قالت Elliptic يوم الخميس إن استغلال بروتوكول Drift بقيمة 285 مليون دولار، وهو الأكبر هذا العام، يحمل "مؤشرات متعددة" على تورط مجموعة القراصنة التابعة لكوريا الشمالية المدعومة من الدولة.
أشارت الشركة البحثية تحديداً إلى السلوك على السلسلة ومنهجيات غسل الأموال وإشارات على مستوى الشبكة، والتي تتماشى جميعها مع الهجمات السابقة المرتبطة بالدولة.
بروتوكول Drift، الذي انخفض رمزه بأكثر من 40% إلى حوالي 0.06 دولار منذ الاختراق، هو أكبر بورصة لامركزية للعقود الآجلة الدائمة على بلوكتشين سولانا.
قال التقرير: "إذا تم التأكيد، فإن هذا الحادث سيمثل الفعل الثامن عشر لكوريا الشمالية الذي تتبعته Elliptic هذا العام، مع سرقة أكثر من 300 مليون دولار حتى الآن".
أضافت Elliptic: "إنه استمرار لحملة كوريا الشمالية المستمرة لسرقة الأصول المشفرة على نطاق واسع، والتي ربطتها الحكومة الأمريكية بتمويل برامج أسلحتها. يُعتقد أن الجهات المرتبطة بكوريا الشمالية مسؤولة عن سرقة مليارات الدولارات من الأصول المشفرة في السنوات الأخيرة".
في وقت سابق بساعات، أظهرت بيانات Arkham أنه تم نقل أكثر من 250 مليون دولار من Drift إلى محفظة مؤقتة، ثم إلى عناوين مختلفة أخرى.
في ديسمبر، كشف تقرير Chainalysis أن قراصنة كوريا الشمالية سرقوا رقماً قياسياً بلغ 2 مليار دولار من العملات المشفرة في عام 2025، بما في ذلك اختراق Bybit بقيمة 1.4 مليار دولار، مما يمثل زيادة بنسبة 51% عن العام السابق. قالت وزارة الخزانة الأمريكية الشهر الماضي إن كوريا الشمالية تستخدم الأصول المسروقة لتمويل برنامج أسلحة الدمار الشامل في البلاد.
بدلاً من التركيز على الاستغلال نفسه، يسلط تحليل Elliptic الضوء على نمط تشغيلي مألوف. يبدو النشاط "مخططاً له مسبقاً ومنظماً بعناية"، مع معاملات اختبارية مبكرة ومحافظ موضوعة مسبقاً تسبق الحدث الرئيسي.
يوضح التقرير أنه بمجرد التنفيذ، تم دمج الأموال وتبادلها بسرعة، وربطها عبر السلاسل، وتحويلها إلى أصول أكثر سيولة، مما يعكس تدفقاً منظماً وقابلاً للتكرار لغسل الأموال مصمم لإخفاء المصدر مع الحفاظ على السيطرة.
تشير Elliptic إلى أن التحدي الرئيسي هو نموذج حساب سولانا. نظراً لأن كل أصل يتم الاحتفاظ به في حساب رمز منفصل، فإن النشاط المرتبط بجهة فاعلة واحدة يمكن أن يظهر مجزأً عبر عناوين متعددة. بدون ربط هذه العناوين، يخاطر المحققون برؤية "أجزاء من نشاط المهاجم، وليس الصورة الكاملة".
هنا يسلط تقرير Elliptic الضوء على نهج التجميع، الذي يربط حسابات الرموز بكيان واحد، مما يسمح بتحديد التعرض بغض النظر عن العنوان الذي يتم فحصه. في حادث يتضمن أكثر من اثني عشر نوعاً من الأصول، تصبح رؤية مستوى الكيان هذه أمراً بالغ الأهمية.
تؤكد القضية أيضاً، كما تضيف Elliptic في تقريرها، كيف أصبح غسل الأموال بطبيعته عابراً للسلاسل. انتقلت الأموال من سولانا إلى الإيثريوم وما بعده، مما يُظهر الحاجة إلى ما وصفته Elliptic بـ "قدرات التتبع الشاملة عبر السلاسل".
المصدر: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
