كيف دبر عملاء كوريا الشمالية عملية سرقة عملات مشفرة بقيمة 270 مليون دولار بعد أشهر من تسلل المرضى

جدول المحتويات في 1 أبريل، عانى Drift Protocol من خرق أمني كارثي بقيمة 270 مليون دولار في أعقاب حملة تسلل موسعة نظمتها مجموعة قرصنة جماعية مدعومة من الدولة في كوريا الشمالية امتدت لنصف عام تقريبًا. 🚨تخلصت كوريا الشمالية للتو من أكثر الاختراقات رعبًا في تاريخ العملات المشفرة.. واستغرق الأمر منهم 6 أشهر من الصبر.. لم يرسلوا بريدًا إلكترونيًا للتصيد الاحتيالي.. لم يستغلوا عقدًا ذكيًا.. لقد بنوا علاقة.. خريف 2025.. "شركة تداول كمي" تتجه نحو Drift... https://t.co/pTScEhV9sb pic.twitter.com/z8awPLGQ7l — Evan Luthra (@EvanLuthra) 5 أبريل 2026 بدأت العملية المعقدة في مؤتمر بارز للعملات المشفرة خلال خريف عام 2025. نجح الجناة في انتحال ممثلين لعملية تداول كمية، ووصلوا بمعرفة فنية شاملة وأوراق اعتماد مهنية موثقة ومعرفة تفصيلية بالبنية التحتية لـ Drift. والعمليات. تم إجراء الاتصالات الأولية من خلال قناة Telegram، مما أدى إلى بدء أشهر من الحوار المستمر. تركزت المناقشات على موضوعات نموذجية للشراكات التجارية المؤسسية: بروتوكولات تكامل القبو، ومنهجيات التداول الاستراتيجية، والأطر التشغيلية. خلال الإطار الزمني من ديسمبر 2025 إلى يناير 2026، أنشأ الكيان الاحتيالي رسميًا قبوًا للنظام البيئي ضمن نظام Drift البيئي. لقد أجروا العديد من جلسات العمل التعاونية مع المساهمين في المنصة ووزعوا ما يزيد عن مليون دولار من رأس المال الفعلي - وهي خطوة محسوبة مصممة لإثبات الأصالة. طوال شهري فبراير ومارس 2026، شارك موظفو Drift في اجتماعات مباشرة وجهًا لوجه مع ممثلين من المجموعة في أماكن مؤتمرات دولية مختلفة عبر دول متعددة. وبحلول وقت هجوم الأول من أبريل/نيسان، كانت العلاقة قد نضجت على مدار ما يقرب من نصف عام. تجسد الاختراق من خلال استراتيجية الهجوم المزدوج. في البداية، قام أحد أعضاء الفريق بتثبيت تطبيق TestFlight - وهو نظام التوزيع التجريبي من Apple الذي يتحايل على عمليات التحقق الأمنية القياسية لمتجر التطبيقات - والذي قام المهاجمون بتسويقه على أنه حل محفظتهم الخاصة. بالإضافة إلى ذلك، قامت الجهات الفاعلة في مجال التهديد باستخدام ثغرة أمنية موثقة علنًا موجودة في VSCode وCursor، وهما بيئتا تطوير متكاملتان سائدتان. لا يتطلب هذا الاستغلال أكثر من فتح ملف مخترق داخل أي من المحررين لتنفيذ كود الحمولة الضارة بصمت دون تشغيل أي إشعارات للمستخدم أو تنبيهات أمنية. وبعد اختراق الجهاز بنجاح، استخرج المهاجمون بشكل منهجي بيانات الاعتماد اللازمة لتأمين موافقتين على المحفظة متعددة التوقيع. وظلت هذه المعاملات المصرح بها مسبقًا غير نشطة لأكثر من أسبوع قبل تنفيذها في الأول من أبريل، مما أدى إلى استخراج 270 مليون دولار في غضون ستين ثانية. وقد ربط محللو الأمن السيبراني الحادث بـ UNC4736، وهي مجموعة تهديد تم تصنيفها أيضًا باسم AppleJeus أو Citrine Sleet. كشفت الطب الشرعي لبلوكتشين عن أنماط المعاملات المرتبطة بتسوية راديانت كابيتال في أكتوبر 2024، والتي نسبها المحققون أيضًا إلى جهات فاعلة من كوريا الشمالية. والجدير بالذكر أن الأفراد الذين ظهروا جسديًا في المؤتمرات لم يكونوا مواطنين كوريين شماليين، حيث تستخدم المجموعات التابعة لكوريا الديمقراطية بشكل مميز وكلاء طرف ثالث بهويات ملفقة بشكل متقن. أشار أرييل جيفنر، المتخصص القانوني في مجال العملات المشفرة، إلى أن الحادث من المحتمل أن يشكل إهمالًا مدنيًا يستوجب اتخاذ إجراءات بشأنه. وشددت على أن بروتوكولات الأمان الأساسية - بما في ذلك الاحتفاظ بمفاتيح التوقيع على الأنظمة المعزولة والمغلقة بالهواء وإجراء التحقق الشامل من خلفية المطورين الذين تمت مواجهتهم في الأحداث الصناعية - يبدو أنها لم يتم تنفيذها بشكل كافٍ. وقال جيفنر: "كل مشروع ذي مصداقية يفهم هذه المتطلبات. وقد فشلت دريفت في تنفيذها". يتم بالفعل تداول المواد التسويقية للدعاوى الجماعية التي تستهدف Drift. أعرب فريق Drift الأمني ​​عن "ثقة متوسطة إلى عالية" في أن جهات تهديد متطابقة هي التي نفذت هجوم Radiant Capital في أكتوبر 2024، حيث تم توزيع برامج ضارة عبر Telegram من فرد ينتحل شخصية مقاول سابق.