کره شمالی با سرقت‌هایی به ارزش ۵۷۸ میلیون دلار در آوریل پس از اکسپلویت Kelp DAO مرتبط است

Kelp DAO روز شنبه با هک ۲۹۲ میلیون دلاری مواجه شد و از Drift به عنوان بزرگ‌ترین اکسپلویت ارز دیجیتال تاکنون در سال جاری پیشی گرفت. هکرهای مرتبط با کره شمالی مظنون به انجام این حمله هستند.

Kelp DAO روز دوشنبه اعلام کرد که این اکسپلویت ناشی از نقص در زیرساخت پروتکل پیام‌رسانی فناوری میان زنجیره‌ای LayerZero بوده است. LayerZero اعلام کرد که این نقض با استفاده Kelp DAO از یک پیکربندی تک تأییدکننده برای تأیید پیام‌های فناوری میان زنجیره‌ای ممکن شد.

LayerZero اعلام کرد که «شواهد اولیه» این اکسپلویت را به TraderTraitor نسبت می‌دهد که زیرگروهی از واحد هکری دولتی کره شمالی موسوم به Lazarus Group است. 

یافته‌های محقق بلاکچین Tanuki42 نیز ارتباط با TraderTraitor را تأیید کرد. Tanuki42 روز سه‌شنبه اعلام کرد که وجوه سرقت‌شده از حادثه Kelp DAO با اکسپلویت‌های قبلی مرتبط با همان گروه درهم آمیخته است.

در حالی که فعالیت سایبری کره شمالی علیه پلتفرم‌های امور مالی غیر متمرکز با نام اختصاری دیفای در ماه آوریل شتاب گرفته، تاکتیک‌های آن‌ها همچنین تهدیدی برای شرکت‌ها و کاربران نهایی محسوب می‌شود.

طرح‌های ارز دیجیتال کره شمالی بار دیگر در کانون توجه

اکسپلویت روز اول آوریل بر صرافی غیرمتمرکز Drift در مجموع ۲۸۵ میلیون دلار بود و سرقت ارز دیجیتال مرتبط با کره شمالی را در حوادث اصلی طول ماه به حداقل ۵۷۸ میلیون دلار رساند.

این دو حمله بزرگ‌ترین سرقت‌های ارز دیجیتال منتسب به عوامل کره شمالی از زمان هک Bybit هستند.

تاکنون، صنعت ارز دیجیتال دریافته که عوامل مرتبط با DPRK به عنوان توسعه‌دهندگان IT برای دستیابی به مشاغل دورکاری در شرکت‌های فناوری ظاهر می‌شوند. محققان امنیتی و سازمان ملل متحد می‌گویند این تاکتیک میلیون‌ها دلار برای حمایت از برنامه‌های تسلیحاتی کره شمالی ایجاد می‌کند.

مرتبط: جاسوسان سایبری کره شمالی دیگر تنها تهدیدات از راه دور نیستند

در ماه مارس، وزارت خزانه‌داری ایالات متحده شش فرد و دو نهاد را به دلیل نقش ادعایی‌شان در طرح‌های کلاهبرداری کارگران IT کره شمالی تحریم کرد. FBI نیز در ماه ژوئن دستورالعملی صادر کرد و به کارفرمایان توصیه نمود سابقه حرفه‌ای کاندیداها را تأیید کرده و ملاقات‌های حضوری را الزامی کنند.

با این حال، اکسپلویت Drift نشان می‌دهد که عوامل سایبری پیونگ‌یانگ در حال انطباق هستند. پلتفرم امور مالی غیر متمرکز با نام اختصاری دیفای اعلام کرد که مشارکت‌کنندگانش در یک کنفرانس بزرگ ارز دیجیتال در نوامبر توسط افرادی که خود را به عنوان یک شرکت معاملاتی کوانت معرفی می‌کردند، حضوری مورد تماس قرار گرفتند. مهاجمان پیش از نقض، به ارتباط و ایجاد اعتماد ادامه دادند.

حملات در مقیاس کوچک‌تر به موازات آن ادامه یافته است. ارائه‌دهنده کیف پول ارز دیجیتال Zerion اعلام کرد که عوامل مرتبط با DPRK از مهندسی اجتماعی با کمک هوش مصنوعی برای سرقت حدود ۱۰۰,۰۰۰ دلار در یک حادثه جداگانه استفاده کردند.

کره شمالی به ندرت به چنین اتهاماتی پاسخ می‌دهد، اگرچه وزارت امور خارجه‌اش در مه ۲۰۲۰ بیانیه‌ای صادر کرد که در آن دخالت در حملات سایبری را رد کرد و ایالات متحده را به تلاش برای لکه‌دار کردن تصویرش متهم نمود.

افزایش کلاهبرداری‌های ارز دیجیتال خرده‌فروشی با سرریز تاکتیک‌های DPRK

اداره تحقیقات فدرال (FBI) در گزارش مرکز شکایت جرایم اینترنتی ۲۰۲۵ (IC3) خود افزایش ۲۱ درصدی شکایات جرایم مرتبط با ارز دیجیتال را گزارش داد. FBI در سال ۲۰۰۰ IC3 را به عنوان پورتالی برای قربانیان در ایالات متحده برای گزارش کلاهبرداری‌های آنلاین راه‌اندازی کرد.

پرونده‌های ارز دیجیتال در سال ۲۰۲۵ به ۱۸۱,۵۶۵ شکایت مرتبط بودند که منجر به ۱۱.۳۷ میلیارد دلار خسارت شد، بیش از نیمی از کل مبلغ.

مرتبط: جاسوس کره شمالی لغزش می‌خورد و ارتباطات را در مصاحبه شغلی جعلی فاش می‌کند

آمریکایی‌های مسن‌تر ۶۰ ساله و بالاتر بیشترین تعداد شکایات مرتبط با ارز دیجیتال را ثبت کردند. کلاهبرداری‌های سرمایه‌گذاری بزرگ‌ترین دسته بودند و ۶۱,۵۵۹ شکایت از جمله ۱۳,۶۸۵ مورد از افراد ۶۰ ساله و بالاتر ایجاد کردند.

این به معنای این نیست که بخش خرده‌فروشی از عملیات مشکوک کره شمالی مصون است. تحقیقی که در نوامبر گذشته منتشر شد نشان داد که عوامل مرتبط با DPRK همچنین افرادی را برای حمایت از طرح‌های کارگران IT دورکاری جذب می‌کنند.

در طول سال ۲۰۲۵، Heiner García، متخصص اطلاعات تهدیدات سایبری در Telefónica، با یک عامل مشکوک کره شمالی در تماس بود.

García پیش‌تر به Cointelegraph گفته بود که آن فرد تلاش کرد از او به عنوان پراکسی برای دور زدن محدودیت‌های VPN تعیین‌شده توسط پلتفرم‌های فریلنسری استفاده کند. این تاکتیک شامل استفاده از دستگاه قربانی در یک حوزه قضایی محلی از طریق نصب نرم‌افزار دسترسی از راه دور مانند AnyDesk است.

در اوت ۲۰۲۴، وزارت دادگستری ایالات متحده Matthew Isaac Knoot را به دلیل اداره یک «مزرعه لپ‌تاپ» که به کارگران IT DPRK اجازه می‌داد با استفاده از هویت‌های دزدیده‌شده به عنوان کارمندان مستقر در ایالات متحده ظاهر شوند، دستگیر کرد. در ژوئیه ۲۰۲۵، Christina Chapman به بیش از هشت سال زندان به دلیل نقشش در کمک به کارگران IT کره شمالی برای کسب بیش از ۱۷ میلیون دلار محکوم شد.

معامله پشت مسدود کردن وجوه سرقت‌شده توسط عوامل مشکوک DPRK

یک عنصر منحصربه‌فرد در هک Kelp DAO تصمیم شورای امنیت Arbitrum برای مسدود کردن ۳۰,۷۶۶ ETH مرتبط با اکسپلویت بود.

اتوس ارز دیجیتال غیرمتمرکزسازی است، اما واکنش‌ها به هک‌های بزرگ همچنان صنعت را تقسیم می‌کند. برخی پروژه‌ها به دخالت حداقلی تمایل دارند، حتی زمانی که متخصصان امنیتی خواهان اقدام هستند و اجماع کمی در مورد زمان مناسب برای مداخله وجود دارد.

مدیر ارشد فناوری Ledger، Charles Guillemet، روز سه‌شنبه گفت که نتیجه «احتمالاً» خوب بود، اما راحت نبود. مسدود کردن وجوه احتمالاً از خسارات بیشتر جلوگیری کرد. ناراحتی از آن چیزی ناشی می‌شود که این اقدام صریحاً آشکار می‌کند.

شورای امنیت Arbitrum از یک باگ سوءاستفاده نکرد یا یک درب پشتی کشف نکرد. بلکه اختیار از پیش تعریف‌شده خود را برای نادیده گرفتن وضعیت اعمال کرد. این اختیار به طور طراحی‌شده وجود دارد و با ایده زیرساخت خنثای معتبر در تنش است. در عمل، دارایی‌های روی رول‌آپ‌های امروزی هنوز می‌توانند تحت شرایط خاص تحت تأثیر تصمیمات حاکمیتی قرار گیرند.

Guillemet این معامله را به محیط تهدید مرتبط می‌کند. اکسپلویت Kelp DAO به یک باگ جدید قرارداد هوشمند متکی نبود. ضعف‌هایی در زیرساخت و پیکربندی را آشکار کرد و نشان داد که چگونه حملات از کد به سیستم‌هایی که از آن پشتیبانی می‌کنند فراتر می‌روند.

در همان زمان، گروه‌های مرتبط با کره شمالی به دشمنان دارای منابع خوب و پایداری تبدیل شده‌اند که قادرند آن سیستم‌ها را از جبهه‌های متعدد کاوش کنند.

این صنعت را بین پذیرش مداخله یا پذیرش خسارات جبران‌ناپذیر تقسیم می‌کند.

مجله: Adam Back می‌گوید تقاضای فعلی «تقریباً» کافی است تا Bitcoin را به ۱ میلیون دلار برساند