اختراق بروتوكول الانجراف: كيف أمضت مجموعة كورية شمالية ستة أشهر في التسلل إلى بروتوكول DeFi
جدول المحتويات تعرض Drift Protocol لاستغلال كبير في 1 أبريل 2026، مما أدى إلى تجميد البروتوكول بالكامل. تم الكشف عن الحادث منذ ذلك الحين على أنه عملية استخباراتية منظمة استمرت لعدة أشهر. ويساعد شركاء الطب الشرعي، بما في ذلك Mandiant، جهات إنفاذ القانون في التحقيق في الانتهاك. تشير النتائج الأولية إلى أن مجموعة التهديد التابعة للدولة الكورية الشمالية هي الجناة المحتملين. يمثل هذا واحدة من أكثر حملات الهندسة الاجتماعية تعمدًا والموثقة في التمويل اللامركزي حتى الآن. لم يبدأ الهجوم على Drift Protocol في يوم حدوثه. يعود تاريخه إلى خريف عام 2025، عندما تم التواصل مع المساهمين في مؤتمر كبير للعملات المشفرة. قدمت المجموعة نفسها على أنها شركة تجارية كمية تسعى إلى تكامل البروتوكول. وكانوا يجيدون التقنية ويحملون خلفيات مهنية يمكن التحقق منها. على مدى الأشهر التالية، واصل أفراد من هذه المجموعة مقابلة المساهمين في Drift شخصيًا. حدثت هذه اللقاءات في مؤتمرات صناعية متعددة في العديد من البلدان. تم إنشاء مجموعة Telegram منذ الاجتماع الأول. ما تلا ذلك كان أشهرًا من المحادثات التفصيلية حول استراتيجيات التداول وعمليات تكامل الخزينة. من ديسمبر 2025 حتى يناير 2026، قامت المجموعة بدمج النظام البيئي في البروتوكول. لقد أودعوا أكثر من مليون دولار من رأسمالهم الخاص وشاركوا في جلسات عمل متعددة. بحلول فبراير/شباط ومارس/آذار 2026، أشار البروتوكول إلى أن "هؤلاء لم يكونوا غرباء، بل كانوا أشخاصًا عمل معهم المساهمون في دريفت واجتمعوا بهم شخصيًا". تمت مشاركة روابط المشاريع والأدوات والتطبيقات بشكل روتيني طوال هذه الفترة. وكشف التحقيق لاحقًا أن "الملفات الشخصية المستخدمة في هذه العملية تحتوي على هويات مبنية بالكامل بما في ذلك تاريخ التوظيف وأوراق الاعتماد التي تواجه الجمهور والشبكات المهنية". تفاعل المساهمون معهم عبر مناقشات تفصيلية حول المنتج. أدى هذا إلى بناء حضور تشغيلي موثوق به داخل نظام Drift البيئي بمرور الوقت. بعد الاستغلال الذي حدث في الأول من أبريل، أشارت مراجعة الطب الشرعي للأجهزة والاتصالات المتضررة إلى مجموعة التداول باعتبارها ناقل التسلل المحتمل. تم مسح محادثات Telegram والبرامج الضارة بالكامل بعد الهجوم مباشرة. وقد ظهرت منذ ذلك الحين ثلاث نواقل هجومية محتملة من التحقيق المستمر. ربما قام أحد المساهمين باستنساخ مستودع التعليمات البرمجية الذي تشاركه المجموعة. تم تقديمه كنشر للواجهة الأمامية لخزنتهم. تم حث مساهم آخر على تنزيل تطبيق TestFlight الذي تم تأطيره كمنتج محفظة المجموعة. فيما يتعلق بالمتجه القائم على المستودع، "كان مجرد فتح ملف أو مجلد أو مستودع في المحرر كافيًا لتنفيذ تعليمات برمجية عشوائية بصمت، دون مطالبة أو إشارة للمستخدم، أو نقرات، أو مربع حوار أذونات، أو تحذير من أي نوع." لا يزال التحليل الجنائي الكامل للأجهزة المتضررة مستمرًا. منذ ذلك الحين، حث Drift النظام البيئي الأوسع على "التحقق من فرقك، والتدقيق في من يمكنه الوصول إلى ماذا، والتعامل مع كل جهاز يمس multisig الخاص بك كهدف محتمل". وبثقة متوسطة إلى عالية، قام فريق SEALS 911 بتقييم هذا على أنه عمل UNC4736. هذه المجموعة عبارة عن ممثل تابع لدولة كوريا الشمالية يتم تتبعه باسم AppleJeus أو Citrine Sleet. تربط تدفقات الأموال عبر السلسلة والشخصيات المتداخلة هذه الحملة باختراق Radiant Capital في أكتوبر 2024. الأفراد الذين ظهروا شخصيًا لم يكونوا من مواطني كوريا الشمالية، حيث من المعروف أن الجهات الفاعلة التي تهدد كوريا الشمالية تستخدم وسطاء خارجيين للاتصال المباشر.