فينوس بروتوكول، منصة إقراض التمويل اللامركزي، نجحت في استعادة 13.5 مليون دولار من العملات المشفرة المسروقة من مستخدم عبر هجوم تصيّد معقد يُنسب إلى مجموعة لازاروس الكورية الشمالية. تمت الاستعادة في أقل من 12 ساعة من الحادثة يوم الثلاثاء من خلال إجراءات طارئة منسقة مع شركاء الأمن.
ما يجب معرفته:
- أوقف بروتوكول فينوس عملياته بالكامل بعد أن اكتشف شركاء الأمن نشاطًا مشبوهًا في دقائق من هجوم التصيّد
- استخدم المهاجمون عميل زوم ضارًا لخداع الضحية كوان صن لمنح التحكم بالحساب مما مكن الاقتراض والاسترداد غير المصرح بهما
- سمح تصويت طارئ للأدارة بالحجز القسري لمحفظة المهاجم، مما أرسل الرموز المسروقة إلى عنوان استرداد
الرد السريع يمنع الخسارة الكاملة
بدأ الهجوم عندما قام الجناة بخداع الضحية عبر تطبيق زوم مخترق. هذا البرنامج الضار منح المهاجمون تحكمًا مفوّضًا على حساب المستخدم على منصة بروتوكول فينوس.
حددت شركات الأمن HExagate و Hypernative نمط المعاملات المشبوهة في غضون دقائق من تنفيذها. أدى اكتشافهم السريع إلى قرار بروتوكول فينوس بإيقاف عمليات المنصة كإجراء احترازي. أوقفت هذه الوقف حركة الأموال الإضافية بينما قام المحققون بتحليل الاختراق.
أكد بروتوكول فينوس أن عقوده الذكية وواجهة المستخدم الخاصة به ظلت آمنة طوال الحادثة. أظهرت البنية التحتية الأساسية للمنصة عدم ظهور أي علامات على الاختراق خلال التدقيقات الأمنية التي أُجريت بعد الهجوم.
الإدارة الطارئة تمكّن الاسترداد
بادر المشرفون على المنصة بإجراء تصويت طارئ لمعالجة الأزمة. سمح هذا الإجراء الديمقراطي لبروتوكول فينوس بتفويض التصفية القسرية لمحفظة المهاجم الرقمية. سمحت الإجراء الطارئة لفرق الاسترداد بالاستيلاء على الأصول المسروقة وتوجيهها إلى عنوان استرداد آمن.
أعربت الضحية كوان صن عن امتنانها لجهود الاستجابة المنسقة.
"ما كان يمكن أن يكون كارثة كاملة تحول إلى معركة انتصرنا بفضل مجموعةٌ لا تصدق من الفرق،" قال صن في تعليقاته العامة بعد الاستعادة.
ساهمت منظمات متعددة في النتيجة الناجحة. قدمت PeckShield و Binance و SlowMist مساعدات تقنية إضافية خلال عملية الاسترداد. أثبتت خبراتهم المشتركة أنها حاسمة في تتبع واستعادة الأصول المشفرة المسروقة.
فهم طريقة الهجوم
اعتمد مخطط التصيّد على أساليب الهندسة الاجتماعية بدلًا من الثغرات التقنية في أنظمة بروتوكول فينوس. أقنع المهاجمون صن بتنزيل وتثبيت نسخة معدلة من برنامج مؤتمرات الفيديو الشهير زوم.
احتوى هذا التطبيق الضار على شفرة خفية تمنح الوصول غير المصرح به إلى حسابات سل سن المشفرة. بمجرد تثبيتها، سمحت البرامج المخترقة للمهاجمين بتنفيذ المعاملات نيابةً عن صن بدون تفويض مباشر. قام الجناة بعد ذلك بتفريغ العملات المستقرة والأصول المغلفة ممن .
لاحقاً أكدت التحليل الجنائي لشركة SlowMist ارتباط الهجوم بمجموعة لازاروس. كشف تحقيق شركة الأمن السيبراني عن توقيعات تكتيكية تتسق مع عمليات سابقة لكوريا الشمالية. "أجرت SlowMist تحليلًا شاملاً وكانت من بين الأوائل الذين أشاروا إلى أن لازاروس كانت وراء هذا الهجوم،" أشار صن.
محفظة جرائم مجموعة لازاروس
تعمل مجموعة لازاروس كجمعية اختراق مدعومة من الدولة تحت جهاز الاستخبارات الكوري الشمالي. نسبت وكالات الأمن الدولية العديد من السرقات البارزة للعملات المشفرة لهذه المنظمة على مدى السنوات الأخيرة.
تشتمل العمليات السابقة لمجموعة لازاروس على استغلال جسر Ronin بمبلغ 600 مليون دولار وخرق بورصة Bybit بمبلغ 1.5 مليار دولار. تمثل هذه الحوادث بعض من أكبر سرقات العملات المشفرة في تاريخ الصناعة. تجعل طرائقهم المعقدة ودعم الدولة منهم تهديدًا مستمرًا لمنصات الأصول الرقمية في جميع أنحاء العالم.
يلاحظ خبراء الأمن أن المتسللين الكوريين الشماليين يستهدفون في الغالب منصات العملات المشفرة لتجاوز العقوبات الاقتصادية الدولية. توفر الأصول الرقمية المسروقة للأمة المعزولة عملة صعبة لأنشطة الدولة المختلفة.
توضيح المصطلحات الأساسية
تعمل منصات التمويل اللامركزي مثل بروتوكول فينوس بدون وسطاء بنكيين تقليديين. يتفاعل المستخدمون مباشرة مع العقود الذكية — برامج مؤتمتة تنفذ المعاملات عندما تستوفي شروطًا محددة. توفر هذه المنصات عادةً خدمات الإقراض والاقتراض والتداول عبر تقنية سلسة الكتل.
العملات المستقرة هي عملات مشفرة مصممة للحفاظ على قيم مستقرة بالنسبة إلى الأصول المرجعية مثل الدولار الأمريكي.
تمثل الأصول المغلفة عملات مشفرة تقليدية مثل البيتكوين التي تم تحويلها للاستخدام على شبكات سلسة كتل مختلفة. يتميز كلا نوعي الأصول بشكل كبير في محاولة السرقة هذه.
تمنح التصويتات الطارئة للإدارة للمستخدمين وأصحاب المصلحة في المنصة اتخاذ قرارات سريعة أثناء المواقف الحرجة. يمكن لهذا الآلية الديمقراطية استجابات سريعة لمواجهة التهديدات الأمنية بدون الحاجة إلى انتظار فترة التصويت التقليدية.
أفكار ختامية
يُظهر حادث بروتوكول فينوس كل من نقاط الضعف والقدرات الحمائية داخل أنظمة التمويل اللامركزي. في حين أن المهاجمين المتطورين نجحوا في تنفيذ مخططهم الأولي للتصيّد، فإن الكشف السريع وجهود الاستجابة المنسقة منعت الخسائر الدائمة. يقدم جدولا زمنيا لاسترداد يبلغ 12 ساعة سلفية إيجابية للحوادث الأمنية المستقبلية في مجال العملات المشفرة.