في أبريل 2026، شكل اختراقان قيمتهما 577 مليون دولار ما نسبته 76% من إجمالي سرقات العملات الرقمية لهذا العام. كلا الاختراقين كان من تنفيذ مجموعة “لازاروس” التابعة لكوريا الشمالية.
لم يكن أي من الاختراقين هجومًا على العقود الذكية. أمضى المهاجمون ستة أشهر في التظاهر بأنهم شركة تداول، وحضور مؤتمرات العملات الرقمية شخصيًا، وبناء علاقات حقيقية مع مهندسي بروتوكول “دريفت” قبل أن يتمكنوا من الحصول على التوقيعات اللازمة لسرقة 285 مليون دولار في اثنتي عشرة دقيقة فقط.
أما الاختراق الآخر فقد سرق 292 مليون دولار من عقدة جسر معرضة للخطر. هذه لم تعد مجرد مشكلة أمنية في عالم العملات الرقمية. إنها عملية استخباراتية ترعاها دولة، تديرها دولة تستخدم العائدات لتمويل برنامج أسلحتها. والصناعة بدأت للتو في الاعتراف بذلك.
اثنتا عشرة دقيقة في أبريل
في الساعة 16:06:09 بالتوقيت العالمي في الأول من أبريل 2026، تمكن أحد المهاجمين من استنزاف الخزائن الرئيسية لبروتوكول “دريفت”، أكبر بورصة عقود دائمة لا مركزية على شبكة سولانا، بمبلغ يقدر بـ 285 مليون دولار من أصول المستخدمين. أول عملية سحب نقلت 41.72 مليون رمز JLP. وآخر عملية سحب نقلت 2,200 إيثريوم مغلف. تم إفراغ الخزانة بأكملها في اثنتي عشرة دقيقة، وهو الوقت الذي يستغرقه كتابة رسالة نصية طويلة.
أول بيان عام للفريق، الذي نُشر على منصة X في غضون ساعات، طلب من المجتمع التأكيد على أن النشاط غير المعتاد الذي يرونه ليس مزحة كذبة أبريل. لم يكن كذلك. لقد كان تتويجًا لستة أشهر من الإعداد المنهجي من قبل عملاء يعملون لصالح حكومة كوريا الشمالية.
بعد سبعة عشر يومًا، في 18 أبريل، تمكن المهاجمون من استنزاف 292 مليون دولار من “كيلب داو”، وهو بروتوكول إعادة تخزين، عن طريق التلاعب في تكوين مدقق واحد في جسر “ليير زيرو” الخاص به. شكل الاختراقان مجتمعين ما يقرب من 95% من سرقات العملات الرقمية في أبريل والتي بلغت 625 مليون دولار، مما جعل أبريل 2026 أسوأ شهر في تاريخ أمن العملات الرقمية المسجل. تجاوزت السرقات منذ بداية العام حتى نهاية أبريل مليار دولار. نسبت شركة “تي آر إم لابز” 76% من إجمالي سرقات 2026 إلى هذين الاختراقين. كلاهما كان من عمل نفس الجهة المهددة.
هذه الجهة هي مجموعة “لازاروس”، الاسم الشامل الذي تستخدمه وكالات الاستخبارات الغربية لعمليات القرصنة التي ترعاها الدولة والتي تُدار من مكتب الاستطلاع العام، وكالة الاستخبارات الرئيسية في كوريا الشمالية. منذ عام 2017، سرقت لازاروس ووحداتها الفرعية أكثر من 6 مليارات دولار من العملات الرقمية.
وفقًا لأرقام شركة “تشيناليسيس”، تم سرقة 2.06 مليار دولار من هذا المبلغ في عام 2025 وحده، مدفوعًا بشكل أساسي باختراق “باي بت” الكارثي الذي بلغت قيمته 1.5 مليار دولار في فبراير من ذلك العام، وهو أكبر اختراق للعملات الرقمية في التاريخ. وتضع وتيرة عام 2026 المجموعة على المسار الصحيح لتجاوز إجمالي عام 2025 بسهولة.
هذه ليست قصة أمنية تقليدية للعملات الرقمية بأي مفهوم تقليدي. التهديدات التي تواجهها بروتوكولات التمويل اللامركزي اليوم ليست التهديدات التي صُممت للدفاع ضدها. كان القلق في حقبة 2020 هو أخطاء العقود الذكية وهجمات القروض السريعة، وهي ثغرات في الكود. واقع عام 2026 هو عمليات مستدامة ومتعددة الدول ومتعددة الأشهر يديرها محترفون استخباراتيون لا يحتاجون إلى استغلال ثغرة في الكود لأنهم يمتلكون المفاتيح بالفعل. كل ما كان عليهم فعله هو إقناع شخص ما بتسليمها لهم.
هذا ما كان عليه هجوم “دريفت”. وفهمه هو أهم درس أمني يمكن لأي حامل أو مطور أو مسؤول في العملات الرقمية الحصول عليه الآن.
عملية دريفت خطوة بخطوة
التقرير الرسمي لبروتوكول “دريفت” حول الحادثة، الذي نُشر في أوائل أبريل، يبدو أشبه بتقرير استخباراتي مضاد أكثر منه إفصاح أمني. يبدأ في أكتوبر 2025.
في أحد مؤتمرات العملات الرقمية الكبرى، اقتربت مجموعة من الأفراد يقدمون أنفسهم كممثلين لشركة تداول كمية من المساهمين في دريفت. كان لديهم خلفيات مهنية موثقة، وأظهروا إلمامًا تقنيًا، وطرحوا الأسئلة نفسها التي قد تطرحها شركة تداول مؤسسية حقيقية حول الاندماج مع بروتوكول العقود الدائمة. تعامل مساهمو دريفت، الذين يتعاملون مع مثل هذه الطلبات بشكل روتيني، معهم كأي شريك مؤسسي محتمل.
أوضحت دريفت منذ ذلك الحين أن الأفراد في تلك الاجتماعات الشخصية لم يكونوا مواطنين كوريين شماليين. تستخدم عمليات لازاروس دائمًا وسطاء من جهات خارجية للتواصل وجهًا لوجه، بينما يبقى المشغلون التقنيون الفعليون داخل كوريا الشمالية أو الصين. وقد أشار المحقق في البلوك تشين “زاك إكس بي تي”، الذي يتتبع عمليات العملات الرقمية لكوريا الشمالية لسنوات، إلى أن هيكل الهوية المتعدد الطبقات هذا هو أحد السمات المميزة لحملات لازاروس.
لم تتوقف المجموعة بعد المؤتمر الأول. على مدى ستة أشهر، ظهر نفس المشغلين، أو مشغلين يقدمون نفس الهويات، في العديد من الفعاليات العالمية، معززين العلاقات مع مساهمين محددين في دريفت. تم إنشاء مجموعة على تطبيق تيليجرام لمناقشة مستمرة لاستراتيجيات التداول وإمكانيات الاندماج. من ديسمبر 2025 حتى يناير 2026، قامت شركة التداول المزيفة بـ “إدراج خزينة للنظام البيئي” مع دريفت، حيث قدمت تفاصيل الاستراتيجيات وأودعت أكثر من مليون دولار في البروتوكول كشريك. هذه ليست عملية احتيال عادية. هذا جهاز استخباراتي يدير حملة استخبارات بشرية بميزانية.
بحلول فبراير ومارس 2026، أصبحت العلاقات عميقة بما يكفي لدرجة أن المساهمين وثقوا بهذه الأطراف المقابلة لمشاركة المستودعات والتطبيقات. وفقًا لدريفت، استخدم المهاجمون ناقلين محددين للبرامج الضارة. أحدهما تضمن مشاركة مستودعات تحتوي على كود، عند فتحه في محرر VSCode أو Cursor، يمكنه تشغيل كود صامت من خلال ثغرة لم يتم إصلاحها آنذاك. والآخر تضمن قيام أحد المساهمين بتنزيل ما عُرض عليه كمنتج محفظة يتم توزيعه عبر منصة TestFlight من آبل، مما أدى إلى اختراق الجهاز.
بمجرد أن تمكن المهاجمون من الوصول إلى الأجهزة الصحيحة، تمكنوا من الوصول إلى المحافظ الصحيحة. وبمجرد حصولهم على المحافظ الصحيحة، أصبح باقي العملية مجرد لوجستيات.
في 23 مارس، أي قبل أكثر من أسبوع من السرقة، قام المهاجمون بإعداد أربع محافظ باستخدام ميزة “الرقم العشوائي الدائم” في سولانا، والتي تسمح بتنفيذ المعاملات الموقعة مسبقًا في أي وقت في المستقبل. اثنتان من تلك المحافظ تعودان لأعضاء تم اختراقهم في مجلس الأمن التابع لدريفت، وهو مجموعة الموقعين المتعددة التي تتحكم في الوظائف الأكثر حساسية للبروتوكول. المحفظتان الأخريان كانتا تحت سيطرة المهاجمين المباشرة. من خلال الهندسة الاجتماعية والأجهزة المخترقة، حصل المهاجمون على موافقات متعددة التوقيع من اثنين من الموقعين الخمسة في مجلس الأمن اللازمين لتنفيذ المعاملات الموقعة مسبقًا.
في الأول من أبريل، بينما كان فريق دريفت يقوم بسحب روتيني من صندوق التأمين، نفذ المهاجمون اثنتين من المعاملات الموقعة مسبقًا بفارق أربع فتحات كتل. استولت المعاملات على السيطرة الإدارية، وأدخلت أصلًا اصطناعيًا يسمى رمز CarbonVote Token (CVT) إلى السوق الفوري، وتلاعبت بسعره من خلال التداول الوهمي في بورصتين لا مركزيتين لإعطاء مظهر القيمة المشروعة، ورفعت حد سحب USDC في البروتوكول إلى 500 تريليون. ثم تم إيداع CVT كضمان مقابل الخزانة بأكملها. بعد اثنتي عشرة دقيقة، اختفى 285 مليون دولار.
قام المهاجمون بتبديل الأصول المسروقة إلى USDC من خلال منصة Jupiter، أكبر مجمع بورصات لا مركزية على سولانا، ونقلوا ما يقرب من 129,000 إيثريوم بقيمة 270 مليون دولار إلى شبكة إيثريوم عبر بروتوكول CCTP من Circle. احتفظوا بـ USDC المسروق لعدة ساعات قبل إتمام النقل. لم تقم Circle بتجميد الأموال خلال تلك الفترة. أشار باحث الأمن Specter في ذلك الوقت إلى أن المهاجمين تجنبوا عمدًا التحويل إلى عملة Tether، مما يشير إلى ثقتهم في أن Circle، تحديدًا، لن تتدخل. وكانوا على صواب.
لماذا لا شيء من هذا جديد، ولماذا يهمنا ذلك
قد يكون الإغراء، عند قراءة تقرير دريفت، هو التعامل معه كحدث استثنائي لمرة واحدة. عملية استمرت ستة أشهر. أجهزة متعددة تم اختراقها. معاملات موقعة مسبقًا. ضمانات مزيفة تم تداولها وهميًا. يبدو وكأنه سيناريو فيلم هوليودي.
لكن دعنا نتراجع خطوة، وستجد البصمات المعمارية لكل هجوم كبير من لازاروس على التمويل اللامركزي في السنوات الثلاث الماضية متطابقة. موقع بشري مخترق. تكوين متعدد التوقيع ضعيف. قفل زمني متأخر أو غائب. حمولة ضارة متنكرة في هيئة عملية روتينية. اختراق Bybit في فبراير 2025، وهي السرقة التي تبلغ قيمتها 1.5 مليار دولار والتي ينسبها مكتب التحقيقات الفيدرالي الآن إلى مجموعة فرعية من لازاروس تسمى TraderTraitor، استخدم نفس الأسلوب. اعتقد الموقعون في Bybit أنهم يوافقون على عمليات محفظة باردة روتينية من خلال البنية التحتية للتوقيع المتعدد Safe. لم يكونوا كذلك. كانت البنية التحتية لـ Safe قد تم اختراقها من خلال هجوم على جانب المطور، والمعاملة التي وقعوها نقلت السيطرة على عقد المحفظة نفسه.
بالعودة إلى الوراء، نجد النمط نفسه. اختراق جسر Ronin في عام 2022، والذي خسر 625 مليون دولار من جسر Axie Infinity، بدأ بعروض عمل مزيفة على LinkedIn استهدفت مطورًا. “تحدي مقابلة” خبيث أدى إلى تنزيل برامج ضارة. البرامج الضارة اخترقت عُقد المدققين. حصل المهاجمون على توقيعات المدققين الخمسة التي يحتاجونها واستنزفوا الجسر. اختراق DMM Bitcoin في عام 2024، والذي تسبب في خسارة 300 مليون دولار، بدأ بنفس الطريقة: مسؤول توظيف مزيف يتواصل مع مهندس في Ginco، مزود المحفظة الذي اعتمدت عليه DMM. اختراق CoinsPaid في عام 2023، نفس السيناريو مرة أخرى. نفس السيناريو لا يزال ناجحًا لأن سطح الهجوم، وهو الثقة البشرية، لم يتم تحصينه بنفس الطريقة التي تم بها تحصين العقود الذكية.
هذا التكرار هو أهم شيء يجب فهمه حول مشكلة لازاروس. أصبح تدقيق العقود الذكية نظامًا روتينيًا في التمويل اللامركزي. كل بروتوكول جاد يخضع للتدقيق، غالبًا من قبل عدة شركات. برامج مكافآت اكتشاف الأخطاء واسعة الانتشار. لا شيء من هذا يكتشف عملية هندسة اجتماعية تستمر ستة أشهر تستهدف الموقعين البشر. الفجوة بين نضج أمن الكود ونضج الأمن التشغيلي هي الفجوة التي أمضت لازاروس خمس سنوات في استغلالها بشكل صناعي.
يضيف تطور عام 2026 تجعيدتين جديدتين. الأولى هي استخدام أدوات البرمجة المدعومة بالذكاء الاصطناعي كناقل هجوم. جعلت VSCode وCursor من الأسهل بشكل كبير على المطورين فتح وتشغيل الكود من مصادر خارجية. هذه الراحة وسعت أيضًا سطح الهجوم. استغل هجوم دريفت ثغرة معينة حيث يمكن أن يؤدي فتح مستودع في بيئة تطوير إلى تشغيل كود صامت. لم يكن هذا عيبًا فريدًا في دريفت. لقد كانت فئة من الثغرات تقع تحت كل مطور في الصناعة يستخدم هذه الأدوات، وهم الغالبية العظمى. التجعيدة الثانية هي الذكاء الاصطناعي نفسه. لاحظ باحثو الأمن السيبراني الذين أدلوا بشهاداتهم أمام اللجان الفرعية في مجلس النواب الأمريكي هذا الربيع أن عملاء كوريا الشمالية يستخدمون الآن أدوات الذكاء الاصطناعي لتوليد شخصيات مزيفة أكثر إقناعًا، وصياغة اتصالات أكثر منطقية، وتسريع مرحلة الاستطلاع المبكر للأهداف. نفس أدوات الإنتاجية التي تحول الأعمال التجارية المشروعة تعمل أيضًا على تحويل المهاجمين.
ماذا تفعل كوريا الشمالية بالمال فعليًا
يجدر بنا أن نكون دقيقين بشأن أين تذهب الأموال المسروقة، لأن هذا هو المكان الذي يصبح فيه انزعاج صناعة العملات الرقمية من القصة أكثر حدة.
قدر فريق خبراء الأمم المتحدة المعني بكوريا الشمالية أن سرقة العملات الرقمية تمول جزءًا ماديًا من ميزانية تطوير الصواريخ والأسلحة النووية لكوريا الشمالية. هذا التقدير ينعكس الآن في تقييمات رسمية لوزارة الخزانة الأمريكية والاستخبارات الكورية الجنوبية. يجعل إجمالي سرقات العملات الرقمية لكوريا الشمالية، الذي يتجاوز 6 مليارات دولار منذ عام 2017، هذا النشاط أحد أكبر مصادر العملة الأجنبية للنظام، إلى جانب صادرات الفحم إلى الصين وإرسال عمال تكنولوجيا المعلومات إلى الخارج.
آليات الانتقال من “إيثريوم مسروقة” إلى “شراء أسلحة” موثقة جيدًا. بعد السرقة الأولية، يتم عادةً تبديل الأموال إلى بيتكوين أو عملات مستقرة، ثم توجيهها عبر جسور عبر السلاسل لإخفاء الأثر. أصبح THORChain، بروتوكول التبادل عبر السلاسل، طريقًا مفضلاً على وجه التحديد لأن مشغليه رفضوا علنًا النظر في تجميد أو فحص المعاملات، معتبرين أي تدخل من هذا القبيل مخالفًا لمبادئ اللامركزية في البروتوكول. عالج THORChain الجزء الأكبر من حجم غسيل الأموال من كل من عمليتي Bybit وKelpDAO. من هناك، تنتقل الأموال عبر بورصات العملات الرقمية الروسية ومكاتب التداول خارج البورصة الصينية قبل أن يتم تحويلها إلى عملة ورقية وتوجيهها إلى شبكات شراء تشتري المكونات والمواد الخاضعة للعقوبات بموجب الاتفاقيات الدولية.
دور صناعة العملات الرقمية في هذا الخط مزعج ولكنه لا مفر منه. كل استغلال للبروتوكول من قبل لازاروس هو، في الواقع، تحويل لرأس المال من مستخدمي العملات الرقمية إلى تطوير الأسلحة من قبل دولة هددت بشن هجمات نووية على جيرانها. كل توقيع متعدد غير محمي هو مساهمة في هذا الخط. كل مطور ينقر على دعوة “مقابلة شركة محفظة” دون تحقق يصبح، بشكل حقيقي، بندًا في ميزانية الصواريخ الكورية الشمالية.
هذه جملة صعبة على صناعة بنيت على أساس الوصول غير المرخص واللامركزية. الغريزة في عالم العملات الرقمية، بالعودة إلى أصولها، كانت تتمثل في التعامل مع الكود كموقع للثقة، والشك في الفحص الوسيط، وقوائم حظر العناوين، والتدخل المركزي. خدمت هذه الغريزة الصناعة جيدًا في العديد من السياقات. إنها تخدمها بشكل سيء هنا. رفض THORChain فحص المعاملات يتوافق مع مبادئه المعلنة، وهو أيضًا سبب استخدام كوريا الشمالية لـ THORChain. كلا الأمرين صحيح.
المخاطر النظامية التي كادت أن تحدث
هجوم KelpDAO في 18 أبريل متميز من الناحية الهيكلية عن دريفت في جانب واحد مهم: أنتج شيئًا تحدثت عنه صناعة العملات الرقمية لسنوات ولكنها لم تشهده فعليًا على نطاق واسع. هروب مصرفي في التمويل اللامركزي.
في غضون ساعات من استنزاف جسر KelpDAO، تم إيداع رمز rsETH المسروق (رمز استلام إعادة التخزين من KelpDAO) كضمان على Aave ومنصات إقراض أخرى، بينما تم إيقاف عقود KelpDAO الأساسية وانهارت القيمة الحقيقية للرمز. وجد مستخدمو Aave الذين أقرضوا عملة ETH مقابل ضمانات rsETH فجأة أن قروضهم مدعومة بأصول لا قيمة لها. في غضون 48 ساعة، غادر أكثر من 8.4 مليار دولار من الودائع Aave. انخفض إجمالي القيمة المقفلة في التمويل اللامركزي عبر النظام البيئي بأكثر من 13 مليار دولار في نفس الفترة، حيث سحب المستخدمون أولاً وسألوا لاحقًا.
لم يكن هذا ذعرًا. لقد كان هروبًا مصرفيًا كلاسيكيًا من الكتب المدرسية، وهو النوع الذي تصمم الهيئات التنظيمية المصرفية التأمين على الودائع ومرافق المقرض الأخير خصيصًا لمنعه في التمويل التقليدي. التمويل اللامركزي لا يمتلك أيًا من هذين. حقيقة أن العقود الذكية لـ Aave استمرت في العمل، وأن عمليات السحب استمرت في التصفية، وأن النظام صمد، هي أمر رائع حقًا، وهي تعود بالفضل بشكل كبير إلى تصميم البروتوكول. لكن النتيجة كانت أقرب بكثير إلى حدث تصفية متتالي مما اعترفت به معظم التغطيات.
الآثار المترتبة على ذلك هيكلية. مع نضوج التمويل اللامركزي، قام ببناء قابلية التركيب، وهي خاصية تسمح لأي رمز بأن يكون بمثابة ضمان لأي منتج آخر. قابلية التركيب هذه هي ما يجعل التمويل اللامركزي مفيدًا، وهي أيضًا ما يجعل أصلًا واحدًا مخترقًا قادرًا على نشر الخسائر عبر بروتوكولات متعددة في غضون ساعات. كانت وحدة الأمان في Aave غير كافية لاستيعاب الديون المعدومة النهائية من القروض المدعومة بـ rsETH. تشير التقديرات إلى أن الخسائر التي تتراوح بين 100 و 120 مليون دولار بقيت بعد استنفاد صندوق التأمين، وتناقش حوكمة Aave الآن علنًا من سيدفع ثمن ما تبقى. الاقتراح قيد الدراسة سيقسم الخسائر بالتساوي بين المقرضين الذين احتفظوا بالمراكز المتضررة.
هذا، بلغة واضحة، حدث إنقاذ للمودعين من خلال تحويل الخسائر عليهم لأحد أكبر بروتوكولات الإقراض في التمويل اللامركزي. إنه نوع من المخاطر لم يكن موجودًا بشكل ذي معنى في النسخة السابقة لـقابلية التركيب من العملات الرقمية. إنه موجود الآن، وقد أوضحت لازاروس للتو كيفية تفعيله.
ما الذي يجب أن يتغير فعليًا
المقال الذي يصف المشكلة فقط سيكون محبطًا. السؤال الأصعب هو ما الذي يجب أن يتغير فعليًا حتى تصبح مشكلة لازاروس قابلة للحل.
ثلاثة أشياء، حسب ترتيب صعوبة تنفيذها.
- الأول هو ثقافة الأمن التشغيلي داخل بروتوكولات التمويل اللامركزي. سطح الهجوم الذي تستغله لازاروس ليس تقنيًا. إنه بشري. هذا يعني أن الدفاعات يجب أن تكون بشرية أيضًا: تدريب المساهمين على التعرف على الهندسة الاجتماعية، وتشديد عمليات التوظيف والبدء ضد تسلل الهويات المزيفة، وطلب التحقق عبر قنوات متعددة قبل التوقيع على المعاملات الجوهرية، والتعامل مع عبارة “هذا يبدو جيدًا لدرجة يصعب تصديقها” كإشارة أمنية كما هي بالفعل. بعض هذا يحدث، لكنه يحدث مشروعًا بمشروع، دون معيار صناعي ثابت. استغرق تطوير البنية التحتية لتدقيق التمويل اللامركزي خمس سنوات لتصبح احترافية. النظير في الأمن التشغيلي في عامها الأول.
- الثاني هو التصميم المعماري لأنظمة الحوكمة والتوقيع المتعدد. تعتمد العديد من الهجمات التي نجحت فيها لازاروس على نمط ثغرات محدد: توقيع متعدد بعدد قليل نسبيًا من الموقعين، وقفل زمني إما قصير أو غائب، وعدم وجود ضوابط آلية من شأنها الإبلاغ عن المعاملات غير العادية قبل تنفيذها. الإصلاح المعماري ليس غريبًا. أقفال زمنية أطول. عدد أكبر من الموقعين. مراقبة مستقلة للمعاملات المعلقة. فصل صارم مدعوم بالأجهزة بين مفاتيح التوقيع وأجهزة المطورين. البروتوكولات التي طبقت هذه الإجراءات بشكل عام لم تكن هي التي تم استنزافها. البروتوكولات التي لم تفعل، تم استنزافها.
- الثالث هو طبقة البنية التحتية. رفض THORChain فحص المعاملات هو اختيار معماري، وله دفاع مبدئي حقيقي وراءه. لكن هذا الاختيار أصبح، بحلول عام 2026، ركيزة أساسية في خط غسيل الأموال الذي يستخدمه أكثر لصوص العملات الرقمية غزارة في العالم والذين ترعاهم دولة. في مرحلة ما، سيتعين مواجهة مسألة كيفية التعامل مع الحياد على مستوى البنية التحتية مقابل التواطؤ النظامي، ولن يتم حلها بالكامل داخل عالم العملات الرقمية. ستشمل تطبيق العقوبات، والامتثال في البورصات، والتنسيق الدولي. بعض هذا يحدث بالفعل. شبكة Beacon من TRM Labs، التي تنبه البورصات والبروتوكولات الأعضاء عندما تتلقى عناوين معروفة بأنها سيئة أموالاً، توسعت بشكل كبير في عامي 2025 و2026. لكن وتيرة هذه الاستجابات المؤسسية، مع ذلك، تتخلف عن وتيرة الهجمات التي تحاول الإمساك بها.
ماذا يعني هذا للصناعة
أصعب شيء في قصة لازاروس هو أنها تجبر صناعة العملات الرقمية على مواجهة حقيقة لا تتناسب بشكل أنيق مع تصورها لذاتها.
معظم تاريخها، صورت العملات الرقمية نفسها على أنها صراع بين المبتكرين والجهات التنظيمية المتقادمة، بين الأنظمة غير المرخصة والحراس، بين الكود والحكم البشري. في هذا الإطار، جاءت التهديدات للصناعة من ضغوط خارجية: حكومات تحاول تقييدها، وبنوك تحاول منافستها، وصحفيون يكتبونها كشيء من الماضي. واقع لازاروس مختلف. التهديد ليس ضغطًا خارجيًا. التهديد هو خصم معاد ترعاه دولة قام بأتمتة استغلال السمات الهيكلية المحددة للعملات الرقمية، مثل غياب الفحص الوسيط، وانتشار حوكمة التوقيع المتعدد، وسرعة التسوية عبر السلاسل، وصعوبة استرداد الأموال المغسولة، ضد الصناعة نفسها.
هذا الخصم لا يهتم بالالتزامات الأيديولوجية التي تقدمها العملات الرقمية لنفسها. إنه يهتم باستخراج القيمة، وخيارات التصميم التي تجعل العملات الرقمية مفيدة هي نفس خيارات التصميم التي تجعل من السهل السرقة منها. أمضت الصناعة سنوات في مناقشة ما إذا كان ينبغي أن تكون أكثر أو أقل شبهاً بالنظام المالي التقليدي. تشير مشكلة لازاروس إلى أن السؤال الأكثر إثارة للاهتمام قد يكون كيفية بناء نسخة قابلة للدفاع عن النظام الذي أصبحت عليه العملات الرقمية فعليًا: قابلة للتركيب، سريعة، عبر السلاسل، والآن، بشكل واضح، هدف.
الأرقام من أبريل 2026 لن تكون الأسوأ التي ستشهدها الصناعة. هذه ليست تشاؤمية. إنه خط الاتجاه. نفس عمليات لازاروس التي أجرت ستة أشهر من التحضير لدريفت، قامت بالتأكيد بتنفيذ عمليات أخرى بالتوازي ضد بروتوكولات أخرى. بعض هذه سينجح. السؤال هو، بحلول وقت حدوث السرقة التالية التي تبلغ قيمتها 300 مليون دولار، هل قامت الصناعة بالعمل اللازم لجعل تكلفة العملية أكبر من العائد، أم أن أبريل 2026 هو مجرد لمحة عما يحدث عندما تجد جهات معادية ترعاها دولة بيئة مستهدفة يتم تسعيرها بشكل خاطئ بشكل دائم؟
الآن، الإجابة غير واضحة. الواضح هو أن المحادثة تجاوزت مرحلة “التمويل اللامركزي لديه مشكلة أمنية” إلى شيء أكثر تحديدًا وأصعب بكثير. جهاز استخباراتي تابع لدولة قد حدد سطح هجوم غير متماثل وكان يستغله، بمهارة متزايدة، لنصف عقد. دفاعات الصناعة لم تلحق بعد بواقع أن هذا هو ما تواجهه.
هذه الفجوة هي القصة. العام القادم من أمن العملات الرقمية سيكون حول ما إذا كانت الصناعة ستغلقها، أم أن الفجوة ستغلق الصناعة بدلاً من ذلك.
الأسئلة الشائعة (FAQ)
ما هي أكبر عملية سرقة للعملات الرقمية في عام 2026 وكيف تمت؟
أكبر عملية سرقة كانت هجومًا على بروتوكول دريفت في 1 أبريل 2026، حيث تم سرقة 285 مليون دولار. قامت مجموعة لازاروس الكورية الشمالية بذلك بعد أن تظاهر أعضاؤها لمدة ستة أشهر بأنهم شركة تداول، وبنوا علاقات مع فريق دريفت، ثم استخدموا الهندسة الاجتماعية والبرامج الضارة للحصول على توقيعات متعددة لتنفيذ معاملات مسروقة.
لماذا تعتبر هجمات لازاروس مختلفة عن مشاكل الأمن الأخرى في العملات الرقمية؟
لازاروس لا تستغل ثغرات في العقود الذكية، بل تستهدف الثقة البشرية. يقوم عملاؤها ببناء علاقات حقيقية مع المطورين والموظفين على مدى أشهر، ويستخدمون هويات مزيفة ووسائل تواصل احترافية لخداعهم لتسليم المفاتيح أو التوقيع على معاملات ضارة. هذه عمليات استخباراتية تمولها دولة (كوريا الشمالية) لدعم برنامج الأسلحة.
كيف يمكن لصناعة العملات الرقمية حماية نفسها من هجمات مثل هجوم دريفت؟
يحتاج القطاع إلى تحسين ثقافة الأمن التشغيلي (مثل تدريب الفرق على الهندسة الاجتماعية)، وتصميم أنظمة توقيع متعدد أكثر أمانًا (بأقفال زمنية أطول وعدد أكبر من الموقعين)، ومناقشة دور البنية التحتية مثل THORChain في غسيل الأموال. يجب أن يصبح التحقق من الهوية والإجراءات الأمنية المشددة جزءًا أساسيًا من العمل اليومي لأي بروتوكول.
