عندما يكون توقيع واحد غير صحيح هو كل ما يتطلبه الأمر لإنشاء 292 مليون دولار من الرموز من لا شيء، فإن الفرضية الكاملة للتمويل اللامركزي تبدو أكثر هشاشة مما يوحي به الاسم.

كيف تم تنفيذ الهجوم

في 18 أبريل 2026، استغل مهاجم ثغرة أمنية في جسر KelpDAO متعدد السلاسل - المدعوم بتقنية LayerZero - ليسرق 116,500 رمز rsETH بقيمة تقارب 292 مليون دولار. يمثل هذا حوالي 18% من إجمالي المعروض المتداول من rsETH، وقد تم استغلال هذه الثغرة نتيجة خلل لم يكن في بروتوكول LayerZero نفسه، بل في طريقة إعداد Kelp له.

اعتمدت آلية الاختراق على نقطة تحقق واحدة لتأكيد صحة الرسائل المتبادلة بين سلاسل الكتل. اكتشف المهاجم هذه النقطة واستغلها، فمرت رسالة غير مصرح لها بالمرور. وكما وصفها الباحثون لاحقًا: "ظهر توقيع واحد و116,500 من عملة rsETH فجأة على شبكة إيثيريوم". ثم استُخدمت هذه العملات كضمان لاقتراض أصول حقيقية - معظمها من منصة Aave - وسُحبت قبل أن يتمكن البروتوكول من التوقف.

بصمات مجموعة لازاروس

في غضون ثلاثة أيام من الاختراق، قامت شركة تحليلات البلوك تشين تشيناليسيس وأرجع الهجوم يُعزى هذا الاتهام إلى مجموعة لازاروس الكورية الشمالية، استنادًا إلى أنماط استخدام مُخَلِّطات الأموال وأساليب توزيعها التي تتطابق مع أسلوب عمل المجموعة المعروف. ويتماشى هذا مع سجل لازاروس الحافل باستهداف بروتوكولات التمويل اللامركزي (DeFi)، إذ تُعدّ المجموعة من أكثر لصوص البيانات نشاطًا على مدى سنوات عديدة.

حجم الخسارة يجعلها أكبر عملية اختراق في مجال التمويل اللامركزي (DeFi) لعام 2026، متجاوزةً اختراق منصة دريفت ببضعة ملايين من الدولارات. وقد تجاوزت الخسائر التراكمية في مجال التمويل اللامركزي هذا العام 770 مليون دولار أمريكي عبر أكثر من 30 حادثة - وهو رقم يصعب تبريره بأنه مجرد معاناة طبيعية في قطاع ناشئ.

التمويل اللامركزي يشن عملية إنقاذ

ما تلا ذلك كان، بحسب وجهة نظرك، إما عرضاً رائعاً للتنسيق أو تذكيراً بأن شبكة الأمان في التمويل اللامركزي غير رسمية تماماً.

شكّلت منصة Aave تحالفًا يُدعى "DeFi United"، ضمّ Lido Finance وEtherFi وبروتوكولات رئيسية أخرى لتقديم عملة ETH لتغطية النقص المتبقي في مجمعات الإقراض التابعة لها. في 21 أبريل، جمّد مجلس أمن الشبكة التابع لـ Arbitrum مبلغ 30,766 ETH - أي ما يُقارب 71 مليون دولار - كان بحوزة المهاجم، واستعاد حوالي 25% من الأصول المسروقة. ونشر بنك ستاندرد تشارترد مذكرةً وصف فيها استجابة القطاع بأنها دليل على المرونة. أما مجتمع العملات الرقمية الأوسع، فكان أقل حذرًا، البعض يعلنون موت التمويل اللامركزي صريح.

ما الذي يجب تغييره

يشير تحليل CoinDesk الذي نُشر يوم السبت إلى أن جسور الربط بين سلاسل الكتل تُعدّ الحلقة الأضعف والأكثر استمرارية في التمويل اللامركزي (DeFi)، وهي مشكلة يدركها القطاع منذ استغلال جسور Wormhole وRonin قبل سنوات. ويتكرر النمط نفسه: فتعقيد الجسور يُنشئ ثغرات أمنية، وغالبًا ما تتجاوز دوافع سرعة التنفيذ دوافع التدقيق الدقيق.

أكثر ما يثير القلق في هذه الحادثة أنها لم تكن ثغرة أمنية معقدة من نوع "يوم الصفر"، بل كانت خطأً في الإعدادات. عملت بنية LayerZero التحتية كما هو مصمم لها، لكن المشكلة كانت في طريقة نشر Kelp لها. هذه مشكلة يصعب حلها بالتدقيق وحده، لأنها تعني أن أي بروتوكول يستخدم بنية تحتية مشتركة يحتاج إلى التحقق ليس فقط من الكود، بل من كل معيار يتحكم في كيفية الوثوق بالرسائل عبر السلاسل والتحقق من صحتها.

لا تزال شركتا KelpDAO وAave تعملان على التعافي. في الوقت نفسه، تمتلك مجموعة Lazarus أصولاً تقدر قيمتها بنحو 292 مليون دولار أمريكي تحتاج إلى غسل. بعض الأمور في عالم العملات الرقمية تسير بوتيرة أسرع من غيرها.

---------------

كاتب: ريان غاردنر
سيلicoن مكتب أخبار الوادي

كل عام وأنتم بخير بمناسبة كذبة أبريل... لقد ضاع مبلغ 280 مليون دولار. حقاً. 

في الأول من أبريل، تعرضت منصة التمويل اللامركزي "دريفت بروتوكول" (Drift Protocol) المبنية على منصة سولانا، لهجوم إلكتروني أسفر عن سحب 280 مليون دولار من حساباتها، في عملية وصفتها شركة "إليبتيك" (Elliptic) المتخصصة في أمن تقنية البلوك تشين بأنها تحمل جميع سمات عملية مدعومة من الدولة الكورية الشمالية. لم يكن الهجوم مجرد مزحة، بل كان بالنسبة لمستخدمي "دريفت" تجربة مريرة للغاية.

ما جعل هذه العملية جديرة بالملاحظة من الناحية التقنية هو أسلوب الهجوم. فبدلاً من استغلال ثغرة أمنية مباشرة أو استخدام أساليب الهندسة الاجتماعية التي يشتهر بها قراصنة كوريا الشمالية، استغل المهاجمون المزعومون ميزة في برنامج سولانا تُسمى "الرقم العشوائي الدائم" - وهي آلية مصممة لمنع انتهاء مهلة المعاملات. وفقًا لـ تقرير من مجلة فورتشن، استخدم المهاجم هذه الآلية لخداع مجلس أمن Drift للموافقة المسبقة على المعاملات التي لن يتم تنفيذها إلا بعد أسابيع - مما أدى فعليًا إلى زرع قنبلة موقوتة داخل الطبقة الإدارية للبروتوكول نفسه.

أكدت منصة دريفت وقوع الحادث في منشور على موقع X، موضحةً كيف تمكن "جهة خبيثة من الوصول غير المصرح به إلى بروتوكول دريفت من خلال هجوم جديد باستخدام رموز عشوائية دائمة، مما أدى إلى سيطرة سريعة على الصلاحيات الإدارية لمجلس أمن دريفت". وقامت المنصة على الفور بتعليق عمليات الإيداع والسحب لجميع المستخدمين.

سلسلة جرائم العملات المشفرة في كوريا الشمالية مستمرة

يتوافق تفسير شركة Elliptic مع نمط راسخ. فقد كانت كوريا الشمالية مسؤولة عن سرقة ما يقارب ملياري دولار من العملات الرقمية خلال عام 2025، أي حوالي 60% من إجمالي الأصول الرقمية المسروقة عالميًا في ذلك العام، وفقًا لشركة Chainalysis المتخصصة في تحليلات البلوك تشين. وكانت أكثر عملياتها جرأةً هي عملية الاختراق المزعومة لمنصة تداول العملات الرقمية Bybit في أوائل عام 2025، والتي بلغت قيمتها 1.5 مليار دولار، ولا تزال تُعتبر أكبر عملية سرقة عملات رقمية مسجلة على الإطلاق.

يعتمد قراصنة كوريا الشمالية عادةً على الهندسة الاجتماعية - بناء هويات مزيفة، والتسلل إلى الفرق، والتلاعب بالموظفين الداخليين لحملهم على تسليم بيانات الاعتماد. لكن هجوم "دريفت" يُمثل شيئًا مختلفًا: استغلالٌ صبورٌ ومتطورٌ تقنيًا، استغل البنية التحتية الأمنية للمنصة نفسها ضدها. لم يقتحم المهاجم النظام، بل أقنع شخصًا ما في الداخل بتركه مفتوحًا.

من هو دريفت؟

تأسست منصة دريفت بروتوكول عام 2021 على يد سيندي ليو وديفيد لو. تقدم المنصة عقودًا آجلة دائمة ومنتجات تداول أخرى على منصة سولانا، وقد بلغ إجمالي ودائعها أكثر من 400 مليون دولار قبل الهجوم. لكن هذا الرقم تغير بشكل ملحوظ الآن. ولم تُعلن المنصة بعد عن جدول زمني مفصل لاستئناف عملياتها بشكل طبيعي.

تُذكّرنا عملية اختراق Drift بأنّ نموذج أمان التمويل اللامركزي - الذي يعتمد على مجالس التوقيعات المتعددة، والحوكمة على السلسلة، والمفاتيح الإدارية التي يحتفظ بها المجتمع - لا يكون قويًا إلا بقدر قوة الأشخاص والعمليات التي تقف وراءه. إنّ قيمة nonce الدائمة ليست ثغرة، بل هي ميزة. لكنّ الميزات يُمكن استغلالها كسلاح، ويبدو أنّ قراصنة كوريا الشمالية المزعومين قد درسوا آليات Solana بدقة كافية للقيام بذلك.

بالنسبة لنظام سولانا البيئي الأوسع، فإن التوقيت سيء للغاية. فقد أمضت الشبكة معظم العامين الماضيين في ترسيخ مكانتها كمنصة التمويل اللامركزي المفضلة للمؤسسات. إن عملية سرقة بقيمة 280 مليون دولار - يُزعم أنها سُلمت لنظام خاضع لعقوبات دولية - لا تُحسّن صورتها، بغض النظر عن الشبكة التي استُغلت فيها الثغرة الأمنية.

---------------

كاتب: سيدريك هولواي
غرفة أخبار نيويورك