بزرگترین هک امور مالی غیر متمرکز با نام اختصاری دیفای امسال هفته گذشته در 1 آوریل رخ داد، زمانی که پروتکل Drift، یکی از بزرگترین صرافیهای غیرمتمرکز مارجین فیوچرز دائمی در شبکه سولانا، هک شد که تقریباً 286 میلیون دلار از پروتکل ناپدید شد. این حمله به هکرهای مرتبط با کره شمالی نسبت داده شد و کل هک تنها در 10 ثانیه انجام شد. آنچه در مورد این هک شگفتانگیز است، ماهیت دقیق آن بود. هیچ کدی شکسته نشد و هیچ قرارداد هوشمندی باگ نداشت. تحقیقات شرکتهای حسابرسی قرارداد هوشمند ارز دیجیتال مانند Elliptic و TRM Labs در واقع به یک هک بسیار محاسبهشدهتر اشاره دارند.
مهاجمان کره شمالی سه هفته صرف ساخت یک توکن پروژه جعلی به نام CarbonVote کردند و با چند هزار دلار آن را تأمین مالی کردند تا واقعی به نظر برسد، در حالی که همزمان با مهندسی اجتماعی، دو نفر از پنج امضاکننده شورای امنیت چند امضایی Drift را مجبور کردند مجوزهای پنهانی را که به طور کامل درک نمیکردند، از قبل امضا کنند. پس از این، آنها از ویژگی سولانا به نام "nonces پایدار" استفاده کردند تا آن امضاها را بیش از یک هفته ذخیره کنند و منتظر لحظه مناسب بمانند. تنها یک تراکنش در 1 آوریل کافی بود.
همانطور که Elliptic اشاره کرد، این حمله هجدهمین هک ارز دیجیتال مرتبط با کره شمالی تنها در امسال بود که حدود 300 میلیون دلار از این فضا خارج کرد. چهار روز پس از هک، مدیر ارشد فناوری (CTO) Ledger به طور رسمی ماهیت هشداردهنده هک و اینکه هوش مصنوعی هزینه چنین حملاتی را "به سمت صفر" میبرد، برجسته کرد. این بیانیه بسیار مهم است زیرا هک Drift یک مطالعه موردی در مورد نحوه کار این عملیاتها در حال حاضر است. مهاجمان به یک آسیبپذیری روز صفر یا یک رمزنگار درجه یک نیاز نداشتند. تنها چیزی که نیاز داشتند صبر، یک توکن پروژه جعلی قانعکننده و دو انسان بود که میتوانستند آنها را دستکاری کنند. این هک در واقع آسیبپذیری ساختاری در امور مالی غیر متمرکز با نام اختصاری دیفای امروزی را آشکار کرد. امور مالی غیر متمرکز با نام اختصاری دیفای زیرساخت میلیارد دلاری ایجاد میکند که توسط گروههای کوچکی از افراد که میتوانند فریب بخورند، ایمن شده است، در حالی که مخالفان در انجام دقیقاً همین کار بهتر میشوند.
چگونه کره شمالی 286 میلیون دلار را در 10 ثانیه دزدید
هک پروتکل Drift یک سوء استفاده پیچیده بود که در طول سه هفته آمادهسازی انجام شد. Bloomberg ابتدا این نقض را در 1 آوریل گزارش داد، زمانی که پروتکل Drift تأیید کرد که تقریباً 286 میلیون دلار از دارایی های کاربر خارج شده است. کل طرح در واقع در 11 مارس شروع شد، زمانی که مهاجم 10 ETH را از Tornado Cash در حدود ساعت 09:00 به وقت پیونگ یانگ برداشت و از آن برای استقرار توکن پروژه جعلی CarbonVote (CVT) استفاده کرد، یک دارایی کاملاً ساختگی که با چند هزار دلار نقدینگی تأمین مالی شد و از طریق تجارت شستشو زنده نگه داشته شد.
در طول دو هفته بعد، بین 23 مارس و 30 مارس، مهاجم حسابهای nonce پایدار را باز کرد، یک ویژگی قانونی در شبکه سولانا که به تراکنشها اجازه میدهد از قبل امضا شوند و به طور نامحدود بدون انقضا نگهداری شوند. در این بازه زمانی، مهاجم با مهندسی اجتماعی، دو نفر از پنج امضاکننده چند امضایی شورای امنیت Drift را مجبور کرد تراکنشهایی را که عادی به نظر میرسیدند تأیید کنند، اما همانطور که TRM Labs بعداً تأیید کرد، مجوزهای پنهانی برای کنترل مدیریت حیاتی داشتند.
قطعه نهایی در 27 مارس قرار گرفت، زمانی که Drift شورای امنیت خود را به یک پیکربندی آستانه جدید 2/5 با قفل زمانی صفر منتقل کرد، همانطور که BlockSec گزارش داد، که اساساً تنها تأخیری را که به هر کسی اجازه میداد آنچه در راه بود را بگیرد، حذف کرد. تا زمانی که 1 آوریل فرا رسید، تله به مدت روزها به طور کامل بارگذاری شده بود.
در 1 آوریل، مهاجم از آن تأییدیه های از قبل امضا شده برای فهرست کردن CarbonVote به عنوان وثیقه معتبر استفاده کرد، ارزش آن را از طریق قیمتگذاری دستکاری شده اوراکل به صدها میلیون افزایش داد و حاکمیت ضبط شد. از آنجا، 31 تراکنش برداشت، خزانههای Drift را در عرض چند ثانیه خالی کرد. بزرگترین بخش به تنهایی شامل بیش از 155 میلیون دلار توکن JLP به همراه دهها میلیون در USDC، SOL، ETH و سایر توکنهای استیکینگ نقدی بود که تخلیه شدند و کل ارزش قفل شده در پروتکل بلافاصله از حدود 550 میلیون دلار به زیر 250 میلیون دلار سقوط کرد.
این سرعت هک تنها بخشی از این داستان است. یک برنامه دقیق که تا سه هفته طول کشید و به یک هک 10 ثانیهای ختم شد، نشان داد که حاکمیت، نه کد، چقدر میتواند به آسانی ضعیفترین حلقه در امور مالی غیر متمرکز با نام اختصاری دیفای شود.
جنگ 300 میلیون دلاری ارز دیجیتال کره شمالی در 2026
این هک، که گزارش شده توسط مهاجمان مرتبط با کره شمالی انجام شده است، به هیچ وجه یک رویداد منزوی نیست. در واقع، اگر به برخی از شاخصترین هکها در چند سال گذشته نگاه کنید، مشخص میشود که این بخشی از یک کمپین بسیار بزرگتر و دولتی است. تنها امسال، Elliptic گزارش داده است که سوء استفاده از Drift آن را به هجدهمین سرقت ارز دیجیتال منسوب به DPRK تبدیل میکند و مجموع مبلغ وجوه خارج شده را تا کنون در امسال به بیش از 300 میلیون دلار میرساند. اگر فراتر از امسال نگاه کنید، مقیاس چنین هکهایی از یک کشور واحد بسیار سخت قابل نادیده گرفتن میشود. سال گذشته، بازیگران مرتبط با کره شمالی بین 1.92 میلیارد دلار به گفته TRM Labs دزدیدند، در حالی که Chainalysis این رقم را 2.02 میلیارد دلار در ارز دیجیتال قرار میدهد. این نشاندهنده افزایش 51 درصدی سال به سال در هکهای انجام شده توسط این گروه بود و کل سرقت آنها را به 6.75 میلیارد دلار رساند.
کره شمالی 76 درصد رکوردی از تمام به خطر افتادن خدمات در 2025 را به خود اختصاص داد، به این معنی که یک کشور مسئول اکثریت قریب به اتفاق سرقتهایی است که در صنعت رخ میدهد. در این زمینه، هک Drift، که اکنون دومین سوء استفاده بزرگ در اکوسیستم سولانا پس از نقض Wormhole در 2022 است، در الگوی حملات قرار میگیرد.
آنچه آن الگو را تعریف میکند، ثبات است. هک Bybit در فوریه 2025، بزرگترین سرقت ارز دیجیتال در تاریخ، تنظیمات تقریباً یکسانی داشت که شامل مهندسی اجتماعی، دسترسی به خطر افتاده و تبادل هماهنگ وجوه بود. TRM Labs خاطرنشان میکند که اپراتورهای DPRK به طور فزایندهای به شبکههای "لباسشویی چینی" برای پل زدن وجوه در زنجیرههای مختلف در عرض چند ساعت متکی هستند.
حمله Drift در واقع یک سیستم از تیمهای حمایتشده توسط دولت را نشان میدهد که عملیات چند هفتهای را با شناسایی، دستکاری انسان و زیرساخت پولشویی جهانی که از قبل در جای خود قرار دارد، اجرا میکنند.
هوش مصنوعی هزینههای حمله را "به سمت صفر" میبرد: مدیر ارشد فناوری (CTO) Ledger هشدار میدهد
چهار روز پس از تخلیه Drift، مدیر ارشد فناوری (CTO) Ledger، چارلز گیمت، به CoinDesk چیزی گفت که کل حادثه را دوباره چارچوببندی کرد. او گفت: "یافتن آسیبپذیریها و سوء استفاده از آنها واقعاً واقعاً آسان میشود." "هزینه به سمت صفر میرود." گیمت نام Drift را نبرد، اما مکانیزم دقیق آن را توصیف کرد. هوش مصنوعی فقط به مهاجمان کمک نمیکند باگهای کد را سریعتر پیدا کنند، بلکه مهندسی اجتماعی را قانعکنندهتر، فیشینگ را شخصیتر و کار آمادهسازی را که اپراتورهای کره شمالی سه هفته روی Drift انجام دادند، ارزانتر و مقیاسپذیرتر به یک مرتبه بزرگی میکند. او همچنین به یک مشکل ترکیبی در طرف دفاعی اشاره کرد: با افزایش استفاده توسعهدهندگان از کد تولید شده توسط هوش مصنوعی، آسیبپذیریها میتوانند سریعتر از آنچه بازبینان انسانی میتوانند آنها را بگیرند، گسترش یابند. او گفت: "هیچ دکمه 'آن را ایمن کن' وجود ندارد." "ما قصد داریم کد زیادی تولید کنیم که طراحی ناامن خواهد داشت." هکها و سوء استفادهها باعث 1.4 میلیارد دلار ضرر ارز دیجیتال در سال گذشته شدند و پیشبینی گیمت این است که منحنی تندتر میشود، نه صافتر.
هک Drift واضحترین اثبات مفهوم برای آن هشدار است. مهاجمان هرگز کد را لمس نکردند، آنها دو انسانی را که کلیدها را در دست داشتند هدف قرار دادند. هوش مصنوعی نیازی ندارد یک قرارداد هوشمند را بشکند اگر بتواند یک بهانه قانعکننده کافی تولید کند تا یک امضاکننده چند امضایی را فریب دهد تا تراکنشی را که کاملاً درک نمیکند تأیید کند. گیمت انتظار دارد صنعت تقسیم شود: سیستمهای حیاتی مانند کیف پولها و پروتکلهای اصلی به شدت در امنیت سرمایهگذاری خواهند کرد و سازگار میشوند، اما بیشتر اکوسیستم نرمافزار گستردهتر ممکن است برای حفظ سرعت تلاش کنند. رفعهای توصیه شده او، تأیید رسمی با استفاده از اثباتهای ریاضی، جداسازی سختافزاری برای کلیدهای خصوصی، از نظر ساختاری صحیح هستند اما به سطحی از نظم نهادی نیاز دارند که اکثر پروتکلهای امور مالی غیر متمرکز با نام اختصاری دیفای، از جمله Drift، هنوز ساخته نشدهاند. او گفت: "وقتی یک دستگاه اختصاصی دارید که در معرض اینترنت نیست، طراحی آن ایمنتر است." شورای امنیت Drift چنین بافری نداشت. دو امضا، قفل زمانی صفر و یک توکن پروژه جعلی تمام چیزی بود که لازم بود.
چه اتفاقی در مرحله بعد میافتد: بازیابی Drift و پاسخ صنعت
آنچه در مرحله بعد برای پروتکل Drift اتفاق میافتد، به هیچ وجه واضح نیست و سیگنالهای اولیه قبلاً صنعت را تقسیم میکنند. بلافاصله پس از آن، آناتولی یاکووِنکو یک مسیر بازیابی بالقوه را پیشنهاد کرد: صدور توکن ایردراپ به سبک IOU به کاربران آسیبدیده، که از کتاب بازی Bitfinex در 2016 پس از هک 72 میلیون دلاری آن الگوبرداری میکند.
این ایده ساده است — اجتماعی کردن زیانها اکنون، بازپرداخت به کاربران در طول زمان اگر پروتکل بهبود یابد. اما زمینه بسیار متفاوت است. کل ارزش قفل شده Drift تقریباً نصف شده است، سپردهها و برداشتها معلق ماندهاند و برخلاف Bitfinex، فاقد یک موتور درآمد متمرکز برای پشتیبانی از آن بدهیها است. این منجر به فشار فوری شده است: توکنهای IOU، در این مورد، خطر تبدیل شدن به ابزارهای کاملاً سفتهبازانه بدون مسیر واضحی برای بازخرید را دارند.
در همان زمان، فعالیت زنجیرهای نگرانیهای جدیدی را ایجاد میکند. Onchain Lens علامتگذاری کرد که یک کیف پول مرتبط با تیم Drift، 56.25 میلیون توکن DRIFT (≈2.44 میلیون دلار) را بلافاصله پس از سوء استفاده به صرافیهای متمرکز از جمله Bybit و Gate منتقل کرد، حرکتی که معمولاً قبل از فشار فروش انجام میشود و سوداگری در مورد موقعیتیابی داخلی در طول یک بحران نقدینگی را تقویت کرده است.
در همین حال، وجوه مهاجم قبلاً در زنجیرهها پل زده شده است، به ویژه به اتریوم، که احتمال بازیابی معنیدار را با گذشت هر روز کاهش میدهد. پیامد گستردهتر این است که این حادثه با Drift پایان نمییابد. احتمالاً بررسی در سراسر صنعت در مورد خود حاکمیت امور مالی غیر متمرکز با نام اختصاری دیفای را تسریع میکند، از استانداردهای امنیت چند امضایی و الزامات قفل زمانی تا طراحی اوراکل و کنترلهای اجرایی. آنچه در مرحله بعد میآید به سه متغیر بستگی دارد: اینکه آیا Drift میتواند یک برنامه بازیابی قابل اعتماد ارائه دهد، آیا هر بخشی از وجوه قابل ردیابی یا مسدود است، و آیا این بالاخره اصلاحات ساختاری را مجبور میکند، یا فقط یک درس گران دیگر میشود که صنعت از آن عبور میکند.
اگر این را میخوانید، شما قبلاً جلو هستید. با خبرنامه ما آنجا بمانید.
منبع: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
