اختراق Drift Protocol بـ 285 مليون دولار: كيف استخدمت كوريا الشمالية الهندسة الاجتماعية لاختراق DeFi

في الأول من أبريل 2026، نثر مخترقون كوريون شماليون أكبر سرقة رقمية هذا العام حين استنزفوا 285 مليون دولار من منصة Drift Protocol على شبكة Solana — ليس بثغرة تقنية تقليدية، بل بعملية هندسة اجتماعية دُبّرت على مدى ستة أشهر كاملة. الحادثة تكشف أن أخطر التهديدات السيبرانية لم تعد تبدأ بسطر برمجي خبيث، بل برسالة LinkedIn مُقنعة.

تشريح الهجوم: من الهندسة الاجتماعية إلى سرقة 285 مليون دولار

وفقاً لتحليل TRM Labs وفريق Mandiant، تعود جذور الهجوم إلى خريف 2025 حين بدأت مجموعة UNC4736 — المرتبطة بكوريا الشمالية — حملة تجنيد وهمية استهدفت مطوري Drift Protocol عبر منصات التوظيف. تظاهر المهاجمون بأنهم مسؤولو توظيف في شركات تقنية مرموقة، وبنوا علاقات ثقة مع أعضاء فريق الأمان على مدى أسابيع قبل إرسال ملفات خبيثة متخفية كعروض عمل.

الهدف الحقيقي لم يكن زرع برمجية خبيثة تقليدية، بل الوصول إلى بيانات اعتماد أعضاء مجلس الأمان (Security Council) الذين يملكون صلاحية توقيع المعاملات الحرجة على البروتوكول. بمجرد الحصول على هذه البيانات، استغل المهاجمون ميزة Durable Nonces في Solana — وهي آلية تسمح بالموافقة المسبقة على معاملات تُنفَّذ لاحقاً — لخداع المجلس للتوقيع على معاملات بدت روتينية لكنها مُبرمجة للتنفيذ بعد أسابيع.

التكتيك المبتكر: أصول مُصطنعة وأوراكل مخدوعة

لم يكتفِ المهاجمون بالوصول إلى صلاحيات التوقيع، بل صنعوا أصلاً رقمياً وهمياً أسموه CarbonVote Token، ضخّوا فيه سيولة أولية بضعة آلاف من الدولارات مع عمليات تداول وهمية (Wash Trading) لرفع سعره. أوراكل الأسعار في Drift تعاملت مع هذا الأصل كضمان مشروع بقيمة مئات الملايين، مما مكّن المهاجم من اقتراض أصول حقيقية — USDC وSOL وWBTC — مقابل ضمان لا قيمة فعلية له.

خلال دقائق معدودة، استُنزف أكثر من 285 مليون دولار من خزائن البروتوكول، وانهارت القيمة الإجمالية المقفلة (TVL) من نحو 550 مليون دولار إلى أقل من 300 مليون. يُعد هذا أكبر اختراق DeFi في 2026 وثاني أكبر اختراق في تاريخ شبكة Solana بعد حادثة جسر Wormhole عام 2022.

لماذا يجب أن تهتم المؤسسات المالية السعودية؟

قد يبدو اختراق منصة DeFi بعيداً عن واقع البنوك السعودية، لكن التكتيكات المُستخدمة هي ذاتها التي تستهدف القطاع المالي التقليدي. مجموعات APT الكورية الشمالية — وعلى رأسها Lazarus وUNC4736 — وسّعت نطاق عملياتها لتشمل البنوك التقليدية وشركات الدفع ومقدمي خدمات التقنية المالية في منطقة الخليج. إطار SAMA CSCC في القسم 3.3.5 يُلزم المؤسسات المالية بتطبيق ضوابط صارمة ضد هجمات الهندسة الاجتماعية، بينما يتطلب معيار NCA ECC في الضابط 2-6-1 برنامجاً مستمراً للتوعية الأمنية يشمل سيناريوهات التصيد المتقدم.

ما يميز هذا الهجوم هو استهداف الأفراد ذوي الصلاحيات العالية — وهو نمط يتكرر في استهداف مسؤولي الخزينة ومديري الأنظمة في البنوك. في السياق السعودي، حيث تتسارع مبادرات التحول الرقمي والتقنية المالية ضمن رؤية 2030، تزداد مساحة الهجوم مع كل منصة جديدة تتكامل مع البنية التحتية المصرفية.

ثلاثة دروس حاسمة من اختراق Drift

الدرس الأول يتعلق بفشل الاعتماد الحصري على التوقيع المتعدد (Multi-Sig). امتلك Drift مجلس أمان من عدة أعضاء، لكن الهندسة الاجتماعية تجاوزت هذه الطبقة بالكامل. المؤسسات المالية السعودية التي تعتمد على التوقيع المتعدد للمعاملات الحرجة تحتاج لإضافة طبقات تحقق إضافية: تأخير زمني إجباري (Time-Lock)، ومراجعة بشرية مستقلة، وتنبيهات آنية لأي تغيير في صلاحيات التوقيع.

الدرس الثاني هو خطورة الهندسة الاجتماعية طويلة المدى. ستة أشهر من بناء الثقة تعني أن فلاتر التصيد التقليدية عاجزة. يجب تدريب الموظفين ذوي الصلاحيات الحرجة — مديري الأنظمة ومسؤولي الخزينة وفرق DevOps — على سيناريوهات التصيد المتقدم (Spear Phishing) التي تستهدفهم شخصياً عبر LinkedIn وGitHub وWhatsApp.

الدرس الثالث يخص التحقق المستقل من الأصول والبيانات. خُدعت أوراكل Drift لأنها اعتمدت على مصدر بيانات واحد. في سياق البنوك السعودية، يعني ذلك ضرورة التحقق المتبادل لأي بيانات مرجعية — أسعار صرف، تقييمات ضمانات، هويات رقمية — من مصادر متعددة مستقلة، وهو ما يتوافق مع متطلبات SAMA لإدارة مخاطر الطرف الثالث.

التوصيات والخطوات العملية

1. محاكاة هجمات هندسة اجتماعية متقدمة: نفّذ تمارين Red Team تحاكي سيناريو Drift — استهداف موظفين بصلاحيات عالية عبر عروض توظيف وهمية على LinkedIn — واختبر مدى صمود فريقك أمام هذه التكتيكات وفق متطلبات SAMA Ethical Red Teaming.
2. تفعيل Time-Lock على المعاملات الحرجة: أضف تأخيراً زمنياً إجبارياً (24-48 ساعة) على أي تغيير في صلاحيات التوقيع أو تحويلات تتجاوز حداً معيناً، مع إشعارات متعددة القنوات لجميع أصحاب الصلاحية.
3. مراجعة برنامج إدارة الهوية والصلاحيات (IAM): تأكد من تطبيق مبدأ أقل صلاحية (Least Privilege) وفصل المهام (Segregation of Duties) وفق الضابط 3.3.7 من SAMA CSCC، مع مراجعة دورية ربع سنوية للصلاحيات الحرجة.
4. تعزيز مراقبة سلوك المستخدمين المميزين (UEBA): انشر حلول تحليل سلوك المستخدم لكشف أي نشاط غير اعتيادي من الحسابات ذات الصلاحيات العالية — خاصة خارج ساعات العمل أو من مواقع جغرافية غير معتادة.
5. تحديث سياسة التعامل مع منصات التقنية المالية: إذا كانت مؤسستك تتعامل مع منصات DeFi أو أصول رقمية ضمن مبادرات الابتكار المالي، طبّق ضوابط إضافية للتحقق من سلامة الأوراكل ومصادر بيانات الأسعار.

الخلاصة

اختراق Drift Protocol ليس مجرد حادثة في عالم العملات الرقمية — إنه نموذج متطور لكيفية تحويل مجموعات APT المدعومة حكومياً للهندسة الاجتماعية إلى سلاح بقيمة مئات الملايين. المؤسسات المالية السعودية التي تستثمر في التقنية المالية والأصول الرقمية تواجه نفس المخاطر، والامتثال لأطر SAMA CSCC وNCA ECC وحده لا يكفي دون برنامج وعي أمني يستهدف تحديداً الموظفين ذوي الصلاحيات الحرجة.

هل مؤسستك مستعدة لمواجهة هجمات الهندسة الاجتماعية المتقدمة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC يشمل اختبار جاهزية فريقك أمام سيناريوهات التصيد المتقدم.