در توییتی اخیر، Vet، اعتباردهنده XRP Ledger، به توسعهدهندگان XRP هشدار داد تا هوشیار باشند، پس از آنکه یک کلاهبرداری پیچیده مهندسی اجتماعی، ۲۸۰ میلیون دلار از پروتکل دریفت سولانا را به سرقت برد.
در تاریخ ۲ آوریل، بازار کریپتو با خبر بزرگترین هک دیفای در سال ۲۰۲۶ و دومین سوءاستفاده بزرگ در تاریخ سولانا، پس از هک ۳۲۶ میلیون دلاری پل ورمهول در سال ۲۰۲۲، بیدار شد.
مهاجمان تقریباً ۲۸۵ میلیون دلار از داراییهای کاربران را از بزرگترین صرافی غیرمتمرکز معاملات آتی دائمی در سولانا، پروتکل دریفت، در ۱ آوریل به سرقت بردند. این حمله حدود ۱۲ دقیقه طول کشید. بیشتر وجوه سرقت شده، ساعتها پس از آن به اتریوم منتقل شد.
آسیبپذیری حیاتی یک باگ قرارداد هوشمند نبود، بلکه ترکیبی از مهندسی اجتماعی امضاکنندگان چند امضایی (مولتیسیگ) برای پیشامضا کردن مجوزهای پنهان و یک مهاجرت شورای امنیت بدون قفل زمانی بود که آخرین خط دفاعی پروتکل را از بین برد.
در ۵ آوریل، پروتکل دریفت بهروزرسانیای درباره این حادثه به اشتراک گذاشت و جزئیات بیشتری ارائه داد. Vet، اعتباردهنده XRP Ledger، به بهروزرسانی پروتکل دریفت درباره این حادثه واکنش نشان داد و هشداری را به جامعه XRP ارسال کرد.
میزان مهندسی اجتماعی که منجر به سرقت ۲۸۰ میلیون دلاری از یک پروتکل دیفای شد، حیرتآور است. درس مهمی برای ما که روی XRP کار میکنیم نیز هست.
— Vet (@Vet_X0) April 5, 2026
آنها طی شش ماه به توسعهدهندگان کلیدی پروتکل در کنفرانسها نزدیک شدند، با آنها دوست شدند، جلسات حضوری برگزار کردند، آنچه را که طی ماهها در کنفرانسهای مختلف ساخته بودند نشان دادند، گروههای گفتوگو تشکیل دادند و حتی ۱ میلیون دلار به یک صندوق مشارکت کردند… https://t.co/oxAbxwoltH
Vet تأکید کرد که سطح مهندسی اجتماعی که منجر به سرقت ۲۸۰ میلیون دلاری از پروتکل دریفت شد، حیرتآور است. او میگوید این یک درس مهم برای توسعهدهندگان XRP نیز هست.
اعتباردهنده XRP Ledger به بخش تعجبآور این حادثه اشاره کرد که برای حدود شش ماه برنامهریزی شده بود. عاملان در این مدت اعتماد سازی کردند و حتی ۱ میلیون دلار به یک گاوصندوق مشارکت کردند.
Vet نوشت: "آنها طی شش ماه به توسعهدهندگان کلیدی پروتکل در کنفرانسها نزدیک شدند، با آنها دوست شدند، جلسات حضوری برگزار کردند، آنچه را که طی ماهها در کنفرانسهای مختلف ساخته بودند نشان دادند، گروههای گفتوگو تشکیل دادند و حتی ۱ میلیون دلار به یک گاوصندوق مشارکت کردند."
Vet خاطرنشان کرد که با این حال، "یک اپلیکیشن تستفلایت، یک مخزن شبیهسازی شده و یک آسیبپذیری شناخته شده VS Code/Cursor بعداً"، آنها پایه و اساس اجرای حمله را فراهم کردند.
Vet میگوید که همه پروژههای بزرگ XRP، دسترسی به اعتبارنامههای حسابهای عملیاتی، دسترسی ادغام مخزن و سیستمهای بکاند خود را دارند و تنها افراد محتاط (پارانوئید) زنده خواهند ماند. او در میان افزایش تعداد توسعهدهندگانی که توسط پروژههای وایبکد و رویدادهای حضوری (IRL) XRP فعال شدهاند، از کاربران XRPL خواستار احتیاط است.
