يتركز اهتمام حوادث الأمان في عالم العملات الرقمية بسرعة من الثغرات البرمجية إلى الطبقة البشرية من الثقة.
في 1 أبريل 2026، تعرض بروتوكول Drift—وهو منصة رائدة للمشتقات اللامركزية ضمن منظومة Solana—لهجوم أدى إلى خسائر تقارب 285 مليون $. انخفضت القيمة الإجمالية المقفلة (TVL) على المنصة من حوالي 550 مليون $ قبل الحادث إلى ما يقارب 230 مليون $ بعده. وأكد التحقيق الأولي لـ Drift أن العملية دبرتها مجموعة القراصنة UNC4736 المرتبطة بالحكومة الكورية الشمالية، واصفة إياها بأنها "عملية استخباراتية منظمة استمرت ستة أشهر".
تشير هذه الخلاصة إلى تحول يتجاوز مجرد خرق أمني منفرد. فعندما يحول القراصنة المدعومون من دول تركيزهم من استغلال ثغرات الشيفرة إلى اختراق طبقة الثقة بين الأشخاص على مدى أشهر، يُعاد رسم معالم أمن صناعة التمويل اللامركزي (DeFi) بشكل منهجي. لم تعد الهجمات تتطلب استغلالات معقدة للعقود الذكية أو سرقة المفاتيح الخاصة—بل يكفي بناء علاقة صبورة وهوية مصطنعة بعناية وامتلاك الوقت الكافي.
كيف تم تنفيذ الهجوم؟
أظهرت عملية UNC4736 مستوى من التنظيم وتخصيص الموارد يفوق بكثير مجموعات القراصنة التقليدية. فمنذ خريف 2025، تواصل أشخاص ينتحلون صفة ممثلين لشركة تداول كمي مع مساهمين في Drift خلال عدة مؤتمرات دولية للعملات الرقمية. كان هؤلاء الأفراد يمتلكون كفاءات تقنية وخلفيات مهنية يمكن التحقق منها، فضلاً عن دراية عميقة بعمليات Drift. ومن اللافت أن الأشخاص الذين تم التواصل معهم وجهاً لوجه لم يكونوا من جنسية كورية شمالية، بل وسطاء من طرف ثالث تم نشرهم من قبل جهات تهديد كورية شمالية.
بعد بناء الثقة، انضم الفريق إلى خزينة منظومة Drift بين ديسمبر 2025 ويناير 2026، وأودعوا أكثر من مليون $ من أموالهم الخاصة لتعزيز المصداقية. وخلال تلك الفترة، شاركوا في نقاشات مهنية مفصلة حول قضايا المنتج مع عدة مساهمين.
وقع الاختراق التقني عبر مسارين. تم اختراق أحد المساهمين بعد استنساخه لمستودع شيفرة خبيث استغل ثغرات معروفة في محرري VSCode وCursor—وهي ثغرات حذرت منها مراراً مجتمعات الأمن السيبراني. إذ أن مجرد فتح ملف أو مجلد أو مستودع في المحرر كان كفيلاً بتنفيذ شيفرة برمجية ضارة تلقائياً دون أي إجراء أو نقرة من المستخدم. أما المساهم الآخر، فقد تم استدراجه لتحميل تطبيق محفظة مزيف عبر منصة TestFlight من Apple. وبعد الحصول على وصول داخلي، استغل المهاجمون ميزة Durable Nonce الأصلية في Solana لتوقيع المعاملات مسبقاً، ثم سحبوا الأموال فور موافقة multisig.
ما هي تكلفة هذا النمط من الهجمات؟
كشف حادث Drift عن تكاليف متعددة الأبعاد، تتجاوز بكثير خسائر 285 مليون $ المباشرة.
أول النتائج كانت الخسارة المالية والصدمة السوقية. فقد كان هذا أكبر حادث أمني في التمويل اللامركزي لعام 2026 حتى الآن، وثاني أكبر حادث في تاريخ Solana. بعد الهجوم، انهار سعر رمز DRIFT بأكثر من %90 من أعلى مستوى له على الإطلاق.
والأخطر هو تأثير العدوى. فقد ارتفع عدد البروتوكولات المتأثرة باستغلال Drift من 11 في البداية إلى أكثر من 20، بما في ذلك ضحايا جدد مثل PiggyBank وPerena وVectis وPrime Numbers Fi. وقد أوقفت بعض البروتوكولات عمليات السك أو الاسترداد أو الإيداع/السحب. كما أوقف بروتوكول الإقراض اللامركزي Project 0 عملياته وبدأ عملية تقليص الرافعة المالية، ما أدى إلى تخفيض متوسط قدره %2.61 للمقرضين.
أما التكلفة الأعمق والأصعب قياساً فهي تآكل الثقة التي تشكل أساس أمان التمويل اللامركزي. فقد شدد Drift على أن جميع أعضاء multisig استخدموا محافظ باردة، ومع ذلك نجح الهجوم. ويظهر ذلك أنه عندما يستهدف المهاجمون الطبقة البشرية، يمكنهم تجاوز حتى أكثر الضوابط الصارمة للأجهزة. فإذا تصرف المهاجمون كمنظمة شرعية لأشهر—يستثمرون أموالهم ويشاركون في المنظومة—تصبح أنظمة الأمان القائمة شبه عاجزة عن اكتشافهم.
ماذا يعني ذلك لمشهد التمويل اللامركزي؟
يدفع حادث Drift الصناعة لإعادة النظر في سؤال جوهري: هل لا تزال افتراضات الأمان الأساسية للتمويل اللامركزي صالحة؟
يركز أحد محاور النقاش على نقاط الضعف البنيوية في أنظمة الثقة مع الأطراف الثالثة. فقد كشف مسار هجوم UNC4736 أن منظومة التمويل اللامركزي الحالية تفتقر إلى آليات فحص أمني منهجية ومتابعة مستمرة للشركاء الجدد. فأنشطة مثل التواصل في المؤتمرات أو المراسلة الفورية أو الانضمام إلى خزائن المنظومة، والتي تعد ممارسات عمل طبيعية، هي الغطاء المثالي لتسلل القراصنة المدعومين من دول.
محور نقاش آخر يدور حول ثغرات الامتثال في استرداد الأموال. فقد لاحظ محققون على السلسلة أن المهاجمين نقلوا حوالي 232 مليون $ من USDC من Solana إلى Ethereum عبر بروتوكولات عبر السلاسل. كان لدى جهات إصدار العملات المستقرة نافذة زمنية مدتها ست ساعات لتجميد هذه الأموال، لكن لم يتم اتخاذ أي إجراء. ويثير ذلك تساؤلاً أعمق: عندما تفشل دفاعات بروتوكولات التمويل اللامركزي، هل من المستدام الاعتماد على جهات مركزية لإصدار العملات المستقرة للتدخل بناءً على الامتثال؟ وأين تكمن حدود تدخل الكيانات الملتزمة في مواجهة تدفقات أصول ضخمة؟
ما التالي؟
استناداً إلى التحقيقات الحالية وردود فعل الصناعة، تبرز عدة توجهات جديدة.
سيتم إعادة تقييم ميزانيات الأمان بشكل منهجي. ففي عام 2025، تجاوزت خسائر الأمن في سوق العملات الرقمية عالمياً 3.4 مليار $، مع 89 حادثة مؤكدة في مجال Web3 بإجمالي خسائر بلغ 2.54 مليار $. ومع تحول الهجمات المدعومة من دول إلى أمر اعتيادي، لم يعد الاعتماد على تدقيق الشيفرة واختبارات الأمان كافياً. من المتوقع أن تستثمر المزيد من البروتوكولات في تدريب أمني تشغيلي، وتمارين دفاع ضد الهندسة الاجتماعية، وتحسين عمليات التحقق من الخلفيات.
سيصبح انتقال المخاطر بين البروتوكولات محور تركيز جديد. فقد أظهر تأثير الدومينو لحادث Drift عبر أكثر من 20 بروتوكولاً أن خاصية التركيب في التمويل اللامركزي سلاح ذو حدين من ناحية الأمان. وقد تشمل الاستجابات المستقبلية: (1) عزل الاعتماديات على مستوى البروتوكول وتدرج مستويات الأمان، و(2) آليات استجابة للأحداث ومشاركة معلومات على مستوى الصناعة.
ستواجه حدود التنظيم والامتثال مزيداً من النقاش. إذ ستصبح معايير تدخل جهات إصدار العملات المستقرة في مثل هذه الحوادث محوراً للجدل التنظيمي، وقد تؤدي إلى وضع أطر طوارئ لتدفقات أصول العملات الرقمية عبر الحدود.
ما المخاطر التي لا تزال قائمة؟
على الرغم من أن Drift جمد جميع وظائف البروتوكول وأزال المحافظ المخترقة من multisig، إلا أن هناك أبعاداً عدة للمخاطر تستدعي المتابعة المستمرة.
عدم إمكانية استرداد الأموال. فقد حذف المهاجمون سجلات المراسلات الفورية والبرمجيات الخبيثة بسرعة بعد السرقة، وتم بالفعل نقل الأموال المسروقة إلى Ethereum. وتملك مجموعات القراصنة الكورية الشمالية شبكات متقدمة لغسل الأموال وخلطها عبر السلاسل، ما يجعل استرجاع معظم الأموال المسروقة أمراً شبه مستحيل.
عدم تكافؤ القدرات الأمنية. فجهات القراصنة المدعومة من دول تملك موارد تنظيمية وتمويلاً مستمراً وأدواراً متخصصة، بينما تعمل معظم بروتوكولات التمويل اللامركزي بفِرق صغيرة وموارد أمان محدودة. ويستغل المهاجمون هذا التفاوت بشكل منهجي. فالهويات التي يستخدمها هؤلاء تتمتع بسير ذاتية مهنية كاملة، وبيانات اعتماد عامة، وشبكات اجتماعية مهنية، ما يسمح لهم بتجاوز إجراءات التحقق التقليدية.
إرهاق الثقة يعيق الابتكار في الصناعة. فإذا تطلب كل شريك جديد فحصاً أمنياً صارماً ومتابعة مستمرة، تصبح نقاط القوة الأساسية للتمويل اللامركزي—الانفتاح وقابلية التركيب—مهددة بالتآكل. وسيكون التوازن بين الدفاعات الأمنية والكفاءة التشغيلية تحدياً محورياً للصناعة.
الخلاصة
كشف اختراق Drift عن حقيقة طال إغفالها: لقد شهدت تهديدات الأمان في التمويل اللامركزي قفزة جيلية. فمن أخطاء العقود الذكية إلى سرقة المفاتيح الخاصة، وصولاً الآن إلى عمليات الهندسة الاجتماعية التي تديرها دول على مدى ستة أشهر، يتطور المهاجمون أسرع بكثير من أنظمة الدفاع. عندما لا يحتاج المهاجمون إلى اختراق الشيفرة بل فقط إلى اختراق ثقة شخص ما، يجب إعادة تقييم فعالية multisig والمحافظ الباردة والعزل المادي.
الصناعة بحاجة إلى ما هو أكثر من تدقيق شيفرة محسّن وضوابط وصول أكثر صرامة—بل إلى عقلية أمنية جديدة: اعتبار "الثقة البشرية" سطح هجوم يوازي "شيفرة العقود الذكية". يجب إعادة تعريف كل حلقة في السلسلة—من التحقق من الخلفيات وثقافة الأمان التشغيلي، إلى المراقبة المستمرة لشركاء المنظومة وآليات الاستجابة للطوارئ عبر البروتوكولات. في الواقع الجديد حيث تدخل جهات مدعومة من دول إلى أمن العملات الرقمية، لا يمكن لأي بروتوكول أن يصمد بمفرده—فالسلسلة الأمنية لا تقوى إلا بأضعف حلقاتها.
الأسئلة الشائعة
س: هل UNC4736 هي نفسها مجموعة Lazarus؟
UNC4736 هو اسم رمزي تستخدمه شركات الأمن لتتبع جهات التهديد المرتبطة بكوريا الشمالية. ورغم وجود تداخل مع مجموعة Lazarus الأكثر شهرة، إلا أنهما ليستا متطابقتين تماماً. يُعتقد أن UNC4736 تركز على عمليات دخل أساسية مستدامة في مجال العملات الرقمية، مستهدفة كيانات صغيرة إلى متوسطة الحجم عبر تسلل متواصل.
س: لماذا لم تحمِ multisig بروتوكول Drift من الهجوم؟
لم يسرق المهاجمون مفاتيح multisig الخاصة بشكل مباشر. بل حصلوا على صلاحيات الموافقة عبر الهندسة الاجتماعية، ثم استخدموا ميزة Durable Nonce في Solana لتوقيع المعاملات مسبقاً وتنفيذها فور حصولهم على الصلاحيات الكافية. ويظهر ذلك أن أمان multisig يعتمد على عدم اختراق الموقّعين عبر الهندسة الاجتماعية.
س: هل شمل هذا الهجوم ثغرة في عقد ذكي؟
لا. فقد أكد Drift أن جوهر هذا الهجوم كان الهندسة الاجتماعية وإساءة استخدام ميزة Durable Nonce—وليس استغلالاً تقليدياً لشيفرة عقد ذكي.
س: ما الإجراءات التي اتخذها Drift بعد الحادث؟
قام Drift بتجميد جميع وظائف البروتوكول، وأزال المحافظ المخترقة من multisig، ودعا شركات الأمن لإجراء تحقيق جنائي شامل. وأوضح فريق البروتوكول أنهم يتعاونون مع وكالات إنفاذ القانون لتعقب الأموال المسروقة.
