امن وحماية المعلومات

كوريا الشمالية تسرق 500 مليون دولار من العملات الرقمية هذا الشهر — وتهديد الـ 6.75 مليار دولار لم ينته بعد

صورة سيد الأسهم سيد الأسهممنذ ساعتينآخر تحديث: 23 أبريل، 2026
5 دقائق
كوريا الشمالية تسرق 500 مليون دولار من العملات الرقمية هذا الشهر — وتهديد الـ 6.75 مليار دولار لم ينته بعد

في أقل من ثلاثة أسابيع، سرق قراصنة تابعون لكوريا الشمالية أكثر من 500 مليون دولار من منصات التمويل اللامركزي (DeFi).

يمثل هذا تصعيدًا خطيرًا في حملة بيونغ يانغ الحكومية لتمويل برامجها العسكرية من خلال سرقة العملات الرقمية.

دور Drift وKelpDAO في عمليات سرقة كوريا الشمالية

الهجومان الكبيران على منصتي Drift Protocol وKelpDAO رفعا إجمالي المسروقات الرقمية لكوريا الشمالية هذا العام إلى أكثر من 700 مليون دولار. تُظهر هذه الخسائر الضخمة تغيرًا في تكتيكات جيش قراصنة كيم جونغ أون، حيث يستخدمون الآن ثغرات معقدة في سلاسل التوريد ويتسللون بأفراد مخفيين لاختراق أنظمة الأمان.

كوريا الشمالية تسرق 500 مليون دولار من العملات الرقمية هذا الشهر — وتهديد الـ 6.75 مليار دولار لم ينته بعد

في 20 أبريل، أكدت شركة LayerZero أن KelpDAO تعرضت لاختراق أدى إلى خسارة 290 مليون دولار تقريبًا. هذا الهجوم، الذي حدث في 18 أبريل، أصبح الآن أكبر اختراق منفرد للعملات الرقمية في عام 2026. أشارت الشركة إلى أن الأدلة الأولية توجه الاتهام إلى خلية TraderTraitor، وهي جزء من مجموعة Lazarus الشهيرة في كوريا الشمالية.

وقبل هذا بأسابيع فقط، في 1 أبريل، تم سحب ما يقدر بـ 286 مليون دولار من منصة Drift Protocol اللامركزية للعقود الآجلة الدائمة القائمة على شبكة Solana. ربطت شركة تحليلات البلوكتشين Elliptic الأساليب المستخدمة في غسل الأموال والتسلسل الزمني للمعاملات بأنماط هجمات كوريا الشمالية السابقة، مشيرة إلى أنها الحادثة الثامنة عشرة التي تتعقبها هذا العام وحده.

اختراق البنية التحتية المحيطة

تكشف منهجية هجمات أبريل عن تطور في طريقة استهداف قراصنة الدول للتمويل اللامركزي. بدلاً من مهاجمة العقود الذكية الأساسية المحصنة مباشرة، يستهدف المخترقون البنية التحتية المحيطة بها.

في هجوم KelpDAO، أوضحت LayerZero أن المخترقين اخترقوا البنية التحتية لاستدعاء الإجراءات عن بُعد (RPC) المستخدمة من قبل شبكة المدققين اللامركزية (DVN) التابعة للشركة. من خلال تسميم مسارات البيانات الحيوية هذه، تمكن المخترقون من التلاعب بعمليات البروتوكول دون المساس بالتشفير الأساسي. قامت LayerZero منذ ذلك الحين بتعطيل العقد المتضررة واستعادة عمليات DVN، لكن الضرر المالي كان قد حدث بالفعل.

هذا النهج غير المباشر يظهر تطورًا مخيفًا في الحرب الإلكترونية. أكدت شركة الأمن السيبراني Cyvers أن المخترقين المرتبطين بكوريا الشمالية يظهرون تطورًا متزايدًا ويستثمرون موارد أكبر في التخطيط والتنفيذ لشن هجماتهم الضارة.

أضافت الشركة: “هذه الاستراتيجية تشبه إلى حد كبير التجسس السيبراني التقليدي في الشركات، وتظهر أن اختراقات كوريا الشمالية أصبحت أصعب في الإيقاف.”

الحوادث الأخيرة، مثل اختراق حزمة برامج Axios npm الشهيرة، والتي ربطها باحثو Google بمجموعة قراصنة كورية شمالية تُعرف باسم UNC1069، تُظهر جهدًا منهجيًا لتسميم المصادر قبل أن تصل البرامج إلى نظام البلوكتشين.

كوريا الشمالية تتسلل إلى سوق العملات الرقمية

إلى جانب الاختراقات التقنية، تنفذ كوريا الشمالية حاليًا عملية تسلل ضخمة ومنسقة في سوق العمل العالمي للعملات الرقمية. تحول نموذج التهديد من حملات القرصنة عن بُعد إلى وضع عملاء خبيثين مباشرة داخل شركات Web3 الناشئة التي لا تشك فيهم.

كشف تحقيق استمر ستة أشهر من مشروع Ketman (التابع لبرنامج أمان ETH Rangers التابع لمؤسسة Ethereum) عن نتائج مذهلة: حوالي 100 من قراصنة كوريا الشمالية موجودون حاليًا داخل شركات بلوكتشين مختلفة. يعمل هؤلاء العمال التقنيون المتطورون تحت هويات مزيفة، ويجتازون فحوصات الموارد البشرية القياسية، ويحصلون على حق الوصول إلى مستودعات التعليمات البرمجية الحساسة، ويجلسون في فرق المنتجات لأشهر أو حتى سنوات قبل تنفيذ هجوم محسوب.

أكد المحقق المستقل ZachXBT هذا الصبر على طريقة وكالات الاستخبارات. كشف مؤخرًا عن شبكة كورية شمالية متخصصة كانت تجني حوالي مليون دولار شهريًا باستخدام شخصيات مزيفة للحصول على عمل عن بُعد. هذا المخطط يقوم بتحويل العملات الرقمية إلى عملات ورقية عبر قنوات مالية عالمية خاضعة للعقوبات، وعالج أكثر من 3.5 مليون دولار منذ أواخر عام 2025.

تشير تقديرات الصناعة إلى أن النشر الأوسع للعمال التقنيين من قبل كوريا الشمالية يولد مبالغ بملايين الدولارات شهريًا. وهذا يخلق تدفقًا مزدوجًا للإيرادات للنظام: التراكم المستمر للرواتب الاحتيالية، بالإضافة إلى المكاسب الكارثية الناتجة عن عمليات الاستغلال التي يسهلها المخربون من الداخل.

شبكات غسل الأموال الكورية الشمالية والبقاء الاقتصادي

حجم عمليات كوريا الشمالية في الأصول الرقمية يفوق حجم أي عصابة إجرامية إلكترونية تقليدية. وفقًا لشركة تحليلات البلوكتشين Chainalysis، سرق قراصنة كوريا الشمالية مبلغًا قياسيًا قدره 2 مليار دولار في عام 2025 وحده، وهو ما يمثل 60٪ من إجمالي سرقات العملات الرقمية العالمية في ذلك العام. وقد تم تعزيز هذا الرقم بشكل كبير من خلال غارة مدمرة بقيمة 1.5 مليار دولار على منصة Bybit في فبراير 2025.

مع الأخذ في الاعتبار حملة هذا العام العنيفة، يُقدر إجمالي مسروقات كوريا الشمالية من الأصول الرقمية عبر التاريخ بـ 6.75 مليار دولار.

بمجرد سرقة الأموال، يُظهر قراصنة Lazarus أنماط غسيل أموال محددة وإقليمية. على عكس مجرمي العملات الرقمية العاديين الذين يستخدمون التبادلات اللامركزية وبروتوكولات الإقراض من نظير إلى نظير، يتجنب قراصنة كوريا الشمالية هذه الأساليب. بدلاً من ذلك، تكشف بيانات البلوكتشين عن اعتماد كبير على خدمات ضمان باللغة الصينية، وشبكات وسطاء تداول خارج البورصة (OTC) عميقة، وخدمات خلط عبر السلاسل معقدة.

يشير هذا التفضيل المحدد إلى قيود هيكلية وقنوات خروج محدودة جغرافيًا وراسخة، بدلاً من الوصول الواسع غير المقيد إلى النظام المالي العالمي.

هل يمكن منع هذه الهجمات؟

يقول باحثو الأمن والمسؤولون التنفيذيون في الصناعة أن الإجابة هي نعم، ولكن فقط إذا عالجت شركات العملات الرقمية نقاط الضعف التشغيلية نفسها التي تظهر باستمرار في الاختراقات الكبيرة.

صرح تيرينس كوك، مؤسس Humanity، أن النمط وراء العديد من خسائر كوريا الشمالية لا يزال يشير إلى نقاط ضعف مألوفة وليس أشكالًا جديدة تمامًا من الاختراق. في رأيه، يعمل قراصنة كوريا الشمالية على تحسين طرق الوصول الخاصة بهم وقدرتهم على تحويل الأموال المسروقة، لكن الضرر غالبًا ما يعود إلى ضعف التحكم في الوصول والمخاطر التشغيلية المركزة.

وأوضح قائلاً: “الدافع الحقيقي وراء ذلك هو تحسين الأمن الأساسي.” بالنظر إلى ذلك، صرح كوك أن خط الدفاع الأول للصناعة هو جعل تحريك الأصول أصعب للاختراق. وهذا يعني فرض رقابة أكثر صرامة على المفاتيح الخاصة، والأذونات الداخلية، ووصول الطرف الثالث عبر مجموعة البرامج.

من الناحية العملية، يتطلب ذلك من الشركات تقليل الاعتماد على المشغلين الأفراد، وتقييد الوصول المتميز، وتقوية تبعيات البائعين، وبناء المزيد من الضوابط حول البنية التحتية التي تقع بين البروتوكولات الأساسية والعالم الخارجي.

الأولوية الثانية هي السرعة. بمجرد أن تبدأ الأموال المسروقة في التحرك عبر السلاسل أو الجسور أو شبكات غسل الأموال، تنخفض فرص الاسترداد بشكل حاد. قال كوك إن التبادلات، ومصدري العملات المستقرة، وشركات تحليلات البلوكتشين، ووكالات إنفاذ القانون بحاجة إلى التنسيق بشكل أسرع خلال الدقائق والساعات الأولى بعد الاختراق إذا كانوا يريدون تحسين الاحتواء.

تصريحاته تشير إلى واقع أوسع للقطاع. غالبًا ما تكون أنظمة العملات الرقمية أصعب في الدفاع عنها حيث تلتقي الشفرة والأشخاص والعمليات. يمكن أن تؤدي بيانات الاعتماد المخترقة، أو تبعية البائع الضعيفة، أو فشل الأذونات الذي تم التغاضي عنه إلى خلق ثغرة كبيرة بما يكفي لسحب مئات الملايين من الدولارات.

لم يعد التحدي الذي يواجه التمويل اللامركزي (DeFi) هو مجرد كتابة عقود ذكية مرنة. بل هو تأمين المحيط التشغيلي حولها قبل أن يستغل المهاجمون الحلقة الضعيفة التالية.

الأسئلة الشائعة

  • س: كيف تسرق كوريا الشمالية مئات الملايين من العملات الرقمية؟
    ج: تستخدم كوريا الشمالية أسلوبين رئيسيين: الأول هو اختراق البنية التحتية المحيطة بمنصات التمويل اللامركزي بدلاً من العقود الذكية نفسها. والثاني هو تسلل عملاء سريين يعملون بهويات مزيفة داخل شركات البلوكتشين للحصول على معلومات حساسة.
  • س: ما هو حجم الأموال التي سرقتها كوريا الشمالية من العملات الرقمية حتى الآن؟
    ج: يُقدر إجمالي المسروقات عبر التاريخ بحوالي 6.75 مليار دولار. في عام 2025 وحده، سرقوا 2 مليار دولار وهو ما يمثل 60% من إجمالي سرقات العملات الرقمية العالمية في ذلك العام.
  • س: هل يمكن للشركات منع هذه الهجمات في المستقبل؟
    ج: نعم، ولكن ذلك يتطلب تحسين الأمن الأساسي مثل تشديد التحكم في المفاتيح الخاصة والأذونات الداخلية، وتقليل الاعتماد على الأفراد، وبناء ضوابط أفضل حول البنية التحتية المحيطة، والتنسيق السريع بين الشركات وجهات إنفاذ القانون بعد أي اختراق.

صورة سيد الأسهم سيد الأسهممنذ ساعتينآخر تحديث: 23 أبريل، 2026
5 دقائق
صورة سيد الأسهم

سيد الأسهم

خبير في تحليل أسواق الأسهم، يقدم تحليلات دقيقة واستراتيجيات تداول ناجحة للمستثمرين.
زر الذهاب إلى الأعلى