#DriftProtocolHacked

بروتوكول دريفت، أحد أكبر بورصات العقود الدائمة والنقطة الفورية اللامركزية المبنية على بلوكتشين سولانا، تعرض لأحد أكثر الاختراقات تدميراً في تاريخ التمويل اللامركزي في 1 أبريل 2026. أكد الفريق أن الحادث، بكلامهم، "ليس مزحة عيد الفصح". بحلول الوقت الذي بدأ فيه الغبار يتلاشى، قدرت الخسائر الإجمالية بين $200 مليون و $285 مليون، مما يجعله أكبر عملية اختراق للعملات المشفرة في 2026 حتى الآن، وأشد هجوم ضار على DeFi المبني على سولانا منذ استغلال جسر وورم هول في 2022.

أول علامة على المشاكل ظهرت حوالي الساعة 18:10 بتوقيت غرينتش عندما أبلغ فريق دريفت عن نشاط غير عادي على السلسلة وحذر المستخدمين من عدم إيداع أي أموال. أقل من ساعة بعد ذلك، حوالي الساعة 18:58 بتوقيت غرينتش، أكد الفريق أن هجوماً نشطاً جارٍ، وقام على الفور بتعليق عمليات الإيداع والسحب عبر المنصة بأكملها، وبدأ في تنسيق استجابة طارئة مع شركات أمن البلوكتشين، والجسور، والبورصات المركزية في محاولة لتجميد أو تتبع الأصول المسروقة.

كانت آليات الهجوم متطورة ومتعددة الخطوات ومدبرة بعناية. كشف محققو السلسلة أن المهاجم كان يختبر الاستغلال قبل الهجوم الفعلي بأكثر من ثمانية أيام، مما يشير إلى فترة طويلة من التحضير والمراقبة. مركز الهجوم كان حول مجموعة مخترقة من مفاتيح إدارة دريفت. سواء كانت مفاتيح خاصة مسربة أو نتيجة لاختراق متعدد التوقيعات يضم عدة موقعين، لا تزال التحقيقات جارية، لكن النتيجة كانت نفسها: حصل المهاجم على السيطرة الإدارية على معلمات البروتوكول الحيوية.

مع وصوله إلى صلاحيات الإدارة، نفذ المهاجم التسلسل التالي. أولاً، أنشأ رمزاً زائفاً يسمى CarbonVote Token، المختصر CVT، وأسس تجمع سيولة وهمي له على Raydium. من خلال التداول الوهمي، ضخم سعر CVT بشكل مصطنع بحيث سجلت أوراكل البروتوكول أنه أصل شرعي وذو قيمة عالية. ثانياً، باستخدام صلاحيات الإدارة المخترقة، قام بإدراج CVT كشكل مقبول من الضمانات ضمن سوق النقاط الفورية في دريفت. كما استخدم تلك الحقوق لتعطيل حراس السحب في البروتوكول ورفع حد اقتراض USDC من الحد الأقصى المعتاد البالغ $25 مليون إلى $500 مليون. ثالثاً، ومعه كميات هائلة من ضمان CVT الوهمي الذي اعتبره البروتوكول حقيقياً، قام المهاجم بإيداعه وبدأ في اقتراض وسحب أصول حقيقية من تجمعات وقروض دريفت الرئيسية. تم ذلك من خلال حوالي 31 عملية على السلسلة باستخدام وظائف البروتوكول بما في ذلك initializeSpotMarket و updateSpotMarketStatus. ووفقاً للتقارير، استغرقت عملية السحب الكاملة حوالي 12 دقيقة من البداية حتى الانتهاء.

شملت المحافظ المتأثرة صندوق JLP Delta Neutral، وصندوق SOL Super Staking، وصندوق BTC Super Staking، وغيرها. تضمنت قائمة الأصول المسروقة حوالي 155.6 مليون دولار من رموز JLP، و60.4 مليون دولار من USDC، ومبالغ إضافية من SOL، وJitoSOL، وcbBTC، وWETH. تمثل الخسائر الإجمالية حوالي 50 بالمئة من القيمة الإجمالية المقفلة في دريفت، والتي كانت تقدر بحوالي $540 مليون قبل الهجوم.

لم يكتف المهاجم بسحب الأموال من المحافظ. تم تبادل الأموال بسرعة عبر Jupiter، وهو أكبر مجمع سيولة في سولانا. تم توجيه جزء منها عبر محفظة Backpack التي قد تحتوي على سجلات KYC، وهو ما لاحظه المحققون كخيط محتمل. ثم تم ربط الأصول من سولانا إلى إيثريوم، وتحويلها إلى ETH، وغسلها عبر منصات مثل Hyperliquid وMonero. حتى آخر تقارير على السلسلة، كان المهاجم يمتلك حوالي 19,913 ETH بقيمة تقارب $42 مليون، مع أكثر من $82 مليون تم اعتبارها مغسولة بالفعل وقت كتابة هذا التقرير.

كان رد فعل السوق فورياً وشديداً. انخفض رمز DRIFT بين 25 و50 بالمئة خلال ساعات من انتشار الخبر. انهارت القيمة الإجمالية المقفلة في دريفت، التي كانت تقدر بحوالي 311.93 مليون دولار على DeFiLlama وقت الحادث. أوقفت العديد من البروتوكولات الأخرى التي لها تعرض على دريفت، بما في ذلك Ranger Finance، وReflect Money، وElemental DeFi، وProject0، عملياتها كإجراء احترازي بسبب المخاطر المترابطة. جعل الحادث مؤقتاً بروتوكول دريفت الرمز الأول على CoinGecko كتريند، حيث سارع المتداولون والباحثون لتقييم تعرضهم.

حتى 2 أبريل 2026، لم ينشر فريق دريفت تقريراً رسمياً بعد أو يؤكد رقم خسائره الدقيق. قدمت شركات الأمن تقديرات متفاوتة: حيث قدرت CertiK الخسائر بحوالي $136 مليون، في حين تتبع Arkham Intelligence ما يقارب $285 مليون من الأصول المسروقة. ربما يعكس هذا التفاوت اختلاف المنهجيات في حساب الأصول وقت السرقة مقابل قيمتها بعد التسييل.

بالنسبة لأي شخص كان له تفاعل مع بروتوكول دريفت، الأولوية الفورية هي سحب جميع الموافقات والأذونات المرتبطة بالبروتوكول. يُنصح المستخدمون بمراجعة أذونات محافظهم باستخدام أداة Jup Portfolio أو أدوات مماثلة. يجب على من كان يمتلك أصولاً في المحافظ المتأثرة توثيق مواقفه ومراقبة الاتصالات الرسمية من دريفت لأي خطة استرداد أو تعويض.

هذا الحدث تذكير صارخ بالمخاطر النظامية التي يفرضها تعرض مفاتيح الإدارة على بروتوكولات التمويل اللامركزي. حتى أكثر المنصات تدقيقاً واختباراً تحمل عنصر مركزية عندما توجد صلاحيات إدارة بدون ضوابط متعددة الأطراف مؤجلة زمنياً بشكل كافٍ. لم يكن استغلال دريفت خطأ في العقود الذكية بالمعنى التقليدي، بل كان فشلاً في التحكم في الوصول سمح لمهاجم واحد بإعادة كتابة قواعد البروتوكول بشكل أحادي أثناء الجلسة. حتى يتم إصدار التقرير الكامل وتثبيت سلسلة الأدلة على المفاتيح المخترقة، تظل الصورة غير مكتملة.

الوضع لا يزال يتطور. التعافي غير مؤكد.