دولة قومية واحدة استحوذت على ثلثي كل دولار سُرق من منظومة العملات المشفّرة العالمية في النصف الأول من عام 2026.
هذا ليس خطأً في التقريب، وليس نتيجة عملية سطو واحدة مذهلة.
إنه نتاج حملة اختراق مستمرة ومؤسسية الصبغة، أمضت ما يقرب من عقد وهي تصقل أساليبها، وتتفوّق الآن على كل الجهات الأخرى المهدِّدة في هذا المجال مجتمعة.
حجم الظاهرة مذهل حتى وفق مقاييس الجريمة في عالم الكريبتو، الذي لم يَخلُ يوماً من الأرقام الدراماتيكية.
مجموعات مرتبطة بكوريا الشمالية شكّلت 66.2% من إجمالي خسائر اختراق الأصول الرقمية عالمياً في النصف الأول من 2026، وفقاً لأرقام متداولة هذا الأسبوع بين باحثي أمن البلوكشين.
هذا التركّز للخسائر في عنقود تهديد واحد يمثّل تحولاً نوعياً في ملف المخاطر الذي يواجهه القطاع بأكمله. ويأتي في لحظة يتدفق فيها رأس المال المؤسسي إلى الكريبتو بأسرع وتيرة منذ عام 2021.
الخلاصة السريعة (TL;DR)
- مخترقون مرتبطون بكوريا الشمالية استحوذوا على 66.2% من إجمالي خسائر اختراقات الكريبتو في النصف الأول من 2026، في ذروة جديدة لتركز السرقة برعاية دولة.
- مجموعة لازاروس ووحدات أخرى تابعة لجمهورية كوريا الديمقراطية تطوّرت من اختراقات انتهازية للبورصات إلى عمليات منظمة جداً تستهدف بروتوكولات DeFi والجسور عبر السلاسل والهندسة الاجتماعية للمطوّرين.
- هذه الأموال تموّل برامج الأسلحة الكورية الشمالية مباشرة، ما يجعل أمن الكريبتو قضية جيوسياسية يتعامل معها المنظمون في واشنطن وبروكسل وسول بجدية متزايدة.
نسبة 66% وما الذي تقيسه فعلياً
قبل تحليل الصورة الاستراتيجية، تستحق منهجية احتساب هذا الرقم بعض التدقيق.
تشير نسبة 66.2% إلى حصة الخسائر الموثَّقة من اختراقات الكريبتو المنسوبة إلى محافظ مرتبطة بجمهورية كوريا الديمقراطية في النصف الأول من 2026، استناداً إلى تحليلات على السلسلة تتبع تدفقات الأموال من لحظة السرقة مروراً باستخدام الخلّاطات وصولاً إلى تصريفها خارج النظام.
نشرت Chainalysis، التي تعدّ البيانات الطولية الأشمل عن جرائم الكريبتو، في تقرير الجريمة لعام 2024 تقريراً يفيد بأن المجموعات المرتبطة بكوريا الشمالية سرقت نحو 1.34 مليار دولار عبر 47 حادثة في 2023، أي 61% من القيمة الإجمالية للسرقات في ذلك العام.
تمثل أرقام النصف الأول من 2026 مزيداً من التركّز. فهي تشير إلى أن الفجوة بين قدرات جمهورية كوريا الديمقراطية وبقية الجهات المهدِّدة تتسع بدلاً من أن تضيق.
حصة 66.2% هذه هي أعلى تركّز لسرقة أصول رقمية برعاية دولة يُسجَّل على الإطلاق خلال فترة ستة أشهر.
من المهم توضيح ما لا تعكسه نسبة 66%.
فهي لا تشمل عمليات الخروج الاحتيالية (exit scams) أو سحب السيولة المفاجئ (rug pulls) أو الاحتيال، التي تصنفها Chainalysis عادةً في فئات منفصلة عن الاختراقات. المقام هنا هو خسائر اختراقات مؤكدة فقط.
لو شملنا كل فئات جرائم الكريبتو لانخفضت نسبة جمهورية كوريا الديمقراطية من الإجمالي، لكن ذلك لن يقلل من القيمة الدولارية المطلقة المسروقة.
اقرأ أيضاً: ارتفاع الطلب الفوري على XRP بينما عقود Binance الدائمة تطلق تحذيراً بقيمة 783 مليون دولار
كيف أصبحت مجموعة لازاروس قوة عظمى في عالم الكريبتو
لم تبدأ مجموعة لازاروس، وهو المسمى الشامل الذي تستخدمه أجهزة الاستخبارات الأمريكية والباحثون الخاصون للإشارة إلى أكثر وحدات جمهورية كوريا الديمقراطية السيبرانية قدرة، كعملية تركز على الكريبتو.
كان نشاطها المبكر يشمل هجمات مدمرة، وعمليات سطو على البنوك عبر استغلال شبكة SWIFT، وهجمات فدية (ransomware).
كان التحول نحو الكريبتو تدريجياً، وبدأ بجدية حوالي 2017 عندما استهدفت البورصات الكورية الجنوبية، ثم تصاعد بشكل حاد بعد اختراق شبكة Ronin عام 2022.
شكّل اختراق Ronin، الذي سرقت فيه مجموعة لازاروس نحو 625 مليون دولار من السلسلة الجانبية لـ Axie Infinity، نقطة انعطاف استراتيجية.
فقد أظهر أن بنية DeFi التحتية، بتعقيد عقودها الذكية واعتمادها على جسور عبر السلاسل وهشاشتها أمام الهندسة الاجتماعية للمطوّرين، توفر سطح هجوم أكثر ربحية بكثير من البورصات المركزية التي شددت دفاعاتها بعد عقد من الاختراقات.
ما زالت سرقة 625 مليون دولار تلك في مارس 2022 أكبر عملية اختراق DeFi مسجلة حتى الآن، وأصبحت نموذجاً عملياتياً للحملات اللاحقة لكوريا الشمالية في الكريبتو.
منذ 2022، عملت المجموعة بشكل منهجي على صقل ثلاثة مسارات هجوم رئيسية.
الأول هو اختراق بيانات اعتماد المطوّرين، عادةً عبر عروض عمل مزيفة على LinkedIn تُثبّت برمجيات خبيثة عند فتح المستند أو تشغيل المستودع.
الثاني هو استغلال جسور عبر السلاسل، باستهداف منطق العقود الذكية الذي يتحقق من عمليات نقل الأصول بين الشبكات.
الثالث هو هجمات سلسلة التوريد على التبعيات البرمجية التي تستخدمها بروتوكولات الكريبتو، وهي تقنية اشتهرت أولاً في أمن المعلومات التقليدي ثم جرى تكييفها لاستهداف البلوكشين.
اقرأ أيضاً: مواجهة إنجلترا والهند لم تعد مجرد كريكيت لمتداولي أسواق التنبؤ
تغيّر هدف الهجمات من البورصات إلى DeFi
كُتب التاريخ المبكر للاختراقات الكبرى في الكريبتو عبر حوادث اختراق البورصات المركزية: Mt. Gox عام 2014، Bitfinex عام 2016، Coincheck عام 2018. اعتمدت هذه الهجمات على اختراق البنية التحتية للمحافظ الساخنة، واستغلال ثغرات واجهات البرمجة (APIs)، أو إفساد من هم داخل المؤسسات. وكان المنفذون غالباً عصابات إجرامية انتهازية لا جهات مدعومة مؤسسياً من دول.
كتاب قواعد اللعبة الحالي لجمهورية كوريا الديمقراطية مختلف جذرياً. فقد وجدت TRM Labs في تقريرها 2024 Crypto Threat Intelligence أن نسبة سرقات الكريبتو المنسوبة لكوريا الشمالية عبر استغلال بروتوكولات DeFi بدلاً من اختراق البورصات المركزية ارتفعت من نحو 30% في 2021 إلى أكثر من 70% بحلول 2024. هذا التحول يعكس نمو السيولة على السلسلة نفسها.
بلغ إجمالي القيمة المقفلة في بروتوكولات DeFi عالمياً ذروته عند أكثر من 180 مليار دولار في أواخر 2021، ثم تراجع بشدة خلال سوق الهبوط في 2022، قبل أن يتعافى إلى مستويات تعود مجدداً لتشكيل هدف مغرٍ. تُظهر بيانات DefiLlama data منتصف 2026 أن إجمالي القيمة المقفلة في DeFi يتجاوز 110 مليارات دولار عبر جميع السلاسل، مع سيطرة الجسور عبر السلاسل على حصة غير متناسبة من هذه القيمة في مجمّعات مشتركة.
عقود جسور DeFi أهداف جذابة هيكلياً للمهاجمين المتقدمين لأنها تجمع كميات كبيرة من السيولة في عقود ذكية واحدة، بينما تتطلب في الوقت نفسه تحققاً معقداً من الرسائل عبر السلاسل من الصعب تدقيقه بالكامل.
أصبحت الجسور عبر السلاسل هاجساً خاصاً لوحدات كوريا الشمالية بسبب طوبولوجيتها الفريدة للمخاطر. فعقدة الجسر يجب أن تثق بادعاءات صادرة من سلسلة بعيدة لا يمكنها التحقق منها محلياً. منطق التحقق معقد وغالباً ما يعتمد إما على لجنة متعددة التواقيع أو على إثبات عميل خفيف. أي من النهجين يخلق افتراضات قابلة للاستغلال. فقد استخدم جسر Ronin آلية multisig من تسعة مفاتيح تم خفض فعاليتها إلى عتبة خمسة من تسعة عبر الهندسة الاجتماعية، ثم نجح المهاجمون في الحصول على هذه التواقيع الخمسة، ما سمح بسحب الأموال وتصريف الجسر بالكامل.
اقرأ أيضاً: هل يستحق Fable 5 ضعف السعر بينما لا يزال Opus 4.8 يقدم أداءً قوياً؟
مسار عروض العمل المزوّرة واستهداف المطوّرين
العنصر الأكثر استمرارية والأقل تقديراً في حملة جمهورية كوريا الديمقراطية خلال النصف الأول من 2026 هو بنية الهندسة الاجتماعية التي تستهدف المطوّرين الأفراد وموظفي البروتوكولات. هذا ليس اختراقاً تقنياً بالمعنى التقليدي، بل عملية استخباراتية قائمة على بناء العلاقات بصبر، تنتهي في نهاية المطاف بتنفيذ شيفرة خبيثة.
يصف دليل الممارسة القياسي، الموثق بالتفصيل من قبل Mandiant في تحليلها لتهديد APT38 المالي APT38 financial threat analysis ومن قبل وكالة أمن الأمن السيبراني وأمن البنية التحتية الأمريكية في CISA Alert AA22-108A، كيف ينشئ عملاء جمهورية كوريا الديمقراطية ملفات مهنية مقنعة على LinkedIn، غالباً باستخدام صور ملفات شخصية مولّدة بالذكاء الاصطناعي. ثم يتواصلون مع مطوّرين يعملون في بروتوكولات الكريبتو، عارضين أعمالاً تعاقدية أو مقابلات عمل أو فرص مراجعة شيفرات.
في حالات موثقة، حافظ عملاء كوريا الشمالية على علاقات عبر LinkedIn مع مطوّري كريبتو مستهدفين لأسابيع أو أشهر قبل إرسال حمولة برمجيات خبيثة، وبنوا الثقة من خلال محادثات تقنية موثوقة حول الشيفرة الخاصة بالهدف.
عندما يتجاوب الهدف، يرسل المهاجم في النهاية ملفاً يتطلب تنفيذاً. قد يكون ملف PDF يحوي حمولة خبيثة، أو مستودع GitHub يضم تبعية ضارة، أو اختباراً تقنياً مزيفاً يثبّت باباً خلفياً. وبمجرد حصول المهاجم على موطئ قدم في جهاز المطوّر، يمكنه جمع المفاتيح الخاصة، وبيانات الجلسات للأنظمة الداخلية، وبيانات اعتماد البنية التحتية السحابية المستخدمة في إدارة نشرات البروتوكول.
يعكس مستوى تعقيد هذه الممارسات استثماراً مؤسسياً في تطوير القدرات لا تستطيع أي عصابة إجرامية خاصة مضاهاته. فأفراد الوحدات السيبرانية في جمهورية كوريا الديمقراطية موظفون حكوميون يتدربون بدوام كامل، ويعملون وفق قواعد صارمة للأمن العملياتي، ولديهم سنوات من المعرفة المتراكمة حول أي البروتوكولات أكثر هشاشة وأي المطوّرين أكثر قابلية للاستهداف.
بنية غسل الأموال خلف أرقام السرقة
سرقة العملات المشفّرة ليست سوى الخطوة الأولى. فتحويلها إلى إيرادات قابلة للاستخدام من قبل النظام يتطلب سلسلة غسل أموال معقدة أصبحت بحد ذاتها موضوعاً لأبحاث مكثفة على السلسلة. حركة الأموال بعد السرقة هي النقطة التي يعزو عندها المحققون الهجمات إلى كوريا الشمالية بدرجة أعلى من اليقين، لأن المجموعة تمتلك أنماطاً سلوكية قابلة للتعرّف عليها. أنماط في كيفية تحريك الأموال وإخفائها.
وثّقت شركة Chainalysis وثّقت مسار غسل الأموال القياسي الخاص بجمهورية كوريا الديمقراطية الشعبية (DPRK) كسيرورة متعددة المراحل. أولًا، تُحوَّل الأصول المسروقة إلى إيثريوم (ETH) أو بيتكوين (BTC) باستخدام البورصات اللامركزية على السلسلة، لتحويل التوكنات الخاصة بالبروتوكولات (ذات السيولة المنخفضة) إلى أصول أكثر سيولة. بعد ذلك تمر هذه الأصول عبر خدمات الخلط، حيث استخدمت المجموعة تاريخيًا خدمة Tornado Cash قبل أن تؤدي عقوبات مكتب مراقبة الأصول الأجنبية (OFAC) عليها في أغسطس 2022 إلى اضطرارهم للتكيّف مع أدوات تمويه بديلة مثل Sinbad وYomix، واللتين خضعتا أيضًا لاحقًا لعقوبات أمريكية.
صنّف مكتب مراقبة الأصول الأجنبية (OFAC) خلاط Sinbad في نوفمبر 2023 وخلاط Yomix في أبريل 2025، في تجسيد لحالة المطاردة المستمرة حيث يواجه كل أداة غسل أموال تستخدمها كوريا الشمالية عقوبات في نهاية المطاف تدفع المجموعة إلى بنية تحتية جديدة.
بعد الخلط، تمر الأموال عبر شبكة من حسابات البورصات المتداخلة، وسماسرة OTC يعملون في ولايات قضائية لا تطبّق أنظمة فعّالة لمكافحة غسل الأموال، ومنصات النظير إلى النظير. وغالبًا ما يكون المخرج النهائي (off-ramp) المستخدم تاريخيًا هو البورصات العاملة في شرق وجنوب شرق آسيا ذات تطبيق محدود لإجراءات اعرف عميلك (KYC). وقد حدّد تقرير صادر عام 2024 عن لجنة الخبراء التابعة للأمم المتحدة بشأن كوريا الشمالية تقرير عائدات سرقة العملات المشفرة بوصفها مصدر التمويل الأساسي لبرنامج الصواريخ الباليستية لدى كوريا الشمالية، مقدّرًا أن عائدات العملات المشفرة موّلت نحو 40% من احتياجات العملة الأجنبية لتطوير أسلحة الدمار الشامل.
اقرأ أيضًا: قد يصل إيثريوم إلى حالة شبه صفرية وفقًا لأكثر خطط بوتيرين جذرية لـ "السلسلة الخفيفة"
الاستجابة التنظيمية وحدودها
استخدمت الحكومة الأمريكية مجموعة واسعة من الأدوات ضد عمليات كوريا الشمالية في العملات المشفرة، بما في ذلك إدراج محافظ وخدمات خلط في قوائم عقوبات OFAC، وإشعارات إسناد من الـFBI لعمليات اختراق محددة، وإرشادات مشتركة مع وكالات استخبارات حليفة. كما قامت وزارة العدل بتوجيه لوائح اتهام إلى عدة عناصر مُسمّاة من كوريا الشمالية، رغم أن الملاحقة القضائية الفعلية تكاد تكون مستحيلة في ظل غياب مسارات لتسليم المطلوبين.
إن محدودية الاستجابة الأمريكية هي مسألة هيكلية. فالعقوبات على عناوين المحافظ فعّالة فقط ضد الجهات التي تستخدم بنية تحتية مالية خاضعة للتنظيم كمخارج للأموال. تأثيرها محدود للغاية على الفاعلين المتقدمين الذين يمرّرون الأموال عبر ولايات قضائية تقع خارج نطاق تطبيق أنظمة مكافحة غسل الأموال الأمريكية. كانت إجراءات OFAC ضد Tornado Cash خطوة مهمة ومثيرة للجدل، لكن كوريا الشمالية تكيفت خلال أشهر عبر الانتقال إلى بنية تحتية بديلة.
وجّهت وزارة العدل اتهامات لسبعة قراصنة عسكريين من كوريا الشمالية على صلة بعمليات سرقة عملات مشفرة، لكن لم يُقدَّم أيٌّ منهم للمحاكمة. تؤدي لوائح الاتهام وظيفة أساسية بوصفها أدوات إسناد وردع لمقدّمي الخدمات من الأطراف الثالثة الذين قد يسهمون خلاف ذلك في تحريك الأموال.
لقد قامت مجموعة العمل المالي، وهي هيئة حكومية دولية لوضع معايير مكافحة غسل الأموال، برفع تصنيف كوريا الشمالية إلى فئة المخاطر الأعلى، وتحافظ على دعوة دائمة لدولها الأعضاء لتطبيق إجراءات عناية واجبة معززة على أي معاملات لها صلة بكوريا الشمالية. لكن توصيات مجموعة العمل المالي غير ملزمة، والولايات القضائية الأكثر فائدة لكوريا الشمالية في عمليات تسييل الأموال المخرجة غالبًا ليست أعضاءً في المجموعة أو هي أعضاء بسجل ضعيف في التنفيذ.
تنص لائحة الأسواق في الأصول المشفّرة في الاتحاد الأوروبي (MiCA)، التي دخلت حيز التنفيذ الكامل في أواخر 2024، على متطلبات "قاعدة السفر" التي تُلزم بالتعرّف على الطرف المقابل في التحويلات المشفّرة فوق حدود معينة. يرى المؤيدون أن هذا يغلق بعض مسارات الـOTC المستخدمة كمخارج للأموال. بينما يشير المنتقدون إلى أن عمليات كوريا الشمالية متطورة بما يكفي للالتفاف على متطلبات KYC من خلال استخدام محافظ غير مستضافة (unhosted) وولايات قضائية تقع خارج نطاق الاتحاد الأوروبي.
اقرأ أيضًا: أداة Meta’s Muse Image تحوّل إنستغرام إلى مادة خام لفن الذكاء الاصطناعي
ما الذي تُظهره الأدلة الجنائية على السلسلة فعليًا؟
إن إسناد سرقات العملات المشفّرة إلى كوريا الشمالية ليس ادعاءً سياسيًا، بل يستند إلى بيانات يمكن التحقق منها على السلسلة ويمكن لأي باحث يمتلك إمكانية الوصول إلى بيانات البلوكشين العامة وأدوات تجميع المحافظ أن يعيد إنتاجها بشكل مستقل. وفهم كيفية عمل هذا الإسناد ضروري لتقييم مدى مصداقيته.
عندما تسرق كوريا الشمالية من بروتوكول ما، تكون المعاملة الأولية مرئية فورًا على السلسلة. تتحرك الأموال المسروقة إلى محافظ يسيطر عليها المهاجمون، والتي تنفّذ بعد ذلك سلسلة من عمليات المبادلة (swaps)، والتحويل عبر الجسور (bridges)، وعمليات الخلط. شركة Elliptic، وهي شركة أخرى لتحليلات البلوكشين، نشرت منهجية مفصلة تُظهر أن محافظ كوريا الشمالية تتجمّع حول بصمات سلوكية تشمل أنماط توقيت محددة، ومسارات مبادلة مفضّلة، وكميات صغيرة مميزة (dust) تترك في محافظ وسيطة، وميلًا للاحتفاظ بالأموال المسروقة في عناقيد محافظ لفترات ممتدة قبل تحريكها.
حدّد تحليل تجميع المحافظ لدى Elliptic أكثر من 15,000 عنوان مرتبط بعمليات سرقة نفّذتها كوريا الشمالية، مكوِّنًا رسمًا بيانيًا لمحافظ مترابطة يستخدمه محللو الأدلة الجنائية لتتبع تدفقات الأموال حتى بعد الخلط.
تستند إشعارات الإسناد الصادرة عن الـFBI لعمليات اختراق محددة، بما في ذلك اختراق Alphapo واستغلال Atomic Wallet في 2023، إلى هذه المنهجية الجنائية إلى جانب معلومات استخباراتية سرّية.
إن الجمع بين بيانات عامة على السلسلة ومعلومات استخبارات حكومية أنتج مستويات ثقة في الإسناد تفوق ما هو معتاد في تحقيقات الجرائم الإلكترونية التقليدية حيث لا وجود لأدلة على السلسلة.
اقرأ أيضًا: سايلور يقول إن نمو البيتكوين بنسبة 3.3% كفيل بإبقاء توزيعات الأرباح في الاستراتيجية حيّة
مخطط عمّال تكنولوجيا المعلومات كقناة إيرادات موازية
بشكل منفصل عن عمليات الاختراق، تدير كوريا الشمالية برنامجًا موازيًا لتوليد الإيرادات من العملات المشفرة حظي باهتمام كبير من جهات إنفاذ القانون في 2024 و2025. فقد حصل آلاف المواطنين الكوريين الشماليين، باستخدام هويات مزيفة تستعين بوثائق مولَّدة بالذكاء الاصطناعي وتقنيات فيديو التزييف العميق، على وظائف عن بُعد في شركات عملات مشفرة وشركات Web3 ناشئة في أمريكا الشمالية وأوروبا.
قامت وزارة العدل بتوجيه الاتهام لأربعة عشر فردًا في مايو 2024 لتشغيلهم مخططًا وظّف عمّال تكنولوجيا معلومات من كوريا الشمالية في أكثر من 300 شركة أمريكية، مع تحويل الأرباح في النهاية إلى النظام في كوريا الشمالية.
ذكرت لائحة الاتهام أن كل عامل كان يحقق ما بين 250,000 و300,000 دولار سنويًا، مع توليد المخطط ككل لعشرات ملايين الدولارات على مدى عدة سنوات.
وثّقت لائحة الاتهام الصادرة عن وزارة العدل في مايو 2024 أن عمّال تكنولوجيا المعلومات من كوريا الشمالية كانوا يحققون ما يصل إلى 300,000 دولار سنويًا للفرد الواحد في شركات العملات المشفرة والتقنية الأمريكية، مع تحويل الأموال إلى كوريا الشمالية عبر شبكة من الوسطاء في الولايات المتحدة والمملكة المتحدة والصين.
يُعد مخطط عمّال تكنولوجيا المعلومات هذا خبيثًا بشكل خاص بالنسبة لصناعة العملات المشفرة لأنه يزرع وصولًا من الداخل داخل فرق التطوير. فموظف تكنولوجيا معلومات يمتلك بيانات اعتماد شرعية ووصولًا إلى المستودعات البرمجية أكثر خطورة من مهاجم خارجي يحاول اختراق الدفاعات المحيطية.
وقد أشار العديد من باحثي الأمن إلى أن أنماطًا مريبة في عمليات الالتزام بالكود (code commits)، ووصولًا غير مبرر إلى المستودعات، وساعات عمل غير معتادة، أصبحت تُعامل الآن كمؤشرات محتملة على وجود عمّال تكنولوجيا معلومات من كوريا الشمالية لدى الشركات المهتمة بالأمن في قطاع العملات المشفرة.
إن تقاطع مخطط عمّال تكنولوجيا المعلومات وحملة الهندسة الاجتماعية التي تستهدف المطورين يعني أن سطح الهجوم الذي تستخدمه كوريا الشمالية ضد صناعة العملات المشفرة متعدد الأبعاد. فالمتسللون الخارجيون، والمطورون المخترقون عبر عروض عمل مزيفة، والعملاء المزروعون من الداخل، جميعهم يمثلون متجهات تهديد نشطة تعمل في وقت واحد.
اقرأ أيضًا: أوبن إيه آي تحصل على موافقة GPT-5.6 مع إتاحة أوسع لنشر الذكاء الاصطناعي في عهد ترامب
الاستجابة الأوسع لأمن الصناعة
كانت استجابة الصناعة لتهديد كوريا الشمالية ملموسة ولكن غير متساوية.
فأكثر البروتوكولات تمويلًا تُجري الآن عمليات تدقيق أمني واسعة قبل النشر، وتُشغِّل برامج مكافآت ثغرات (bug bounty) بمكافآت تصل إلى ستة أرقام، وتُحافظ على فرق أمن داخلية ذات خلفيات في الأبحاث الهجومية.
ويعكس تركّز الاستثمار في الأمن عند قمة هرم البروتوكولات نفس قانون القوة الذي يحكم قطاع العملات المشفّرة عمومًا.
Immunefi، منصة مكافآت الثغرات الرائدة في Web3، أفادت بأن إجمالي المدفوعات في شكل مكافآت تجاوز 100 مليون دولار بحلول منتصف 2025 — بعد أن ساهمت في الكشف عن ثغرات كان يمكن أن تُمكّن من خسائر بمليارات الدولارات المحتملة.
وكانت أكبر مكافأة منفردة في تاريخها هي 10 ملايين دولار لباحث "قبعة بيضاء" اكتشف خللًا حرجًا في أحد بروتوكولات DeFi الكبرى قبل أن يُستغل.
لكن هذا التركّز في إنفاق الأمن لدى البروتوكولات ذات المستوى الأعلى يترك مشاريع DeFi الأصغر — التي لا تزال تتحكم مجتمعة في مليارات من القيمة المقفلة (TVL) — أقل حماية بكثير.
مشكلة الجسور عبر السلاسل (cross-chain bridges)، التي تقع في صميم العديد من الاختراقات الكبرى، أفرزت استجابات معمارية خاصة بها.
أهم هذه الاستجابات هو الاتجاه نحو جسور أكثر تقليلًا للاعتماد على الثقة، باستخدام براهين المعرفة الصفرية (ZK proofs) للتحقق من حالة السلسلة المصدر من دون الاعتماد على لجان من المُصدّقين (validator committees).
طوّرت مشاريع مثل Succinct Labs وPolyhedra Network بنية تحتية لعملاء خفيفين معتمدين على ZK صُممت خصيصًا للتخلص من فرضية اللجنة الموثوقة التي جعلت جسورًا مثل Ronin قابلة للاستغلال.
Whetherمن غير المؤكد حقًا ما إذا كانت بنية الأمن التحتية تتحسن بالسرعة الكافية لتتجاوز وتيرة تطور قدرات كوريا الشمالية (DPRK).
تشير الحصة البالغة 66% في النصف الأول من 2026 إلى أنه حتى مع استثمارات الصناعة الكبيرة، لا يزال المهاجمون يسايرون الوتيرة.
Also Read: سبيس إكس إيه آي تريد قاتل كلود يعمل بالمؤشر قبل حتى إتمام صفقة الـ60 مليار دولار
الرهانات الجيوسياسية وما الذي سيأتي لاحقًا
سرقة العملات المشفَّرة هي أهم مصدر للعملة الصعبة لكوريا الشمالية.
هذا ليس مجرد أسلوب بلاغي؛ بل يعكس واقعًا تشغيليًا موثقًا — وقد أقرّت به وزارة الخزانة الأمريكية والأمم المتحدة وأجهزة الاستخبارات الحليفة.
قدَّرت لجنة الخبراء التابعة للأمم المتحدة أن عائدات سرقة العملات المشفَّرة من قبل كوريا الشمالية بلغت نحو 3 مليارات دولار بين 2017 و2023، مع تسارع الوتيرة في السنوات اللاحقة.
هذه الأموال لا تختفي في خزينة للنظام بالمعنى التقليدي.
بل تتدفق مباشرة إلى برامج التسلّح — خصوصًا جهود تطوير الصواريخ الباليستية وتصغير الرؤوس النووية، والتي تمثل الأولوية الاستراتيجية الأساسية لبيونغ يانغ.
كل دولار يُسرق من بروتوكول DeFi يمكن أن يتحول فعليًا إلى قدرة مادية وتقنية لأنظمة أسلحة يضعها مخططو الدفاع في الولايات المتحدة وكوريا الجنوبية واليابان بشكل نشط في نماذج تقييم التهديد لديهم.
ربطت لجنة الخبراء التابعة للأمم المتحدة تلك الـ3 مليارات دولار من السرقات بين 2017 و2023 مباشرة بتمويل برامج التسلّح — ما جعل أمن البلوكشين عنصرًا حيًّا في حسابات الأمن الإقليمي في شرق آسيا.
Read Next: 5 منافسين أرخص لـ Fable 5: لا تدفع أكثر من اللازم مقابل عمل الذكاء الاصطناعي اليومي
الخلاصة
إن نسبة الحصة البالغة 66.2% في النصف الأول من 2026 ليست مجرد فضول إحصائي.
إنها إشارة إلى الحالة الراهنة للمواجهة بين واحد من أكثر برامج الهجوم السيبراني الحكومية كفاءة في العالم وبين صناعة طالما منحت الأولوية للسرعة إلى السوق على حساب الأمن التشغيلي.
يُظهر مسار هذه المواجهة — من هجمات البورصات الانتهازية في 2017 مرورًا باختراق جسر Ronin في 2022 وصولًا إلى الحملة الحالية متعددة الأوجه التي تستهدف المطوّرين والجسور والجهات الداخلية في آن واحد — فاعل تهديد يتعلم ويتكيف ويتوسع بوتيرة أسرع مما استطاعت استثمارات الدفاع في الصناعة احتواءه.
العوامل الهيكلية التي تصبّ في مصلحة كوريا الشمالية لن تختفي في المدى القريب.
فلدى كوريا الشمالية قوة عاملة سيبرانية مؤسسية لا تغريها وظائف القطاع الخاص، ولا تخضع للمساءلة العامة، وتتمتع بتفويض من الدولة لتوليد الإيرادات بأي وسيلة متاحة.
في المقابل، يمتلك قطاع العملات المشفَّرة مشهدًا أمنيًا مجزّأ. فالبروتوكولات الأكثر قيمة باتت محمية بشكل متزايد — لكن الذيل الطويل لمشاريع DeFi الأصغر ما زال يعاني من نقص منهجي في الموارد.
كما أن الجسور عبر السلاسل، وهي البنية التحتية التي تربط جزر السيولة داخل المنظومة، لا تزال معقدة معماريًا بطرق تولِّد افتراضات قابلة للاستغلال بشكل مستمر.





