عملية استخباراتية مدتها ستة أشهر سبقت استغلالًا بقيمة 270 مليون دولار لبروتوكول Drift Protocol، وتم تنفيذها بواسطة مجموعة مرتبطة بدولة North Korea، وفقًا لتحديث حادثة مفصل نشره الفريق في وقت سابق يوم الأحد.
تواصل المهاجمون لأول مرة في حوالي خريف 2025 خلال مؤتمر تشفير رئيسي، وعرّفوا أنفسهم على أنهم شركة تداول كمي يرغبون في الاندماج مع Drift.
قالت Drift Protocol إنهم كانوا يجيدون الأمور تقنيًا، ولديهم خلفيات مهنية يمكن التحقق منها، ويفهمون كيفية عمل البروتوكول. تم إنشاء مجموعة على Telegram، وما تلا ذلك كان أشهرًا من المحادثات الجوهرية حول استراتيجيات التداول وعمليات دمج الـ vaults، وهي تفاعلات شائعة لكيفية قيام شركات التداول بإعداد عمليات الانضمام مع بروتوكولات DeFi.
بين ديسمبر 2025 ويناير 2026، قامت المجموعة بضم Ecosystem Vault على Drift Protocol، وعقدت عدة جلسات عمل مع المساهمين، وأودعت أكثر من 1 مليون دولار من رأس مالها الخاص، وبنت وجودًا تشغيليًا يعمل فعليًا داخل النظام البيئي.
قابل مساهمو Drift Protocol أفرادًا من المجموعة وجهًا لوجه في عدة مؤتمرات كبرى للصناعة عبر عدة دول حتى فبراير ومارس. وبحلول وقت إطلاق الهجوم في 1 أبريل، كانت العلاقة قد قاربت نصف عام.
يبدو أن الاختراق جاء عبر مسارين اثنين.
تم تنزيل تطبيق TestFlight، وهو منصة Apple لتوزيع التطبيقات قبل إطلاقها التي تتجاوز مراجعة أمان App Store، والتي قدمتها المجموعة على أنها منتج محفظتها.
أما بالنسبة لمسار المستودع (repository)، فأشارت Drift Protocol إلى ثغرة معروفة في VSCode وCursor، وهما اثنان من أكثر محرري الأكواد استخدامًا في تطوير البرمجيات، وكانت مجتمع الأمن يشير إليهما منذ أواخر 2025، حيث كان مجرد فتح ملف أو مجلد داخل المحرر كافيًا لتنفيذ كود تعسفي بشكل صامت دون أي طلب أو تحذير من أي نوع.
بمجرد اختراق الأجهزة، كان لدى المهاجمين ما يحتاجونه للحصول على الموافقتين (multisig) اللازمتين اللتين مكّنتا هجوم الـ durable nonce الذي فصّلت CoinDesk تفاصيله في وقت سابق هذا الأسبوع. ظلت هذه المعاملات الموقعة مسبقًا خاملة لأكثر من أسبوع قبل تنفيذها في 1 أبريل، ما أدى إلى سحب 270 مليون دولار من خزائن (vaults) البروتوكول خلال أقل من دقيقة.
تشير نسبة المسؤولية إلى UNC4736، وهي مجموعة مرتبطة بدولة North Korea أيضًا، والتي يتم تتبعها كذلك باسم AppleJeus أو Citrine Sleet، استنادًا إلى التدفقات المالية على السلسلة (on-chain) التي تُتبع عائدًا إلى مهاجمي Radiant Capital، وكذلك إلى التداخل التشغيلي مع شخصيات معروفة مرتبطة بـ DPRK.
لكن الأفراد الذين ظهروا شخصيًا في المؤتمرات لم يكونوا من مواطني North Korea. من المعروف أن الجهات الفاعلة التهديدية التابعة لـ DPRK على هذا المستوى تقوم بنشر وسطاء من أطراف ثالثة بهويات مُنشأة بالكامل، وسجل توظيف، وشبكات مهنية تم بناؤها لتحمل العناية الواجبة.
حثت Drift Protocol بروتوكولات أخرى على تدقيق ضوابط الوصول ومعاملة كل جهاز يتعامل مع multisig كهدف محتمل. تتمثل الإشارة الأوسع في شيء مقلق بالنسبة لصناعة تعتمد على حوكمة multisig باعتبارها نموذجها الأمني الأساسي.
ولكن إذا كان المهاجمون على استعداد لإنفاق ستة أشهر ومليون دولار في بناء حضور مشروع داخل نظام بيئي، والالتقاء بالفرق شخصيًا، والمساهمة برأس مال حقيقي، والانتظار—فالسؤال هو: ما نموذج الأمان المصمم لالتقاط ذلك؟
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
