#DriftProtocolHacked

اختراق بروتوكول دريفت: $285 مليون استغلال يظهر ضعف الإنسان في التمويل اللامركزي
الاستغلال الذي بلغ قيمته $285 مليون في بروتوكول دريفت عام 2026 ليس مجرد عنوان آخر في قائمة الاختراقات المستمرة للتمويل اللامركزي؛ إنه يمثل درسًا مخيفًا في الهندسة الاجتماعية طويلة المدى. بينما يركز الكثير من الصناعة بشكل رد فعل على ثغرات العقود الذكية، يبرز هذا الحادث حقيقة أعمق: الجزء الأكثر عرضة للخطر في أي بروتوكول غالبًا ليس الكود، بل البشر الموثوق بهم بمفاتيح الوصول. على عكس الاستغلالات النموذجية حيث يتم تحديد خطأ أو خلل منطقي على الفور، قضى مهاجمو دريفت أسابيع في صياغة وهم شرعية بشكل منهجي خدع حوكمة البروتوكول، متجاوزين جميع التدابير الوقائية المقصودة.
كانت طريقة المهاجمين متطورة ومتعددة الطبقات. أنشأوا أصلًا وهميًا، وهو رمز CarbonVote، واستخدموا التداول المغسول للتلاعب بشكل مصطنع بالبيانات أو التلاعب بالمرجعيات، مما خدع النظام ليعامل بكسلات لا قيمة لها كضمانات شرعية تساوي ملايين. بحلول الوقت الذي قاموا فيه بتفعيل معاملات “ال nonce الدائم” المزعومة، كانت دفاعات البروتوكول قد تعرضت للتقويض من الداخل بالفعل. لم يكن هذا هجومًا “تكسير وسرقة”؛ بل كان تسللًا محسوبًا على مستوى عالٍ أضر بمجلس الأمن الذي صُمم لحماية المستخدمين. إن حقيقة أن بورصة لامركزية من الطراز الأول على سولانا يمكن أن تُسحب في أقل من 12 دقيقة عبر هندسة اجتماعية منسقة تثبت واقعًا مرعبًا: أن عقدًا ذكيًا مدققًا لا يضمن السلامة بمفرده.
الأمان في التمويل اللامركزي، كما يوضح هذا الحادث، ليس إنجازًا لمرة واحدة بل عملية مستمرة من الهوس واليقظة. بمجرد أن تصبح روتينيات الحوكمة في البروتوكول ميكانيكية بدلاً من أن تكون صارمة، فإنها تتحول إلى هدف سهل للمهاجمين، بما في ذلك الجهات المدعومة من الدولة. يمثل هذا الاختراق نقطة انعطاف حاسمة للصناعة: فالتمويل اللامركزي ينتقل من عصر “الكود هو القانون” إلى عصر “الهندسة الاجتماعية”، حيث أصبح الثقة البشرية هي مسار الهجوم الرئيسي. تدابير الكفاءة مثل عمليات الانتقال بدون توقيت زمني، التي كانت تُحتفل بها سابقًا كميزات سهلة الاستخدام، تظهر الآن كثغرات واضحة. علاوة على ذلك، فإن التلاعب بالمرجعيات من خلال السيولة المصطنعة يكشف عن خلل هيكلي لا تزال معظم بروتوكولات الإقراض غير مجهزة للتعامل معه.
تظهر من استغلال دريفت العديد من الدروس التقنية والحوكمة. أولاً، سمح استخدام nonces الدائمة للمهاجمين بتوقيع معاملات مسبقًا قبل أسابيع، مما يضمن سرعة تنفيذ لا يمكن للدفاع البشري مجاراتها. تبرز هذه التقنية كيف يمكن للاستخدام الذكي للخوارزميات أن يحول الميزات الروتينية إلى أسلحة. ثانيًا، مشكلة العمى في المرجعيات أصبحت واضحة الآن: المرجعيات تبلغ عن السعر فقط، وليس الحقيقة. من خلال ضخ سيولة كافية للتأثير على تغذية السعر لرمز وهمي، استغل المهاجمون حسابات البروتوكول الخاصة بهم. أخيرًا، تم كشف أسطورة التوقيع المتعدد: المحفظة متعددة التوقيعات ليست أكثر أمانًا إلا بمدى أمان التواصل والعادات التشغيلية للموقعين عليها. الهندسة الاجتماعية التي تقنع المشاركين بالموافقة على المعاملات كإجراء روتيني تحول نظام موافقة قوي 5 من 5 إلى نظام هش 1 من 1.
تتجاوز التداعيات الأوسع لاختراق بروتوكول دريفت بكثير نظام بيئة سولانا. يخدم هذا الحادث كنداء استيقاظ لجميع منصات التمويل اللامركزي التي أصبحت راضية عن “اختصارات المدير” أو الميزات الطارئة التي تتجاوز التوقيت الزمني. إذا كان بروتوكولك المفضل يعتمد على وظيفة طارئة بدون توقيت زمني، فهو لم يعد لامركزيًا حقًا — إنه، بشكل فعال، بنك بأقل عدد من حراس الأمان. يُعد استغلال دريفت تذكيرًا بأن السلوك البشري، والانضباط التشغيلي، وصرامة الحوكمة أصبحت الآن بنفس أهمية صحة العقود الذكية في ضمان أمان الأنظمة اللامركزية.
ختامًا، يؤكد اختراق بروتوكول دريفت أن مستقبل أمان التمويل اللامركزي لا يكمن فقط في التدقيقات الصارمة ومراجعة الكود، بل أيضًا في اليقظة المستمرة للحوكمة، والأمان التشغيلي متعدد الطبقات، والشك في “الاختصارات الموثوقة”. يجب على الصناعة أن تتعامل مع العوامل البشرية بجدية مثل ثغرات الكود، وإلا فإنها تخاطر بتكرار نفس الأخطاء بطرق أكثر تكلفة.
نصائح رئيسية:
- Nonces الدائمة كأسلحة: تتيح المعاملات الموقعة مسبقًا للمهاجمين تنفيذ استغلالات معقدة بسرعة أكبر من رد فعل المدافعين.
- العمى في المرجعيات: تغذية السعر ليست تغذية الحقيقة؛ التلاعب بالسيولة يمكن أن يغير حسابات البروتوكول.
- ضعف التوقيع المتعدد: الهندسة الاجتماعية يمكن أن تتجاوز أمان التوقيع المتعدد إذا أصبحت الموافقات روتينية.
- الكفاءة مقابل الأمان: ميزات “الطوارئ” بدون توقيت زمني قد تعزز السرعة لكنها تضعف الأمان.
اختراق بروتوكول دريفت هو أكثر من مشكلة سولانا — إنه درس لجميع منظومة التمويل اللامركزي حول مخاطر الاعتماد المفرط على الأتمتة وتقليل تقدير الضعف البشري.