تحقق السلطات الكورية الجنوبية في ما إذا كانت مجموعة القرصنة الكورية الشمالية Lazarus قد نظمت خرقًا بقيمة 36 مليون دولار في أكبر بورصة للعملات المشفرة في البلاد، حيث وقع الهجوم بعد ست سنوات بالضبط من حادثة الأمان الكبرى السابقة للمنصة، والتي نُسبت إلى الجهات نفسها المدعومة من الدولة.
علّقت Upbit عمليات الإيداع والسحب يوم الخميس بعد اكتشاف تحويلات غير مصرح بها بنحو 44.5 مليار وون (36 مليون دولار) من الأصول المبنية على سولانا من محفظة ساخنة إلى عناوين خارجية غير معروفة.
وقع الخرق في الساعة 4:42 صباحًا بالتوقيت المحلي في 27 نوفمبر، ما أدى إلى تفعيل بروتوكولات الطوارئ فورًا وفرض تجميد على مستوى المنصة لجميع خدمات المعاملات.
ذكر مسؤولون حكوميون وصناعيون لوكالة أنباء يونهاب أن المحققين الذين يحللون تدفقات المحافظ ومتجهات الاختراق يشتبهون الآن في أن المهاجمين إما استولوا على حساب مسؤول أو نجحوا في انتحال صفة مشغّل داخلي – وهي تكتيكات تعكس عن كثب حادثة عام 2019 عندما سُرقت 342,000 ETH بقيمة 50 مليون دولار في هجوم رُبط لاحقًا بمجموعة لازاروس والمجموعة الكورية الشمالية ذات الصلة Andariel.
ما الذي حدث
أثّر الخرق في أكثر من 20 رمزًا ضمن نظام سولانا البيئي، بما في ذلك SOL وUSDC وBONK وJupiter وRaydium وRender وOrca وPyth Network. أكدت شركة Dunamu، المشغّلة لـ Upbit، عمليات السحب غير المصرح بها وتعهدت برد كامل للعملاء باستخدام الاحتياطيات التشغيلية للبورصة. وأفادت الشركة بأنها كانت تحتفظ بـ 67 مليار وون كاحتياطيات لمواجهة الاختراقات أو أعطال الأنظمة حتى شهر سبتمبر، بموجب قانون حماية مستخدمي العملات المشفرة في كوريا الجنوبية.
قال أوه كيونغ-سوك، الرئيس التنفيذي لـ Dunamu، في بيان: «لقد حدّدنا المبلغ الدقيق من الأصول الرقمية التي تسرّبت، وسنغطي الخسارة بالكامل من أصول Upbit الخاصة حتى لا يتضرر العملاء بأي شكل». ونقلت البورصة الأصول المتبقية إلى محافظ باردة لمنع عمليات سحب إضافية بينما تجري فرق الأدلة الجنائية تحقيقاتها.
جمّدت Upbit ما يقرب من 2.3 مليار وون (1.6 مليون دولار) من رموز Solayer عبر إجراءات على السلسلة، وتنسّق مع جهات إصدار الرموز لتجميد أصول إضافية يمكن تتبعها. وحددت شركات تحليل البلوكتشين عمليات نقل سريعة عبر محافظ متعددة وأنشطة خلط تتسق مع أنماط غسل الأموال السابقة المرتبطة بمجموعة لازاروس، وفقًا لمسؤولي الأمن.
قال مسؤول حكومي لوكالة يونهاب: «بدلًا من مهاجمة الخادم، من الممكن أن يكون القراصنة قد استولوا على حسابات المسؤولين أو انتحلوا صفة مسؤولين لتنفيذ التحويل». وتشير هذه المقاربة إلى تلاعب مستهدف بالحسابات بدلًا من هجوم مباشر على بنية Upbit التحتية، ما يعزز المقارنات مع عمليات لازاروس السابقة.
أطلق المنظمون من وزارة العلوم وتكنولوجيا المعلومات والاتصالات، ولجنة الخدمات المالية، وغيرها من الهيئات الإشرافية عمليات تفتيش ميدانية على أنظمة Upbit، مع التركيز على إدارة مفاتيح المحافظ الساخنة وأمن الشبكات الداخلية security. وقالت البورصة إنها تجري مراجعة شاملة لمنظومة الإيداع والسحب لجميع الأصول الرقمية، وستستأنف الخدمات تدريجيًا بمجرد التأكد من السلامة.
لاحظت شركة أمن البلوكتشين CertiK أن سرعة وحجم عمليات السحب يشبهان الهجمات السابقة المرتبطة بلازاروس، رغم أنها لا تمتلك حتى الآن أدلة قاطعة على السلسلة. وتتبعّت الشركة تدفقات الأموال عبر أكثر من 100 عنوان مستغل على سولانا وتواصل مراقبة التحركات لتتبع الروابط مع شبكات غسل الأموال المرتبطة بلازاروس.
وقد غذّى توقيت الهجوم التكهنات حول دوافع القراصنة. فقد وقع الخرق في اليوم نفسه الذي أعلنت فيه Naver Financial، وهي شركة تابعة لعملاق الإنترنت الكوري Naver، عن صفقة مبادلة أسهم بقيمة 10.3 مليارات دولار للاستحواذ على كامل ملكية Dunamu. وسيجعل هذا الاندماج Dunamu شركة تابعة مملوكة بالكامل، ويمثل واحدًا من أكثر التحولات المؤسسية تأثيرًا في قطاع الكريبتو الكوري الجنوبي.
قال خبير أمني لوكالة يونهاب: «يميل القراصنة إلى وجود رغبة قوية في استعراض قدراتهم»، مرجحًا أن يكون المهاجمون قد اختاروا 27 نوفمبر عمدًا لتعظيم الاهتمام خلال إعلان الاندماج رفيع المستوى. وصادف هذا التاريخ أيضًا الذكرى السادسة لاختراق Upbit في عام 2019 حتى اليوم.
Also read: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
لماذا يهم الأمر
يمثل خرق Upbit أحدث حلقة في ما أصبح عامًا قياسيًا لحوادث أمن العملات المشفرة. فقد تجاوزت الخسائر الناتجة عن الاختراقات والاستغلال 2.4 مليار دولار في 2025، مع هيمنة اختراق بورصة Bybit الضخم بقيمة 1.5 مليار دولار في فبراير على الإجمالي. وقد نُسب هجوم Bybit – الأكبر في تاريخ العملات المشفرة – أيضًا إلى مجموعة لازاروس الكورية الشمالية.
وفقًا لشركة أمن البلوكتشين CertiK، شهد النصف الأول من عام 2025 خسائر بقيمة 2.47 مليار دولار بسبب الاختراقات والاحتيال والاستغلال، ما يمثل زيادة تقارب 3٪ مقارنة بـ 2.4 مليار دولار سُرقت طوال عام 2024. وبرز اختراق المحافظ كأكثر متجهات الهجوم كلفة مع سرقة أكثر من 1.7 مليار دولار عبر 34 حادثة. وشكّلت هجمات التصيّد الاحتيالي العدد الأكبر من الحوادث الأمنية مع 132 خرقًا و410 ملايين دولار مسروقة.
استخدمت مجموعة لازاروس مرارًا مجموعة متنوعة من التكتيكات، بدءًا من اختراق البورصات إلى هجمات سلسلة التوريد واختراق بيئات المطورين. ونشرت المجموعة عناقيد برمجيات خبيثة مخصصة، وطرائق هندسة اجتماعية، وبنية غسل أموال ضخمة، مع توجيه العملات المشفرة المسروقة عبر خدمات المزج والجسور عبر سلاسل مختلفة. ويشير خبراء الأمن إلى أن كوريا الشمالية، التي تواجه نقصًا في العملات الأجنبية، تستخدم العملات المشفرة المسروقة لتمويل أنشطة النظام.
في هجوم Upbit عام 2019، خلص المحققون إلى أن أكثر من نصف ETH المسروق غُسل عبر حسابات بورصات أنشئت بهويات مزيفة، باستخدام أساليب نموذجية لمجموعة لازاروس، بما في ذلك القفز بين المحافظ وتقنيات الخلط. وقد استهدفت المجموعة سابقًا منصات العملات المشفرة لتعظيم الأثر والتغطية، ما يشير إلى أن الهجمات قد تُنفذ عمدًا لاستغلال الاهتمام العام المتصاعد.
قال مسؤول أمني: «إنه نهجهم القياسي في تشتيت الرموز عبر شبكات متعددة لكسر عملية التتبع». وأفاد مزود تحليلات البلوكتشين Dethective بأن المحافظ المرتبطة بالمخترق المشتبه به بدأت بالفعل في تحريك الأموال، في إشارة إلى بدء عملية غسل الأموال.
يسلّط الخرق في Upbit الضوء أيضًا على الثغرات المستمرة في بنية المحافظ الساخنة التي تبقى متصلة لأغراض تشغيلية. فبينما بقيت المحافظ الباردة التي تخزن غالبية أصول البورصة آمنة، تستمر المحافظ الساخنة – التي تتولى التداول النشط وعمليات السحب – في كونها أهدافًا جذابة للمهاجمين المتقدمين. وحتى المنصات القديمة التي خضعت لعمليات تدقيق أمنية عديدة لم تُستثن، حيث أظهر اختراق بروتوكول Balancer بقيمة 128 مليون دولار في نوفمبر مدى اتساع مشهد التهديدات.
يوفّر تمكّن Upbit من تعويض العملاء بالكامل من الاحتياطيات التشغيلية قدرًا من الطمأنينة، لكن الحادث يمثل ضربة مالية مباشرة كبيرة للبورصة وDunamu بينما تمضي في عملية الاندماج مع Naver Financial. وقد وُضع الاندماج بوصفه خطوة استراتيجية للاستثمار بقيمة 10 تريليونات وون على مدى خمس سنوات لتطوير بنية تحتية لتقنيات الذكاء الاصطناعي وWeb3 في كوريا الجنوبية. ويخلق وقوع الاختراق بعد ساعات من إعلان الاستحواذ خلفية محرجة للكيان الموحّد حديثًا.
تواصل السلطات تتبع الأصول المسروقة عبر تحليلات البلوكتشين، بالتوازي مع إجراء مراجعات جنائية لبنية Upbit الأمنية. ولم تقدّم البورصة جدولًا زمنيًا لاستئناف خدمات الإيداع والسحب، رغم أن عمليات التدقيق الأمني عقب حوادث بهذا الحجم تستغرق عادة عدة أيام أو أكثر اعتمادًا على النتائج.
Read next: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users