المواسم
لوحة المتصدرين
الأخبار
تعلم
بحث
الترتيب
النظام البيئي
المحفظة
yellow banner logo
التداول
المنصة متاحة الآن
ابدأ الآن
yellow shooting stars
background stars

لازاروس وحيلة كيلب: كيف تواصل آلة السطو على الكريبتو في كوريا الشمالية التطور

Camille Meulienمنذ 2 ساعة
#هاكرز #مجموعة لازاروس #Kelp DAO
لازاروس وحيلة كيلب: كيف تواصل آلة السطو على الكريبتو في كوريا الشمالية التطور

يوم السبت 18 نيسان/أبريل، بدأ جسر عبر السلاسل تديره Kelp DAO بهدوء في نزف 116,500 rsETH. بحلول الاثنين، كانت LayerZero قد حددت هوية المهاجمين. لم يكن اسماً جديداً.

لم تعد مجموعة لازاروس الكورية الشمالية مجرد تسمية لقراصنة في عالم الكريبتو؛ بل هي الدليل الأوضح على أن عمليات التجسس والهجمات السيبرانية المدعومة من دولة حولت الأصول الرقمية إلى قناة تمويل إستراتيجية، حيث باتت أكبر الاختراقات في هذا القطاع تبدو أقل شبهاً بأخطاء برمجية معزولة وأكثر شبهاً بهزائم تشغيلية طويلة الأمد.

  • تنسب LayerZero استغلال Kelp DAO في 18 نيسان/أبريل 2026، الذي بلغت قيمته نحو 292 مليون دولار من مشتقات الإيثر (eth)، إلى مجموعة لازاروس الكورية الشمالية ووحدة TraderTraitor التابعة لها.
  • تقول شركة Chainalysis إن الجهات المرتبطة بجمهورية كوريا الشعبية الديمقراطية سرقت 2.02 مليار دولار من الكريبتو خلال عام 2025، لترفع إجمالي ما استولت عليه إلى 6.75 مليار دولار.
  • يشير النمط إلى حرب تشغيلية ترعاها دولة بدلاً من ثغرات عقود ذكية معزولة بوصفها التهديد الأمني المهيمن على القطاع.

ضربة كيلب ولماذا تهم مسألة الإسناد

قامت LayerZero بإسناد استنزاف Kelp DAO إلى جهة فاعلة تابعة لدولة في تقرير ما بعد الحادثة بتاريخ 20 نيسان/أبريل. ووصف البيان الاختراق بأنه أكبر استغلال في DeFi لعام 2026، وأشار إلى "جهة فاعلة تابعة لدولة شديدة التطور، يُرجَّح أنها مجموعة لازاروس التابعة لجمهورية كوريا الشعبية الديمقراطية، وتحديداً TraderTraitor."

لم تكن الآلية ثغرة في عقد ذكي. فقد تمكن المهاجمون من اختراق عُقد استدعاء إجراء عن بُعد (RPC) اثنتين تستخدمهما شبكة التحقق اللامركزية الخاصة بـ LayerZero، ثم شنّوا هجوم حرمان من الخدمة على العُقد السليمة لإجبار النظام على التحويل إلى العُقد المسمومة.

أدى ذلك إلى ترك إعداد التحقق المسمّى 1-of-1 لدى كيلب يضع ختم الموافقة على رسالة عبر السلاسل احتيالية، فأفرج الجسر عن 116,500 rsETH لصالح المهاجم.

أوقفت Kelp العقود الأساسية عبر التوقيع المتعدد الطارئ بعد نحو 46 دقيقة، ما حال دون محاولتي استنزاف لاحقتين بقيمة إضافية تبلغ نحو 100 مليون دولار.

جادلت Kelp علناً في سردية LayerZero، قائلةً إن إعداد الموثِّق الواحد يعكس الإعداد الافتراضي الموثَّق لـ LayerZero نفسها، وليس تحدياً لنصيحة صريحة.

مسألة الإسناد هي ما يحوّل هذا من حادثة "أصلح وانتهِ" إلى شيء آخر. فالثغرة تستدعي إصلاحاً، أما الجهة الفاعلة التابعة لدولة فتستدعي خصماً دائماً.

اطلع أيضاً على: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi

من هي لازاروس فعلياً؟

مكتب التحقيقات الفيدرالي (FBI) وضع مجموعة TraderTraitor ضمن الجهاز السيبراني الرسمي للدولة في كوريا الشمالية في تحذيره الصادر في 26 شباط/فبراير 2025 بشأن سرقة Bybit، مسمياً إياها المنفذ المباشر لسرقة أصول افتراضية بقيمة 1.5 مليار دولار.

تقارير رويترز في عام 2022 والعقوبات المتكررة الصادرة عن وزارة الخزانة الأميركية ربطت بين لازاروس وBluenoroff وAndariel وبين مكتب الاستطلاع العام، وهو جهاز الاستخبارات العسكرية الرئيسي في بيونغ يانغ.

داخل هذا الهيكل، يتتبع المحللون مجموعة متناوبة من الأسماء المستعارة: APT38، Hidden Cobra، Diamond Sleet، Jade Sleet، Slow Pisces، TraderTraitor، التي كثيراً ما تتشارك في الأفراد والبنية التحتية.

العاقبة بالنسبة للكريبتو واضحة وبسيطة.

عندما يُنسَب اختراق إلى "لازاروس"، فهو ليس من فعل مراهق في قبو، ونادراً ما يكون عمل مقاول منفرد. بل هي وحدة تابعة لدولة، لها ميزانية وتفويض وأفق صبر يُقاس بالسنوات لا بالأسابيع.

هذا يغيّر ما يُعتبَر دفاعاً ذا مصداقية. ويغيّر أيضاً من هو المستفيد النهائي، في نهاية سلسلة غسل الأموال.

اطلع أيضاً على: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label

من سوني إلى العقود الذكية

لم تبدأ لازاروس في عالم الكريبتو. فقد أعلنت عن نفسها من خلال هجوم المسح التخريبي على Sony Pictures عام 2014، ثم عملية سطو بنك بنغلاديش عبر نظام SWIFT في 2016، ثم WannaCry في 2017.

جاء الكريبتو بعد ذلك، وبسرعة.

جهاز الاستخبارات الوطني في كوريا الجنوبية أبلغ وكالة أسوشيتد برس في كانون الأول/ديسمبر 2022 بأن قراصنة كوريين شماليين سرقوا ما يُقدَّر بـ 1.2 مليار دولار من الأصول الافتراضية خلال خمس سنوات.

تقرير صادر عن لجنة خبراء تابعة للأمم المتحدة كشف عن 58 هجوماً سيبرانياً يُشتبه في صلتها بجمهورية كوريا الشعبية الديمقراطية بين عامي 2017 و2023، بقيمة تقارب 3 مليارات دولار، تغذي برامج بيونغ يانغ لأسلحة الدمار الشامل.

تدفع أحدث أرقام Chainalysis هذا الخط التراكمي إلى الأعلى: 6.75 مليار دولار من سرقات الكريبتو المرتبطة بجمهورية كوريا الشعبية الديمقراطية تم تحديدها حتى الآن، مع 2.02 مليار دولار استولت عليها في عام 2025 وحده.

مسار التطور هو القصة بحد ذاته. فكل عام يأتي بعدد أقل من الحوادث ولكن بقيمة أكبر لكل منها. زادت ثروة القطاع، وكبرت الأهداف، وتوسّعت لازاروس بالمستوى نفسه تقريباً.

اطلع أيضاً على: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January

أكبر السرقات المنسوبة للازاروس

حدّثت وزارة الخزانة الأميركية عقوبات لازاروس بإضافة عناوين محافظ مرتبطة باستنزاف Ronin Bridge في آذار/مارس 2022، منسِبةً نحو 625 مليون دولار من الخسائر إلى جهات تابعة لجمهورية كوريا الشعبية الديمقراطية.

يمكن لقائمة مختصرة أن تُظهِر حجم السرقات:

  • شبكة Ronin، آذار/مارس 2022: سُحِب نحو 625 مليون دولار من جسر السلسلة الجانبية للعبة Axie Infinity، ونُسبت العملية إلى لازاروس من قِبل مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأميركية بعد أسابيع.
  • Horizon التابعة لـ Harmony، حزيران/يونيو 2022: سُرِق نحو 100 مليون دولار، ونُسبت العملية رسمياً إلى لازاروس وAPT38 من قبل مكتب التحقيقات الفيدرالي في كانون الثاني/يناير 2023.
  • WazirX، تموز/يوليو 2024: سُحِب نحو 235 مليون دولار من منصة التداول الهندية عبر اختراق لمفاتيح التوقيع المتعدد، ونُسب ذلك على نطاق واسع إلى جهات مرتبطة بجمهورية كوريا الشعبية الديمقراطية.

ثم جاء عام الاختراق الأكبر.

فقدت DMM Bitcoin نحو 4,502.9 بيتكوين (btc)، بقيمة نحو 308 ملايين دولار آنذاك، في أيار/مايو 2024. وقد أكد مكتب التحقيقات الفيدرالي ووزارة الدفاع الأميركية ووكالة الشرطة الوطنية اليابانية صلة TraderTraitor بالهجوم في كانون الأول/ديسمبر، واصفينه بأنه فخ توظيف استخدمه "مجند" مزعوم، وانتهى بالتلاعب في عملية سحب أموال من مزوّد برمجيات المحافظ.

كانت Bybit، في شباط/فبراير 2025، ذروة العمليات.

فقد قام المهاجم بإخفاء واجهة التوقيع أثناء عملية تحويل روتينية من المحفظة الباردة، وأعاد توجيه نحو 400 ألف إيثر، بقيمة تقارب 1.5 مليار دولار، إلى عنوان مجهول.

تضع Chainalysis الآن تلك الحادثة الواحدة عند 1.5 مليار دولار من أصل 3.4 مليارات دولار سُرِقت على مستوى القطاع في 2025. أما Kelp، بقيمة 292 مليون دولار، فهي فصل جديد لا أكثر، وليست الأعلى ضجيجاً. إنها صورة عملية ناضجة لم تعد في حاجة إلى الاستعراض.

اطلع أيضاً على: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months

كتيّب تكتيكات لازاروس تغيّر

قدّم مكتب التحقيقات الفيدرالي واليابان تفصيلاً للنموذج الجديد لعمليات لازاروس في تحذيرهما المشترك بشأن DMM Bitcoin. الصورة القديمة للازاروس كمتجر تصيّد (phishing) أصبحت متقادمة.

تنكّر أحد القراصنة في هيئة مُجنِّد عبر LinkedIn. زرع اختبار توظيف مزيف سكربت Python خبيثاً في مستودع GitHub الشخصي لمهندس يعمل في Ginco، وهي شركة مطوّرة لبرامج المحافظ. أتاحت ملفات تعريف الارتباط (الكوكيز) المسروقة الوصول إلى دردشات Ginco الداخلية، وبعد أسابيع أُعيدت كتابة طلب معاملة شرعية تابعة لـ DMM بهدوء أثناء انتقالها.

في Bybit، أكدت Safe{Wallet} أن تطبيقات التوقيع التي عدّلها البرمجيات الخبيثة كانت تعرض وجهة التحويل الصحيحة بينما تغيّر منطق العقد الذكي في الخلفية. في Kelp، تقول LayerZero إن المهاجمين استبدلوا الملفات التنفيذية على عُقد RPC نفسها التي كان يثق بها الموثِّق، وقد صُمِّمت تلك الملفات لتدمّر نفسها وتمحو السجلات المحلية بعد استخدامها.

الخيط المشترك هو أن الشيفرة نادراً ما تكون نقطة الضعف الأساسية. الأشخاص، والمورّدون، وخطوط بناء البرمجيات، ومضيفو البنية التحتية هم نقاط الهشاشة.

كما أشارت Chainalysis إلى قناة موازية: متسللون من جمهورية كوريا الشعبية الديمقراطية يندمجون داخل شركات كريبتو كعاملين عن بُعد في تكنولوجيا المعلومات بهويات مزيفة، وأحياناً يستعينون بمتعاونين عبر Upwork وFreelancer للتوسع.

اطلع أيضاً على: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients

لماذا تواصل لازاروس العودة إلى الكريبتو؟

دافع كوريا الشمالية هو البقاء الاقتصادي، لا الأيديولوجيا.

تقارير وكالة أسوشيتد برس والأمم المتحدة تصف باستمرار سرقة الكريبتو بوصفها مصدراً بديلاً للدخل لاقتصاد خاضع للعقوبات، وتمويلاً مباشراً لبرامج الصواريخ الباليستية والقدرات النووية.

ذهب مسؤولون أميركيون، نقلتهم أسوشيتد برس، إلى أبعد من ذلك، مقدّرين أن الجرائم السيبرانية باتت تمثّل ما يقرب من نصف إيرادات كوريا الشمالية من العملات الأجنبية.

يتصادف أن يكون الكريبتو هدفاً شبه مثالي لهذه المهمة. فالمعاملات تُسوَّى نهائياً في دقائق لا أيام، ولا يوجد بنك مراسل لعكسها. السيولة عميقة، والهوية المستعارة رخيصة، وقنوات النقل عبر السلاسل تحرّك القيمة بسرعة تفوق قدرة أي جهة إنفاذ قانونية على التجميد.

أشارت Yahoo Finance إلى، بالاستناد إلى الجدول الزمني الذي نشرته LayerZero حول Kelp، إلى أن المهاجم جمّع نحو 74 ألف إيثر بعد الاستنزاف، وكان قد موّل المحافظ مسبقاً عبر Tornado Cash قبل الهجوم بنحو عشر ساعات.

بالنسبة لحكومة توازن بين تنفيذ سطو على بنك تقليدي وبين استهداف جسر على السلسلة، يميل الميزان لصالح الجسر. كل مرة.

Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week

ما الذي أضافه المحققون على السلسلة فعليًا؟

أركام نسبت الفضل للمحقق مجهول الهوية ZachXBT على أنه قدّم "دليلًا حاسمًا" يربط اختراق Bybit بمجموعة لازاروس من خلال معاملات اختبارية ومحافظ مرتبطة وتحليلات زمنية، وذلك في منشور مكافأة بتاريخ 21 فبراير 2025.

بعد خمسة أيام، سمّت مذكرة الخدمة العامة الصادرة عن مكتب التحقيقات الفيدرالي (FBI) كوريا الشمالية رسميًا، باستخدام تصنيف TraderTraitor ونشر قوائم حظر للمحافظ.

ترتيب الأحداث مهم. فالمحققون على السلسلة مثل ZachXBT كانوا غالبًا من أوائل من يربطون علنًا بين الاختراقات الكبرى ومحافظ وأنماط غسل أموال مرتبطة بلازاروس، أحيانًا قبل التأكيد الرسمي.

هم ليسوا مصدر الحقيقة الأساسي. بل يشكّلون طبقة إسناد علنية مبكرة تسرّع استجابة البورصات بينما تمضي الوكالات الفيدرالية في عمليات أبطأ قائمة على الأدلة.

هذا التقسيم للأدوار جديد. وهو أيضًا حرج، لأنه ما إن تبدأ الأموال المسروقة بالقفز عبر السلاسل، تصبح المسألة الوحيدة هي مدى سرعة وسم العناوين.

Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap

لماذا لا تزال الصناعة تخسر هذه المعارك؟

معظم نقاشات أمان الكريبتو لا تزال تتركّز على تدقيق الشيفرات. لازاروس لا يكترث بعمليات التدقيق.

سطح الهجوم الذي يهم فعليًا هو التشغيلي. يشمل أدوات التوقيع التابعة لطرف ثالث، ومزوّدي المحافظ، وبنية العقد التحتية، وقنوات التوظيف، وأنظمة البناء، وقلةً من الأشخاص الذين يملكون صلاحيات وصول عالية. كل واحد من هذه العناصر كان عاملًا مباشرًا في اختراق واحد على الأقل مرتبط بلازاروس خلال العامين الماضيين.

تشيناليسيس تبلّغ عن مشكلة هيكلية ثانية، وهي أن دورة غسيل الأموال تم صقلها إلى نمط من ثلاث موجات يستغرق نحو 45 يومًا، تُدفع خلاله الأموال المسروقة عبر خلاطات، وجسور عبر السلاسل، وشبكات OTC باللغة الصينية، مع تحريك الشرائح في مبالغ غالبًا ما تبقى تحت 500,000 دولار لتفادي أنظمة الرصد.

استجابة القطاع تظل مجزأة. البورصات تدرج على القوائم السوداء بسرعات مختلفة. بعض بروتوكولات DeFi تتوقف مؤقتًا، وأخرى لا تفعل.

تحليل على Dune بعد الحادثة وجد أن 47% من تطبيقات LayerZero (OApps) النشطة كانت لا تزال تعمل بتشكيلات DVN أحادية التحقق (1-of-1).

المدافع يجب أن ينتصر كل أسبوع. لازاروس يحتاج إلى انتصار واحد فقط كل ربع سنة.

Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight

ما الذي يشير إليه Kelp حول المرحلة التالية؟

الخلاصة غير المريحة من حادثة Kelp هي أنه حتى بعد Bybit، لا تزال الفجوة بين أمان الشيفرة والأمان التشغيلي واسعة.

اختراق Bybit كان عبر واجهة توقيع، مع وجود ميزانية عمومية خلفها بقيمة 20 مليار دولار. أما Kelp فكان اختراقًا على مستوى البنية التحتية استهدف بروتوكول إعادة تسييل متوسط الحجم.

نفس مجموعة الفاعلين، متجه هجوم مختلف، يفصل بينه وبين تفريغ Drift Protocol بنحو 285 مليون دولار المرتبط أيضًا بعناصر من كوريا الشمالية، ثمانية عشر يومًا فقط.

هذا الإيقاع هو بيت القصيد. لازاروس يطوّر "دليل التشغيل" (playbook) الخاص به بسرعة أكبر مما تعزّز فرق DeFi تبعياتها، وكل ضربة ناجحة تموّل الجولة التالية من التوظيف والأدوات والصبر.

موقع The Hacker News أفاد بأن الجهات المرتبطة بكوريا الشمالية شكلت 59% من إجمالي الكريبتو المسروق عالميًا في 2025، ما يبرز مدى مركزية هذا الخصم في خسائر القطاع.

خيارات الإعداد مثل أنظمة التحقق الأحادية، ومشغلي العقد غير المدققين، وبرامج المحافظ المشتركة لم تعد بنود مخاطر ثانوية. في عالم يكون فيه الخصم دولة، تصبح هذه العناصر هي الحدث الرئيسي.

Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months

الخلاصة

لازاروس هو الدليل على أن أكبر إخفاقات أمان الكريبتو أصبحت الآن جيوسياسية ومالية وبنيوية في الوقت نفسه.

Ronin وHarmony وWazirX وDMM Bitcoin وBybit والآن Kelp لا تشكل قائمة حوادث غير مترابطة. إنها تشكل حملة، تديرها حكومة خاضعة للعقوبات ضد صناعة لا تزال تستخف بما يبدو عليه خصم دائم من مستوى دولة.

الهجوم التالي على غرار Kelp يجري التخطيط له بالفعل. السؤال هو ما إذا كانت الصناعة ستتعامل معه كتقرير خلل برمجي أم كخط مواجهة أمامي.

Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K

الأسئلة الشائعة (FAQ)

ماذا حدث في اختراق Kelp DAO؟

في 18 أبريل 2026، استنزف المهاجمون 116,500 rsETH، بقيمة تقارب 292 مليون دولار، من جسر عبر السلاسل تديره Kelp DAO. لم يستهدف الاستغلال ثغرة في عقد ذكي. بدلًا من ذلك، اخترق المهاجمون عقدتي استدعاء إجراءات عن بُعد (RPC) تُستخدم في شبكة التحقق اللامركزية الخاصة بـ LayerZero، ثم أجبروا على تحويل الفشل (failover) بحيث يقوم عقدة مُسمّمة بختم رسالة عبر السلاسل احتيالية. أوقفت التوقيع المتعدد الطارئ لـ Kelp العقود الأساسية بعد 46 دقيقة، ما حال دون محاولتي استنزاف إضافيتين بقيمة إجمالية قدرها 100 مليون دولار تقريبًا.

من هي مجموعة لازاروس؟

لازاروس هو التصنيف المظلّي للجهات السيبرانية المرتبطة بالدولة في كوريا الشمالية، والتي تربطها وزارة الخزانة الأميركية ومكتب التحقيقات الفيدرالي بإدارة الاستطلاع العامة، وهي وكالة الاستخبارات العسكرية الأساسية في بيونغ يانغ. يتتبع المحللون عدة مجموعات فرعية وأسماء مستعارة تحت نفس المظلّة، بما في ذلك TraderTraitor وAPT38 وBluenoroff وAndariel وHidden Cobra وDiamond Sleet وJade Sleet وSlow Pisces. غالبًا ما تشترك هذه المجموعات في البنية التحتية والأفراد.

لماذا نسبت LayerZero استغلال Kelp إلى لازاروس؟

أشار تقرير ما بعد الحادثة الصادر عن LayerZero إلى أسلوب تنفيذ الهجوم وسلوك المحافظ على أنها سمات لجهة فاعلة من مستوى دولة، وتحديدًا الوحدة الفرعية TraderTraitor من لازاروس. التمويل المسبق عبر Tornape Cash قبل نحو عشر ساعات من الهجوم، واستخدام ملفات تنفيذية ذاتية التدمير على البنية التحتية المخترقة، وتجميع نحو 74,000 إيثير بعد الاستنزاف كلها تطابق أنماطًا موثّقة في استغلالات سابقة مرتبطة بكوريا الشمالية.

كم مقدار الكريبتو الذي سرقته كوريا الشمالية إجمالًا؟

تشيناليسيس تحدد 6.75 مليارات دولار كإجمالي سرقات كريبتو مرتبطة بكوريا الشمالية حتى الآن. من هذا المبلغ، سُرق 2.02 مليار دولار في عام 2025 وحده، وهو ما شكّل نحو 59% من إجمالي الكريبتو المسروق عالميًا في ذلك العام. تقارير سابقة لجهاز الاستخبارات الوطني في كوريا الجنوبية قدّرت الإجمالي لخمس سنوات حتى 2022 بنحو 1.2 مليار دولار، بينما حققّت لجنة خبراء في الأمم المتحدة في 58 هجومًا سيبرانيًا مشتبهًا به بين 2017 و2023 بلغت قيمتها نحو 3 مليارات دولار.

ما هو TraderTraitor؟

TraderTraitor هو مجموعة فرعية من لازاروس متخصصة في استهداف قطاع الكريبتو. حركته المميزة هي الهندسة الاجتماعية ضد الموظفين التقنيين، غالبًا عبر عروض توظيف مزيفة على لينكدإن، واختبارات ما قبل التوظيف الملوّثة بالبرمجيات الخبيثة، واختراق مزوّدي برامج المحافظ أو بنية التوقيع. مكتب التحقيقات الفيدرالي ووزارة الدفاع الأميركية ووكالة الشرطة الوطنية في اليابان سمّت TraderTraitor رسميًا في عملية سرقة DMM Bitcoin البالغة 308 ملايين دولار، ثم سمّاها مكتب التحقيقات الفيدرالي مجددًا كمنفذ لعملية Bybit البالغة 1.5 مليار دولار.

ما هي أكبر عمليات الاختراق المرتبطة بلازاروس في الكريبتو؟

أكبر الحوادث المنسوبة علنًا تشمل شبكة Ronin في مارس 2022 بنحو 625 مليون دولار، وجسر Harmony Horizon في يونيو 2022 بنحو 100 مليون دولار، وWazirX في يوليو 2024 بنحو 235 مليون دولار، وDMM Bitcoin في مايو 2024 بنحو 308 ملايين دولار، وBybit في فبراير 2025 بنحو 1.5 مليار دولار، وKelp DAO في أبريل 2026 بنحو 292 مليون دولار.

كيف تقوم لازاروس بغسل الكريبتو المسروق؟

تشيناليسيس تصف دورة غسيل مصقولة تستغرق نحو 45 يومًا على ثلاث موجات. تتحرك الأموال المسروقة عبر خلاطات، وجسور عبر السلاسل، وشبكات OTC باللغة الصينية، وغالبًا ما تُقسّم إلى شرائح تُبقى تحت 500,000 دولار لتجنّب حدود أنظمة الرصد. الهدف هو التفوق زمنيًا على قوائم الحظر الخاصة بالبورصات وتحليلات السلسلة قبل وصول الأموال إلى منافذ التسييل.

لماذا تستهدف كوريا الشمالية الكريبتو؟

يعمل سرقة الكريبتو كقناة دخل للالتفاف على العقوبات لصالح اقتصاد بيونغ يانغ المعزول، وكتمويل مباشر لبرامجها الخاصة بالصواريخ الباليستية والأسلحة النووية، بحسب تقارير لجنة خبراء الأمم المتحدة ومسؤولين أميركيين نقلتهم وكالة أسوشييتد برس. تشير تقديرات أميركية إلى أن الجرائم السيبرانية تشكّل الآن ما يقرب من نصف عائدات كوريا الشمالية من العملات الأجنبية. تناسب قنوات الكريبتو هذه المهمة لأن المعاملات تُسوّى نهائيًا خلال دقائق ولا يمكن عكسها بواسطة بنك مراسل.

من هو ZachXBT وما دوره؟

ZachXBT هو محقق على السلسلة يعمل تحت اسم مستعار، وغالبًا ما تسبق عمليات الإسناد العلنية التي يجريها تأكيدات الحكومات الرسمية. في حالة Bybit، نسب منشور مكافأة أركام في 21 فبراير 2025 إليه التحليل القائم على ربط المعاملات الذي ربط الاختراق بلازاروس، قبل خمسة أيام من تسمية مكتب التحقيقات الفيدرالي لكوريا الشمالية رسميًا. يشكّل المحققون على السلسلة مثل ZachXBT طبقة إسناد علنية مبكرة، ليست بديلًا عن المحققين الفيدراليين، لكنها طبقة أسرع لتمكين استجابة البورصات.

هل يمكن لصناعة الكريبتو إيقاف لازاروس؟

ليس من خلال تدقيق الشيفرة وحده. سطح الهجوم الذي يهم هو التشغيلي، بما في ذلك أدوات التوقيع التابعة لطرف ثالث، ومزوّدي المحافظ، وبنية العقد التحتية، وقنوات التوظيف، وأنظمة البناء. وجد تحليل على Dune بعد حادثة Kelp أن 47% من تطبيقات LayerZero (OApps) النشطة كانت لا تزال تعمل بتشكيلات تحقق أحادية (1-of-1)، وهو التكوين نفسه الذي مكّن استغلال Kelp. تعزيز هذه الطبقة، عبر المزوّدين ومضيفي البنية التحتية وصلاحيات وصول البشر، هو المكان الذي تتركّز فيه مكاسب الدفاع الآن.

هل استخدام Kelp DAO آمن الآن؟

أوقفت Kelp العقود الأساسية باستخدام آلية الطوارئ الخاصة بالتوقيع المتعدد عبر الطوارئ.multisig خلال 46 دقيقة من الاكتشاف، مما حظر محاولتين إضافيتين للسحب. يجب على المستخدمين التحقق من قنوات الحوادث الرسمية الخاصة بـ Kelp و LayerZero لمعرفة حالة العقد الحالية، وأي برنامج استرداد أو تعويض، وتحديثات إعدادات الموثِّق قبل استئناف النشاط.

ما الفرق بين لازاروس وTraderTraitor؟

لازاروس هو المظلّة العامة. TraderTraitor هو عنقود فرعي متخصّص ضمن تلك المظلّة، يركّز على أهداف في صناعة العملات المشفّرة ويُعرَف بالهندسة الاجتماعية ضد المهندسين ومزوّدي برمجيات المحافظ. عندما تنسب الـFBI هجومًا تحديدًا إلى TraderTraitor، فهي تسمّي الوحدة التشغيلية نفسها، لا مجرد المنظومة الأوسع المرتبطة بالدولة.

إخلاء المسؤولية وتحذير المخاطر: المعلومات المقدمة في هذا المقال مخصصة للأغراض التعليمية والإعلامية فقط وتستند إلى رأي المؤلف. وهي لا تشكل مشورة مالية أو استثمارية أو قانونية أو ضريبية. أصول العملات المشفرة شديدة التقلب وتخضع لمخاطر عالية، بما في ذلك خطر فقدان كامل أو جزء كبير من استثمارك. قد لا يكون تداول أو حيازة الأصول المشفرة مناسباً لجميع المستثمرين. الآراء المعبر عنها في هذا المقال هي آراء المؤلف (المؤلفين) فقط ولا تمثل السياسة أو الموقف الرسمي لشركة Yellow أو مؤسسيها أو مديريها التنفيذيين. قم دائماً بإجراء بحثك الشامل بنفسك (D.Y.O.R.) واستشر مختصاً مالياً مرخصاً قبل اتخاذ أي قرار استثماري.
مقالات بحث ذات صلة
أكبر عمليات استغلال التشفير في 2025–2026: ما الذي حدث بالفعل؟
استعراض لأضخم عمليات اختراق التشفير في 2025–2026، وكيف كشفت نقاط الثقة المركّزة عن هشاشة البنية الأمنية في القطاع.
أزمة أمان ويب3 في عام 2026: لماذا لم تعد أكبر عمليات الاختراق مجرد ثغرات في العقود الذكية
خسائر التشفير تقودها ثغرات البنية التحتية والهندسة الاجتماعية أكثر من أخطاء العقود الذكية، رغم تحسن جودة الكود والأدوات الأمنية على السلسلة.
التداول خارج السلسلة مقابل التداول على السلسلة: ما الذي يدفع الكريبتو من البورصات المركزية إلى اللامركزية؟
صعود التداول على السلسلة يقابله تباطؤ نمو البورصات المركزية، مع طفرة في حجم تداول DEX والطبقات الثانية وانفجار في مشتقات الكريبتو اللامركزية.
عشرة أشياء تتعلمها معظم الشركات الناشئة في الكريبتو بعد فوات الأوان
10 دروس قاسية تتعلق بالتوزيع، وتصميم التوكن، والسيولة، والأمن، والبنية التحتية، والثقة، يتعلمها مؤسسو شركات الكريبتو غالباً بعد خسارة المال والوقت.
أسطورة كلود والعملات المشفّرة: ما الذي يعنيه التهديد الجديد للذكاء الاصطناعي لتداول الأصول الرقمية
كشف Claude Mythos آلاف ثغرات اليوم الصفري، مهدداً صناعة الكريبتو التي خسرت 3.3 مليار دولار في 2025، ودافعاً البورصات الكبرى للاستثمار بأمن سيبراني مدعوم بالذكاء الاصطناعي.
لازاروس وحيلة كيلب: كيف تواصل آلة السطو على الكريبتو في كوريا الشمالية التطور | Yellow.com