دريفت تربط اختراق بقيمة 280 مليون دولار بمشتبه بهم من كوريا الشمالية

شارك الفريق وراء بروتوكول دريفت تفاصيل جديدة حول الاختراق الذي بلغت قيمته 280 مليون دولار والذي وقع في 1 أبريل. يبدو أن الهجوم كان أكثر تعقيدًا مما كان يُعتقد في البداية. وفقًا لأحدث التحديثات، لم يكن الحادث مفاجئًا أو عشوائيًا، بل كان جزءًا من عملية طويلة ومدروسة بعناية. 

🚨UPDATE: DRIFT'S $280M HACK WAS A SIX-MONTH LONG NORTH KOREAN SOCIAL ENGINEERING OPERATION

Drift Protocol (@DriftProtocol) has revealed the April 1 exploit that wiped $280 million from the Solana-based perpetuals exchange was not a random attack. It was the result of a… pic.twitter.com/aRqK1yagbH

— BSCN (@BSCNews) April 6, 2026

يعتقد الفريق أن الهجوم قد يكون مرتبطًا بمجموعة مرتبطة بكوريا الشمالية. يصف المحققون الحادث بأنه “عملية استخبارات منظمة”. من المحتمل أن تكون قد استغرقت شهورًا من التخطيط والتنسيق والتنفيذ.

إعداد استمر ستة أشهر

تظهر التحقيقات أن المهاجمين بدأوا عملهم في وقت مبكر من أواخر عام 2025. خلال هذه الفترة، اقتربوا من مساهمي بروتوكول دريفت متظاهرين بأنهم شركة تداول. التقوا بأعضاء الفريق في أحداث كريبتو الكبرى عبر دول مختلفة. مع مرور الوقت، بنوا الثقة من خلال الاجتماعات المتكررة والنقاشات الفنية.

بدت المجموعة محترفة ومجهزة جيدًا. شاركوا الأفكار، ناقشوا الاستراتيجيات، وحتى أودعوا أموالًا في البروتوكول. وبذلك، لم يبدو عليهم الشك في البداية. بل بدوا كأنهم شركاء عاديون ينضمون إلى النظام البيئي.

كيف تطور الهجوم؟

على مدار عدة أشهر، حصل المهاجمون على وصول أعمق. تفاعلوا مع المساهمين من خلال الدردشات وشاركوا الأدوات. في بعض الحالات، أرسلوا روابط لمستودعات الشيفرة والتطبيقات. بدت هذه كجزء من تعاون مستمر.

لكن المحققين يعتقدون الآن أن المهاجمين قد استخدموا هذه الأدوات لاختراق الأجهزة. بمجرد أن حصلوا على الوصول، أعد المهاجمون خطوتهم التالية. في 1 أبريل، نفذوا الخطة بسرعة. غالبًا ما تستخدم هذه العمليات وسطاء لبناء الثقة. استخدم المهاجمون الأذونات المعتمدة مسبقًا للسيطرة على الأنظمة الرئيسية. ثم أزالوا الحواجز وسحبوا الأموال من البروتوكول. في غضون فترة قصيرة، تم سحب حوالي 280 مليون دولار.

روابط لمجموعات تهديد معروفة

تشير النتائج الأولية إلى وجود ارتباط محتمل بمجموعة معروفة مرتبطة بكوريا الشمالية. تم ربط هذه المجموعة بـ هجمات كريبتو سابقة. يأتي الارتباط من بيانات على السلسلة والتكتيكات المماثلة المستخدمة في الحوادث السابقة. لاحظ المحققون تداخلات في سلوكيات وأنماط حركة الأموال.

لكن نسبة الفعل لم تؤكد بالكامل بعد. لا يزال العمل الجنائي جارياً. من المهم أيضًا ملاحظة أن الأشخاص الذين تفاعلوا مع الفريق شخصيًا لم يكونوا على الأرجح أعضاء مباشرين. غالبًا ما تستخدم هذه العمليات وسطاء لبناء الثقة.

ماذا يحدث بعد ذلك؟

بعد الهجوم، اتخذت دريفت عدة خطوات للحد من الأضرار. قامت المنصة بتجميد الوظائف الرئيسية وإزالة الوصول المخترق. بينما يعمل فريق بروتوكول دريفت مع خبراء الأمن والجهات القانونية. هدفهم هو تتبع الأموال المسروقة وفهم النطاق الكامل للاختراق.

تسلط هذه الحادثة الضوء على خطر متزايد في عالم الكريبتو. ليست كل الهجمات تستهدف الشيفرة. بعض الهجمات تستهدف الأشخاص بدلاً من ذلك. في هذه الحالة، تم استخدام الثقة كنقطة دخول. قضى المهاجمون شهورًا في بناء العلاقات قبل التحرك. ونتيجة لذلك، تعتبر هذه الحادثة تحذيرًا. حتى الفرق ذات الخبرة يجب أن تبقى يقظة. في بيئة اليوم، تتجاوز الأمان التكنولوجيا. بل تعتمد أيضًا على الحكم البشري والحذر.