كشف النقاب عن سرقة نصف مليار دولار باعتبارها حملة مطولة لجواسيس بيونغ يانغ

سبقت عملية استخباراتية استمرت ستة أشهر استغلال Drift Protocol بقيمة 270 مليون دولار ونفذتها مجموعة تابعة للدولة في كوريا الشمالية، وفقًا لتحديث مفصل للحادث نشره الفريق في وقت سابق من يوم الأحد.

أجرى المهاجمون اتصالات لأول مرة في خريف عام 2025 تقريبًا في مؤتمر كبير للعملات المشفرة، حيث قدموا أنفسهم على أنهم شركة تداول كمي تتطلع إلى التكامل مع Drift.

وقال دريفت إنهم كانوا يجيدون التقنية، ولديهم خلفيات مهنية يمكن التحقق منها، ويفهمون كيفية عمل البروتوكول. تم إنشاء مجموعة Telegram وما تلا ذلك كان عبارة عن أشهر من المحادثات الموضوعية حول استراتيجيات التداول وتكاملات الخزينة، وهي التفاعلات القياسية لكيفية تعامل الشركات التجارية مع بروتوكولات التمويل اللامركزي.

بين ديسمبر 2025 ويناير 2026، انضمت المجموعة إلى Ecosystem Vault on Drift، وعقدت جلسات عمل متعددة مع المساهمين، وأودعت أكثر من مليون دولار من رأسمالها الخاص، وقامت ببناء وجود تشغيلي فعال داخل النظام البيئي.

التقى المساهمون في Drift بأفراد من المجموعة وجهاً لوجه في العديد من المؤتمرات الصناعية الكبرى في العديد من البلدان خلال شهري فبراير ومارس. وبحلول الوقت الذي بدأ فيه الهجوم في الأول من أبريل/نيسان، كانت العلاقة قد مضى عليها ما يقرب من نصف عام.

يبدو أن التسوية قد جاءت من خلال ناقلين.

وقام شخص آخر بتنزيل تطبيق TestFlight، وهو منصة Apple لتوزيع تطبيقات ما قبل الإصدار التي تتجاوز مراجعة أمان متجر التطبيقات، والتي قدمتها المجموعة كمنتج محفظتها.

بالنسبة لمتجه المستودع، أشار Drift إلى ثغرة أمنية معروفة في VSCode وCursor، وهما من أكثر برامج تحرير التعليمات البرمجية استخدامًا على نطاق واسع في تطوير البرمجيات، والتي كان مجتمع الأمان يشير إليها منذ أواخر عام 2025، حيث كان مجرد فتح ملف أو مجلد في المحرر كافيًا لتنفيذ تعليمات برمجية عشوائية بصمت دون مطالبة أو تحذير من أي نوع.

بمجرد اختراق الأجهزة، كان لدى المهاجمين ما يحتاجون إليه للحصول على موافقتين متعددتي التوقيعات التي مكنت هجوم CoinDesk الدائم الذي تم تفصيله في وقت سابق من هذا الأسبوع. ظلت هذه المعاملات الموقعة مسبقًا خاملة لأكثر من أسبوع قبل تنفيذها في الأول من أبريل، مما أدى إلى استنزاف 270 مليون دولار من خزائن البروتوكول في أقل من دقيقة.

يشير الإسناد إلى UNC4736، وهي مجموعة تابعة للدولة الكورية الشمالية يتم تتبعها أيضًا باسم AppleJeus أو Citrine Sleet، استنادًا إلى تدفقات الأموال عبر السلسلة التي تعود إلى مهاجمي Radiant Capital والتداخل التشغيلي مع الشخصيات المعروفة المرتبطة بكوريا الديمقراطية.

ومع ذلك، فإن الأفراد الذين ظهروا شخصيًا في المؤتمرات لم يكونوا من مواطني كوريا الشمالية. ومن المعروف أن الجهات الفاعلة التي تشكل تهديدًا في جمهورية كوريا الشعبية الديمقراطية على هذا المستوى تنشر وسطاء خارجيين بهويات مبنية بالكامل وتاريخ توظيف وشبكات مهنية مصممة لتحمل العناية الواجبة.

وحث Drift البروتوكولات الأخرى على تدقيق ضوابط الوصول والتعامل مع كل جهاز يلمس multisig كهدف محتمل. إن التأثير الأوسع غير مريح بالنسبة لصناعة تعتمد على حوكمة multisig كنموذج أمني أساسي لها.

ولكن إذا كان المهاجمون على استعداد لقضاء ستة أشهر وإنفاق مليون دولار في بناء وجود مشروع داخل النظام البيئي، ومقابلة الفرق شخصيًا، والمساهمة برأس مال حقيقي، والانتظار، فإن السؤال هو ما هو النموذج الأمني ​​المصمم لتحقيق ذلك.