تعرضت منصة Drift Protocol، أكبر بورصة للعقود الآجلة اللامركزية على شبكة سولانا، لعملية سرقة ضخمة بلغت قيمتها 286 مليون دولار يوم 1 أبريل 2026. وتشير سرعة الهجوم وحجمه إلى أنه قد تم التخطيط له مسبقاً.
تمكن المهاجمون المجهولون من سحب الأصول الرقمية من خزائن السيولة الأساسية للمنصة خلال أقل من ساعة، مما أثار قلقاً واسعاً في مجتمع التمويل اللامركزي.
Drift Protocol ضحية أكبر اختراق لعام 2026
تحرك الهجوم بسرعة ودقة ملحوظتين، حيث قام المهاجم بشكل منهجي بتفريغ ثلاث من خزائن Drift الرئيسية: خزانة JLP Delta Neutral، وخزانة SOL Super Staking، وخزانة BTC Super Staking. وشملت أكبر معاملة منفردة نقل حوالي 41.7 مليون رمز JLP، بقيمة تقارب 155 مليون دولار وقت السرقة.
شملت الأصول الإضافية المسروقة عملات USDC، SOL، cbBTC، wBTC، بالإضافة إلى رموز تخزين سائلة متنوعة. ووفقاً لشركة الأمن السيبراني PeckShield، فإن السبب الجذري المحتمل للهجوم هو اختراق المفاتيح الخاصة للمسؤول، مما منح المهاجم وصولاً متميزاً لبدء عمليات السحب وتغيير الضوابط الإدارية.
ارتباط محتمل بكوريا الشمالية
حدد محللو Elliptic مؤشرات متعددة على السلسلة تشير بقوة إلى أن الهجوم نفذته جهات مرتبطة بكوريا الشمالية. يتطابق سلوك الهجوم، وطرق غسيل الأموال، وأنماط الشبكة التي شوهدت خلال استغلال Drift، مع التقنيات المستخدمة في عمليات سابقة نُسبت إليها كوريا الشمالية.
إذا تم تأكيد هذا الارتباط، فسيكون هذا هو الاختراق الثامن عشر للأصول المشفرة المرتبط بكوريا الشمالية الذي تتبعه Elliptic في عام 2026 وحده، حيث تم سرقة أكثر من 300 مليون دولار حتى الآن هذا العام. يُعتقد أن الجهات الفاعلة المرتبطة بكوريا الشمالية قد استحوذت على أكثر من 6.5 مليار دولار من الأصول المشفرة في السنوات الأخيرة.
أظهرت بيانات DefiLlama انخفاضاً حاداً في إجمالي القيمة المقفلة (TVL) في Drift من حوالي 550 مليون دولار إلى أقل من 250 مليون دولار في أعقاب الهجوم. يجعله هذا أكبر اختراق في مجال التمويل اللامركزي لعام 2026 حتى الآن، وثاني أكبر خرق أمني في منظومة سولانا.
أكد فريق Drift وقوع الحادث علناً، ووصفه بأنه هجوم نشط، وقام على الفور بتعليق جميع الودائع والسحوبات، بينما ينسق مع شركات أمنية متعددة ومقدمي خدمات الجسور عبر السلاسل وبورصات العملات المشفرة لاحتواء الضرر ومعالجته.
يُعد استغلال Drift جزءاً من حملة أوسع ومتصاعدة من الهجمات المرتبطة بكوريا الشمالية التي تستهدف صناعة العملات المشفرة، والتي شملت مؤخراً اختراق سلسلة التوريد لحزمة Axios npm. وتعكس هذه الحوادث معاً جهداً متعمداً من قبل مشغلي كوريا الشمالية لاستهداف البنية التحتية للعملات المشفرة على نطاق واسع.
كيف تم تحريك الأموال المسروقة
كشفت بيانات السلسلة أن محفظة المهاجم تم إنشاؤها قبل حوالي ثمانية أيام من الهجوم، وخلال تلك الفترة تلقت تحويلاً تجريبياً صغيراً من إحدى خزائن Drift. تشير هذه التفاصيل بقوة إلى عملية مدبرة ومدروسة بعناية، بدلاً من هجوم عشوائي أو انتهازي.
بعد تفريغ الخزائن، استخدم المهاجم مجمّع تبادل لامركزي يعتمد على سولانا لتحويل الرموز المسروقة بسرعة إلى USDC. من هناك، تم نقل الأموال إلى شبكة إيثيريوم، حيث تم استبدالها بـ ETH، وهي تقنية غسيل شائعة تصعّب تتبع الأصول عبر السلاسل.
بلغ إجمالي عدد الأموال المسروقة أكثر من 15 نوعاً مختلفاً من الرموز موزعة عبر خزائن متعددة، مما يعني أن أي تحليل غير مكتمل على السلسلة قد يغفل أجزاء كبيرة من الأموال المسروقة.
توصي شركات الأمن السيبراني بأن تحمي بروتوكولات التمويل اللامركزي المفاتيح الخاصة للمسؤول باستخدام وحدات أمن الأجهزة أو مخططات التفويض متعددة التوقيع، وأن تجري عمليات تدقيق أمنية مستقلة منتظمة، وأن تنشر أنظمة للكشف عن الشذوذ على السلسلة في الوقت الفعلي.