سرق المتسللون الكوريون الشماليون ما يقرب من ثلاثة أرباع إجمالي العملات المشفرة التي استولى عليها مجرمو الإنترنت حتى الآن هذا العام—ليس من خلال حملة هجمات لا هوادة فيها، بل من خلال عمليتي سرقة تم تنفيذهما بدقة استهدفتا منصات التمويل اللامركزي في أبريل، وفقًا لتقرير جديد صادر عن شركة استخبارات البلوكتشين TRM Labs.

يمثل الحادثان معًا—اختراق بقيمة 285 مليون دولار لبروتوكول Drift في 1 أبريل، واستغلال بقيمة 292 مليون دولار لـ Kelp DAO في 18 أبريل—76% من جميع خسائر اختراقات العملات المشفرة التي تم تتبعها حتى أبريل، على الرغم من أنهما يمثلان 3% فقط من العدد الإجمالي للحوادث المسجلة.

بشكل عام، تقدر TRM Labs أن المتسللين المرتبطين بكوريا الشمالية قد سرقوا أكثر من 6 مليارات دولار من بروتوكولات ومشاريع العملات المشفرة منذ عام 2017، بما في ذلك بعض أسوأ السرقات في الصناعة على الإطلاق.

تعكس الأرقام تركيزًا متزايدًا لسرقة العملات المشفرة من قبل عملاء كوريين شماليين تابعين للدولة. نمت حصة بيونغ يانغ من إجمالي خسائر اختراقات العملات المشفرة من أقل من 10% في عامي 2020 و 2021 إلى 22% في عام 2022، و 37% في عام 2023، و 39% في عام 2024، و 64% في عام 2025. ويعد الرقم البالغ 76% في عام 2026 حتى أبريل هو أعلى حصة مستمرة مسجلة.

كان هجوم بروتوكول Drift لافتًا للنظر بسبب صبره. بدأت عمليات التحضير على السلسلة في 11 مارس، وتضمنت الحملة اجتماعات شخصية بين وكلاء كوريين شماليين وموظفين في Drift على مدى فترة أشهر—وهو تكتيك وصفه محللو TRM بأنه قد يكون غير مسبوق في حملة قرصنة العملات المشفرة الطويلة لكوريا الشمالية.

استغل المهاجمون ميزة في Solana تسمى 'durable nonce'، والتي تسمح بالاحتفاظ بالمعاملات الموقعة مسبقًا ونشرها في وقت لاحق. في 1 أبريل، تم تنفيذ 31 عملية سحب في حوالي 12 دقيقة، مما أدى إلى استنزاف أصول حقيقية بما في ذلك USDC و JLP. تم نقل الأموال المسروقة بسرعة إلى Ethereum وظلت خاملة منذ ذلك الحين.

اتخذ هجوم Kelp DAO مسارًا مختلفًا. قام المهاجمون باختراق عقدتي RPC داخليتين ثم أطلقوا هجوم حرمان من الخدمة ضد العقد الخارجية، مما أجبر المدقق الوحيد للجسر على الاعتماد على مصادر البيانات المسمومة. أبلغت تلك العقد زوراً أن الأصل الأساسي قد تم حرقه على السلسلة المصدر بينما لم يحدث أي إجراء من هذا القبيل، وتم استنزاف حوالي 116,500 rsETH—بقيمة تقريبية 292 مليون دولار—من عقد جسر Ethereum.

بعد سرقة Kelp DAO، مارست هيئة أمن Arbitrum صلاحيات الطوارئ لتجميد حوالي 75 مليون دولار من الأموال المسروقة التي تركت على الشبكة—وهو تدخل نادر أدى إلى استجابة سريعة لغسل الأموال. تم بعد ذلك تحويل حوالي 175 مليون دولار من ETH إلى Bitcoin، بشكل أساسي عبر THORChain، وهو بروتوكول سيولة عبر السلاسل لا يتطلب معرفة العميل.

قامت THORChain بمعالجة الغالبية العظمى من العائدات من كل من اختراق Bybit في عام 2025—أسوأ سرقة في الصناعة على الإطلاق، مع سرقة أكثر من 1.4 مليار دولار من العملات المشفرة—واختراق Kelp DAO في عام 2026، حيث قامت بتحويل مئات الملايين من ETH المسروقة إلى Bitcoin دون وجود مشغل يرغب في تجميد أو رفض التحويلات.

لاحظ محللو TRM أن المجموعة يبدو أنها تصقل أدواتها: بدأ المحللون في التكهن بأن المشغلين الكوريين الشماليين يدمجون أدوات الذكاء الاصطناعي في عمليات الاستطلاع والهندسة الاجتماعية الخاصة بهم، وهو تطور يتوافق مع الدقة المتزايدة للهجمات مثل Drift، التي تطلبت أسابيع من التلاعب المستهدف بآليات البلوكتشين المعقدة.