في أبريل الماضي، تعرضت منصة كيلب داو (KelpDAO) لعملية اختراق جسر بلغت خسائرها 292 مليون دولار، وفي يونيو تلاها سرقة مفاتيح خاصة من بروتوكول هيومانيتي (Humanity Protocol). ويُشتبه منذ البداية أن الحادثتين مرتبطتان بعمليات تابعة لكوريا الشمالية، وتحديداً مجموعة لازاروس سيئة السمعة.
الآن، كشفت أدلة على سلسلة الكتل (Blockchain) أن عائدات تلك الهجمات تتدفق إلى محافظ مشتركة، وهو نمط يشير إلى استخدام قناة غسيل أموال واحدة، وفقاً لمحلل العملات الرقمية “سبيكتر”.
كيف نقل المهاجمون أموال كيلب داو وبروتوكول هيومانيتي؟
يقول سبيكتر إن مهاجم بروتوكول هيومانيتي نقل 15,403 إيثر (ETH) – بقيمة 23.6 مليون دولار تقريباً – إلى عنوان إيثر جديد نسبياً. ثم تم تحويل الأموال إلى شبكة بيتكوين، حيث اختلطت بعائدات اختراق كيلب داو. هذه التقنية معروفة لدى مجموعة لازاروس، حيث تدمج عائدات عمليات منفصلة في محافظ بيتكوين موحدة قبل تمريرها عبر خلاطات ومكاتب تداول خاصة.
ما الرابط بين الاختراقين؟
وفقاً لتحقيق شركة “تشيناليسيس”، استغل المهاجمون في اختراق كيلب داو (18 أبريل) عُقداً داخلية تابعة لمنصة “لاير زيرو لابز”، شنوا هجوماً لتعطيل الخدمة (DDoS) على عقد خارجية في نفس الوقت. خدع المهاجمون عقد جسر إيثر لإطلاق 116,500 رمز rsETH دون حرق مماثل للرموز في السلسلة المصدرية.
أُلقيت مسؤولية الهجوم على مجموعة لازاروس. جمد مجلس أمان أربيتروم أكثر من 30,000 إيثر من أموال المهاجم، وأوقف إيقاف الطوارئ في كيلب داو تصريف 95 مليون دولار إضافية. أما اختراق بروتوكول هيومانيتي فلم يتبع النمط نفسه، لكن تقارير ما بعد الحادثة أظهرت تورط جهات مرتبطة بكوريا الشمالية.
وجد تقرير من شركة “كوانتستامب” (أُعد في 11 يونيو) أن المهاجم استخدم بريداً إلكترونياً خبيثاً ينتحل صفة منصة “بيتومب” الكورية، لخداع مدير الشركة “تشونج يي واي”. منحه البرنامج الخبيث وصولاً عن بُعد إلى حاسوبه، ونسخ مفاتيح محفظة “ميتاماسك”، وصنع وباع رموز H غير مصرح بها على إيثر وسلسلة BNB الذكية، مما تسبب في انهيار الرمز بنحو 89%. تبلغ قيمة العائدات في عناوين المهاجم المعروفة أكثر من 21 مليون دولار في إيثر.
تعقيدات قانونية تعطل جهود استرداد الأموال
يحمل المدعون حالياً أحكاماً قضائية أمريكية غير مدفوعة بقيمة 877 مليون دولار ضد كوريا الشمالية. في مايو، قدموا إشعاراً تقييدياً لمنصة أربيتروم (DAO) في 30 أبريل، يسعون فيه لوقف نحو 30,766 إيثر (71 مليون دولار) من الأموال المجمدة. يدّعي المدعون أن هذه الأموال مرتبطة بكوريا الشمالية، ويحق لهم مصادرتها كجزء من الديون المستحقة.
كانت أربيتروم قد بدأت اقتراحاً حوكمياً لنقل الأموال المجمدة إلى مبادرة استرداد يدعمها “آفي لابز” و “كيلب داو” و “لاير زيرو” و “إيثر فاي” و “كومباوند”، لتعويض المستخدمين المتضررين. وافقت محكمة لاحقاً على نقل أموال كيلب إلى آفي. كيف سيتفاعل المدعون مع تأكيد تورط كوريا الشمالية؟ هذا ما سيكشفه المستقبل، لكن التاريخ يشير إلى أن خسائر بروتوكول هيومانيتي قد تخضع أيضاً لدعاوى قضائية.
الأسئلة الشائعة
- س: هل اختراق كيلب داو ومشروع هيومانيتي مرتبطان؟
ج: نعم، الأدلة على سلسلة الكتل تُظهر أن المهاجمين استخدموا نفس طريقة غسيل الأموال عبر محافظ مشتركة، ويُرجح أن مجموعة لازاروس الكورية الشمالية هي المسؤولة. - س: كيف تم اختراق مشروع هيومانيتي؟
ج: عبر بريد إلكتروني خادع استهدف مديراً في الشركة، منح المهاجم وصولاً كاملاً إلى حاسوبه، فسرق مفاتيح المحفظة وقام بطباعة رموز غير مصرح بها، مما أدى لانهيار قيمتها. - س: ما مصير الأموال المجمدة من اختراق كيلب داو؟
ج: أذنت محكمة بنقلها إلى منصة آفي (Aave) كجزء من خطة لتعويض المستخدمين، لكن المدعين يسعون لمصادرتها بحجة ارتباطها بكوريا الشمالية.
