ar.beincrypto.com
كشف بروتوكول دريفت (DRIFT) في تحديث مفصل عن الحادث بتاريخ 5 أبريل أن اختراق بقيمة 285 مليون دولار في 1 أبريل كان نتيجة لعملية استخباراتية استمرت ستة أشهر ونُسبت إلى جهات مدعومة من الدولة الكورية الشمالية.
يصف هذا الإفصاح مستوى من الهندسة الاجتماعية يتجاوز بكثير محاولات الاحتيال المعتادة أو حيل توظيف المتخصصين، حيث يشمل اجتماعات شخصية، وتوظيف رؤوس أموال حقيقية، وأشهر من بناء الثقة.
شركة تداول وهمية لعبت على المدى الطويل
ذكر بروتوكول دريفت أن مجموعة ادعت أنها شركة تداول كمي اقتربت لأول مرة من المساهمين في مؤتمر عملات رقمية كبير في خريف 2025.
خلال الأشهر التالية، ظهر هؤلاء الأشخاص في فعاليات متعددة عبر عدة دول، وعقدوا جلسات عمل، وحافظوا على محادثات عبر تيليغرام متواصلة حول تكامل الخزائن.
TLDR on @DriftProtocol hack👇🏻
— Sona (∇, ∇) (@SheTalksCrypto) April 5, 2026
> 6-month social engineering op
> fake quant firm met contributors at conferences
> built trust + telegram group over months
> onboarded $1M+ vault with real capital
> shared "tools" & repos during integration talks
> one dev cloned… https://t.co/j9JzXXWpuf
تابعنا على X للحصول على آخر الأخبار فور حدوثها
بين ديسمبر 2025 ويناير 2026، فعّل الفريق خزانة الأنظمة البيئية على دريفت، وأودع أكثر من 1 مليون دولار كرأس مال، وشارك في مناقشات مفصلة حول المنتج.
بحلول مارس، التقى مساهمو دريفت بهؤلاء الأشخاص وجهاً لوجه في عدة مناسبات.
علق مطور العملات الرقمية جاوثام أن أخطر القراصنة لا يبدون مثل القراصنة.
يجد خبراء أمن الويب هذا الأمر مثيراً للقلق أيضاً، حيث شاركت الباحثة تاي أنها توقعت في البداية نموذجا عاديا للاحتيال بواسطة مجندين، لكن مستوى تعقيد العملية كان أكثر إثارة للقلق بكثير.
I beg everyone in crypto to read this in full.
— Tay 💖 (@tayvano_) April 5, 2026
I expected this to be another case of social engineering, likely some recruiter/job offer shit.
I was very wrong.
And the depth of the operation and personas makes me think they already have multiple other teams on lock.
😳 https://t.co/8ZTEDwqs9Y
كيف تم اختراق الأجهزة
حدد بروتوكول دريفت ثلاث ناقلات هجوم محتملة:
- استنسخ أحد المساهمين مستودع كود شاركته المجموعة كبوابة أمامية لخزانة.
- قام آخر بتحميل تطبيق TestFlight تم تقديمه كمنتج محفظة.
- بالنسبة لناقل المستودع، أشار دريفت إلى ثغرة معروفة في VSCode وCursor ظل باحثو الأمن يحذرون منها منذ أواخر 2025.
سمحت تلك الثغرة بتنفيذ كود عشوائي بصمت بمجرد فتح ملف أو مجلد في المحرر، دون الحاجة لتدخل المستخدم.
بعد سحب 1 أبريل، قام المهاجمون بحذف جميع محادثات تيليغرام والبرمجيات الخبيثة. ومنذ ذلك الحين، قام بروتوكول دريفت بتجميد وظائف البروتوكول المتبقية وإزالة المحافظ المخترقة من التوقيع المتعدد.
قيّم فريق SEALS 911، بثقة متوسطة-عالية، بأن نفس الجهات المهددة نفذت هجوم راديانت كابيتال في أكتوبر 2024، والذي نسبته شركة مانديانت إلى UNC4736.
The complexity and precision of this attack were beyond what most people could imagine.
— OneKey (@OneKeyHQ) December 12, 2024
North Korean hackers have clearly entered the next level of cybercrime.
Kim Jong-un woke up and choose violence.
————
On October 16, Radiant Capital—a decentralized cross-chain lending… pic.twitter.com/ZsgYujD12a
تدعم تدفقات الأموال على السلسلة والتداخلات التشغيلية بين الحملتين هذا الارتباط.
دعوات القطاع لإعادة تعيين الأمان
دعا أرماني فيرانتي، وهو مطور بارز على سولانا، كل فريق عملة مشفرة إلى التوقف عن جهود النمو ومراجعة كل مكدس الأمان لديهم بالكامل.
قال فيرانتي أن كل فريق في العملات المشفرة يجب أن يستغل هذه الفرصة للتباطؤ والتركيز على الأمان، وإذا أمكن، تخصيص فريق كامل لهذا الأمر... لا يمكنك أن تنمو إذا تم اختراقك.
أشار دريفت إلى أن الأفراد الذين ظهروا حضورياً ليسوا مواطنين من كوريا الشمالية، حيث يُعرف أن الجهات المهددة التابعة لكوريا الشمالية على هذا المستوى تقوم بتوظيف وسطاء من طرف ثالث للتعاملات المباشرة وجهاً لوجه.
ذكرت شركة مانديانت، التي استعان بها دريفت لتحليل الأدلة الجنائية للأجهزة، أنها لم تنسب الاستغلال رسمياً بعد.
يعمل هذا الإفصاح بمثابة تحذير للنظام البيئي الأوسع، حيث حث دريفت الفرق على مراجعة ضوابط الوصول، والتعامل مع كل جهاز يتعامل مع محفظة متعددة التوقيعات على أنه هدف محتمل، والتواصل مع SEAL 911 إذا اشتبهوا في استهداف مشابه.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026