#DriftProtocolHacked #DriftProtocolHacked

هجوم متطور يتضمن ضمانات وهمية، معاملات موقعة مسبقًا، وتكتيكات مجموعة لزرع الكيان الكوري الشمالي لازاروس أُبيد أكثر من نصف إجمالي قيمة الأصول الثابتة على Drift في 1 أبريل 2026.

ملخص الهجوم

في 1 أبريل 2026، تعرض أكبر بورصة عقود مستقبلية دائمة على سولانا، Drift Protocol، لاستغلال كارثي أدى إلى خسارة $286 مليون عبر عدة خزائن أصول.

ما يجعل هذا الهجوم مقلقًا بشكل خاص هو أنه لم يتضمن ثغرة في العقود الذكية أو اختراق كلمات المرور الأساسية. بدلاً من ذلك، نفذ المهاجمون عملية مخططة بدقة تجمع بين:

· الهندسة الاجتماعية لموقعي التوقيع متعدد التوقيعات
· معاملات موقعة مسبقًا ذات nonce دائم
· إنشاء ضمانات وهمية بقيمة $0 تم التلاعب بها لتظهر كـ 100 مليون دولار+
· إزالة حماية قفل الوقت

انهارت قيمة الأصول الثابتة من حوالي $550 مليون إلى أقل من $250 مليون خلال ساعة واحدة. انخفض رمز DRIFT بنسبة 45%، ليقترب من سعر 0.04 دولار.

---

الجدول الزمني: عملية استمرت 3 أسابيع

المرحلة 1: إعداد البنية التحتية (11-23 مارس)

بدأت العملية في 11 مارس عندما سحب المهاجم ETH من Tornado Cash، بروتوكول الخصوصية. في 12 مارس، قاموا بنشر رمز CarbonVote (CVT) — لا سيما في حوالي الساعة 09:00 بتوقيت بيونغ يانغ، وهو علامة حمراء ستربط لاحقًا الهجوم بكوريا الشمالية.

على مدى الأسابيع التالية، قام المهاجم بـ:

· إصدار 750 مليون رمز CVT (بقيمة تقريبا 0) دولار
· توفير سيولة قليلة (~500 دولار) على منصة Raydium
· استخدام التداول الوهمي للحفاظ على سعر CVT بالقرب من 1.00 دولار
· إنشاء 4 حسابات nonce دائم — اثنان مرتبطان بموقعي مجلس أمن Drift، واثنان تحت سيطرة المهاجم

المرحلة 2: التوقيع المسبق واختراق التوقيع متعدد التوقيعات (23-30 مارس)

باستخدام ميزة nonce الدائم على سولانا (التي تسمح بتوقيع المعاملات مسبقًا وتنفيذها لاحقًا بدون انتهاء صلاحية)، حث المهاجم أعضاء مجلس أمن Drift على التوقيع مسبقًا على معاملات بدت عادية — لكنها كانت في الواقع مفاتيح تفويض خبيثة محتجزة في الاحتياط.

في 27 مارس، قام Drift بنقل التوقيع متعدد التوقيعات المجدول، متحولًا إلى حد توقيع 2 من 5 — والأهم من ذلك، إزالة قفل الوقت تمامًا. عادةً، يفرض قفل الوقت تأخيرات من 24 إلى 72 ساعة على الإجراءات الإدارية، مما يمنح المجتمعات وقتًا للرد. بدون ذلك، كان للمهاجم سلطة تنفيذ بدون تأخير.

بحلول 30 مارس، أعاد المهاجم الوصول إلى 2 من 5 موقعي التوقيع في الهيكل الجديد للتوقيع متعدد التوقيعات.

المرحلة 3: التنفيذ — 12 دقيقة حتى $286M (1 أبريل)

الوقت (UTC) الإجراء
16:05:39 ينشط المهاجم المعاملات الموقعة مسبقًا، يدرج CVT كضمان صالح، يرفع حدود السحب إلى حوالي 500 تريليون (فعليًا لا نهائي)
16:05:41 يودع 500 مليون رمز CVT — تم التلاعب بقيم الأوراكل عند 100 مليون دولار+
16:05:43-16:17 يتم سحب 31 معاملة سحب من الأصول الحقيقية: JLP، USDC، SOL، cbBTC، wETH، وغيرها

استغرقت عملية التسلح بأكملها أقل من وقت طلب قهوة.

جمعت الهجمة ثلاث إجراءات حاسمة في معاملة واحدة:

1. تهيئة سوق CVT الفوري باستخدام أوراكل Switchboard الذي يسيطر عليه المهاجم
2. تعيين وزن ضمان CVT إلى الحد الأقصى — رموز لا قيمة لها تُعامل كضمان رئيسي
3. تعطيل حراس السحب — إزالة جميع الحدود على تدفقات الأصول

#DriftProtocolHacked

ما تم سرقته

قام المهاجم بتفريغ عدة خزائن عبر البروتوكول:

الأصل الكمية المسروقة (تقريبًا.)
رموز JLP 155.6 مليون دولار
USDC 60.4 مليون دولار
cbBTC 11.3 مليون دولار
USDS 5.3 مليون دولار
FARTCOIN 4.1 مليون دولار
WBTC 4.4 مليون دولار
WETH 4.7 مليون دولار
JitoSOL 3.6 مليون دولار
SYRUPUSDC 3.3 مليون دولار
INF 2.5 مليون دولار
MSOL 2.0 مليون دولار

المصدر: بيانات على السلسلة عبر @officer_secret

تم تفريغ خزينة JLP بالكامل.
#DriftProtocolHacked

من يقف وراء الهجوم؟

أشارت شركات الأمن Elliptic و TRM Labs إلى أن الهجوم من قبل جهات تهديد مرتبطة بكوريا الشمالية، وتحديدًا مجموعة لازاروس.

تشمل أدلة النسب:

· أصل Tornado Cash للمرحلة الأولى
· توقيت نشر CVT يتطابق مع ساعات عمل بيونغ يانغ (09:00)
· تكتيكات الهندسة الاجتماعية المتطورة — مماثلة لعملية اختراق جسر Ronin في 2022
· سرعة غسيل الأموال وأنماط عبر السلاسل بعد الاختراق
· استخدام Nonces الدائمة — متسقة مع أساليب كوريا الشمالية في التجارة

"كانت عملية عالية التطور ويبدو أنها استغرقت أسابيع من التحضير والتنفيذ الممنهج، بما في ذلك استخدام حسابات nonce الدائمة لتوقيع المعاملات مسبقًا والتي أبطأت التنفيذ."
— بيان رسمي من Drift Protocol

إذا تم التأكيد، فهذا يمثل السرقات الـ18 المرتبطة بكوريا الشمالية في عام 2026، مع أكثر من ( مليون مسروق فقط هذا العام. ويُقدر أن الجهات الكورية الشمالية سرقت أكثر من 6.5 مليار دولار في العملات المشفرة)