وقع أكبر اختراق في قطاع التمويل اللامركزي هذا العام الأسبوع الماضي، في الأول من أبريل، عندما تعرض بروتوكول دريفت، أحد أكبر منصات التداول اللامركزية على شبكة سولانا، لثغرة أمنية أدت إلى اختفاء ما يقارب 286 مليون دولار من رصيد البروتوكول. وتم تتبع الهجوم إلى قراصنة مرتبطين بكوريا الشمالية، واستغرق تنفيذه 10 ثوانٍ فقط. لكن المثير للدهشة في هذا الهجوم هو دقته المتناهية. فلم يتم اختراق أي شفرة برمجية، ولم يتم التلاعب بأي عقود ذكية. وتشير تحقيقات شركات الطب الشرعي الرقمي، مثل إليبتيك وتي آر إم لابز، إلى أن الهجوم كان أكثر تخطيطًا وتدبيرًا.
أمضى قراصنة كوريون شماليون ثلاثة أسابيع في إنشاء رمز مزيف يُدعى CarbonVote، وشحنوه ببضعة آلاف من الدولارات لإضفاء مظهر الأصالة عليه. وفي الوقت نفسه، تلاعبوا اجتماعيًا باثنين من الموقعين الخمسة المعتمدين على التوقيعات المتعددة في مجلس أمن Drift، وخدعوهم للتوقيع المسبق على تفويضات مخفية لم يفهموها تمامًا. ثم استخدموا ميزة في Solana تُسمى "الأرقام العشوائية الدائمة" للاحتفاظ بتلك التوقيعات لأكثر من أسبوع، بانتظار اللحظة المناسبة. وكانت معاملة واحدة في الأول من أبريل كافية لتحقيق ذلك.
بحسب تقرير Elliptic ، كان هذا الهجوم هو الاختراق الثامن عشر للعملات المشفرة المرتبط بكوريا الشمالية هذا العام وحده، ما أسفر عن سرقة ما يقارب 300 مليون دولار. بعد أربعة أيام من الهجوم، صرّح كبير مسؤولي التكنولوجيا في Ledger علنًا بخطورة الهجوم، وأن الذكاء الاصطناعي يُقلّل تكلفة مثل هذه الهجمات إلى الصفر. يكتسب هذا التصريح أهمية بالغة لأن هجوم Drift يُعدّ دراسة حالة لكيفية عمل هذه العمليات اليوم. لم يكن المهاجمون بحاجة إلى ثغرة أمنية غير معروفة أو خبير تشفير بارع، بل كل ما احتاجوه هو الصبر، ورمز مزيف مُقنع، وشخصين يُمكن التلاعب بهما. كشف الهجوم فعليًا عن ثغرة هيكلية في التمويل اللامركزي (DeFi) كما هو قائم اليوم. يبني التمويل اللامركزي بنية تحتية بمليارات الدولارات محمية بمجموعات صغيرة من الأشخاص الذين يُمكن خداعهم، بينما يزداد المهاجمون مهارة في ذلك.
كيف سرقت كوريا الشمالية 286 مليون دولار في 10 ثوانٍ
كان هجوم بروتوكول دريفت عملية استغلال متطورة استغرقت ثلاثة أسابيع لإتمامها. أبلغت بلومبيرغ عن الاختراق لأول مرة في الأول من أبريل، عندما أكد بروتوكول دريفت سرقة أصول مستخدمين بقيمة 286 مليون دولار تقريبًا. بدأت العملية برمتها في 11 مارس، عندما سحب المهاجم 10 إيثيريوم من منصة تورنادو كاش حوالي الساعة التاسعة صباحًا بتوقيت بيونغ يانغ، واستخدمها لنشر رمز كاربون فوت (CVT) المزيف، وهو أصل وهمي تمامًا بسيولة أولية لا تتجاوز بضعة آلاف من الدولارات، واستمر في التداول من خلال عمليات تداول وهمية.
على مدار الأسبوعين التاليين، بين 23 و30 مارس، أنشأ المهاجم حسابات "نونس" دائمة، وهي ميزة مشروعة في شبكة سولانا تسمح بتوقيع المعاملات مسبقًا والاحتفاظ بها إلى أجل غير مسمى دون تاريخ انتهاء صلاحية. خلال هذه الفترة، تلاعب المهاجم اجتماعيًا باثنين من الموقعين الخمسة متعددي التوقيع في مجلس أمن دريفت، وخدعهما للموافقة على معاملات بدت مشروعة، ولكن كما أكدت مختبرات TRM لاحقًا، احتوت على صلاحيات مخفية للتحكم الإداري الحساس.
في 27 مارس، اكتملت العملية عندما نقلت شبكة دريفت مجلس أمنها إلى تكوين جديد بعتبة 2/5 وإطار زمني صفري، وفقًا لتقرير بلوك سيك ، مما قضى فعليًا على التأخير الوحيد الذي كان سيسمح لأي شخص بملاحظة ما سيحدث. وبحلول الأول من أبريل، كان الفخ قد نُصب بالكامل منذ أيام.
في الأول من أبريل، استغل المهاجم موافقات موقعة مسبقًا لإدراج CarbonVote كضمان صالح، مما أدى إلى تضخيم قيمتها إلى مئات الملايين من خلال التلاعب بأسعار أوراكل والسيطرة على الحوكمة. ومن ثم، أدت 31 عملية سحب إلى إفراغ خزائن Drift في غضون ثوانٍ. وشمل الجزء الأكبر منها أكثر من 155 مليون دولار من رموز JLP، بالإضافة إلى عشرات الملايين من USDC وSOL وETH ورموز التخزين السائلة الأخرى، وانخفضت القيمة الإجمالية المحجوزة على البروتوكول على الفور من حوالي 550 مليون دولار إلى أقل من 250 مليون دولار.
إن سرعة الهجوم ليست سوى جزء من الحكاية. فقد أظهرت خطة مفصلة، امتدت لثلاثة أسابيع وبلغت ذروتها في هجوم استغرق 10 ثوانٍ، كيف يمكن للحوكمة، بدلاً من البرمجة، أن تصبح الحلقة الأضعف في التمويل اللامركزي.
حرب العملات المشفرة التي ستشنها كوريا الشمالية بقيمة 300 مليون دولار في عام 2026
هذا الهجوم الإلكتروني، الذي يُزعم أن قراصنة مرتبطين بكوريا الشمالية نفذوه، ليس حدثًا معزولًا بأي حال من الأحوال. في الواقع، يُظهر تحليل بعض الهجمات البارزة في السنوات الأخيرة بوضوح أنه جزء من حملة أوسع نطاقًا تُديرها دولة. ففي هذا العام وحده، أفادت شركة Elliptic أن ثغرة Drift الأمنية تُمثل عملية سرقة العملات المشفرة الثامنة عشرة المنسوبة إلى كوريا الشمالية، ليصل إجمالي الأموال المسروقة إلى أكثر من 300 مليون دولار منذ بداية العام. وبالنظر إلى ما بعد هذا العام، يصعب تجاهل حجم هذه الهجمات من دولة واحدة. ففي العام الماضي، سرقت كيانات مرتبطة بكوريا الشمالية ما بين 1.92 مليار دولار، وفقًا لشركة TRM Labs، و2.02 مليار دولار، وفقًا لشركة Chainalysis . وقد مثّل هذا زيادة بنسبة 51% على أساس سنوي في الهجمات التي نفذتها هذه المجموعة، ليصل إجمالي المسروقات إلى 6.75 مليار دولار.
في عام 2025، استحوذت كوريا الشمالية على نسبة قياسية بلغت 76% من جميع اختراقات الخدمات، ما يعني أن دولة واحدة مسؤولة عن الغالبية العظمى من عمليات السرقة في هذا القطاع. وفي هذا السياق، يُعدّ اختراق Drift، الذي يُعتبر الآن ثاني أكبر ثغرة أمنية في منظومة Solana بعد اختراق Wormhole في عام 2022، جزءًا من نمط الهجمات.
ما يميز هذا النمط هو اتساقه. ففي عملية اختراق منصة Bybit في فبراير 2025، والتي تُعدّ أكبر عملية سرقة للعملات المشفرة في التاريخ، تم استخدام أساليب متطابقة تقريبًا، شملت الهندسة الاجتماعية، واختراق الوصول، وتبادل الأموال المنسق. وتشير شركة TRM Labs إلى أن المشغلين الكوريين الشماليين يعتمدون بشكل متزايد على شبكات "غسيل الأموال الصينية" لتحويل الأموال بين سلاسل الكتل المختلفة في غضون ساعات.
يُظهر هجوم دريفت بشكل ملموس وجود نظام من الفرق الممولة من الدولة والتي تقوم بعمليات تستمر لعدة أسابيع، باستخدام الاستطلاع والتلاعب البشري وبنية تحتية عالمية مُنشأة مسبقاً لغسل الأموال.
يحذر كبير مسؤولي التكنولوجيا في شركة ليدجر من أن الذكاء الاصطناعي يقلل تكلفة الهجمات إلى الصفر.
بعد أربعة أيام من اختراق بيانات دريفت، أصدر تشارلز غيليميه، كبير مسؤولي التكنولوجيا في ليدجر، بيانًا لموقع كوين ديسك أعاد فيه صياغة الحادثة تمامًا. قال: "أصبح العثور على الثغرات الأمنية واستغلالها في غاية السهولة، وتكاد التكلفة تنعدم". لم يذكر غيليميه اسم دريفت، لكنه شرح آلية عملها. فالذكاء الاصطناعي لا يساعد المهاجمين على اكتشاف الأخطاء البرمجية بسرعة أكبر فحسب، بل يجعل الهندسة الاجتماعية أكثر إقناعًا، والتصيد الاحتيالي أكثر تخصيصًا، والعمل التحضيري الذي استغرقه المشغلون الكوريون الشماليون لدريفت، والذي استغرق ثلاثة أسابيع، أرخص بكثير وقابلًا للتوسع بشكل كبير. كما سلط الضوء على مشكلة متنامية في مجال الدفاع: فمع ازدياد اعتماد المطورين على الشفرات البرمجية المولدة بالذكاء الاصطناعي، قد تنتشر الثغرات الأمنية بسرعة تفوق قدرة المراجعين البشريين على اكتشافها. وأضاف: "لا يوجد زر "اجعلها آمنة". سننتج الكثير من الشفرات البرمجية غير الآمنة بطبيعتها". تسببت الهجمات الإلكترونية وعمليات الاستغلال في خسائر بقيمة 1.4 مليار دولار في صناعة العملات المشفرة خلال العام الماضي، وتشير توقعات غيليميه إلى أن المنحنى سيصبح أكثر حدة، وليس أقل حدة.
يُعدّ اختراق منصة Drift أوضح دليل على صحة هذا التحذير. لم يمس المهاجمون الشفرة البرمجية، بل استهدفوا الشخصين اللذين يملكان المفاتيح. لا يحتاج الذكاء الاصطناعي إلى اختراق عقد ذكي إذا استطاع توليد ذريعة مقنعة بما يكفي لخداع مُوقِّع متعدد التوقيعات لحمله على الموافقة على معاملة لا يفهمها تمامًا. يتوقع غيليميه انقسامًا في القطاع: ستستثمر الأنظمة الحيوية، مثل المحافظ والبروتوكولات الرئيسية، بكثافة في الأمن وتتكيف معه، لكن جزءًا كبيرًا من منظومة البرمجيات الأوسع قد يجد صعوبة في مواكبة هذا التطور. الحلول التي يوصي بها – التحقق الرسمي من خلال البراهين الرياضية وعزل الأجهزة للمفاتيح الخاصة – سليمة من الناحية الهيكلية، لكنها تتطلب مستوى من الانضباط المؤسسي لم تُدمجه معظم بروتوكولات التمويل اللامركزي، بما في ذلك Drift، بعد. يقول: "عندما يكون لديك جهاز مخصص غير مُعرَّض للإنترنت، يكون أكثر أمانًا بطبيعته". افتقر مجلس أمن Drift إلى هامش الأمان هذا. كل ما تطلبه الأمر هو توقيعان، وطابع زمني فارغ، ورمز مزيف.
ما هو التالي: تعافي رياضة الانجراف ورد فعل الصناعة
مستقبل بروتوكول دريفت غير واضح المعالم، وقد بدأت المؤشرات الأولية تُثير انقسامًا في أوساط الصناعة. فبعد الهجوم مباشرةً، اقترح أناتولي ياكوفينكو حلًا محتملًا للتعافي: توزيع رموز رقمية مجانية على غرار تعهدات الدفع (IOU) للمستخدمين المتضررين، على غرار الاستراتيجية التي اعتمدتها منصة بيتفينكس عام 2016 بعد اختراقها الذي بلغت خسائره 72 مليون دولار.
الفكرة بسيطة: توزيع الخسائر الآن، وتعويض المستخدمين تدريجيًا إذا تعافى البروتوكول. لكن السياق مختلف تمامًا. فقد انخفضت القيمة الإجمالية للخسائر في منصة دريفت إلى النصف تقريبًا، ولا تزال عمليات الإيداع والسحب معلقة، وعلى عكس منصة بيتفينكس، تفتقر دريفت إلى آلية مركزية لتحصيل الإيرادات لتغطية هذه الالتزامات. وقد أدى ذلك إلى ردود فعل سلبية فورية: إذ تُصبح رموز "سند الدين" في هذه الحالة أدوات مضاربة بحتة دون أي سبيل واضح للاسترداد.
في الوقت نفسه، تثير أنشطة الشبكة مخاوف جديدة. فقد أفاد موقع Onchain Lens أن محفظة مرتبطة بفريق Drift قامت بتحويل 56.25 مليون رمز DRIFT (ما يعادل 2.44 مليون دولار أمريكي تقريبًا) إلى منصات تداول مركزية، بما في ذلك Bybit وGate، بعد وقت قصير من استغلال الثغرة. وقد غذّت هذه الخطوة، التي تسبق عادةً ضغوط البيع، التكهنات حول استغلال النفوذ الداخلي خلال أزمة السيولة.
في غضون ذلك، تم تحويل أموال المهاجم بالفعل إلى عدة سلاسل كتل، ولا سيما إيثيريوم، مما يقلل من احتمالية التعافي بشكل ملحوظ يومًا بعد يوم. ويشير هذا إلى أن هذه الحادثة لن تنتهي عند دريفت، بل من المرجح أن تُسرّع من التدقيق الشامل في حوكمة التمويل اللامركزي، بدءًا من معايير أمان التوقيعات المتعددة ومتطلبات القفل الزمني، وصولًا إلى تصميم أوراكل وضوابط التنفيذ. وسيتوقف المستقبل على ثلاثة متغيرات: قدرة دريفت على تقديم خطة تعافٍ موثوقة، وإمكانية تتبع بعض الأموال أو تجميدها، وما إذا كانت هذه الحادثة ستُجبر القطاع أخيرًا على إجراء إصلاحات هيكلية، أم ستُصبح مجرد درس مكلف آخر سيتجاهله القطاع.
ألمع العقول في عالم العملات المشفرة تتابع نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم ؟