كشف بروتوكول دريفت (DRIFT) في تحديث مفصل عن الحادث بتاريخ 5 أبريل أن اختراق بقيمة 285 مليون دولار في 1 أبريل كان نتيجة لعملية استخباراتية استمرت ستة أشهر ونُسبت إلى جهات مدعومة من الدولة الكورية الشمالية.
يصف هذا الإفصاح مستوى من الهندسة الاجتماعية يتجاوز بكثير محاولات الاحتيال المعتادة أو حيل توظيف المتخصصين، حيث يشمل اجتماعات شخصية، وتوظيف رؤوس أموال حقيقية، وأشهر من بناء الثقة.
شركة تداول وهمية لعبت على المدى الطويل
ذكر بروتوكول دريفت أن مجموعة ادعت أنها شركة تداول كمي اقتربت لأول مرة من المساهمين في مؤتمر عملات رقمية كبير في خريف 2025.
خلال الأشهر التالية، ظهر هؤلاء الأشخاص في فعاليات متعددة عبر عدة دول، وعقدوا جلسات عمل، وحافظوا على محادثات عبر تيليغرام متواصلة حول تكامل الخزائن.
تابعنا على X للحصول على آخر الأخبار فور حدوثها
بين ديسمبر 2025 ويناير 2026، فعّل الفريق خزانة الأنظمة البيئية على دريفت، وأودع أكثر من 1 مليون دولار كرأس مال، وشارك في مناقشات مفصلة حول المنتج.
بحلول مارس، التقى مساهمو دريفت بهؤلاء الأشخاص وجهاً لوجه في عدة مناسبات.
علق مطور العملات الرقمية جاوثام أن أخطر القراصنة لا يبدون مثل القراصنة.
يجد خبراء أمن الويب هذا الأمر مثيراً للقلق أيضاً، حيث شاركت الباحثة تاي أنها توقعت في البداية نموذجا عاديا للاحتيال بواسطة مجندين، لكن مستوى تعقيد العملية كان أكثر إثارة للقلق بكثير.
كيف تم اختراق الأجهزة
حدد بروتوكول دريفت ثلاث ناقلات هجوم محتملة:
- استنسخ أحد المساهمين مستودع كود شاركته المجموعة كبوابة أمامية لخزانة.
- قام آخر بتحميل تطبيق TestFlight تم تقديمه كمنتج محفظة.
- بالنسبة لناقل المستودع، أشار دريفت إلى ثغرة معروفة في VSCode وCursor ظل باحثو الأمن يحذرون منها منذ أواخر 2025.
سمحت تلك الثغرة بتنفيذ كود عشوائي بصمت بمجرد فتح ملف أو مجلد في المحرر، دون الحاجة لتدخل المستخدم.
بعد سحب 1 أبريل، قام المهاجمون بحذف جميع محادثات تيليغرام والبرمجيات الخبيثة. ومنذ ذلك الحين، قام بروتوكول دريفت بتجميد وظائف البروتوكول المتبقية وإزالة المحافظ المخترقة من التوقيع المتعدد.
قيّم فريق SEALS 911، بثقة متوسطة-عالية، بأن نفس الجهات المهددة نفذت هجوم راديانت كابيتال في أكتوبر 2024، والذي نسبته شركة مانديانت إلى UNC4736.
تدعم تدفقات الأموال على السلسلة والتداخلات التشغيلية بين الحملتين هذا الارتباط.
دعوات القطاع لإعادة تعيين الأمان
دعا أرماني فيرانتي، وهو مطور بارز على سولانا، كل فريق عملة مشفرة إلى التوقف عن جهود النمو ومراجعة كل مكدس الأمان لديهم بالكامل.
قال فيرانتي أن كل فريق في العملات المشفرة يجب أن يستغل هذه الفرصة للتباطؤ والتركيز على الأمان، وإذا أمكن، تخصيص فريق كامل لهذا الأمر... لا يمكنك أن تنمو إذا تم اختراقك.
أشار دريفت إلى أن الأفراد الذين ظهروا حضورياً ليسوا مواطنين من كوريا الشمالية، حيث يُعرف أن الجهات المهددة التابعة لكوريا الشمالية على هذا المستوى تقوم بتوظيف وسطاء من طرف ثالث للتعاملات المباشرة وجهاً لوجه.
ذكرت شركة مانديانت، التي استعان بها دريفت لتحليل الأدلة الجنائية للأجهزة، أنها لم تنسب الاستغلال رسمياً بعد.
يعمل هذا الإفصاح بمثابة تحذير للنظام البيئي الأوسع، حيث حث دريفت الفرق على مراجعة ضوابط الوصول، والتعامل مع كل جهاز يتعامل مع محفظة متعددة التوقيعات على أنه هدف محتمل، والتواصل مع SEAL 911 إذا اشتبهوا في استهداف مشابه.
