أعلنت منصة التداول اللامركزية (DEX) دريفت بروتوكول، القائمة على سولانا، يوم الأحد أن الهجوم الذي استنزف حوالي 285 مليون دولار من المنصة كان عملية استخبارات منظمة استمرت ستة أشهر من قبل مجموعة تهديد تابعة لدولة كوريا الشمالية.
قال البروتوكول في تحديث مفصل للحادث إن المهاجمين استخدموا هويات مهنية مزورة، واجتماعات شخصية في مؤتمرات، وأدوات مطور خبيثة لاختراق المساهمين قبل تنفيذ عملية الاستنزاف.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"فرق الكريبتو تواجه الآن خصومًا يعملون أشبه بوحدات استخباراتية أكثر من كونهم قراصنة، ومعظم المنظمات ليست مستعدة هيكليًا لهذا المستوى من التهديد"، هكذا صرح مايكل بيرل، نائب رئيس الإستراتيجية في شركة Cyvers لأمن البلوك تشين، لمجلة Decrypt.
قال دريفت إن المجموعة اقتربت لأول مرة من المساهمين في مؤتمر كريبتو رئيسي في الخريف الماضي، مقدمة نفسها كشركة تداول كمي تسعى للاندماج مع البروتوكول.
على مدى أشهر، بنت المجموعة الثقة من خلال اجتماعات شخصية، وتنسيق عبر تيليجرام، وأنشأت "قبو نظام بيئي" (Ecosystem Vault) على دريفت، وأودعت مليون دولار من رؤوس أموالها الخاصة في القبو، لتختفي بعد ذلك، مع "مسح كامل" للمحادثات والبرامج الضارة عند وقوع الهجوم.
ذكرت المنصة اللامركزية (DEX) أن الاختراق ربما يكون قد تضمن مستودع أكواد خبيثًا، وتطبيق TestFlight مزيفًا، وثغرة أمنية في VSCode/Cursor مكنت من تنفيذ الأكواد بصمت دون تدخل المستخدم.
نسب دريفت الهجوم "بثقة متوسطة إلى عالية" إلى UNC4736، المعروفة أيضًا باسم AppleJeus أو Citrine Sleet — وهي نفس المجموعة التابعة لدولة كوريا الشمالية التي ربطتها شركة الأمن السيبراني مانديانت بهجوم Radiant Capital في عام 2024.
قال دريفت إن الأفراد الذين التقوا بالمساهمين شخصيًا لم يكونوا مواطنين كوريين شماليين، مشيرًا إلى أن الجهات الفاعلة المرتبطة بجمهورية كوريا الديمقراطية الشعبية غالبًا ما تعتمد على وسطاء طرف ثالث من أجل "التفاعل وجهًا لوجه".
تشير تدفقات الأموال على السلسلة والشخصيات المتداخلة إلى جهات فاعلة مرتبطة بجمهورية كوريا الديمقراطية الشعبية، وفقًا لمتخصصي الاستجابة للحوادث في SEAL 911، على الرغم من أن مانديانت لم تؤكد بعد هذا الربط في انتظار التحقيقات الجنائية، حسبما أشارت المنصة.
اقترح باحث الأمن @tayvano_، وهو أحد الخبراء الذين أشاد بهم دريفت لمساعدتهم في تحديد الجهات الفاعلة الخبيثة، أن يتجاوز نطاق هذا الكشف هذا الحادث بكثير.
في تغريدة، أدرج الخبير العشرات من بروتوكولات التمويل اللامركزي (DeFi)، زاعمًا أن "عمال تكنولوجيا المعلومات في كوريا الديمقراطية بنوا البروتوكولات التي تعرفونها وتحبونها، منذ بداية صيف التمويل اللامركزي (defi summer)."
أشار بيرل إلى أن "دريفت وبايبيت يسلطان الضوء على نفس النمط — لم يتم اختراق الموقعين مباشرة على مستوى البروتوكول، بل تم خداعهم للموافقة على معاملات خبيثة." وأضاف: "القضية الأساسية ليست عدد الموقعين، بل نقص فهم نية المعاملة."
قال إن المحافظ متعددة التوقيع، على الرغم من أنها تمثل تحسنًا عن التحكم بمفتاح واحد، تخلق الآن إحساسًا زائفًا بالأمان، وتقدم "مفارقة" حيث تقلل المسؤولية المشتركة من التدقيق عبر الموقعين.
قال بيرل: "يجب أن ينتقل الأمن إلى التحقق المسبق من المعاملات على مستوى البلوك تشين، حيث يتم محاكاة المعاملات والتحقق منها بشكل مستقل قبل التنفيذ"، مضيفًا أنه بمجرد أن يتحكم المهاجمون فيما يراه المستخدمون، فإن الدفاع الفعال الوحيد هو التحقق مما تفعله المعاملة بالفعل، بغض النظر عن الواجهة.
بخصوص أدوات المطورين كسطح هجومي، قال لافيد إن الافتراض يجب أن يتغير من الأساس.
أخبر Decrypt قائلاً: "عليك أن تفترض أن نقطة النهاية مخترقة"، مشيرًا إلى بيئات التطوير المتكاملة (IDEs)، ومستودعات الأكواد، وتطبيقات الهاتف المحمول، وبيئات التوقيع كنقاط دخول شائعة بشكل متزايد.
قال الخبير: "إذا كانت هذه الأدوات الأساسية ضعيفة، يمكن التلاعب بأي شيء يُعرض للمستخدم — بما في ذلك المعاملات"، مشيرًا إلى أن هذا "يكسر بشكل أساسي الافتراضات الأمنية التقليدية"، ويجعل الفرق غير قادرة على الوثوق "بالواجهة أو الجهاز أو حتى تدفق التوقيع."
