وفقًا لتحديث مفصّل عن الحادث نشره الفريق في وقت سابق يوم الأحد، فقد سبقت عملية استخباراتية استمرت ستة أشهر اختراقًا بقيمة 270 مليون دولار لبروتوكول Drift، ونُفّذت بواسطة مجموعة مرتبطة بدولة كوريا الشمالية.

قالت Drift إن المهاجمين تواصلوا أولًا حوالي خريف 2025 في مؤتمر تشفير رئيسي، حيث قدموا أنفسهم كشركة تداول كمي يرغبون في التكامل مع Drift.

وأضافت Drift أنهم كانوا على دراية تقنية، ولديهم خلفيات مهنية يمكن التحقق منها، ويفهمون كيفية عمل البروتوكول. تم إنشاء مجموعة على Telegram، وما تلا ذلك كان أشهرًا من محادثات جوهرية حول استراتيجيات التداول وتكاملات الـ vault، وهي تفاعلات شائعة عندما تنضم شركات التداول إلى بروتوكولات DeFi.

بين ديسمبر 2025 ويناير 2026، قامت المجموعة بإجراء onboarding لـ Ecosystem Vault على Drift، وعقدت عدة جلسات عمل مع المساهمين، وأودعت أكثر من 1 مليون دولار من رأسمالها الخاص، ثم بنت حضورًا تشغيليًا يعمل داخل النظام البيئي.

قابل مساهمو Drift أفرادًا من المجموعة وجهًا لوجه في عدة مؤتمرات كبرى للصناعة عبر عدة دول خلال فبراير ومارس. وبحلول الوقت الذي انطلق فيه الهجوم في 1 أبريل، كانت العلاقة قد قاربت على نصف عام.

يبدو أن عملية الاختراق جاءت عبر مسارين.

قام مسار ثانٍ بتنزيل تطبيق TestFlight، وهو منصة Apple لتوزيع التطبيقات قبل طرحها والتي تتجاوز مراجعة أمان App Store، وقدّمته المجموعة باعتباره منتج محفظتهم.

أما بالنسبة لمسار المستودع (repository)، فقد أشارت Drift إلى ثغرة معروفة في VSCode وCursor، وهما من أكثر محرري الشيفرة استخدامًا في تطوير البرمجيات، وكانت مجتمع الأمن يشير إليها منذ أواخر 2025، حيث كان مجرد فتح ملف أو مجلد داخل المحرر كافيًا لتنفيذ شيفرة تعسفية بشكل صامت دون أي مطالبة أو تحذير من أي نوع.

بمجرد اختراق الأجهزة، كانت لدى المهاجمين ما يلزم للحصول على الموافقاتتين (multisig) اللتين مكّنتا هجوم nonce المستدام الذي فصّلت CoinDesk عنه سابقًا هذا الأسبوع. ظلت تلك المعاملات المُوقّعة مسبقًا خامدة لأكثر من أسبوع قبل تنفيذها في 1 أبريل، لتسحب 270 مليون دولار من خزائن (vaults) البروتوكول في أقل من دقيقة.

تشير نسبة المسؤولية إلى UNC4736، وهي مجموعة مرتبطة بدولة كوريا الشمالية تُتابَع أيضًا باسم AppleJeus أو Citrine Sleet، بناءً على تدفقات الأموال على السلسلة التي تُعاد تتبعها إلى مهاجمي Radiant Capital، بالإضافة إلى تداخل تشغيلي مع شخصيات معروفة مرتبطة بـ DPRK.

غير أن الأفراد الذين ظهروا شخصيًا في المؤتمرات لم يكونوا مواطنين من كوريا الشمالية، مع ذلك. فمن المعروف أن جهات تهديد تابعة لـ DPRK على هذا المستوى تستخدم وسطاء تابعين لطرف ثالث بهويات متكاملة بالكامل وسير توظيف وشبكات مهنية تم بناؤها بحيث تصمد أمام عمليات العناية الواجبة.

حثّت Drift بروتوكولات أخرى على تدقيق ضوابط الوصول ومعاملة كل جهاز يتعامل مع multisig كهدف محتمل. تتمثل الإشارة الأوسع في أمر مقلق لصناعة تعتمد على حوكمة multisig باعتبارها نموذج الأمان الأساسي لديها.

لكن إذا كان المهاجمون على استعداد لقضاء ستة أشهر وإنفاق مليون دولار لبناء حضور شرعي داخل نظام بيئي، والالتقاء بالفرق وجهًا لوجه، والمساهمة برأس مال حقيقي، والانتظار—فالسؤال هو: ما نموذج الأمان المُصمَّم لالتقاط ذلك.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى إخلاء المسؤولية.