أعلنت شركة ريبل (Ripple) يوم الاثنين أنها بدأت بمشاركة معلوماتها الداخلية عن المخاطر الأمنية المتعلقة بمجموعات القرصنة الكورية الشمالية مع بقية شركات العملات الرقمية. هذه الخطوة تمثل تحولاً في طريقة تعامل القطاع مع الهجمات الإلكترونية القادمة من كوريا الشمالية.
كيف حصل اختراق “دريفت” (Drift)؟
اختراق منصة “دريفت” لم يكن مثل الاختراقات التي نعرفها. لم يجد المهاجمون ثغرة في الكود أو يستغلوا عقداً ذكياً. بدلاً من ذلك، قام عملاء كوريون شماليون بالتسلل إلى فريق العمل في المنصة على مدار أشهر، كوّنوا صداقات مع المطورين، ثم زرعوا برامج ضارة على أجهزتهم، وسرقوا مفاتيح الوصول. عندما تم تحويل 285 مليون دولار، لم تكن هناك أي أنظمة أمنية قادرة على اكتشاف الاختراق. هذا ما كشفته ريبل ومنظمة “كريبتو أي إس إيه سي” (Crypto ISAC) – وهي مجموعة تبادل معلومات التهديدات في قطاع العملات الرقمية – يوم الاثنين.
تغيير أسلوب الهجمات
في الفترة بين 2022 و2024، كانت معظم هجمات التمويل اللامركزي (DeFi) تعتمد على استغلال ثغرات في الكود، حيث كان المخترقون يجدون نقاط ضعف في العقود الذكية وينهبون الأموال في دقائق.
ولكن مع تحسن أنظمة الأمان، تحولت أساليب الهجوم من التكنولوجيا إلى البشر. الآن، يقوم عملاء كوريون شماليون بالتقديم على وظائف في شركات العملات الرقمية، يجتازون فحص الخلفية، يظهرون في مكالمات الفيديو، ويبنون الثقة لأشهر. ثم ينفذون هجمات لا تستطيع أي أداة أمنية تقليدية اكتشافها، لأن المخترق أصبح بالفعل داخل النظام.
ما الذي تقدمه ريبل الآن؟
تقوم ريبل بتزويد منظمة “كريبتو أي إس إيه سي” ببيانات تعريفية تجعل هذا النمط من الهجمات واضحاً عبر الشركات. هذه البيانات تشمل:
- حسابات لينكد إن (LinkedIn)
- عناوين البريد الإلكتروني
- المواقع الجغرافية
- أرقام الاتصال
هذه المعلومات تسمح لفرق الأمن بربط المرشح لوظيفة ما بأنه نفس الشخص الذي فشل في فحص الخلفية في ثلاث شركات أخرى الأسبوع الماضي.
وقالت ريبل على منصة إكس (X): “أقوى وضع أمني في عالم العملات الرقمية هو الوضع المشترك. المخترق الذي يفشل في فحص الخلفية في شركة واحدة سيتقدم إلى ثلاث شركات أخرى في نفس الأسبوع. بدون معلومات استخباراتية مشتركة، كل شركة تبدأ من الصفر”.
تداعيات قانونية جديدة
انتشار مجموعة “لازاروس” (Lazarus Group) الكورية الشمالية في قطاع العملات الرقمية أصبح كبيراً لدرجة أنه بدأ يؤثر على الإجراءات القانونية أيضاً. يوم الاثنين، قدم محامٍ يمثل ضحايا الإرهاب الكوري الشمالي أوامر حجز على منصة “آربيتروم دي إيه أو” (Arbitrum DAO)، بحجة أن 30,765 إيثر (ETH) التي تم تجميدها بعد اختراق جسر “كيلب” (Kelp) في أبريل هي ملكية كورية شمالية بموجب قانون الإنفاذ الأمريكي.
شركة الإقراض “آفي” (Aave) اعترضت على هذا الإجراء لدعمها لمنصة آربيتروم، بحجة أن “اللص لا يملك الحق القانوني في الملكية المسروقة بمجرد أخذها”.
اختراق “كيلب” أدى إلى سرقة 292 مليون دولار من الإيثر (ETH)، وتم نسبه أيضاً إلى عملاء مجموعة لازاروس. إجمالي خسائر اختراقي “دريفت” و”كيلب” في شهر واحد تجاوز نصف مليار دولار، كلها مرتبطة بجهة حكومية واحدة.
هل تنجح مشاركة المعلومات؟
السؤال المفتوح الآن هو: هل ستؤدي مشاركة المعلومات الاستخباراتية على مستوى الصناعة إلى إبطاء هذه الحملات؟ قد يكون نفس العملاء الكوريين الشماليين قد بدأوا بالفعل جولة مقابلات وظيفية جديدة في مكان آخر.
الأسئلة الشائعة (FAQs)
س: ما هو اختراق “دريفت” وكيف يختلف عن الاختراقات العادية؟
ج: اختراق “دريفت” ليس اختراقاً تقنياً عادياً. المخترقون (عملاء كوريون شماليون) لم يستغلوا ثغرات برمجية، بل تسللوا إلى فريق العمل لعدة أشهر، كوّنوا علاقات، وزرعوا برامج ضارة لسرقة المفاتيح. هذا أسلوب جديد يركز على خداع البشر بدلاً من اختراق الأنظمة.
س: ما الذي تفعله ريبل لمواجهة قراصنة كوريا الشمالية؟
ج: تشارك ريبل بياناتها الداخلية عن عملاء كوريا الشمالية مع منظمة “كريبتو أي إس إيه سي”. هذه البيانات تشمل الحسابات الشخصية، الإيميلات، والأرقام، لمساعدة شركات العملات الرقمية الأخرى على التعرف على المخترقين قبل أن يتمكنوا من التسلل إلى أنظمتهم.
س: هل هناك تداعيات قانونية لهذه الاختراقات؟
ج: نعم، بدأت إجراءات قانونية جديدة. محامون يمثلون ضحايا الهجمات الكورية الشمالية قدموا أوامر حجز على منصة “آربيتروم” لمصادرة أموال يعتقد أنها تعود للمخترقين، مما يظهر تأثير هذه الهجمات على النظام القضائي أيضاً.
