ارتباط كوريا الشمالية بعمليات سطو بقيمة 578 مليون دولار في أبريل عقب استغلال Kelp DAO

تعرّضت Kelp DAO لاختراق بقيمة 292 مليون دولار يوم السبت، متجاوزةً بذلك Drift لتصبح أكبر عملية استغلال للعملات المشفرة في العام الحالي حتى الآن. ويُشتبه في أن قراصنة مرتبطين بكوريا الشمالية يقفون وراء الهجوم.

أعلنت Kelp DAO يوم الاثنين أن الاختراق نجم عن فشل في البنية التحتية لبروتوكول الرسائل العابرة للسلاسل LayerZero. وأوضح LayerZero أن الاختراق تمّ بسبب استخدام Kelp DAO لتهيئة موحّدة لجهة التحقق لاعتماد الرسائل العابرة للسلاسل.

أشار LayerZero إلى أن "المؤشرات الأولية" تنسب الاختراق إلى TraderTraitor، وهي مجموعة فرعية من وحدة القرصنة التي ترعاها الدولة الكورية الشمالية والمعروفة بـ Lazarus Group. 

كشفت نتائج المحقق في سلاسل الكتل Tanuki42 أيضاً عن صلات بـ TraderTraitor. وقال Tanuki42 يوم الثلاثاء إن الأموال المسروقة من حادثة Kelp DAO قد اختلطت مع اختراقات سابقة مرتبطة بالمجموعة ذاتها.

في حين تسارع النشاط الإلكتروني لكوريا الشمالية الذي يستهدف منصات التمويل اللامركزي في أبريل، تُشكّل أساليبها أيضاً تهديداً للشركات والمستخدمين النهائيين.

مخططات الكريبتو الكورية الشمالية تعود إلى الواجهة

بلغت خسائر اختراق يوم الأول من أبريل على منصة التبادل اللامركزي Drift 285 مليون دولار، ليرتفع إجمالي السرقات المشفرة المشتبه في ارتباطها بكوريا الشمالية إلى ما لا يقل عن 578 مليون دولار عبر الحوادث الكبرى خلال الشهر.

يُعدّ الهجومان أكبر عمليتَي سطو على العملات المشفرة تُنسبان إلى جهات فاعلة كورية شمالية منذ اختراق Bybit.

باتت صناعة الكريبتو تدرك الآن أن العملاء المرتبطين بجمهورية كوريا الديمقراطية الشعبية ينتحلون صفة مطوري تقنية المعلومات لاستغلال وظائف عن بُعد في شركات التكنولوجيا. ويقول باحثو الأمن والأمم المتحدة إن هذا الأسلوب يدرّ ملايين الدولارات لدعم برامج الأسلحة الكورية الشمالية.

ذات صلة: جواسيس الإنترنت الكوريون الشماليون لم يعودوا مجرد تهديدات عن بُعد

في مارس، فرضت وزارة الخزانة الأمريكية عقوبات على ستة أفراد وكيانَين بسبب أدوارهم المزعومة في مخططات احتيال عمال تقنية المعلومات الكوريين الشماليين. كما أصدر مكتب التحقيقات الفيدرالي (FBI) إرشادات في يونيو توصي فيها أصحاب العمل بالتحقق من السجل المهني للمرشحين وإلزامهم بالمقابلات الشخصية.

غير أن اختراق Drift يُشير إلى أن العملاء الإلكترونيين لبيونغ يانغ يتكيّفون مع الأوضاع. وأفادت منصة DeFi بأن المساهمين فيها تعرّضوا للاقتراب الشخصي من أفراد يتظاهرون بتمثيل شركة تداول كمّي في مؤتمر كبير للعملات المشفرة في نوفمبر. واصل المهاجمون التواصل وبناء الثقة في الفترة السابقة للاختراق.

تواصلت الهجمات الأصغر حجماً بالتوازي مع ذلك. وأفاد مزوّد محفظة الكريبتو Zerion بأن جهات فاعلة مرتبطة بجمهورية كوريا الديمقراطية الشعبية استخدمت هندسة اجتماعية بمساعدة الذكاء الاصطناعي لسرقة ما يقارب 100,000 دولار في حادثة منفصلة.

نادراً ما تردّ كوريا الشمالية على مثل هذه الاتهامات، وإن كانت وزارة خارجيتها قد أصدرت بياناً في مايو 2020 تنفي فيه أي تورط في الهجمات الإلكترونية وتتهم الولايات المتحدة بمحاولة تشويه صورتها.

موجة احتيال الكريبتو للأفراد مع تمدّد أساليب جمهورية كوريا الديمقراطية الشعبية

أفاد مكتب التحقيقات الفيدرالي (FBI) بارتفاع بنسبة 21% في شكاوى الجرائم المتعلقة بالعملات المشفرة في تقرير مركز شكاوى الجرائم الإلكترونية (IC3) لعام 2025. أطلق الـ FBI مركز IC3 عام 2000 بوصفه بوابة للضحايا في الولايات المتحدة للإبلاغ عن عمليات الاحتيال عبر الإنترنت.

ارتبطت قضايا العملات المشفرة بـ 181,565 شكوى في عام 2025، ما أسفر عن خسائر بلغت 11.37 مليار دولار، أي أكثر من نصف الإجمالي.

ذات صلة: جاسوس كوري شمالي يُفصح عن روابطه في مقابلة عمل مزيّفة

قدّم الأمريكيون الأكبر سناً الذين تبلغ أعمارهم 60 عاماً فما فوق أعلى عدد من الشكاوى المتعلقة بالعملات المشفرة. وكانت عمليات الاحتيال الاستثمارية الفئة الأكبر، إذ أسفرت عن 61,559 شكوى، من بينها 13,685 شكوى من أشخاص تبلغ أعمارهم 60 عاماً فما فوق.

لا يعني ذلك أن قطاع الأفراد بمنأى عن العمليات الكورية الشمالية المشتبه فيها. فقد كشف تحقيق نُشر في نوفمبر الماضي أن عملاء مرتبطين بجمهورية كوريا الديمقراطية الشعبية يجنّدون أيضاً أفراداً لدعم مخططات عمال تقنية المعلومات عن بُعد.

على مدار عام 2025، تواصل Heiner García، خبير استخبارات التهديدات الإلكترونية في Telefónica، مع عميل كوري شمالي مشتبه به.

أخبر García كوينتيليغراف سابقاً بأن الفرد حاول استخدامه وسيطاً للتحايل على قيود VPN التي تفرضها منصات العمل الحر. يتضمّن الأسلوب استخدام جهاز الضحية في نطاق قضائي محلي عبر تثبيت برامج الوصول عن بُعد مثل AnyDesk.

في أغسطس 2024، اعتقلت وزارة العدل الأمريكية Matthew Isaac Knoot بتهمة إدارة "مزرعة أجهزة محمولة" أتاحت لعمال تقنية المعلومات التابعين لجمهورية كوريا الديمقراطية الشعبية الظهور بمظهر موظفين مقيمين في الولايات المتحدة باستخدام هويات مسروقة. وفي يوليو 2025، صدر حكم بسجن Christina Chapman لأكثر من ثماني سنوات بسبب دورها في مساعدة عمال تقنية المعلومات الكوريين الشماليين على كسب أكثر من 17 مليون دولار.

المقايضة وراء تجميد الأموال المسروقة من قبل جهات فاعلة مشتبه في ارتباطها بجمهورية كوريا الديمقراطية الشعبية

كان من أبرز عناصر اختراق Kelp DAO قرار مجلس أمن Arbitrum تجميد 30,766 ETH المرتبطة بالاختراق.

تقوم فلسفة الكريبتو على اللامركزية، غير أن ردود الفعل على عمليات الاختراق الكبرى لا تزال تُفرّق الصناعة. تميل بعض المشاريع نحو الحد الأدنى من التدخل، حتى مع مطالبة خبراء الأمن باتخاذ إجراءات، مما يُفضي إلى شُح في التوافق حول متى يكون التدخل مناسباً.

قال المدير التقني لـ Ledger، Charles Guillemet، يوم الثلاثاء إن النتيجة كانت "على الأرجح" جيدة، لكنها لم تكن مريحة. فتجميد الأموال أسهم على الأرجح في منع المزيد من الخسائر. ويكمن الانزعاج فيما كشفه هذا الإجراء صراحةً.

لم يستغل مجلس أمن Arbitrum ثغرة برمجية أو يكتشف باباً خلفياً. بل مارس صلاحياته المقصودة للتجاوز على الحالة. هذه الصلاحية موجودة بتصميم متعمّد وتتعارض مع فكرة البنية التحتية المحايدة بشكل موثوق. من الناحية العملية، لا تزال الأصول على التجميعات الحالية عرضة للتأثر بقرارات الحوكمة في ظروف معينة.

يربط Guillemet هذه المقايضة ببيئة التهديدات. لم يعتمد اختراق Kelp DAO على ثغرة جديدة في العقد الذكية. بل كشف عن نقاط ضعف في البنية التحتية والتهيئة، مُظهراً كيف تتجاوز الهجمات حدود الكود البرمجي لتطال الأنظمة الداعمة له.

في الوقت ذاته، تطوّرت المجموعات المرتبطة بكوريا الشمالية لتصبح خصوماً متمرّسين وذوي موارد وفيرة، قادرين على استطلاع تلك الأنظمة على جبهات متعددة.

يترك ذلك الصناعة منقسمة بين قبول التدخل أو قبول خسائر لا يمكن التراجع عنها.

المجلة: يقول Adam Back إن الطلب الحالي "يكاد" يكفي لدفع Bitcoin إلى مليون دولار