تعرضت منصة "Drift Protocol"، إحدى منصات التمويل اللامركزي العاملة على شبكة "Solana"، لواحدة من أكبر سرقات العملات المشفرة خلال 2026، بعد اختفاء نحو 285 مليون دولار في هجوم وقع يوم 1 أبريل، وسط ترجيحات من شركات تحليل بلوكتشين بأن كوريا الشمالية تقف وراء العملية.
وبحسب تقرير مترجم عن وول ستريت جورنال، لم تبدأ السرقة هذه المرة باختراق تقني مباشر أو برمجيات خبيثة فقط، بل بدأت بعلاقات بشرية امتدت لأشهر، بعدما تواصل أشخاص يزعمون أنهم يمثلون شركة تداول كمي مع مسؤولي Drift Protocol، وبنوا معهم الثقة عبر لقاءات مباشرة ومحادثات عمل على تطبيق "تليغرام".
سرقة ضخمة في يوم كذبة أبريل
وقعت العملية في 1 أبريل، وهو ما دفع منصة "Drift" إلى التحذير عبر وسائل التواصل الاجتماعي من نشاط غير معتاد، مؤكدة أن الأمر "ليس مزحة كذبة أبريل"، بينما أوقفت نشاط التداول على المنصة مع بدء التحقيقات.
وتقول شركات تحليل البلوكتشين، إن الهجوم أدى إلى سرقة نحو 285 مليون دولار من أصول المستخدمين، في واحدة من أكبر عمليات القرصنة التي ضربت قطاع التمويل اللامركزي هذا العام.
اللافت في الهجوم أن المشتبه بهم لم يعتمدوا فقط على أدوات تقنية، بل أمضوا أشهرا في بناء علاقة تبدو طبيعية مع فريق المنصة.
فقد ظهروا كأعضاء في شركة تداول جديدة، وشاركوا في مناقشات تجارية، وعقدوا اجتماعات، وأجروا تواصلا متكررا مع "Drift".
وبحسب التقرير، فإن هؤلاء الأشخاص قدموا أنفسهم بملفات مهنية تبدو قابلة للتحقق، بل إن الجهة المزعومة أودعت أكثر من مليون دولار على منصة Drift، في خطوة عززت صورتها أمام المنصة كشريك حقيقي وليس كتهديد محتمل.
تكتيك جديد في هجمات كوريا الشمالية
يرى محللون أن هذا الأسلوب يمثل تطورا مهما في عمليات القرصنة المرتبطة بكوريا الشمالية. فالهجمات السابقة اعتمدت غالبًا على البرمجيات الخبيثة، وانتحال الهوية، واختراق الحسابات، بينما ركزت هذه العملية على التلاعب بالثقة وبناء علاقات بشرية طويلة قبل تنفيذ الهجوم.
وهذا التحول يجعل الخطر أكبر على منصات الكريبتو، لأن التهديد لم يعد محصورًا في الثغرات البرمجية وحدها، بل أصبح يمتد إلى غرف الاجتماعات والمحادثات المهنية والشراكات التجارية الظاهرية.
قبل الهجوم بأسابيع، أنشأ القراصنة رمزا مزيفًا باسم CarbonVote، ثم نفذوا عمليات بيع وشراء عليه لبناء سجل سعري يبدو طبيعيًا، والهدف من ذلك كان خداع الأنظمة الآلية داخل Drift لقبول هذا الرمز كضمان حقيقي يمكن الاقتراض أو السحب مقابله.
كما أخفى المهاجمون شيفرة تسمح لهم بسحب الأموال من دون أن تكتشف المنصة الأمر في الوقت المناسب.
وفي يوم التنفيذ، رفعوا حدود السحب إلى مستويات كبيرة، ثم نفذوا عشرات عمليات السحب خلال دقائق بقيمة مئات الملايين من الدولارات.
بعد تنفيذ السرقة، جرى نقل معظم الأموال المسروقة من شبكة Solana إلى شبكة بلوكتشين أخرى خلال ساعات، وهو ما صعّب تتبع المسار الرقمي للأموال وجعل استعادتها أكثر تعقيدًا.
وتشير هذه الخطوة إلى مستوى عال من التخطيط، إذ لم تكن العملية مجرد استغلال سريع لثغرة، بل حملة منظمة جمعت بين الهندسة الاجتماعية والتلاعب الفني وسرعة نقل الأصول لإخفاء الأثر.
تمويل غير مشروع لاقتصاد كوريا الشمالية
تأتي هذه العملية ضمن نمط أوسع من اعتماد بيونغ يانغ على عائدات الكريبتو غير المشروعة لدعم اقتصادها وتمويل برامجها الحساسة.
فقد أصبحت مجموعات القرصنة المرتبطة بكوريا الشمالية من أخطر الفاعلين في سرقات العملات المشفرة عالميًا، بعد أن نُسبت إليها عمليات ضخمة خلال السنوات الأخيرة.
وتشير تقديرات شركات التحليل إلى أن كوريا الشمالية سرقت مبالغ قياسية من قطاع الكريبتو في 2025، ما جعلها مسؤولة عن جزء كبير من السرقات العالمية في هذا القطاع.
درس قاس لمنصات التمويل اللامركزي
تكشف سرقة Drift Protocol عن نقطة ضعف كبيرة في منصات التمويل اللامركزي، التي تعتمد على السرعة وانخفاض الرسوم وغياب الوسيط المركزي.
فهذه المزايا قد تتحول إلى ثغرات خطيرة، إذا تمكن المهاجمون من خداع الأنظمة الآلية أو بناء ثقة بشرية تسمح لهم بالاقتراب من قلب البنية التشغيلية للمنصة.
ولا تبدو هذه السرقة مجرد حادث كريبتو جديد، بل تحذيرًا من مرحلة أكثر تعقيدًا في الهجمات السيبرانية، حيث تختلط التكنولوجيا بالخداع البشري، وتتحول الثقة نفسها إلى مدخل لسرقات بمئات الملايين من الدولارات.
(ترجمات)