#DriftProtocolHacked

اختراق $285 مليون من بروتوكول دريفت ليس مجرد عملية اختراق أخرى في عالم التمويل اللامركزي؛ إنه درس مخيف في الهندسة الاجتماعية طويلة المدى. بينما يركز القطاع بشكل تلقائي على اكتشاف أخطاء العقود الذكية، يثبت هذا الهجوم أن الجزء الأكثر عرضة للخطر في أي بروتوكول ليس الكود — بل البشر الذين يحملون المفاتيح.

قضى المهاجمون أسابيع في "تصنيع" الشرعية، من خلال إنشاء أصل مزيف (رمز التصويت الكربوني) واستخدام التداول الغسيل لخداع أوامر البيانات (الأوراكل) ليعاملوا بكسلات لا قيمة لها كضمان بملايين الدولارات. بحلول الوقت الذي قاموا فيه بتفعيل معاملات "ال nonce الدائم"، كانت الدفاعات قد تم تجاوزها من الداخل بالفعل. لم يكن الأمر مجرد سرقة عادية؛ بل كان اختراقًا عالي المستوى استهدف "مجلس الأمن" الذي من المفترض أن يحمي أصول المستخدمين. إذا كان يمكن سرقة أكبر بورصة لعملة سولانا في أقل من 12 دقيقة من خلال هندسة اجتماعية منسقة، فعلينا أن نتوقف عن الادعاء بأن "الكود المدقق" يساوي الأمان.

الأمان هو عملية مستمرة من الشك، وليس شعارًا تحصل عليه مرة واحدة وتنساه. في اللحظة التي يتحول فيها حوكمة البروتوكول إلى روتين بدلاً من دفاع صارم، يصبح هدفًا للعناصر المدعومة من الدولة.

* **التمويل اللامركزي ينتقل من عصر "الكود هو القانون" إلى عصر "الهندسة الاجتماعية"، حيث الثقة البشرية هي مسار الهجوم الرئيسي.**

* **فشل ترحيل التوقيت الصفري يثبت أن "الكفاءة" غالبًا ما تكون العدو الأكبر للأمان في الأنظمة اللامركزية.**

* **التلاعب بالأوراكل عبر خلق سيولة مصطنعة هو خلل هيكلي لا تزال معظم بروتوكولات الإقراض غير مستعدة للتعامل معه.**

**نقاط مهمة من الاختراق:**

1. **سلاح الـ Nonce:** استخدام "ال nonce الدائم" سمح للمهاجمين بتوقيع معاملات هروبهم مسبقًا قبل أسابيع، مما يضمن سرعة تنفيذ لا يمكن للبشر مجاراتها.

2. **عمى الأوراكل:** الأوراكل يبلغ فقط عن السعر؛ لكنه لا يبلغ عن "الحقيقة". من خلال توفير سيولة كافية لإنشاء تغذية سعرية لرمز مزيف، حول المهاجمون حسابات البروتوكول ضده.

3. **خرافة التوقيع المتعدد:** التوقيع المتعدد يكون قويًا فقط بمدى قوة قنوات الاتصال بين الموقعين. الهندسة الاجتماعية التي تؤدي إلى موافقات "روتينية" تحوّل عملية التوقيع من 5 من 5 إلى 1 من 1.

نحن نشهد حاليًا نداء استيقاظ هائل لنظام سولانا البيئي بأكمله. أكبر عملية اختراق في 2026 لم تحدث بسبب خطأ منطقي؛ بل حدثت لأننا أصبحنا مرتاحين جدًا مع اختصارات "المسؤول". إذا كان بروتوكولك المفضل يحتوي على ميزة "طوارئ" بدون توقيت زمني، فأنت لا تستخدم منصة لامركزية — بل بنكًا بأقل عدد من الحراس.

‍#DriftProtocol #DeFiSecurity #GateSquare