سرقت كوريا الشمالية للتو 577 مليون دولار من العملات المشفرة بهجومين، وإليك الطريقة

في أبريل 2026، شكلت عمليتان اختراق بقيمة 577 مليون دولار 76% من إجمالي سرقات العملات المشفرة هذا العام. وكلاهما كان من عمل مجموعة لازاروس في كوريا الشمالية.

ولم يكن استغلال العقد الذكي كذلك. قضى المهاجمون ستة أشهر وهم يتظاهرون بأنهم شركة تجارية، ويحضرون مؤتمرات العملات المشفرة شخصيًا، ويبنون علاقات حقيقية مع المهندسين في Drift Protocol قبل استخراج التوقيعات التي يحتاجونها لاستنزاف 285 مليون دولار في اثنتي عشرة دقيقة.

واستنزف الهجوم الآخر 292 مليون دولار من عقدة جسر واحدة معرضة للخطر. لم تعد هذه مشكلة أمان تشفير. إنها عملية استخباراتية ترعاها الدولة، وتديرها دولة تستخدم العائدات لتمويل برنامج الأسلحة الخاص بها. والصناعة بدأت للتو في الاعتراف بذلك.

اثنتي عشرة دقيقة في أبريل

في الساعة 16:06:09 بالتوقيت العالمي المنسق في 1 أبريل 2026، استنزف أحد المهاجمين الخزائن الرئيسية لـ Drift Protocol، وهي أكبر بورصة لامركزية للعقود الآجلة الدائمة في Solana، بما يقرب من 285 مليون دولار من أصول المستخدم. نقل السحب الأول 41.72 مليون رمز JLP. تم نقل آخر 2200 دولار ETH. تم إفراغ الخزانة بأكملها في اثنتي عشرة دقيقة، وهو نفس الوقت الذي تستغرقه كتابة رسالة نصية طويلة.

أول بيان عام للفريق، تم نشره على X خلال ساعات، طلب من المجتمع تأكيد النشاط غير العادي الذي كانوا يرونه لم يكن مزحة كذبة أبريل. لم يكن كذلك. لقد كان ذلك تتويجا لستة أشهر من الإعداد المنهجي من قبل عملاء يعملون لصالح حكومة كوريا الشمالية.

فقط في: يعلن Drift Protocol عن أن جميع المحافظ المتأثرة باستغلال 1 أبريل ستتلقى رموز استرداد، يمثل كل منها خسارة تم التحقق منها ومطالبة مجمع استرداد متناسب pic.twitter.com/DRv4A61nBu

– crypto.news (@cryptodotnews) 5 مايو 2026

وبعد سبعة عشر يومًا، في 18 أبريل، استنزف المهاجمون 292 مليون دولار من بروتوكول KelpDAO، وهو بروتوكول إعادة تخزين، من خلال التلاعب بتكوين أداة التحقق الفردية في جسر LayerZero الخاص به. وشكل الهجومان مجتمعان ما يقرب من 95 في المائة من سرقة العملات المشفرة التي بلغت قيمتها 625 مليون دولار في أبريل، مما جعل أبريل 2026 أسوأ شهر لأمن العملات المشفرة في التاريخ المسجل. تجاوزت قيمة السرقات منذ بداية العام وحتى أبريل مليار دولار. قامت TRM Labs بتثبيت 76 بالمائة من إجمالي عام 2026 في هجومين. كلاهما كانا من عمل نفس ممثل التهديد.

جديد: يقوم KelpDAO بنقل $rsETH إلى Chainlink CCIP مشيرًا إلى البنية التحتية LayerZero باعتبارها مصدر استغلال DeFi بقيمة 300 مليون دولار + لشهر أبريل pic.twitter.com/6pjFShk30N

– crypto.news (@cryptodotnews) 6 مايو 2026

جهة التهديد هذه هي مجموعة لازاروس، وهو الاسم الشامل الذي تستخدمه وكالات الاستخبارات الغربية لعمليات القرصنة التي ترعاها الدولة والتي يديرها مكتب الاستطلاع العام، وكالة الاستخبارات الرئيسية في كوريا الشمالية. منذ عام 2017، سرقت شركة Lazarus ووحداتها الفرعية ما يزيد عن 6 مليارات دولار من العملات المشفرة.

وفقًا لأرقام تشيناليسيس، تمت سرقة 2.06 مليار دولار منها في عام 2025 وحده، مدفوعًا في المقام الأول باختراق بايبيت الكارثي بقيمة 1.5 مليار دولار في فبراير من ذلك العام، وهي أكبر سرقة عملات مشفرة في التاريخ. وتضع وتيرة 2026 المجموعة على الطريق الصحيح لتجاوز إجمالي 2025 بشكل مريح.

هذه ليست قصة أمان العملات المشفرة بأي معنى تقليدي. التهديدات التي تواجهها بروتوكولات DeFi اليوم ليست هي التهديدات التي صممت للدفاع ضدها. كان مصدر القلق في حقبة 2020 هو أخطاء العقود الذكية واستغلال القروض السريعة ونقاط الضعف في التعليمات البرمجية. إن واقع 2026 هو عمليات مستدامة ومتعددة البلدان ومتعددة الأشهر يديرها متخصصون في الاستخبارات لا يحتاجون إلى استغلال التعليمات البرمجية لأن لديهم المفاتيح بالفعل. كان عليهم فقط إقناع شخص ما بتسليمهم.

هذا ما كان عليه هجوم الانجراف. وفهم ذلك هو أهم تعليم أمني يمكن لأي حامل عملات مشفرة أو منشئ أو مسؤول تنفيذي الحصول عليه الآن.

عملية الانجراف، خطوة بخطوة

يبدو تقرير Drift Protocol بعد الوفاة، والذي نُشر في أوائل أبريل، أشبه بتقرير مكافحة التجسس أكثر من كونه كشفًا أمنيًا. يبدأ في أكتوبر 2025.

في مؤتمر كبير للعملات المشفرة، قامت مجموعة من الأفراد الذين قدموا أنفسهم كممثلين لشركة تداول كمي بالتواصل مع المساهمين في Drift. لقد تحققوا من الخلفيات المهنية، وأظهروا الطلاقة التقنية، وطرحوا بالضبط أنواع الأسئلة التي قد تطرحها شركة تجارية مؤسسية حقيقية حول التكامل مع البروتوكول الدائم. إن المساهمين في دريفت، الذين يتعاملون مع مثل هذه الطلبات بشكل روتيني، يعاملونها مثل أي شريك مؤسسي محتمل آخر.

وأوضح دريفت منذ ذلك الحين أن الأفراد الذين حضروا تلك الاجتماعات الشخصية لم يكونوا مواطنين كوريين شماليين. تستخدم عمليات Lazarus دائمًا وسطاء خارجيين للاتصال وجهًا لوجه، مع بقاء المشغلين الفنيين الفعليين داخل كوريا الشمالية أو الصين. لاحظ محقق بلوكتشين ZachXBT، الذي كان يتتبع عمليات العملات المشفرة في كوريا الديمقراطية لسنوات، أن هيكل الهوية متعدد الطبقات هو أحد السمات المميزة لحملات Lazarus.

ولم تتوقف المجموعة بعد المؤتمر الأول. على مدار ستة أشهر، ظهر نفس العملاء، أو العملاء الذين يقدمون نفس الهويات، في العديد من الأحداث الصناعية العالمية، مما أدى إلى تعميق العلاقات مع مساهمين محددين في Drift. تم إنشاء مجموعة Telegram