون كوريون شماليون ثلاثة أسابيع في تصنيع رمز مزيف يُدعى CarbonVote، وضخوا فيه بضعة آلاف من الدولارات ليبدو حقيقيًا، وفي الوقت نفسه، قاموا بخداع اثنين من أعضاء مجلس أمن Drift الخمسة ذوي التوقيعات المتعددة، لحملهم على التوقيع المسبق على تفويضات مخفية لم يفهموها تمامًا. بعد ذلك، استخدموا ميزة Solana تُسمى "الأرقام العشوائية الدائمة" للاحتفاظ بتلك التوقيعات لأكثر من أسبوع، في انتظار اللحظة المناسبة. كل ما تطلبه الأمر هو معاملة واحدة في الأول من أبريل.
كما أشارت إليبتيك ، كان هذا الهجوم هو الاختراق الثامن عشر للعملات الرقمية المرتبط بكوريا الشمالية هذا العام فقط، حيث تم سحب حوالي 300 مليون دولار من هذا القطاع. بعد أربعة أيام من الاختراق، صرّح كبير مسؤولي التكنولوجيا في ليدجر مُسلطًا الضوء على خطورة هذا الاختراق، وأن الذكاء الاصطناعي يُخفض تكلفة مثل هذه الهجمات إلى الصفر. هذا التصريح بالغ الأهمية لأن اختراق دريفت يُعدّ دراسة حالة لكيفية عمل هذه العمليات حاليًا. لم يكن المهاجمون بحاجة إلى ثغرة أمنية غير معروفة أو خبير تشفير بارع. كل ما احتاجوه هو الصبر، ورمز مزيف مُقنع، وشخصين يُمكن التلاعب بهما. كشف الاختراق في الواقع عن ثغرة هيكلية في DeFi كما هو عليه اليوم. DeFi بنية تحتية بمليارات الدولارات مؤمنة بواسطة مجموعات صغيرة من الأشخاص الذين يُمكن خداعهم، بينما يُحسّن الخصوم باستمرار من قدرتهم على فعل ذلك.
كيف سرقت كوريا الشمالية 286 مليون دولار في 10 ثوانٍ
كان اختراق بروتوكول دريفت عملية استغلال متطورة استغرقت ثلاثة أسابيع من التحضير. بلومبيرغ تقريرًا عن الاختراق لأول مرة في الأول من أبريل، عندما أكد بروتوكول دريفت سحب ما يقارب 286 مليون دولار من أصول المستخدمين. بدأت الخطة برمتها في 11 مارس، عندما سحب المهاجم 10 إيثيريوم من منصة تورنادو Cash حوالي الساعة التاسعة صباحًا بتوقيت بيونغ يانغ، واستخدمها لنشر رمز مزيف يُدعى كاربون فوت (CVT)، وهو أصل وهمي تمامًا تم تمويله ببضعة آلاف من الدولارات من السيولة، واستمر تداوله عبر عمليات تداول وهمية.
على مدار الأسبوعين التاليين، بين 23 و30 مارس، أنشأ المهاجم حسابات "نونس" دائمة، وهي ميزة مشروعة على Solana تسمح بتوقيع المعاملات مسبقًا والاحتفاظ بها إلى defi دون انتهاء صلاحيتها. خلال هذه الفترة، استخدم المهاجم أساليب الهندسة الاجتماعية لخداع اثنين من الموقعين الخمسة المعتمدين لدى مجلس أمن دريفت، والذين يملكون صلاحية التوقيع المتعدد، لحملهم على الموافقة على معاملات بدت طبيعية، ولكن كما مختبرات TRM لاحقًا، كانت تحمل صلاحيات خفية للتحكم الإداري الحساس.
في 27 مارس، اكتملت العملية عندما قام برنامج Drift بنقل مجلس الأمن الخاص به إلى تكوين جديد بعتبة 2/5 بدون أي قفل زمني، كما أفاد موقع BlockSec ، مما أدى فعليًا إلى إزالة التأخير الوحيد الذي كان سيسمح لأي شخص باكتشاف ما سيحدث. وبحلول الأول من أبريل، كان الفخ قد تم تجهيزه بالكامل لعدة أيام.
في الأول من أبريل، استغل المهاجم الموافقات الموقعة مسبقًا لإدراج CarbonVote كضمان صالح، ورفع قيمتها إلى مئات الملايين عبر التلاعب بأسعار أوراكل، وتم الاستيلاء على نظام الحوكمة. بعد ذلك، أدت 31 عملية سحب إلى إفراغ خزائن Drift في غضون ثوانٍ. وشملت الحصة الأكبر وحدها ما يزيد عن 155 مليون دولار من رموز JLP، إلى جانب عشرات الملايين من USDC وSOL وETH وغيرها من رموز التخزين السائلة، مما أدى إلى انهيار إجمالي القيمة المحجوزة على البروتوكول فورًا من حوالي 550 مليون دولار إلى أقل من 250 مليون دولار.
إن سرعة الاختراق هذه ليست سوى جزء واحد من القصة. فقد أظهرت خطة مفصلة استمرت لثلاثة أسابيع وانتهت باختراق استغرق عشر ثوانٍ فقط، كيف يمكن للحوكمة، وليس الكود، أن تصبح الحلقة الأضعف في DeFi.
حرب العملات المشفرة التي ستشنها كوريا الشمالية بقيمة 300 مليون دولار في عام 2026
هذا الاختراق، الذي يُزعم أن مهاجمين مرتبطين بكوريا الشمالية نفذوه، ليس حدثًا معزولًا بأي حال من الأحوال. في الواقع، إذا نظرنا إلى بعض أبرز عمليات الاختراق خلال السنوات القليلة الماضية، يتضح جليًا dent هذا جزء من حملة أكبر بكثير، مدفوعة من قبل دولة. هذا العام وحده، أفادت شركة Elliptic أن استغلال ثغرة Drift يجعلها عملية سرقة العملات المشفرة الثامنة عشرة المنسوبة إلى كوريا الشمالية، مما يرفع إجمالي الأموال المختلسة إلى أكثر من 300 مليون دولار حتى الآن هذا العام. إذا نظرنا إلى ما بعد هذا العام، يصبح من الصعب جدًا تجاهل حجم مثل هذه الاختراقات من دولة واحدة. في العام الماضي، سرق فاعلون مرتبطون بكوريا الشمالية ما بين 1.92 مليار دولار وفقًا لشركة TRM Labs، بينما Chainalysis هذا الرقم بـ 2.02 مليار دولار من العملات المشفرة. وقد مثّل هذا زيادة بنسبة 51% على أساس سنوي في عمليات الاختراق التي نفذتها هذه المجموعة، ورفع إجمالي سرقاتهم على الإطلاق إلى 6.75 مليار دولار.
شكّلت كوريا الشمالية نسبة قياسية بلغت 76% من إجمالي اختراقات الخدمات في عام 2025، ما يعني أن دولة واحدة مسؤولة عن الغالبية العظمى من عمليات السرقة التي تحدث في هذا القطاع. وفي هذا السياق، يُعدّ اختراق Drift، الذي يُعتبر الآن ثاني أكبر ثغرة أمنية في منظومة Solana بعد اختراق Wormhole عام 2022، جزءًا من نمط الهجمات.
ما defi هذا النمط هو الاتساق. فعملية اختراق منصة Bybit في فبراير 2025، وهي أكبر سرقة للعملات الرقمية في التاريخ، استخدمت أساليب متطابقة تقريبًا dent الهندسة الاجتماعية، واختراق الوصول، وتبادل الأموال المنسق. مختبرات TRM إلى أن مشغلي كوريا الشمالية يعتمدون بشكل متزايد على شبكات "غسيل الأموال الصينية" لتحويل الأموال عبر سلاسل الكتل المختلفة في غضون ساعات.
يُظهر هجوم دريفت في الواقع نظامًا من الفرق المدعومة من الدولة والتي تدير عمليات متعددة الأسابيع مع وجود بنية تحتية للاستطلاع والتلاعب البشري وغسيل الأموال على مستوى العالم.
يحذر كبير مسؤولي التكنولوجيا في شركة ليدجر من أن الذكاء الاصطناعي يخفض تكاليف الهجمات إلى الصفر
بعد أربعة أيام من عملية سحب الأموال من شبكة دريفت، صرّح تشارلز غيليميه، كبير مسؤولي التكنولوجيا في ليدجر، لموقع كوين ديسك بتصريح غيّر dent . قال: "أصبح العثور على الثغرات الأمنية واستغلالها في غاية السهولة، وتكاد التكلفة تنعدم". لم يذكر غيليميه اسم دريفت، لكنه شرح آلية عملها بدقة. فالذكاء الاصطناعي لا يساعد المهاجمين على اكتشاف أخطاء البرمجيات بشكل أسرع فحسب، بل يجعل الهندسة الاجتماعية أكثر إقناعًا، والتصيّد الاحتيالي أكثر تخصيصًا، والعمل التحضيري الذي استغرقه مشغّلو كوريا الشمالية ثلاثة أسابيع لاختراق دريفت أرخص وأكثر قابلية للتوسع بشكل كبير. كما أشار إلى مشكلة متفاقمة في الجانب الدفاعي: فمع ازدياد اعتماد المطورين على البرمجيات المولدة بالذكاء الاصطناعي، قد تنتشر الثغرات الأمنية بسرعة تفوق قدرة المراجعين البشريين على اكتشافها. وأضاف: "لا يوجد زر "اجعلها آمنة". سننتج الكثير من البرمجيات التي ستكون غير آمنة بطبيعتها". تسببت عمليات الاختراق والاستغلال في خسائر في العملات المشفرة بقيمة 1.4 مليار دولار على مدار العام الماضي، ويتوقع غيليميه أن المنحنى سيصبح أكثر حدة، وليس أكثر تسطحًا.
يُعدّ اختراق Drift أوضح دليل على صحة هذا التحذير. لم يمس المهاجمون الشفرة البرمجية، بل استهدفوا الشخصين اللذين يملكان المفاتيح. لا يحتاج الذكاء الاصطناعي إلى خرقtracذكي إذا استطاع توليد ذريعة مقنعة لخداع مُوقِّع متعدد التوقيعات لحمله على الموافقة على معاملة لا يفهمها تمامًا. يتوقع غيليميه انقسامًا في القطاع: ستستثمر الأنظمة الحيوية، مثل المحافظ والبروتوكولات الأساسية، بكثافة في الأمن وتتكيف، لكن قد يواجه جزء كبير من النظام البيئي البرمجي الأوسع صعوبة في مواكبة التطور. تُعدّ حلوله المُقترحة، كالتحقّق الرسمي باستخدام البراهينmatic، وعزل الأجهزة للمفاتيح الخاصة، سليمة من الناحية الهيكلية، لكنها تتطلب مستوى من الانضباط المؤسسي لم تُضمّنه معظم بروتوكولات DeFi اللامركزي، بما فيها Drift، حتى الآن. يقول: "عندما يكون لديك جهاز مُخصّص غير مُعرّض للإنترنت، يكون أكثر أمانًا بطبيعته". لم يكن لدى مجلس أمن Drift مثل هذا الحاجز. توقيعان، وعدم وجود قفل زمني، ورمز مزيف، كان كل ما تطلّبه الأمر.
ماذا سيحدث لاحقاً: تعافي رياضة الانجراف واستجابة الصناعة
لا يزال مصير بروتوكول دريفت غامضًا، وتشير المؤشرات الأولية إلى انقسام في أوساط الصناعة. في أعقاب الحادث مباشرة، اقترح أناتولي ياكوفينكو مسارًا محتملاً للتعافي: توزيع رموز رقمية مجانية على غرار سندات الدين للمستخدمين المتضررين، على غرار ما فعلته منصة بيتفينكس عام 2016 بعد اختراقها الذي كلفها 72 مليون دولار.
الفكرة بسيطة: توزيع الخسائر الآن، وسدادها للمستخدمين تدريجيًا إذا تعافى البروتوكول. لكن السياق مختلف تمامًا. فقد انخفضت القيمة الإجمالية للأصول المقفلة (TVL) لمنصة دريفت إلى النصف تقريبًا، ولا تزال عمليات الإيداع والسحب معلقة، وعلى عكس منصة بيتفينكس، تفتقر دريفت إلى آلية مركزية لإدارة الإيرادات لدعم هذه الالتزامات. وقد أدى ذلك إلى ردود فعل سلبية فورية: إذ تُصبح رموز IOU، في هذه الحالة، أدوات مضاربة بحتة دون أي سبيل واضح للاسترداد.
في الوقت نفسه، تثير أنشطة الشبكة مخاوف جديدة. فقد رصدت منصة Onchain Lens قيام محفظة مرتبطة بفريق Drift بتحويل 56.25 مليون رمز DRIFT (ما يعادل 2.44 مليون دولار أمريكي تقريبًا) إلى منصات تداول مركزية، بما في ذلك Bybit وGate، بعد وقت قصير من استغلال الثغرة الأمنية، وهي خطوة تسبق عادةً ضغوط البيع، وقد غذّت التكهنات حول تلاعب المطلعين بالشبكة خلال أزمة السيولة.
في غضون ذلك، تم تحويل أموال المهاجم عبر سلاسل الكتل، ولا سيما إلى Ethereum، مما يقلل من احتمالية استردادها بشكل فعّال يومًا بعد يوم. ويكمن المغزى الأوسع في أن هذهdent لن تنتهي عند دريفت، بل من المرجح أن تُسرّع التدقيق على مستوى القطاع في حوكمة التمويل DeFi نفسه، بدءًا من معايير أمان التوقيعات المتعددة ومتطلبات القفل الزمني، وصولًا إلى تصميم أوراكل وضوابط التنفيذ. ويتوقف ما سيحدث لاحقًا على ثلاثة متغيرات: ما إذا كان بإمكان دريفت تقديم خطة استرداد موثوقة، وما إذا كان بالإمكان tracأي جزء من الأموال أو تجميده، وما إذا كان هذا سيُجبر القطاع في نهاية المطاف على إجراء إصلاحات هيكلية، أم أنه سيصبح مجرد درس مكلف آخر يتجاوزه القطاع.
