خريطة قرصنة كوريا الشمالية للعملات الرقمية تتوسع وقطاع التمويل اللامركزي (DeFi) يدفع الثمن
بعد أقل من ثلاثة أسابيع من هجوم قراصنة مرتبطين بكوريا الشمالية على شركة تداول العملات الرقمية “دريفت”، يبدو أن نفس القراصنة نفذوا هجوماً كبيراً آخر على بروتوكول “كيلب” للريستيكينغ المرتبط ببنية “لايرزيرو” العابرة للسلاسل.
تطور في استراتيجية القراصنة
يشير هذا الهجوم إلى تطور في طريقة عمل قراصنة كوريا الشمالية. فهم لا يبحثون فقط عن أخطاء برمجية أو بيانات سرية مسروقة، بل يستغلون الآن الافتراضات الأساسية المبنية داخل الأنظمة اللامركزية نفسها. هذه الحوادث المتتالية تشير إلى عملية منظمة وليست هجمات منفصلة، حيث تستمر كوريا الشمالية في تصعيد جهودها لسرقة الأموال من قطاع العملات الرقمية.
تمت سرقة أكثر من 500 مليون دولار من خلال هجمات “دريفت” و”كيلب” في أقل من ثلاثة أسابيع.
كيف تم اختراق بروتوكول كيلب؟
لم يعتمد اختراق “كيلب” على كسر التشفير أو سرقة المفاتيح. بل عمل النظام كما تم تصميمه. لكن المهاجمين تلاعبوا بالبيانات التي تدخل إلى النظام وأجبروه على الاعتماد على هذه المدخلات المخترقة، مما جعله يوافق على معاملات لم تحدث في الواقع.
بكلمات أبسط، قام النظام بالتحقق من هوية مرسل الرسالة، لكنه لم يتحقق من صحة محتوى الرسالة نفسها. بالنسبة لخبراء الأمان، هذا يجعل الهجوم استغلالاً لكيفية إعداد النظام وليس اختراقاً ذكياً جديداً.
نقطة ضعف رئيسية: مدقق واحد
كانت إحدى المشاكل الرئيسية هي اختيار التكوين. اعتمد “كيلب” على مدقق واحد فقط للموافقة على الرسائل العابرة للسلاسل. هذا الخيار أسرع وأبسط في الإعداد، لكنه يزيل طبقة أمان حاسمة.
أوصت “لايرزيرو” بعد ذلك باستخدام عدة مدققين مستقلين للموافقة على المعاملات، مثل الحاجة إلى عدة توقيعات في التحويل البنكي. لكن البعض أشار إلى أن الإعداد الافتراضي لـ”لايرزيرو” كان يعتمد على مدقق واحد.
تأثير الهجوم يتسع
لم يقتصر التأثير على بروتوكول “كيلب” وحده. فمثل العديد من أنظمة التمويل اللامركزي، يتم استخدام أصوله عبر منصات متعددة، مما يعني أن المشاكل يمكن أن تنتشر. عندما ينكسر رابط واحد، يتأثر الآخرون. في هذه الحالة، تتعامل منصات الإقراض مثل “آفي” التي قبلت الأصول المتضررة كضمان مع خسائر، مما يحول الاختراق الواحد إلى حدث ضغط أوسع.
الفجوة بين التسويق والحقيقة في اللامركزية
يكشف هذا الهجوم أيضاً عن فجوة بين كيفية تسويق اللامركزية وكيفية عملها فعلياً. فوجود مدقق واحد لا يعتبر لامركزياً. في الممارسة العملية، هذا يعني أن حتى الأنظمة التي تبدو لامركزية يمكن أن يكون لديها نقاط ضعف، خاصة في الطبقات الأقل وضوحاً مثل مزودي البيانات أو البنية التحتية.
هذه المناطق هي التي يركز عليها المهاجمون بشكل متزايد. فقد بدأت مجموعة “لازاروس” القرصانية في استهداف البنية التحتية العابرة للسلاسل والخاصة بالريستيكينغ، وهي أجزاء من نظام العملات الرقمية التي تنقل الأصول بين الأنظمة أو تسمح بإعادة استخدامها.
الخطر الحقيقي: الثغرات المعروفة
مع استمرار تكيف قراصنة كوريا الشمالية، قد لا يكون الخطر الأكبر هو الثغرات غير المعروفة، بل الثغرات المعروفة التي لم يتم معالجتها بالكامل. لم يقدم اختراق “كيلب” نوعاً جديداً من الضعف. لقد أظهر مدى تعرض النظام البيئي للثغرات المألوفة، خاصة عندما يتم التعامل مع الأمان كتوصية وليس كشرط أساسي.
ومع تحرك المهاجمين بسرعة أكبر، أصبحت هذه الفجوة أسهل للاستغلال وأكثر تكلفة بكثير عند تجاهلها.
الأسئلة الشائعة
- من المسؤول عن هجمات العملات الرقمية الأخيرة؟
تشير الأدلة إلى أن قراصنة مرتبطين بكوريا الشمالية هم المسؤولون عن الهجمات الأخيرة على منصات مثل “دريفت” و”كيلب”، كجزء من جهود منظمة لتمويل اقتصاد البلاد. - كيف تم اختراق بروتوكول كيلب؟
لم يتم اختراق التشفير، بل تلاعب المهاجمون بالبيانات المدخلة للنظام. وافق النظام على معاملات وهمية لأنه تحقق من هوية المرسل فقط، وليس من صحة المعلومات المرسلة. - ما هو الدرس الأهم من هذه الهجمات؟
الدرس الرئيسي هو أن اللامركزية الحقيقية تتطلب أكثر من مجرد شعار. الأنظمة التي تعتمد على مدقق واحد أو طبقات مركزية مخفية تظل عرضة للاختراق. الأمان يجب أن يكون شرطاً أساسياً في التصميم، وليس مجرد خيار.
