‍#DriftProtocolHacked اختراق بروتوكول Drift: $285 مليون استغلال يبرز ضعف الإنسان في التمويل اللامركزي

لا يُعد استغلال $285 مليون لبروتوكول Drift في 2026 مجرد عنوان آخر في قائمة اختراقات التمويل اللامركزي المتواصلة؛ بل يمثل درسًا مروعًا في الهندسة الاجتماعية طويلة المدى. بينما يركز كثير من القطاع تلقائيًا على ثغرات العقود الذكية، تؤكد هذه الحادثة حقيقة أعمق: غالبًا ما لا تكون أكثر الأجزاء هشاشة في أي بروتوكول هي الكود، بل البشر الذين أُودعوا مفاتيح الوصول. وعلى عكس الاستغلالات المعتادة التي يتم فيها تحديد خلل أو ثغرة منطقية فورًا، فقد أمضى مهاجمو Drift أسابيع وهم يبنون بطرق منهجية وهمًا بالشرعية خدع حوكمة البروتوكول، لتجاوز في النهاية جميع الضمانات المقصودة. كانت طريقة المهاجمين متقدمة ومتعددة الطبقات. فقد أنشؤوا أصلًا مزيفًا، وهو CarbonVote Token، واستخدموا التداول المغسول للتلاعب الاصطناعي بالمرجعيات (oracles)، ما خدع النظام ليعامل “بكسلات” لا قيمة لها كضمانات شرعية تستحق ملايين الدولارات. وعندما قاموا بتفعيل ما يُسمّى بمعاملات “nonce durable” (الـ nonce الدائم)، كانت دفاعات البروتوكول قد جرى تقويضها بالفعل من الداخل. لم يكن هذا هجومًا “كسرًا وخطفًا”؛ بل كان اختراقًا محسوبًا على مستوى عالٍ استهدف مجلس الأمن نفسه المصمَّم لحماية المستخدمين.

وأن يتم تفريغ بورصة من طراز Solana DEX من الرصيد في أقل من 12 دقيقة عبر هندسة اجتماعية منسقة، يثبت واقعًا مقلقًا: إن عقدًا ذكيًا مدققًا وحده لا يضمن السلامة. إن الأمان في DeFi، كما تُظهر هذه الحادثة، ليس إنجازًا لمرة واحدة بل عملية مستمرة من الارتياب واليقظة. فبمجرد أن تصبح إجراءات حوكمة البروتوكول آلية لا صارمة، تتحول إلى هدف لين للمهاجمين، بما في ذلك الجهات المدعومة من الدولة. ويُعد هذا الاختراق نقطة انعطاف حرجة للصناعة: فالـ DeFi ينتقل من عصر “Code is Law” إلى عصر “Social Engineering”، حيث أصبحت الثقة البشرية هي مسار الهجوم الأساسي. كما أن تدابير الكفاءة مثل عمليات الترحيل دون توقيت زمني (zero-timelock migrations)، التي كانت تُحتفى بها سابقًا كميزات صديقة للمستخدم، تبدو الآن كثغرات صارخة. علاوة على ذلك، فإن التلاعب بالمرجعيات عبر سيولة مصطنعة مُصنَّعة يكشف عن خلل بنيوي لا تزال معظم بروتوكولات الإقراض غير مجهزة للتعامل معه.

تظهر من استغلال Drift عدة دروس تقنية وحوكمية. أولًا، سمح استخدام الـ nonce الدائم للمهاجمين بتوقيع المعاملات مسبقًا قبل أسابيع، بما يضمن سرعات تنفيذ لا يستطيع أي مدافع بشري مجاراتها. تُبرز هذه التقنية كيف يمكن لسوء استخدام ذكي لمقومات البروتوكول على السلسلة أن يحول ميزات روتينية إلى أسلحة. ثانيًا، مشكلة “عمى المرجعيات” واضحة الآن بلا أي التباس: المرجعيات تُبلّغ عن السعر فقط، لا عن الحقيقة. ومن خلال ضخ قدر كافٍ من السيولة للتأثير على تغذية سعر لرمز مزيف، حوّل المهاجمون حسابات البروتوكول الخاصة بهم إلى سلاح. وأخيرًا، تم كشف أسطورة التوقيع متعدد الأطراف (multisig): لا تكون محفظة التوقيع المتعدد أكثر أمانًا إلا بقدر ما تكون عليه عادات التواصل والتشغيل لدى الموقعين عليها. فالهندسة الاجتماعية التي تقنع المشاركين بالموافقة على المعاملات على أنها أمر روتيني تحول نظام موافقة قوي 5-of-5 إلى نظير هش يعادل 1-of-1.

تمتد الآثار الأوسع لاختراق Drift Protocol إلى ما هو أبعد بكثير من منظومة Solana. وتعمل هذه الحادثة كنداء يقظة لجميع منصات DeFi التي أصبحت مطمئنة تجاه “اختصارات المسؤول” أو ميزات الطوارئ التي تتجاوز آجال الـ timelocks. فإذا كان بروتوكولك المفضل يعتمد على وظيفة طوارئ بلا توقيت زمني، فهذا لا يعني أنه لامركزي حقًا—بل يعني عمليًا أنه بنك بحراس أمن أقل. ويُعد استغلال Drift تذكيرًا بأن السلوك البشري والانضباط التشغيلي وصرامة الحوكمة أصبحت الآن بنفس أهمية صحة العقود الذكية في ضمان أمن الأنظمة اللامركزية.

ختامًا، يؤكد اختراق Drift Protocol أن مستقبل أمن DeFi لا يرتكز فقط على التدقيقات الصارمة ومراجعات الكود، بل أيضًا على يقظة حوكمية مستمرة، وأمن تشغيلي بشري متعدد الطبقات، وشك متواصل تجاه “الاختصارات الموثوقة”. يجب على الصناعة أن تُعامل العوامل البشرية بجدية مماثلة لثغرات العقود الذكية، وإلا فستتعرض لخطر تكرار الأخطاء نفسها بطرق أكثر كلفة على نحو متزايد.

**أبرز النقاط:**
- **nonces الدائمـة كأسلحة:** تمكّن المعاملات الموقعة مسبقًا المهاجمين من تنفيذ استغلالات معقدة بسرعة أسرع من قدرة المدافعين على الاستجابة.
- **عمى المرجعيات:** تغذيات الأسعار ليست تغذيات للحقيقة؛ يمكن أن يؤدي التلاعب بالسيولة إلى التلاعب بمعادلات البروتوكول.
- **مواطن ضعف multisig:** يمكن للهندسة الاجتماعية تجاوز أمان multisig إذا أصبحت الموافقات أمرًا روتينيًا.
- **الكفاءة مقابل الأمان:** ميزات “الطوارئ” بدون توقيت زمني قد تعزز السرعة لكنها تُضعف السلامة.

اختراق Drift Protocol ليس مجرد مشكلة في Solana—إنه درس للمنظومة الكاملة لـ DeFi بشأن مخاطر الاعتماد المفرط على الأتمتة وتقليل تقدير هشاشة الإنسان.