نشر بروتوكول دريفت (Drift Protocol) يوم السبت تقريره الأكثر تفصيلاً حتى الآن عن الاستغلال الذي حدث في الأول من أبريل والذي استنزف حوالي 280 مليون دولار من بورصة المشتقات الدائمة المبنية على سولانا، واصفًا ما أسماه الفريق "عملية استخباراتية منظمة" استغرقت حوالي ستة أشهر للإعداد.
وفقًا للتحديث، بدأ الاتصال الأولي في خريف عام 2025 أو حوالي ذلك الوقت، عندما تواصل أفراد قدموا أنفسهم كشركة تداول كمي مع المساهمين في دريفت في مؤتمر رئيسي للعملات المشفرة وأعربوا عن اهتمامهم بالاندماج مع البروتوكول. تم إنشاء مجموعة تيليجرام في ذلك الاجتماع الأول، واستمر نفس الأفراد في مقابلة المساهمين في دريفت وجهًا لوجه في فعاليات الصناعة عبر عدة دول خلال الأشهر التالية.
بين ديسمبر 2025 ويناير 2026، قامت المجموعة بضم خزينة نظام بيئي (Ecosystem Vault) على دريفت، وملء نموذج الاستراتيجية القياسي، وحضور جلسات عمل متعددة مع المساهمين، وإيداع أكثر من مليون دولار من رأس مالهم الخاص. قال دريفت إن هذا السلوك كان متسقًا مع كيفية دمج شركات التداول الشرعية عادةً مع البروتوكول.
أشارت المراجعة الجنائية للأجهزة المتأثرة وسجلات الاتصالات بعد الاستغلال إلى تلك العلاقة كمسار اختراق محتمل. قال دريفت إنه تم مسح محادثات المجموعة على تيليجرام والبرامج الضارة المرتبطة بها في اللحظات التي بدأ فيها الهجوم.
يحدد التقييم الأولي لـ دريفت طريقتين محتملتين للاختراق. ربما أصيب أحد المساهمين بالعدوى بعد استنساخ مستودع أكواد شاركته المجموعة بحجة نشر واجهة أمامية لخزينتهم. وتم تحريض مساهم ثانٍ على تثبيت إصدار تجريبي من تطبيق عبر إصدار TestFlight من Apple وصفته المجموعة بأنه منتج محفظتهم.
بالنسبة لمسار المستودع، أشار دريفت إلى ثغرة أمنية في VS Code و Cursor كان باحثو الأمن يحذرون منها علنًا بين ديسمبر 2025 وفبراير 2026، حيث يمكن ببساطة فتح ملف أو مجلد أو مستودع في المحرر أن ينفذ تعليمات برمجية عشوائية بصمت دون أي طلب من المستخدم.
الاستغلال نفسه، كما أفاد موقع The Block سابقًا، لم يتضمن خطأ في العقد الذكي. وصفه دريفت بأنه "هجوم جديد يتضمن nonces دائمين"، وهو عنصر أولي شرعي في سولانا يسمح بتوقيع المعاملات مسبقًا وتنفيذها لاحقًا. حصل المهاجم على موافقات متعددة التوقيع مسبقًا، على الأرجح من خلال الهندسة الاجتماعية أو تحريف المعاملات، ثم استخدم الأذونات الموقعة مسبقًا للاستيلاء على صلاحيات إدارة مجلس الأمن واستنزاف البروتوكول في دقائق.
قال دريفت إنه بدعم من فريق SEAL 911، يقدر "بثقة متوسطة إلى عالية" أن العملية نفذت من قبل نفس الجهات الكورية الشمالية المدعومة من الدولة والمسؤولة عن اختراق Radiant Capital بقيمة 50 مليون دولار في أكتوبر 2024، والذي نسبته Mandiant إلى UNC4736، والمعروف أيضًا باسم AppleJeus أو Citrine Sleet، وهي مجموعة قراصنة لها صلات بمكتب الاستطلاع العام في البلاد.
يستند الارتباط إلى تداخلات على السلسلة وتداخلات تشغيلية، وفقًا لدريفت. تدفقات الأموال المستخدمة لتنفيذ واختبار عملية دريفت تعود إلى مهاجمي Radiant، والشخصيات المستخدمة في الحملة لديها تداخلات يمكن تحديدها مع الأنشطة المعروفة المرتبطة بكوريا الشمالية، حسبما ذكر دريفت.
تجدر الإشارة إلى أن دريفت أكد أن الأفراد الذين ظهروا في المؤتمرات شخصيًا لم يكونوا مواطنين كوريين شماليين. قال البروتوكول إن الجهات الفاعلة في التهديد من كوريا الشمالية التي تعمل على هذا المستوى معروفة بنشر وسطاء من طرف ثالث للتعامل مع بناء العلاقات، وكانت الملفات الشخصية المستخدمة في هذه العملية تحتوي على سجلات توظيف كاملة، وبيانات اعتماد عامة، وشبكات مهنية مصممة لتحمل العناية الواجبة للطرف المقابل.
مانديانت، التي استعان بها دريفت لقيادة التحقيق الجنائي، لم تنسب رسميًا استغلال دريفت. هذا التحديد معلق بانتهاء التحقيقات الجنائية للأجهزة.
قال دريفت إنه تم تجميد جميع وظائف البروتوكول المتبقية، وتمت إزالة المحافظ المخترقة من التوقيع المتعدد (multisig)، وتم الإبلاغ عن عناوين المهاجمين لدى البورصات ومشغلي الجسور. انتقد المحقق على السلسلة ZachXBT بشكل منفصل مصدر العملة المستقرة Circle لما أسماه استجابة بطيئة، زاعمًا أن المهاجم قام بتحويل حوالي 232 مليون دولار أمريكي من USDC من سولانا إلى إيثيريوم عبر CCTP على مدار ست ساعات دون تجميد أي أموال.
استغلال دريفت هو أكبر اختراق لتمويل لامركزي (DeFi) في عام 2026 حتى الآن ويصنف كثاني أكبر حادث أمني في تاريخ سولانا بعد هجوم جسر Wormhole بقيمة 325 مليون دولار في عام 2022.
أشاد دريفت بالباحثين المستقلين وأعضاء SEAL 911 تايلور موناهان، tanuki42_، pcaversaccio، ونيك باكس لعملهم في تحديد الفاعلين، وحث أي فرق تعتقد أنها ربما استُهدفت من قبل نفس المجموعة على الاتصال بـ SEAL 911 مباشرةً.
"بصراحة – هذا هو الهجوم الأكثر تعقيدًا واستهدافًا الذي أعتقد أنني رأيته نفذته كوريا الشمالية في مجال العملات المشفرة،" كتب tanuki42_ على منصة X، بالإضافة إلى التحذير من أن بروتوكولات أخرى ربما تكون قد استُهدفت أيضًا. "تجنيد العديد من الميسرين ثم دفعهم لاستهداف أشخاص محددين في الحياة الواقعية في أحداث العملات المشفرة الكبرى هو تكتيك جامح."
إخلاء المسؤولية: The Block هو منفذ إعلامي مستقل يقدم الأخبار والأبحاث والبيانات. اعتبارًا من نوفمبر 2023، تعتبر Foresight Ventures هي المستثمر الأغلبية في The Block. تستثمر Foresight Ventures في شركات أخرى في مجال العملات المشفرة. بورصة العملات المشفرة Bitget هي شريك محدود رئيسي لـ Foresight Ventures. يستمر The Block في العمل بشكل مستقل لتقديم معلومات موضوعية ومؤثرة وفي الوقت المناسب حول صناعة العملات المشفرة. إليكم إفصاحاتنا المالية الحالية.
© 2026 The Block. جميع الحقوق محفوظة. هذه المقالة مقدمة لأغراض إعلامية فقط. لا يُقصد منها أو يُعرض استخدامها كنصيحة قانونية أو ضريبية أو استثمارية أو مالية أو أي نصيحة أخرى.
