نشر بروتوكول Drift Protocol (DRIFT) تحديثًا تفصيليًا للحادث في 5 أبريل، كاشفًا أن الاختراق بقيمة 285 مليون دولار في 1 أبريل كان نتيجة عملية استخباراتية استمرت ستة أشهر تُعزى إلى جهات فاعلة مدعومة من الدولة الكورية الشمالية.
يصف الإفصاح مستوى من الهندسة الاجتماعية يتجاوز بكثير عمليات الاحتيال عبر الإنترنت النموذجية أو عمليات الاحتيال بالتوظيف، حيث يتضمن اجتماعات شخصية ونشر رأس مال حقيقي وأشهر من بناء الثقة.
شركة تداول وهمية لعبت اللعبة الطويلة
وفقًا لـ Drift، تواصلت مجموعة تتظاهر بأنها شركة تداول كمي مع المساهمين في مؤتمر كريبتو كبير في خريف 2025.
على مدى الأشهر التالية، ظهر هؤلاء الأفراد في فعاليات متعددة عبر عدة دول، وعقدوا جلسات عمل، وحافظوا على محادثات مستمرة على Telegram حول تكاملات الخزائن.
تابعنا على X للحصول على آخر الأخبار فور حدوثها
بين ديسمبر 2025 وينايرو 2026، قامت المجموعة بتأهيل Ecosystem Vault على Drift، وأودعت أكثر من مليون دولار كرأس مال، وشاركت في مناقشات تفصيلية حول المنتجات.
بحلول مارس، التقى مساهمو Drift بهؤلاء الأفراد وجهًا لوجه في مناسبات متعددة.
حتى خبراء الأمن على الويب يجدون هذا مثيرًا للقلق، حيث شاركت الباحثة Tay أنها توقعت في البداية عملية احتيال نموذجية بالتوظيف لكنها وجدت عمق العملية أكثر إثارة للقلق.
كيف تم اختراق الأجهزة
حدد Drift ثلاثة نواقل هجوم محتملة:
- استنسخ أحد المساهمين مستودع كود شاركته المجموعة لواجهة أمامية لخزنة.
- قام ثانٍ بتنزيل تطبيق TestFlight تم تقديمه كمنتج محفظة.
- بالنسبة لناقل المستودع، أشار Drift إلى ثغرة معروفة في VSCode وCursor كان الباحثون الأمنيون يشيرون إليها منذ أواخر 2025.
سمح هذا الخلل بتنفيذ كود عشوائي بصمت في اللحظة التي يتم فيها فتح ملف أو مجلد في المحرر، دون الحاجة إلى تفاعل المستخدم.
بعد استنزاف 1 أبريل، محا المهاجمون جميع محادثات Telegram والبرامج الضارة. منذ ذلك الحين، جمد Drift وظائف البروتوكول المتبقية وأزال المحافظ المخترقة من multisig.
قيّم فريق SEALS 911 بثقة متوسطة إلى عالية أن نفس الجهات الفاعلة المهددة نفذت اختراق Radiant Capital في أكتوبر 2024، والذي نسبته Mandiant إلى UNC4736.
تدفقات الأموال على السلسلة والتداخلات التشغيلية بين الحملتين تدعم هذا الارتباط.
الصناعة تدعو إلى إعادة تعيين التحقق الأمني
دعا Armani Ferrante، مطور Solana البارز، كل فريق كريبتو إلى إيقاف جهود النمو ومراجعة مجموعة الأمان بأكملها.
أشار Drift إلى أن الأفراد الذين ظهروا شخصيًا لم يكونوا من مواطني كوريا الشمالية. من المعروف أن الجهات الفاعلة المهددة من DPRK على هذا المستوى تنشر وسطاء الطرف الثالث للمشاركة وجهًا لوجه.
لم تنسب Mandiant، التي عقدت معها Drift لفحص الأجهزة الجنائي، الاختراق رسميًا بعد.
يعمل الإفصاح كتحذير للنظام البيئي الأوسع. حث Drift الفرق على مراجعة ضوابط الوصول، ومعاملة كل جهاز يلمس multisig كهدف محتمل، والاتصال بـ SEAL 911 إذا اشتبهوا في استهداف مماثل.
ظهرت المشاركة سرقة بروتوكول Drift بقيمة 285 مليون دولار بدأت بمصافحة و6 أشهر من الثقة أولاً على BeInCrypto.
المصدر: https://beincrypto.com/drift-north-korea-spy-operation-hack/
