بعد أقل من ثلاثة أسابيع من استخدام قراصنة مرتبطين بكوريا الشمالية الهندسة الاجتماعية لاستهداف شركة تداول العملات المشفرة Drift، يبدو أن القراصنة المرتبطين بالدولة قد نفذوا اختراقًا كبيرًا آخر مع Kelp.
يشير الهجوم على Kelp، وهو بروتوكول إعادة الرهان المرتبط ببنية LayerZero التحتية التبادل العابر للسلاسل، إلى تطور في كيفية عمل القراصنة المرتبطين بكوريا الشمالية، ليس فقط البحث عن أخطاء أو بيانات اعتماد مسروقة، بل استغلال الافتراضات الأساسية المدمجة في الأنظمة اللامركزية.
معًا، تشير الحادثتان إلى شيء أكثر تنظيمًا من سلسلة من الاختراقات المنفردة، حيث تواصل كوريا الشمالية تصعيد جهودها لاختطاف الأموال من قطاع العملات المشفرة.
قال ألكسندر أوربيليس، كبير مسؤولي أمن المعلومات والمستشار العام في ENS Labs: "هذه ليست سلسلة من الحوادث؛ إنها إيقاع". "لا يمكنك إصلاح طريقك للخروج من جدول المشتريات."
تم سحب أكثر من 500 مليون دولار عبر اختراقات Drift و Kelp في ما يزيد قليلاً عن أسبوعين.
كيف تم اختراق Kelp
في جوهره، لم يتضمن استغلال Kelp كسر التشفير أو اختراق المفاتيح. في الواقع، عمل النظام بالطريقة التي صُمم بها. بدلاً من ذلك، تلاعب المهاجمون بالبيانات المغذية للنظام وأجبروه على الاعتماد على تلك المدخلات المعرضة للخطر، مما تسبب في الموافقة على معاملات لم تحدث فعليًا أبدًا.
قال أوربيليس: "فشل الأمان بسيط: الكذبة الموقعة لا تزال كذبة". "التوقيعات تضمن التأليف؛ إنها لا تضمن الحقيقة."
ببساطة، فحص النظام من أرسل الرسالة، وليس ما إذا كانت الرسالة نفسها صحيحة. بالنسبة لخبراء الأمن، يجعل هذا الأمر أقل تعلقًا باختراق جديد ذكي وأكثر تعلقًا باستغلال كيفية إعداد النظام.
قال ديفيد شويد، المدير التنفيذي للعمليات في شركة أمن البلوكتشين SVRN: "لم يكن هذا الهجوم يتعلق بكسر التشفير". "كان يتعلق باستغلال كيفية إعداد النظام."
كانت إحدى المشكلات الرئيسية هي خيار التكوين. اعتمد Kelp على مدقق واحد، في الأساس فاحص واحد، للموافقة على رسائل التبادل العابر للسلاسل. ذلك لأنه أسرع وأبسط في الإعداد، لكنه يزيل طبقة أمان حرجة.
أوصى LayerZero منذ ذلك الحين باستخدام مدققين مستقلين متعددين للموافقة على المعاملات في أعقاب ذلك، على غرار طلب توقيعات متعددة على التحويل المصرفي. قد دفع البعض في النظام البيئي اللامركزي ضد هذا التأطير، قائلين إن الإعداد الافتراضي لـ LayerZero كان وجود مدقق واحد.
قال شويد: "إذا حددت تكوينًا على أنه غير آمن، فلا ترسله كخيار". "الأمان الذي يعتمد على قراءة الجميع للمستندات والحصول عليها بشكل صحيح ليس واقعيًا."
لم تبق العواقب محدودة على Kelp. مثل العديد من أنظمة DeFi، تُستخدم أصوله عبر منصات متعددة، مما يعني أن المشاكل يمكن أن تنتشر.
قال شويد: "هذه الأصول هي سلسلة من سندات الدين". "والسلسلة قوية فقط بقدر قوة الضوابط على كل حلقة."
عندما تنكسر حلقة واحدة، يتأثر الآخرون. في هذه الحالة، منصات الإقراض مثل Aave التي قبلت الأصول ضمانية المتضررة تتعامل الآن مع الخسائر، مما يحول استغلالًا واحدًا إلى حدث ضغط أوسع.
تسويق اللامركزية
يكشف الهجوم أيضًا عن فجوة بين كيفية تسويق اللامركزية وكيفية عملها فعليًا.
قال شويد: "المدقق الواحد ليس لامركزيًا". "إنه مدقق لامركزي مركزي."
يضعه أوربيليس بشكل أوسع.
قال: "اللامركزية ليست خاصية يمتلكها النظام. إنها سلسلة من الخيارات". "والمجموعة قوية فقط بقدر قوة طبقتها الأكثر مركزية."
في الممارسة العملية، هذا يعني أنه حتى الأنظمة التي تبدو لامركزية يمكن أن تحتوي على نقاط ضعف، خاصة في الطبقات الأقل وضوحًا مثل موفري البيانات أو البنية التحتية. هذه هي المناطق التي يركز عليها المهاجمون بشكل متزايد.
قد يفسر هذا التحول الاستهداف الأخير لـ Lazarus.
قال أوربيليس إن المجموعة بدأت في التركيز على البنية التحتية للتبادل العابر للسلاسل وإعادة الرهان، أجزاء العملات المشفرة التي تنقل الأصول بين الأنظمة أو تسمح بإعادة استخدامها.
هذه الطبقات حرجة لكنها معقدة، غالبًا ما تكون تحت التطبيقات الأكثر وضوحًا. كما تميل إلى الاحتفاظ بكميات كبيرة من القيمة، مما يجعلها أهدافًا جذابة.
إذا ركزت موجات سابقة من اختراقات العملات المشفرة على البورصات أو عيوب التعليمات البرمجية الواضحة، فإن النشاط الأخير يشير إلى التحرك نحو ما يمكن تسميته بالسباكة الصناعية، الأنظمة التي تربط كل شيء معًا، لكنها أصعب في المراقبة وأسهل في سوء التكوين.
مع استمرار Lazarus في التكيف، قد لا يكون أكبر خطر هو الثغرات غير المعروفة، بل الثغرات المعروفة التي لم تتم معالجتها بالكامل.
لم يقدم استغلال Kelp نوعًا جديدًا من الضعف. لقد أظهر مدى تعرض النظام البيئي للثغرات المألوفة، خاصة عندما يُعامل الأمان كتوصية بدلاً من متطلب.
ومع تحرك المهاجمين بشكل أسرع، أصبحت تلك الفجوة أسهل في الاستغلال وأغلى بكثير للتجاهل.
اقرأ المزيد: قراصنة كوريا الشمالية يديرون سرقات ضخمة برعاية الدولة لإدارة اقتصادها وبرنامجها النووي
المصدر: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
