#DriftProtocolHacked DriftProtocolHacked: تحليل كامل لعملية السطو على DeFi المرتبطة بكوريا الشمالية

الملخص المختصر: في 1 أبريل 2026 #DriftProtocolHacked نعم، هجوم حقيقي، وليس مزحة$285M ، فقد أكبر بورصة دائمة على سولانا، Drift Protocol، حوالي **~(مليون** دولار، ويُطلق الآن على هذا الهجوم أنه الأكثر تطورًا من نوعه في تاريخ DeFi من حيث الهندسة الاجتماعية. قضى المهاجمون **ستة أشهر** في بناء الثقة، واللقاء بالفريق شخصيًا، وإيداع أكثر من )مليون دولار من أموالهم الخاصة، وأخيرًا اختراق أجهزة التوقيع لتفريغ البروتوكول في غضون 12 دقيقة.

---

1. الجدول الزمني: كيف حدثت الأمور

تنفيذ الهجوم $285 1 أبريل 2026$1

· إجمالي المسروق: ~(مليون عبر عدة تجمعات: JLP )~$155.6M$285 ، USDC، SOL، cbBTC، wBTC، WETH، وعملات الميم
· الطريقة: قام المهاجمون بتفعيل معاملات "نونس دائم" موقعة مسبقًا، ووضعوا رموز CVT المزيفة كضمانات صالحة، ورفعوا حدود السحب إلى الحد الأقصى، وشفطوا كل شيء
· السرعة: تم تنفيذ 31 عملية سحب في حوالي 12 دقيقة
· التحويل الفوري: تم تبادل الأصول المسروقة إلى حوالي 129,000 ETH (~$278M) عبر Jupiter، وربطها بإيثريوم

الاستجابة الفورية

· تم تجميد الإيداعات/السحوبات على الفور
· أكد Drift: "هذه ليست مزحة يوم الأول من أبريل"
· تم إيقاف جميع وظائف البروتوكول؛ تم إزالة المحافظ المخترقة من التوقيع المتعدد

---

2. الاختراق لمدة ستة أشهر: عملية استخبارات منظمة

لم يكن خطأ في الكود أو اختراق عشوائي. كانت عملية تجسس على مستوى كامل.

المرحلة 1: الاتصال الأول (خريف 2025)

اقترب أفراد يتظاهرون بأنهم شركة تداول كمي من مساهمي Drift في مؤتمر كبير للعملات الرقمية. كانوا متقدمين تقنيًا، وموثوقين، وأنشأوا مجموعة على Telegram على الفور.

المرحلة 2: بناء الثقة (ديسمبر 2025 - يناير 2026)

· أدخلوا صندوق نظام بيئي يبدو شرعيًا على Drift
· أودعوا أكثر من (مليون دولار من رأس مالهم الخاص لإثبات المصداقية
· عقدوا جلسات عمل متعددة حول استراتيجيات التداول والتكاملات
· التقوا بمساهمي Drift وجهًا لوجه في مؤتمرات عبر عدة دول

المرحلة 3: الاختراق التقني )فبراير - مارس 2026$1

تم تحديد اثنين من مسارات الهجوم المحتملة:

الطريقة الأسلوب
مستودع خبيث قام المهاجم بمشاركة مستودع كود تحت ستار نشر واجهة صندوق. ثغرة معروفة في VSCode/Cursor (تم الإبلاغ عنها في ديسمبر 2025 - فبراير 2026) سمحت بتنفيذ كود عشوائي بصمت بمجرد فتح المجلد—بدون نقرات، بدون تحذيرات
تطبيق TestFlight تم إقناع المساهم بتثبيت نسخة بيتا من "محفظة" عبر Apple TestFlight (الذي يتجاوز مراجعة أمان متجر التطبيقات)

بمجرد اختراق الأجهزة، حصل المهاجمون على موافقات التوقيع المتعدد من خلال تضليل المعاملات.

المرحلة 4: الفخ يُنصب (27 مارس 2026)

نقل Drift لمجلس الأمن إلى توقيع متعدد 2 من 5 مع قفل زمني فوري—أي أن الإجراءات الإدارية يمكن تنفيذها على الفور بدون تأخير. كانت المعاملات الموقعة مسبقًا جاهزة، تنتظر التنفيذ.

المرحلة 5: التنفيذ (1 أبريل 2026)

· قام المهاجمون بتنشيط المعاملات الخاملة
· تم مسح محادثات Telegram والبرمجيات الخبيثة تمامًا عند بدء الهجوم
· تم تفريغ الأموال خلال 12 دقيقة

---

3. النسب: مجموعة Lazarus الفرعية لكروريا الشمالية (UNC4736)

بثقة متوسطة-عالية، يُنسب إلى Drift وفريق SEAL 911 هذا إلى UNC4736 (المعروف أيضًا بـ AppleJeus، Citrine Sleet، Gleaming Pisces)—نفس المجموعة التي نفذت هجوم Radiant Capital في أكتوبر 2024.

الأدلة التي تربط DPRK:

· تداخل على السلسلة: تدفقات الأموال المستخدمة في تنفيذ عملية Drift تعود إلى مهاجمي Radiant Capital
· أنماط العمليات: نفس النهج الصبور، والموجه للبشر، المستخدم في اختراق جسر Ronin في 2022 ($625M)
· أصل Tornado Cash: بدأ الهجوم بسحب ETH من Tornado Cash في 11 مارس
· توقيت بيونغ يانغ: توقيت نشر CVT متوافق مع حوالي الساعة 09:00 بتوقيت بيونغ يانغ
· سرعة غسيل الأموال: تحويل فوري عبر السلسلة إلى ETH، بدون تجميد من قبل البورصات المركزية

ملاحظة مهمة: الأشخاص الذين التقوا وجهًا لوجه ليسوا من مواطني كوريا الشمالية

"الأشخاص الذين ظهروا في المؤتمرات شخصيًا لم يكونوا من مواطني كوريا الشمالية. يُعرف أن الجهات المهددة من كوريا الشمالية تستخدم وسطاء من طرف ثالث لبناء العلاقات."

هؤلاء الوسطاء أنشأوا هويات مكتملة—تاريخ التوظيف، الشهادات العامة، الشبكات المهنية—مصممة لتحمل تدقيق الطرف المقابل.

---

4. التحليل التقني: كيف عمل الاستغلال

هجوم "نونس دائم" (Durable Nonce)

تتمتع سولانا بميزة شرعية تسمح بمعاملات موقعة مسبقًا وتنفيذها لاحقًا. قام المهاجمون بـ:

1. إقناع الموقعين على التوقيع المتعدد بالموافقة على معاملات تبدو روتينية
2. أصبحت تلك الموافقات مفاتيح تفويض نشطة محتجزة في الاحتياط
3. عند إزالة القفل الزمني في 27 مارس، تم تفعيل المعاملات الموقعة مسبقًا على الفور

خطة الضمان المزيف

1. 11 مارس: سحب المهاجم ETH من Tornado Cash
2. 12 مارس: نشر رمز "CVT" $50M carbonvote(
3. 3 أسابيع: ضخ سيولة قليلة على Raydium، واستخدام تداول غسيل للحفاظ على سعر يقارب 1 دولار
4. 1 أبريل: قرأت أوثورات Drift CVT كضمان شرعي → قام المهاجم بإيداع CVT عديم القيمة → أصدر البروتوكول أصولًا حقيقية ضده

---

5. التداعيات: من تضرر

الخسائر المباشرة: ~)مليون

الأصول المبلغ القيمة بالدولار (USD)
رموز JLP ~41.7M ~$155.6M
USDC متنوع ~$80-100M
SOL متنوع كبير
cbBTC/wBTC/WETH متنوع الباقي

البروتوكولات المتأثرة $285 العدوى(

· Prime Numbers Fi: خسائر بملايين
· Carrot Protocol: توقف وظائف الإصدار/الاسترداد بعد تأثر 50% من إجمالي القيمة المقفلة
· Pyra Protocol: تعطيل السحب بالكامل
· Piggybank: خسارة 106,000 دولار )تم تعويضها من الخزانة(

رد جوبتر

"Jupiter Lend غير متورط في أسواق Drift. أصول JLP مدعومة بالكامل بالأصول الأساسية. هذا يوم صعب على DeFi في سولانا."

الرموز غير المتأثرة

· Unitas Protocol
· Meteora
· Perena )على الرغم من أن صندوق JLP الخاص بهم الذي يديره Neutral Trade تأثر(

---

6. جدل العملات المستقرة: Circle مقابل Tether

ظهرت قصة ثانوية مهمة: لماذا لم تقم Circle بتجميد USDC المسروق؟

الأرقام

· )مليون في USDC تم ربطه من سولانا إلى إيثريوم عبر بروتوكول النقل عبر السلسلة الخاص بـ Circle (CCTP)
· حدث ذلك خلال ست ساعات بدون تدخل

المقارنة

رد البروتوكول
USDT0 #DriftProtocolHacked Tether$230 أوقف التواصل عبر السلسلة على سولانا خلال 90 دقيقة
Circle CCTP لم يُوثق أي تدخل؛ البروتوكول عمل بدون إذن

الانتقادات

انتقد المحلل على السلسلة ZachXBT علنًا فشل Circle في التحرك. وذكر مراقبو الصناعة أن هذا يكشف عن مفاضلة تصميم أساسية: السيطرة المركزية للاستجابة الطارئة (USDT0) مقابل اللامركزية بدون إذن (CCTP).

للمقارنة، قال مؤسس Curve Finance، مايكل إيجوروف: "إذا كان قراصنة من كوريا الشمالية متورطين، فاحتمال الاسترداد صفر. هم لا يتعاونون أبدًا ولا يخافون من القانون."

---

7. رد Drift وجهود الاسترداد

الإجراءات الفورية (1-3 أبريل)

· تم تجميد جميع وظائف البروتوكول
· أُزيلت المحافظ المخترقة من التوقيع المتعدد
· تم وضع علامات على عناوين المهاجمين لدى البورصات ومشغلي الجسور
· أُرسلت رسائل على السلسلة إلى محافظ الهاكرز: "نحن مستعدون للتحدث"

محاولة التفاوض (3 أبريل)

أرسل Drift رسائل على السلسلة إلى أربعة محافظ إيثريوم تحتوي على أموال مسروقة، قال فيها:

"تم تحديد معلومات حاسمة تتعلق بالجهات المرتبطة بالاستغلال. للمجتمع، ستشارك Drift تحديثات إضافية بمجرد الانتهاء من تحديد الجهات الخارجية."

الرد الوحيد؟ محفظة عشوائية تحتوي على 155.6M دولار في ETH ردت: *"أرسل لي (مليون دولار لأعبث بفريق Drift."*

التحقيق الجنائي

· تم التعاقد مع Mandiant لقيادة التحقيق الجنائي
· فريق SEAL 911 )Taylor Monahan، tanuki42_، pcaversaccio، Nick Bax( يُنسب إليهم تحديد الجهات الفاعلة
· الانتظار لاستكمال التحقيقات على الأجهزة قبل التوجيه الرسمي

ما قاله tanuki42_

"هذا هو الهجوم الأكثر تفصيلًا واستهدافًا أراه من قبل DPRK في مجال العملات الرقمية. توظيف عدة وسطاء وجعلهم يستهدفون أشخاصًا محددين في أحداث كبرى هو تكتيك مجنون."

---

8. لماذا يغير هذا كل شيء في عالم DeFi

الحقيقة الصعبة

"إذا كان المهاجمون مستعدين لقضاء ستة أشهر، واستثمار )مليون دولار في النظام، واللقاء بالفِرق شخصيًا، وإيداع رأس مال حقيقي، والانتظار بصبر—ما هو نموذج الأمان المصمم للكشف عن ذلك؟"

الدروس المستفادة

1. القفل الزمني ليس خيارًا. إزالة القفل الزمني $200 كما فعل Drift في 27 مارس$10 يحول هجومًا معقدًا إلى سحب نقدي خلال 12 دقيقة
2. الهندسة الاجتماعية > استغلال الكود. لن يمنع تدقيق الكود الأكثر تطورًا شخصًا من فتح مجلد خبيث في VSCode أو تثبيت تطبيق TestFlight
3. الأمان المصرح به مقابل اللامركزية غير المصرح بها. التباين بين USDT0 و CCTP يُظهر مفاضلات حقيقية في تصميم العملات المستقرة
4. كوريا الشمالية باقية هنا. تتبع Elliptic أكثر من 278M دولار في Q1 2026 وحده، مع مسؤولين مرتبطين بكوريا الشمالية مسؤولين عن أموال تزيد على 6.5 مليار دولار في السنوات الأخيرة

ماذا بعد لـ Drift

· ما لم يتم استرداد الأموال أو ظهور دعم كبير، المحتمل أن يؤدي إلى تصفية، إفلاس، أو نزاعات قانونية
· لم يُعلن عن خطة تعويض شاملة حتى 3-5 أبريل
· احتمالية الاسترداد إذا كانت كوريا الشمالية متورطة: 0% (كما قال مايكل إيجوروف)

---

9. المحافظ الرئيسية وبيانات السلسلة

عناوين ETH للمهاجم $1 Post-bridge(

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

إجمالي الحيازة: ~105,969 ETH )~$226M$300M

مرسل رسائل السلسلة لـ Drift:

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

الخلاصة النهائية

لم يكن هذا اختراقًا فحسب. كان عملية استخبارات عدائية استمرت ستة أشهر نفذتها دولة ضد بروتوكول DeFi. المهاجمون:

· استخدموا وسطاء من طرف ثالث بهويات مزيفة وكاملة
· التقوا بالأهداف شخصيًا في مؤتمرات عبر عدة دول
· أودعوا أكثر من مليون دولار من رأس مال حقيقي كغطاء
· استغلوا أدوات المطور الموثوقة (VSCode) وأداة TestFlight من Apple
· نفذوا عملية تفريغ مثالية في 12 دقيقة بتوقيت متزامن

إذا أراد عالم DeFi البقاء، على الصناعة أن تقبل أن الهندسة الاجتماعية والجهات ذات الطابع الوطني هي الآن نموذج التهديد—وليس فقط أخطاء العقود الذكية.

"أظهرت التحقيقات أن الملفات الشخصية المستخدمة كانت لها هويات مكتملة تشمل تاريخ التوظيف، الشهادات العامة، والشبكات المهنية التي يمكن أن تصمد أمام التدقيق خلال علاقة عمل." — بروتوكول Drift ()