أكبر عملية استغلال في DeFi هذا العام بدأت في فعالية تواصل تتضمن مشروبات مجانية — كشف Drift Protocol في 5 نيسان أن Apr. 1 hack كانت نتيجة عملية استخباراتية استمرت ستة أشهر، نُسبت الآن بدرجة ثقة متوسطة إلى عالية إلى جهات فاعلة تابعة للدولة في كوريا الشمالية.
تفاصيل هجوم بروتوكول دريفت
بدأ الاختراق في خريف 2025، عندما تواصلت مجموعة تدّعي أنها شركة تداول كمي مع مساهمي دريفت في مؤتمر تشفير كبير. وعلى مدى الأشهر التالية، التقوا بأعضاء الفريق وجهًا لوجه في عدة فعاليات صناعية عبر عدة دول.
أودعوا أكثر من مليون دولار من رؤوس أموالهم الخاصة في خزينة النظام البيئي.
طرحوا أسئلة تفصيلية حول المنتج خلال عدة جلسات عمل، وبنوا ما بدا أنه عملية تداول شرعية داخل بنية دريفت التحتية.
بين كانون الأول 2025 وآذار 2026، عمّقت المجموعة علاقاتها عبر عمليات تكامل مع الخزائن واستمرت اللقاءات المباشرة في المؤتمرات. لم يكن لدى المساهمين سبب للريبة — فعند وقت الاستغلال، كانت العلاقة قد استمرت لما يقرب من نصف عام، وشملت خلفيات مهنية موثوقة، ومحادثات تقنية جوهرية، وحضورًا فعّالًا على السلسلة.
عندما وقع الهجوم في 1 نيسان، حُذفت محادثات المجموعة على تيليغرام والبرمجيات الخبيثة بالكامل. وحددت المراجعة الجنائية向向向向向向 قناتي تسلل محتملتين: مستودع شيفرة خبيث تمت مشاركته بحجة نشر واجهة خزينة، وتطبيق TestFlight قُدّم على أنه محفظة المجموعة.
قد تكون ثغرة معروفة في محرري VSCode وCursor، حذرت منها بشدة مجتمع الأمن بين كانون الأول 2025 وشباط 2026، قد سمحت بتنفيذ شيفرة بصمت بمجرد فتح ملف.
جرى إيقاف جميع وظائف البروتوكول المتبقية وإزالة المحافظ المخترقة من التوقيع المتعدد. وتم الاستعانة بشركة Mandiant للتحقيق، كما تم وضع علامات تحذير على محافظ المهاجمين لدى منصات التداول ومشغلي الجسور.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
الاشتباه بجهات تهديد كورية شمالية
خلصت التحقيقات التي أجراها فريق SEALS 911 بدرجة ثقة متوسطة إلى عالية إلى أن العملية نفذها نفس المهاجمين الذين يقفون وراء اختراق Radiant Capital في تشرين الأول 2024.
كانت Mandiant قد نسبت سابقًا ذلك الهجوم إلى UNC4736، وهي مجموعة تابعة للدولة في كوريا الشمالية تُعرف أيضًا باسم AppleJeus أو Citrine Sleet.
يستند الربط إلى أدلة على السلسلة وأنماط تشغيلية متشابهة.
تدفقات الأموال المستخدمة للتحضير واختبار عملية دريفت تعود إلى مهاجمي Radiant، كما أن الهويات المستخدمة خلال الحملة تتداخل مع نشاط معروف مرتبط بكوريا الشمالية. ومن اللافت أن الأفراد الذين ظهروا شخصيًا لم يكونوا من الجنسية الكورية الشمالية — إذ تُعرف جهات التهديد في كوريا الشمالية على هذا المستوى باستخدام وسطاء من أطراف ثالثة للتعاملات وجهًا لوجه.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline