ما بدا في البداية وكأنه اختراق مفاجئ، تم الكشف عنه الآن على أنه عملية طويلة الأمد ومنسقة للغاية. كشف بروتوكول Drift أن عملية الاختراق بقيمة 270 مليون دولار كانت نتيجة لحملة تسلل استمرت ستة أشهر، يُزعم أنها مرتبطة بجهات فاعلة مرتبطة بالدولة الكورية الشمالية.
بدلاً من استغلال ثغرة بسيطة، بنى المهاجمون الثقة ببطء، متظاهرين بأنهم شركة تداول كمي شرعية ودمجوا أنفسهم داخل النظام البيئي. ذهب نهجهم إلى ما هو أبعد من الخداع الرقمي. تفاعلوا مع المساهمين مباشرة، وحضروا مؤتمرات الكريبتو، وأنشأوا علاقات بدت موثوقة على كل المستويات.
لم يكن هذا هجوم سريع. كان محسوبًا وصبورًا ومصممًا لتجاوز ليس فقط الدفاعات التقنية ولكن الثقة البشرية.
يبدأ الاتصال الأول في مؤتمرات الكريبتو
يُفاد أن العملية بدأت في خريف 2025، عندما أجرى المهاجمون أول اتصال في مؤتمر كريبتو كبير. في ذلك الوقت، لم تكن هناك علامات تحذيرية فورية. قدمت المجموعة نفسها كمحترفين ذوي كفاءة تقنية مع خلفيات يمكن التحقق منها.
تحدثوا بلغة DeFi بطلاقة، مما يدل على فهم عميق للبنية التحتية لـ Drift وآليات التداول. ساعدهم هذا المستوى من الخبرة على الاندماج بسلاسة مع المساهمين والشركاء الشرعيين.
بعد ذلك بوقت قصير، انتقل التواصل إلى Telegram، حيث استمرت المناقشات على مدى عدة أشهر. لم تكن هذه التفاعلات متسرعة أو مشبوهة. بدلاً من ذلك، عكست إيقاع التعاون الحقيقي، مع مناقشات تقنية ومدخلات استراتيجية ومشاركة مستمرة.
من خلال الحفاظ على الاتساق والمصداقية، بنى المهاجمون الثقة تدريجيًا داخل المجتمع.
بناء الثقة من خلال رأس المال والتعاون
بحلول يناير 2026، كانت المجموعة قد أخذت مشاركتها إلى أبعد من ذلك. نجحوا في تأهيل خزينة النظام البيئي وبدأوا في المشاركة في جلسات العمل جنبًا إلى جنب مع مساهمي Drift.
والأهم من ذلك، أنهم التزموا أيضًا برأس مال حقيقي، حيث أودعوا أكثر من مليون دولار من أموالهم الخاصة في البروتوكول. عززت هذه الخطوة شرعيتهم، مشيرة إلى أن لديهم مصلحة في اللعبة.
طوال فبراير ومارس، التقى أعضاء النظام البيئي لـ Drift بهؤلاء الأفراد شخصيًا في بلدان متعددة. أضافت هذه التفاعلات وجهاً لوجه طبقة أخرى من الثقة، مما جعل من غير المحتمل أكثر التشكيك في نواياهم.
بحلول وقت تنفيذ الهجوم، كانت العلاقة بين المهاجمين والمجتمع قد أُنشئت لما يقرب من ستة أشهر. كان هذا مستوى من التسلل نادرًا ما شوهد في عمليات استغلال DeFi.
تنفيذ الهجوم استفاد من نقاط دخول متطورة
عندما حدث الاختراق أخيرًا، جاء من خلال متجهين مستهدفين للغاية.
تضمن الأول تطبيق TestFlight ضار، تم تقديمه كمنتج محفظة شرعي. سمح ذلك للمهاجمين بالوصول إلى أجهزة المساهمين تحت ستار اختبار أدوات جديدة.
استغل المتجه الثاني ثغرة معروفة في بيئات التطوير مثل VSCode و Cursor. مكن هذا الخلل، الذي تم الإبلاغ عنه من قبل مجتمع الأمن قبل أشهر، من تنفيذ تعليمات برمجية تعسفية ببساطة عن طريق فتح ملف.
معًا، سمحت هذه الأساليب للمهاجمين باختراق الأجهزة الرئيسية دون إثارة شك فوري. بمجرد دخولهم، تمكنوا من الوصول إلى سير العمل الحساس وآليات الموافقة.
تسلط هذه المرحلة من العملية الضوء على تحول حاسم في استراتيجيات الهجوم. بدلاً من استهداف العقود الذكية مباشرة، يركز المهاجمون بشكل متزايد على الطبقات البشرية والأدوات المحيطة بها.
كشفت نقاط ضعف التوقيع المتعدد في الاستنزاف النهائي
مع تأمين الوصول، انتقل المهاجمون إلى المرحلة النهائية: التنفيذ.
حصلوا على موافقتين متعددة التوقيع، والتي استُخدمت بعد ذلك للترخيص بالمعاملات. والجدير بالذكر أن هذه المعاملات تم توقيعها مسبقًا وتركت خاملة لأكثر من أسبوع، متجنبة الكشف الفوري.
في 1 أبريل، تصرف المهاجمون. في أقل من دقيقة، تم استنزاف ما يقرب من 270 مليون دولار من خزائن Drift.
ترك سرعة ودقة التنفيذ مجالًا ضئيلًا للتدخل. بحلول الوقت الذي تم فيه التعرف على المعاملات، كانت الأموال قد نُقلت بالفعل.
حذر Drift منذ ذلك الحين من أن هذا الحادث يكشف عن نقاط ضعف أساسية في نماذج الأمان القائمة على التوقيع المتعدد. بينما تم تصميم أنظمة التوقيع المتعدد لتوزيع الثقة، فإنها تظل عرضة للخطر عندما يتم اختراق الموقعين أنفسهم.
ظهور روابط لجهات فاعلة تابعة للدولة الكورية الشمالية
ربطت التحقيقات في الهجوم العملية بـ UNC4736، وهي مجموعة تُعرف أيضًا باسم AppleJeus أو Citrine Sleet. يرتبط هذا الكيان على نطاق واسع بعمليات الأمن السيبراني الكورية الشمالية وتم ربطه بعمليات استغلال بارزة سابقة، بما في ذلك هجوم Radiant Capital.
من المثير للاهتمام أن الأفراد الذين تفاعلوا مباشرة مع مساهمي Drift لم يتم تحديدهم كمواطنين كوريين شماليين. بدلاً من ذلك، يبدو أنهم كانوا وسطاء من طرف ثالث، مجهزين بهويات منشأة بعناية مصممة لتحمل التدقيق.
يجعل هذا النهج الطبقي الإسناد أكثر تعقيدًا مع زيادة فعالية العملية. من خلال فصل الجهات الفاعلة على الأرض عن الكيان المنسق، تمكن المهاجمون من الحفاظ على الشرعية المعقولة طوال فترة التسلل.
نداء يقظة لنماذج أمان DeFi
يجبر استغلال Drift الصناعة على مواجهة واقع غير مريح. قد لا تكون نماذج الأمان التقليدية، التي تركز على عمليات تدقيق التعليمات البرمجية، ونقاط ضعف العقود الذكية، وحماية التوقيع المتعدد، كافية للدفاع ضد الخصوم المستعدين للاستثمار في الوقت والمال والموارد البشرية.
إذا كان بإمكان المهاجمين قضاء ستة أشهر في بناء العلاقات، ونشر رأس المال لكسب الثقة، والالتقاء جسديًا بالفرق، فإن سطح الهجوم يمتد إلى ما هو أبعد بكثير من التعليمات البرمجية.
يطرح هذا سؤالًا حاسمًا لنظام DeFi البيئي: ما نوع إطار الأمان الذي يمكنه اكتشاف ومنع هذا المستوى من التسلل؟
في الوقت الحالي، يقف الحادث كواحد من أكثر عمليات الاستغلال المدفوعة بالهندسة الاجتماعية تطورًا في تاريخ الكريبتو. إنه يؤكد على الحاجة إلى نهج أكثر شمولية للأمان، نهج يأخذ في الاعتبار السلوك البشري والعمليات التشغيلية والخطوط الباهتة بشكل متزايد بين التفاعلات عبر الإنترنت وخارجها.
مع استمرار البروتوكولات في النمو وجذب المزيد من رأس المال، ستزداد المخاطر فقط. وكما يظهر هذا الحال، قد لا يأتي الجيل القادم من الهجمات من محافظ مجهولة، ولكن من شركاء موثوقين يجلسون عبر الطاولة.
إخلاء المسؤولية: هذه ليست نصيحة تداول أو استثمار. قم دائمًا بإجراء البحث الخاص بك قبل شراء أي عملة مشفرة أو الاستثمار في أي خدمات.
تابعنا على تويتر @nulltxnews للبقاء على اطلاع بأحدث أخبار الكريبتو و NFT و AI والأمن السيبراني والحوسبة الموزعة و Metaverse!
المصدر: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
