لقد قرأت للتو التقرير التفصيلي الذي نشرته Drift حول استغلال بقيمة 270 مليون دولار، وبصراحة الأمر مقلق للغاية. نحن لا نتحدث عن هجوم تقليدي، بل عن عملية استخباراتية دولية استمرت تقريبًا ستة أشهر.

الطريقة التي تطورت بها الأمور هي أكثر ما لفت انتباهي. وفقًا لتحليل Drift، ظهر مجموعة مرتبطة بالدولة الكورية الشمالية في مؤتمر مهم للعملات المشفرة حوالي خريف 2025 كشركة تداول كمي. لم يكن ذلك عشوائيًا. كان لديهم أوراق اعتماد مهنية قابلة للتحقق، ومعرفة تقنية شرعية بكيفية عمل البروتوكول، وكانوا يعرفون تمامًا كيف يندمجون في أنظمة التمويل اللامركزي.

خلال الأشهر التالية، بين ديسمبر 2025 ويناير، أضافت المجموعة خزنة النظام البيئي في Drift، وأجرت جلسات عمل مع المتعاونين، وأودعت أكثر من مليون دولار من رأس مالها الخاص، ووضعت نفسها كجهة فاعلة شرعية. حتى أنهم التقوا شخصيًا مع فريق Drift في عدة مؤتمرات دولية في فبراير ومارس. بحلول وقت تنفيذ الهجوم في 1 أبريل، كانوا قد بنوا وجودهم هذا منذ ما يقرب من نصف سنة.

كانت التسلل التقني متطورًا. اخترقوا الأجهزة عبر اثنين من الاتجاهات الرئيسية. أولاً، وزعوا تطبيقًا مزيفًا من TestFlight، منصة أبل التي تتجنب مراجعة أمان متجر التطبيقات. ثانيًا، استغلوا ثغرة معروفة في VSCode وCursor كانت قد أبلغت عنها مجتمع الأمان منذ نهاية 2025. ببساطة، فتح ملف في هذه المحررات كان يسمح بتنفيذ كود عشوائي بدون تنبيهات.

بمجرد الدخول، حصلوا على ما يلزم للحصول على الموافقتين متعددتي التوقيع. ظلت المعاملات الموقعة مسبقًا في حالة سكون لأكثر من أسبوع قبل أن تُنفذ في 1 أبريل، مما أدى إلى سحب 270 مليون دولار من ودائع البروتوكول في أقل من دقيقة.

نسب الباحثون الهجوم إلى UNC4736، المعروف أيضًا باسم AppleJeus أو Citrine Sleet، استنادًا إلى تدفقات الأموال على السلسلة والتداخل التشغيلي مع جهات مرتبطة بكوريا الشمالية. على الرغم من أن الأفراد الذين ظهروا في المؤتمرات لم يكونوا مواطنين كوريين شماليين، إلا أن الممارسة المعتادة أن يستخدم الجهات المهددة من هذا المستوى وسطاء بهويات مُنشأة بالكامل وخلفيات مهنية مصممة لاجتياز تدقيقات العناية الواجبة.

ما تشير إليه Drift هو أمر غير مريح للصناعة بأكملها. إذا كان المهاجمون على استعداد لاستثمار ستة أشهر، ومليون دولار، وصبر لبناء وجود شرعي داخل نظام بيئي، فما هو النموذج الأمني الذي يُصمم فعلاً للكشف عن ذلك؟ تعتمد البروتوكولات على التوقيعات متعددة المفاتيح كدفاع رئيسي، لكن هذه العملية تكشف عن ضعف عميق في هذا النموذج عندما تواجه خصومًا دوليين بموارد غير محدودة.

تدعو Drift بروتوكولات أخرى إلى مراجعة ضوابط الوصول ومعاملة كل جهاز يتفاعل مع التوقيع متعدد المفاتيح كهدف محتمل. إنها تذكير بأن الثقة لا تزال أقوى وسيلة هجوم في عالم التمويل اللامركزي، حتى عندما تحاول القضاء عليها من المعادلة.