كشفت Drift Protocol عن تفاصيل استغلال 1 أبريل الذي استنزف 285 مليون دولار من أموال المستخدمين، مؤكدة أن الهجوم لم يكن مجرد خلل برمجي، بل عملية منسقة ومدروسة على مدى أشهر.
أوضحت الشركة أن الاختراق جاء نتيجة ستة أشهر من التسلل المنهجي، تضمن الهندسة الاجتماعية، استغلال تقني، ونشاط مصطنع على السلسلة.
ستة أشهر من التسلل قبل الاختراق
التنفيذ السريع مقابل التحضير الطويل
نقاط الضعف الرئيسية: توقيعات متعددة وتصميم الأوراكل
- توقيعات multisig اعتمدت على الموافقات دون كشف الأنشطة المخفية.
- إزالة التأخير الزمني ألغت نافذة الأمان.
- نظام الأوراكل قبل ضمانًا وهميًا ذو سيولة منخفضة.
بحسب Drift، بدأ الهجوم في خريف 2025، حين انخرط أفراد يتظاهرون بأنهم شركة تداول كمي مع مساهمين في عدة مؤتمرات للعملات المشفرة.
بمرور الوقت، اكتسبوا مصداقية، وشاركوا في مناقشات تقنية، جلسات عمل، وأودعوا أكثر من مليون دولار في البروتوكول. كما تم إنشاء مجموعة على تليجرام للتواصل المستمر لعدة أشهر.
بحلول أوائل 2026، أصبحوا جزءًا كاملًا من نظام Drift من خلال استراتيجيات الصناديق، مع لقاءات شخصية متكررة، مما أدى إلى كسب ثقة المساهمين وفتح نقطة الدخول للاختراق.
استغرق تنفيذ الاختراق الفعلي حوالي 12 دقيقة فقط، لكن التحضير استمر أسابيع على السلسلة وشهور خارجها.
كشفت TRM Labs أن التحضيرات بدأت في 11 مارس، حيث استخدم المهاجمون Tornado Cash لتمويل عملياتهم، وطرحوا رمزًا وهميًا باسم CarbonVote (CVT)، وخلقوا تاريخ أسعار مصطنع عبر تداول وهمي.
في الوقت نفسه، استهدفوا أصحاب توقيعات multisig، واستعملوا الهندسة الاجتماعية للحصول على موافقات على معاملات بدت عادية لكنها احتوت على صلاحيات مخفية.
في 27 مارس، أجرى Drift تعديلًا مهمًا، بنقل مجلس الأمن إلى إعداد 2/5 بدون تأخير زمني، وإزالة طبقة الحماية التي كانت يمكن أن توقف الهجوم.
في 1 أبريل، تم التنفيذ الكامل: وضع المهاجمون CVT كضمان، وزادوا قيمته عبر التلاعب ببيانات الأوراكل، وسحبوا أصولًا حقيقية مثل USDC في 31 معاملة، ونقلت الأموال إلى شبكة Ethereum خلال ساعات.
الاختراق لم يعتمد على خلل في العقود الذكية، بل استغل نقاط ضعف في الإجراءات:
أشارت مراجعة Drift الداخلية أيضًا إلى احتمال تعرض أجهزة بعض المساهمين للاختراق عبر مستودعات شيفرة ضارة أو تطبيق TestFlight تم التلاعب به. قد يكون خلل في أدوات التطوير مثل VSCode سمح بتنفيذ تعليمات برمجية خفية.
أشارت Elliptic وTRM Labs إلى نمط متوافق مع عمليات كوريا الشمالية، يشمل استخدام Tornado Cash، توقيت مطابق لساعات بيونغ يانغ، وتحويل سريع عبر السلاسل.
تعتقد Drift بثقة متوسطة إلى عالية أن نفس المجموعة وراء اختراق Radiant Capital في أكتوبر 2024 هي نفسها المتورطة هنا، المرتبطة بـ UNC4736، والمعروفة أيضًا باسم AppleJeus أو Citrine Sleet.
إرسال تعليق