أكبر عملية استغلال في مجال التمويل اللامركزي هذا العام بدأت في فعالية تواصل مع مشروبات مجانية — فقد كشف بروتوكول دريفت في 5 نيسان/أبريل أن اختراق 1 نيسان كان نتيجة عملية استخباراتية استمرت ستة أشهر، جرى ربطها الآن، بدرجة ثقة متوسطة إلى مرتفعة، بجهات تهديد تابعة للدولة الكورية الشمالية.
تفاصيل هجوم بروتوكول دريفت
بدأت عملية التسلل في خريف 2025، عندما تظاهرت مجموعة بأنها شركة تداول كمي واقتربت من مساهمي دريفت في مؤتمر كبير للعملات المشفرة. وخلال الأشهر التالية، التقوا بأعضاء الفريق وجهاً لوجه في عدة فعاليات للقطاع عبر عدة دول.
أودعت المجموعة أكثر من مليون دولار من رأس مالها الخاص في خزنة النظام البيئي.
طرحوا أسئلة مفصلة حول المنتج عبر عدة جلسات عمل، وبنوا ما بدا وكأنه عملية تداول مشروعة داخل بنية دريفت التحتية.
بين كانون الأول/ديسمبر 2025 وآذار/مارس 2026، عمّقت المجموعة علاقاتها من خلال عمليات تكامل مع الخزائن واستمرت اللقاءات الشخصية في المؤتمرات. لم يكن لدى المساهمين ما يثير الشك — فبحلول وقت الاستغلال، كانت العلاقة قد استمرت لما يقرب من نصف عام، وشملت خلفيات مهنية موثَّقة، ومحادثات تقنية جوهرية، وحضوراً فعّالاً على السلسلة.
عندما وقع الهجوم في 1 نيسان/أبريل، جرى تنظيف محادثات المجموعة على تيليغرام والبرمجيات الخبيثة بالكامل. وحدد التحليل الجنائي向向向向向向 قناتي تسلل محتملتين: مستودع شيفرة خبيث تمت مشاركته بذريعة نشر واجهة خزنة، وتطبيق TestFlight قُدِّم على أنه محفظة المجموعة.
قد تكون ثغرة معروفة في محرري VSCode وCursor، حذّر منها مجتمع الأمن بنشاط من كانون الأول/ديسمبر 2025 حتى شباط/فبراير 2026، قد سمحت بتنفيذ صامت للشيفرة بمجرد فتح ملف.
تم تجميد جميع وظائف البروتوكول المتبقية وإزالة المحافظ المخترقة من التوقيع المتعدد. وتم الاستعانة بشركة Mandiant للتحقيق، كما جرى تمييز محافظ المهاجمين على مستوى البورصات ومشغلي الجسور.
اقرأ أيضاً: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
الاشتباه بجهات تهديد كورية شمالية
أظهرت التحقيقات التي أجراها فريق SEALS 911، مع درجة ثقة متوسطة إلى مرتفعة، أن العملية نُفذت من قبل الجهات نفسها التي تقف وراء اختراق Radiant Capital في تشرين الأول/أكتوبر 2024.
سبق أن نسبت Mandiant ذلك الهجوم إلى مجموعة UNC4736، وهي مجموعة تابعة للدولة الكورية الشمالية تُعرف أيضاً باسم AppleJeus أو Citrine Sleet.
يستند الربط إلى كلٍّ من الأدلة على السلسلة وأنماط العمل التشغيلية.
تدفقات الأموال المستخدمة للتحضير لاختراق دريفت واختباره تعود إلى مهاجمي Radiant، والهويات المستخدمة عبر الحملة تتداخل مع أنشطة معروفة مرتبطة بجمهورية كوريا الديمقراطية الشعبية. ومن اللافت أن الأشخاص الذين ظهروا حضورياً لم يكونوا من رعايا كوريا الشمالية — فجهات التهديد في كوريا الشمالية بهذا المستوى تُعرَف باستخدام وسطاء من أطراف ثالثة للتعاملات وجهاً لوجه.
اقرأ التالي: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline