استخلصت جهات فاعلة كورية شمالية حوالي 577 مليون دولار خلال الأشهر الأربعة الأولى من عام 2026، وهو مبلغ يمثل 76% من جميع خسائر اختراق العملات المشفرة العالمية خلال تلك الفترة، وفقًا لشركة TRM Labs المتخصصة في استخبارات البلوك تشين.
تنبع الخسائر من حادثتين وقعتا في أبريل، بما في ذلك استغلال KelpDAO بقيمة 292 مليون دولار وهجوم Drift Protocol بقيمة 285 مليون دولار، واللذين ذكرت TRM في تقرير أنهما يمثلان 3% من إجمالي حوادث الاختراق في عام 2026 حتى أبريل.
وفقًا للتقرير، جاء هجوم Drift من مجموعة فرعية كورية شمالية منفصلة عن TraderTraitor، وهي العملية المرتبطة بـ Lazarus والموثقة جيدًا، على الرغم من أنَّ تحديد الجهة الفاعلة بالضبط لا يزال قيد التحقيق. وقالت إنَّ اختراق KelpDAO كان من عمل TraderTraitor.
تضمن اختراق Drift أشهرًا من الاجتماعات المباشرة بين وكلاء كوريين شماليين وموظفي Drift، ذكر فريق TRM أنَّ التحضير للهجوم بدأ في وقت مبكر من 11 مارس قبل أن يقوم المهاجم بإنشاء حسابات نونس دائمة (durable nonce accounts) على شبكة سولانا (Solana) وحث موقعي المحفظة متعددة التوقيع (multisig signers) لمجلس أمن Drift على الموافقة المسبقة على المعاملات.
ثم قام المهاجم، في 1 أبريل، بعد أيام من قيام Drift بترحيل مجلس الأمن الخاص بها إلى تكوين عتبة جديد 2/5 بدون قفل زمني، بنشر 31 عملية سحب موقعة مسبقًا لاستنزاف الأموال في مرحلة تنفيذ سريعة استغرقت حوالي 12 دقيقة، حسبما أضاف الفريق. تم نقل الأموال لاحقًا عبر جسر (bridged) إلى إيثيريوم (Ethereum)، حيث بقيت في الغالب غير نشطة منذ ذلك الحين.
في غضون ذلك، اتبع هجوم KelpDAO مسارًا تقنيًا مختلفًا، من خلال استغلال تصميم التحقق الأحادي (single-verifier design) في جسر LayerZero عن طريق اختراق البنية التحتية لـ RPC والتلاعب بمنطق التحقق عبر السلاسل (cross-chain validation logic)، وفقًا للتقرير.
قالت TRM إن المهاجمين استنزفوا ما يقرب من 116,500 rsETH بعد إجبار عملية التحقق على الفشل والانتقال إلى عقد مخترقة، مع غسل أموال لاحق تم توجيهه عبر البنية التحتية عبر السلاسل، بما في ذلك THORChain، في أعقاب تجميد جزئي للأصول على Arbitrum.
قال فريق TRM إن حصة كوريا الشمالية من خسائر اختراق العملات المشفرة العالمية قد "تسارعت" بدلاً من أن تستقر، مرتفعة من أقل من 10% في 2020 و 2021 إلى 22% في 2022، و 37% في 2023، و 39% في 2024، و 64% في 2025. تتجاوز السرقة المنسوبة الإجمالية الآن 6 مليارات دولار منذ عام 2017.
أشارت الشركة إلى اختراق Bybit بقيمة 1.46 مليار دولار في عام 2025 كنقطة تحول رئيسية في نمط نشاط كوريا الشمالية الأخير. منذ ذلك الحين، قالت TRM إن وتيرة العمليات ظلت ثابتة، مع إعطاء المجموعات النخبة الأولوية لهجمات أقل عددًا ولكن ذات تأثير أكبر تستهدف الجسور وأنظمة حوكمة المحافظ متعددة التوقيع والبنية التحتية عبر السلاسل.
قالت TRM إن حادثتي Drift و KelpDAO تسلطان الضوء على أساليب غسل أموال متباينة. إحدى المجموعات المرتبطة بـ Drift تركت الأصول غير نشطة إلى حد كبير بعد النقل الأولي عبر جسر (bridging) إلى إيثيريوم، ومن المرجح أن "تحتفظ بالعائدات لأشهر أو سنوات، ثم تنفذ عملية سحب منظمة ومتعددة المراحل."
في غضون ذلك، قام مهاجمو KelpDAO بنقل الأموال بسرعة أكبر عبر مبادلات عبر السلاسل (cross-chain swaps) إلى بيتكوين (Bitcoin) عبر THORChain، مع معالجة مرحلة غسل الأموال الجارية بشكل كبير من قبل وسطاء صينيين، وليس الكوريين الشماليين أنفسهم، وفقًا لـ TRM.
أولويات مراقبة الامتثال التي حددتها TRM تشمل التدفقات المرتبطة بـ THORChain من بيئات الجسور المخترقة، وتتبع المعاملات متعددة القفزات (multi-hop) عبر البنية التحتية للجسور، وفحص مسارات الإيداع المتعلقة بحوكمة سولانا التي تتضمن معاملات نونس دائمة.
كما سلطت الشركة الضوء على مشاركة شبكة بيكون (Beacon Network) عبر البورصات وبروتوكولات التمويل اللامركزي (DeFi) كآلية لتسريع التنبيه عبر المنصات بمجرد تحديد العناوين المرتبطة بكوريا الشمالية.
إخلاء مسؤولية: The Block هو منفذ إعلامي مستقل يقدم الأخبار والأبحاث والبيانات. اعتبارًا من نوفمبر 2023، أصبحت Foresight Ventures هي المستثمر الأغلبية في The Block. تستثمر Foresight Ventures في شركات أخرى في مجال العملات المشفرة. منصة تداول العملات المشفرة Bitget هي شريك محدود رئيسي (anchor LP) لـ Foresight Ventures. تواصل The Block العمل بشكل مستقل لتقديم معلومات موضوعية ومؤثرة وفي الوقت المناسب حول صناعة العملات المشفرة. إليك إفصاحاتنا المالية الحالية.
© 2026 The Block. جميع الحقوق محفوظة. هذه المقالة مقدمة لأغراض إعلامية فقط. وهي ليست معروضة أو مخصصة للاستخدام كمشورة قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
