Cryptonews

داخل اختراق Drift بقيمة 280 مليون دولار: أسابيع من الإعداد ودقائق للاستنزاف

المصدر
cryptonewstrend.com
نُشر في
داخل اختراق Drift بقيمة 280 مليون دولار: أسابيع من الإعداد ودقائق للاستنزاف

تم اختراق بروتوكول Drift Protocol القائم على تبادل العملات المشفرة في Solana مقابل ما يقرب من 280 مليون دولار بالأمس كجزء من عملية استمرت لأسابيع ومن المحتمل أنها استخدمت الهندسة الاجتماعية لتسوية موافقات الموقعين المتعددين.

في 1 أبريل، الساعة 7 مساءً بتوقيت UTC+1، أعلنت Drift أن هناك "نشاطًا غير عادي" على البروتوكول وأنه يجب على المستخدمين تجنب إيداع الأموال. وشددت على أن "هذه ليست مزحة كذبة إبريل".

جاء ذلك بعد أن أطلق مستخدمو X إنذارات مفادها أنه تم استغلال Drift وأنه سيكون استغلالًا كبيرًا.

وأكدت Drift بعد ذلك أنها تتعرض لهجوم مستمر وأنها ستحتاج إلى تعليق عمليات الإيداع والسحب. بدأ الباحثون في التكهن بأن مفاتيح Drift الخاصة قد تم اختراقها.

بروتوكول الانجراف يتعرض لهجوم نشط. تم تعليق الودائع والسحوبات. نقوم بالتنسيق مع العديد من شركات الأمن والجسور والبورصات لاحتواء الحادث. هذه ليست مزحة كذبة إبريل. سنقدم تحديثات إضافية من هذا الحساب كـ… https://t.co/03SRPq4fHj

– الانجراف (DriftProtocol) 1 أبريل 2026

وقد شارك Drift منذ ذلك الحين جدولًا زمنيًا مفصلاً لما حدث وكيف حدث.

وقالت: "كانت هذه عملية معقدة للغاية يبدو أنها تضمنت إعدادًا لعدة أسابيع وتنفيذًا مرحليًا، بما في ذلك استخدام حسابات غير دائمة للتوقيع المسبق على المعاملات التي أخرت التنفيذ".

وتزعم أن الهجوم لم يكن بسبب خلل في برامج Drift أو العقود الذكية، ولم يكن هناك دليل على وجود عبارات أولية مخترقة، وأن الهجوم تضمن موافقات معاملات غير مصرح بها قبل تنفيذ الاختراق.

ومع ذلك، فقد اعترفت بأن هذه الموافقات قد تم تسهيلها على الأرجح من خلال هجوم الهندسة الاجتماعية ضد موظفيها والتلاعب بـ "آليات غير دائمة".

ما نزل مع الانجراف

آليات nonce الدائمة هي نوع من أدوات blockchain التي يمكنها تجاوز توقيع blockchain وتسهيل توقيع الترجمة دون اتصال بالإنترنت.

تدعي Drift أنه في 23 مارس، تم إنشاء أربعة حسابات غير دائمة، اثنان منها مرتبطان بأعضاء Drift Security Council multisig واثنان مرتبطان بحسابات يتحكم فيها المهاجم.

فيما يلي الجدول الزمني للأحداث. 23 مارس: إعداد Nonce الأولي، تم إنشاء أربعة حسابات غير دائمة: - اثنان مرتبطان بأعضاء Drift Security Council multisig - اثنان مرتبطان بحسابات يتحكم فيها المهاجمون الحسابات ذات الصلة: أ....

– الانجراف (DriftProtocol) 2 أبريل 2026

ثم، في 27 مارس/آذار، "نفذ دريفت عملية هجرة مخططة لمجلس الأمن بسبب تغيير عضو في المجلس".

وبعد ثلاثة أيام، تم إنشاء حساب nonce دائم آخر لعضو في multisig المحدث، مما يمنح المهاجمين "وصولاً فعالاً إلى 2/5 من الموقعين في multisig المحدث".

يوم التنفيذ

تدعي Drift أنها نفذت سحبًا تجريبيًا من صندوق التأمين في الأول من أبريل. بعد ذلك، نفذ المهاجم، من خلال الوصول إلى موافقات التوقيع المتعدد، "عملية نقل إدارية ضارة في غضون دقائق، وتمكن من التحكم في الأذونات على مستوى البروتوكول".

يمكن للمهاجمين بعد ذلك "استخدام هذا التحكم لإدخال أصول ضارة وإزالة جميع حدود السحب المحددة مسبقًا لمهاجمة الأموال الموجودة".

لم يشارك Drift أي تفاصيل حول كيفية حدوث هجوم الهندسة الاجتماعية المحتمل. يمكن أن تكون في بعض الأحيان نتيجة لارتداء مهاجم لهوية مزيفة، سواء كان ذلك عبر رسالة مباشرة أو بريد إلكتروني أو هاتف، وخداع شخص ما لمنحه حق الوصول إلى الامتيازات الرئيسية.

لم تقم شركة Circle الشريكة لـ Drift بتجميد الأموال

وقد أثار هذا الحادث انتقادات من محقق العملات المشفرة ZachXBT، الذي اعترض على شركة العملات المستقرة Circle وجهودها البطيئة لتجميد الأموال المسروقة.

بروتوكول النقل عبر السلسلة (CTTP) الخاص بـ Drift Integrated Circle في عام 2023. وأشار ZachXBT إلى أن "Circle كانت نائمة بينما تم تبديل ملايين عديدة من USDC عبر CCTP من Solana إلى Ethereum لساعات من اختراق Drift المكون من 9 أرقام خلال ساعات العمل في الولايات المتحدة."

وقال: "6 ساعات هي المدة التي اضطرت فيها شركة Circle إلى تجميد الأموال المسروقة من عملية اختراق Drift بقيمة 280 مليون دولار".

وقد اعترض مستخدمون آخرون على تصنيف البروتوكول على أنه "لامركزي"، بعد أن يبدو أن الهجوم استغل الآليات المركزية.

انزعج المستخدمون الآخرون لأن Drift لم يتطلب سوى موافقتين من أصل خمس موافقات متعددة لإجراء المعاملة.

هناك، هناك الجاني 2/5 multisig لـ 500M TVL بدون قفل زمني وهو أمر جنوني، قد تعتقد أنه 4/5 multisig ولكن لا يا رجل، هذه الفرق مجنونة وبعد ذلك سوف يتوصلون إلى درجة البكالوريوس في التقنية العالية لشرح السبب بعد اختفاء أموال المستخدمين

– توبي (@ tobific) 2 أبريل 2026

وقالت المنصة إنها تعمل جنبًا إلى جنب مع شركات الأمن وجهات إنفاذ القانون والجسور والبورصات لمعرفة ما حدث وتجميد الأصول المسروقة. وأضافت أن تقريرا أكثر تفصيلا سيصل في الأيام المقبلة.

وتكهن كبير مسؤولي التكنولوجيا في ليدجر بالفعل بأن أحداث الاختراق تشبه طريقة عمل مماثلة "لاختراق بايبيت العام الماضي، والذي يُنسب على نطاق واسع إلى جهات مرتبطة بكوريا الديمقراطية".

تواصلت Protos مع Drift للتعليق وستقوم بتحديث هذه القطعة في حالة تلقينا أي رد.