عملية استخباراتية مدتها ستة أشهر سبقت استغلالًا بقيمة 270 مليون دولار لبروتوكول Drift Protocol، وتم تنفيذها بواسطة مجموعة مرتبطة بدولة North Korea، وفقًا لتحديث حادثة مفصل نشره الفريق في وقت سابق يوم الأحد.
تواصل المهاجمون لأول مرة في حوالي خريف 2025 خلال مؤتمر تشفير رئيسي، وعرّفوا أنفسهم على أنهم شركة تداول كمي يرغبون في الاندماج مع Drift.
قالت Drift Protocol إنهم كانوا يجيدون الأمور تقنيًا، ولديهم خلفيات مهنية يمكن التحقق منها، ويفهمون كيفية عمل البروتوكول. تم إنشاء مجموعة على Telegram، وما تلا ذلك كان أشهرًا من المحادثات الجوهرية حول استراتيجيات التداول وعمليات دمج الـ vaults، وهي تفاعلات شائعة لكيفية قيام شركات التداول بإعداد عمليات الانضمام مع بروتوكولات DeFi.
بين ديسمبر 2025 ويناير 2026، قامت المجموعة بضم Ecosystem Vault على Drift Protocol، وعقدت عدة جلسات عمل مع المساهمين، وأودعت أكثر من 1 مليون دولار من رأس مالها الخاص، وبنت وجودًا تشغيليًا يعمل فعليًا داخل النظام البيئي.
قابل مساهمو Drift Protocol أفرادًا من المجموعة وجهًا لوجه في عدة مؤتمرات كبرى للصناعة عبر عدة دول حتى فبراير ومارس. وبحلول وقت إطلاق الهجوم في 1 أبريل، كانت العلاقة قد قاربت نصف عام.
يبدو أن الاختراق جاء عبر مسارين اثنين.
تم تنزيل تطبيق TestFlight، وهو منصة Apple لتوزيع التطبيقات قبل إطلاقها التي تتجاوز مراجعة أمان App Store، والتي قدمتها المجموعة على أنها منتج محفظتها.
أما بالنسبة لمسار المستودع (repository)، فأشارت Drift Protocol إلى ثغرة معروفة في VSCode وCursor، وهما اثنان من أكثر محرري الأكواد استخدامًا في تطوير البرمجيات، وكانت مجتمع الأمن يشير إليهما منذ أواخر 2025، حيث كان مجرد فتح ملف أو مجلد داخل المحرر كافيًا لتنفيذ كود تعسفي بشكل صامت دون أي طلب أو تحذير من أي نوع.
بمجرد اختراق الأجهزة، كان لدى المهاجمين ما يحتاجونه للحصول على الموافقتين (multisig) اللازمتين اللتين مكّنتا هجوم الـ durable nonce الذي فصّلت CoinDesk تفاصيله في وقت سابق هذا الأسبوع. ظلت هذه المعاملات الموقعة مسبقًا خاملة لأكثر من أسبوع قبل تنفيذها في 1 أبريل، ما أدى إلى سحب 270 مليون دولار من خزائن (vaults) البروتوكول خلال أقل من دقيقة.
تشير نسبة المسؤولية إلى UNC4736، وهي مجموعة مرتبطة بدولة North Korea أيضًا، والتي يتم تتبعها كذلك باسم AppleJeus أو Citrine Sleet، استنادًا إلى التدفقات المالية على السلسلة (on-chain) التي تُتبع عائدًا إلى مهاجمي Radiant Capital، وكذلك إلى التداخل التشغيلي مع شخصيات معروفة مرتبطة بـ DPRK.
لكن الأفراد الذين ظهروا شخصيًا في المؤتمرات لم يكونوا من مواطني North Korea. من المعروف أن الجهات الفاعلة التهديدية التابعة لـ DPRK على هذا المستوى تقوم بنشر وسطاء من أطراف ثالثة بهويات مُنشأة بالكامل، وسجل توظيف، وشبكات مهنية تم بناؤها لتحمل العناية الواجبة.
حثت Drift Protocol بروتوكولات أخرى على تدقيق ضوابط الوصول ومعاملة كل جهاز يتعامل مع multisig كهدف محتمل. تتمثل الإشارة الأوسع في شيء مقلق بالنسبة لصناعة تعتمد على حوكمة multisig باعتبارها نموذجها الأمني الأساسي.
ولكن إذا كان المهاجمون على استعداد لإنفاق ستة أشهر ومليون دولار في بناء حضور مشروع داخل نظام بيئي، والالتقاء بالفرق شخصيًا، والمساهمة برأس مال حقيقي، والانتظار—فالسؤال هو: ما نموذج الأمان المصمم لالتقاط ذلك؟
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تشارك Ripple معلومات استخباراتية عن اختراق كوريا الشمالية مع تحوّل هجمات العملات المشفرة إلى الهندسة الاجتماعية
ووفقًا لإعلان Crypto ISAC يوم الثلاثاء، يشارك Ripple معلومات استخباراتية داخلية عن الجهات الفاعلة المرتبطة بكوريا الشمالية مع قطاع العملات المشفرة، بما في ذلك نطاقات مرتبطة بالاحتيال، وعناوين المحافظ، ومؤشرات الاختراق الناتجة عن حملات اختراق حديثة.
تأتي هذه الخطوة عقب مبلغ 280 مليون دولار D
GateNewsمنذ 4 س
تشارك شركة Ripple معلومات استخبارية عن قراصنة كوريا الشمالية مع صناعة العملات المشفرة، مع تحوّل أساليب الهجوم إلى الهندسة الاجتماعية
حسب BlockBeats، في 5 مايو أعلنت شركة Ripple أنها تشارك معلومات استخباراتية داخلية حول التهديدات التي يشنها قراصنة من كوريا الشمالية مع صناعة العملات المشفرة عبر Crypto ISAC. وتأتي هذه الخطوة لمعالجة تحول أساسي في منهجيات الهجوم: بدلًا من استغلال ثغرات في كود العقود الذكية، فإن جهة التهديد
GateNewsمنذ 7 س
اختفى الرئيس التنفيذي لشركة Zondacrypto في 5 مايو ومعه 4,500 مفتاح خاص لبيتكوين؛ الرئيس التنفيذي الحالي يفر إلى إسرائيل
وفقاً لـBlockBeats، في 5 مايو، اختفى المدير التنفيذي السابق لبورصة العملات المشفرة البولندية Zondacrypto في عام 2022 وهو يحمل مفاتيح خاصة لمحفظة باردة تضم 4,500 BTC (بما يعادل حالياً أكثر من 340 مليون دولار). اعترف الرئيس التنفيذي الحالي بأن المحفظة أصبحت الآن غير قابلة للوصول، وتفيد التقارير بأنه فر إلى إسرائيل.
GateNewsمنذ 10 س
تصاعدت حدة التوتر في الشرق الأوسط، وتراجعت أسهم الولايات المتحدة بعد بلوغ مستوياتها المرتفعة، في حين ظل سعر البيتكوين مستقراً قرب 80,000.
تصاعد التوتر في الشرق الأوسط يدفع أسعار النفط للارتفاع، بينما تراجعت الأسهم الأمريكية عن أعلى مستوياتها. وتجاوزت عملة البيتكوين أمس 80,000 دولار، لتسجل أعلى مستوى عند 80,776 دولار. كما ارتفع بوضوح عدد الخيارات الشرائية لآ 80 ألف دولار في Deribit ضمن مراكز غير مُنتهية، ما يشير إلى أن الأموال تراهن على صعود السعر خلال الشهر الجاري. وسجلت صناديق الاستثمار المتداولة ETF صافي تدفقات داخلية هذا الأسبوع بقيمة 630 مليون دولار. ويُظهر ذلك تفاؤلاً بشأن احتمال التوصل إلى اتفاق بشأن شروط عوائد العملات المستقرة، إلى جانب تطورات مرتبطة بقانون CLARITY Act.
ChainNewsAbmediaمنذ 13 س
عائلات تطلب إيثريوم أربيتـروم مجمّدًا لمساعدة ضحايا كوريا الشمالية
تحاول عائلات تحمل أحكاماً قضائية قديمة منذ عقود ضد كوريا الشمالية الاستيلاء على 30,765 ETH مجمّدة على Arbitrum، وذلك بعد اختراق rsETH الذي وقع الشهر الماضي. وقد استندت العائلات إلى إشعار تقييدي صادر عن نيويورك بهدف منع Arbitrum من إطلاق الأموال، مستشهدةً بوجود صلات مزعومة بين الـ att
CryptoFrontierمنذ 16 س
تنفي كوريا الشمالية سرقة العملات المشفرة بعد اتهام $577M بالمسروق في 2026
نفت جمهورية كوريا الشعبية الديمقراطية الاتهامات المتعلقة بسرقة عملات رقمية ترعاها الدولة، حتى مع قيام شركة استخبارات بلوكتشين TRM Labs بالإبلاغ عن أن جهات مرتبطة بكوريا الشمالية سرقت نحو 577 مليون دولار خلال الأشهر الأربعة الأولى من عام 2026. المتحدث باسم وزارة الخارجية التابعة للنظام
CryptoFrontierمنذ 23 س
