لقد أصبحت هاكرز كوريا الشمالية أكبر كابوس في عالم العملات الرقمية. مؤخرًا، رأيت تقريرًا من TRM Labs، وبياناته جعلتني أشعر بالقلق — فقط مرّ أربعة أشهر من العام، وهاكرز كوريا الشمالية سرقوا حوالي 577 مليون دولار، وهو ما يمثل 76% من الأموال المسروقة على مستوى العالم في نفس الفترة. هذا النسبة مذهلة حقًا.

تأتي الخسائر بشكل رئيسي من حدثين كبيرين في أبريل. تم سرقة 292 مليون دولار من Kelp DAO، و285 مليون دولار من Drift Protocol. ومن المثير للاهتمام أن هذين الحادثين يشكلان فقط 3% من إجمالي عدد الهجمات في الأشهر الأربعة الأولى من العام، ولكنهما استحوذا على الغالبية العظمى من الخسائر. هذا يدل على أن هاكرز كوريا الشمالية قد ترقوا من "إطلاق النار عشوائيًا" إلى استهداف دقيق.

الجانب الخاص بـ Kelp DAO هو من فعل مجموعة TraderTraitor المشهورة، والتي لها علاقات وثيقة مع مجموعة لوسا لوسا. أما Drift، فهو من تنفيذ مجموعة هاكرز كورية شمالية أخرى لم يتم الكشف عنها بالكامل بعد.

بالنسبة لهجوم Drift، أعتقد أن أكثر ما يثير الرعب هو أنه لم يكن هجوم مفاجئ. كشفت TRM أن الأمر كان عملية تسلل دقيقة استمرت لعدة أشهر. قام عملاء كوريا الشمالية بالتواصل مع فريق Drift عبر لقاءات غير مباشرة، وبدأوا في نشر التحضيرات منذ 11 مارس، من خلال إنشاء حسابات nonce دائمة على سولانا لتوقيع المعاملات مسبقًا، بالإضافة إلى إقناع أعضاء لجنة الأمن في Drift بموافقة مسبقة على التوقيعات المتعددة. الضربة القاضية حدثت في 1 أبريل، بعد أيام قليلة من تعديل فريق الأمن على الحد الأدنى لصلاحيات اللجنة وإلغاء قفل الوقت، حيث قام الهاكرز خلال 12 دقيقة بتنفيذ 31 أمر سحب موقعة مسبقًا، مما أدى إلى سرقة الأموال مباشرة. هذا المزيج من الهندسة الاجتماعية والتلاعب التقني لا يُمكن مقاومته.

أما حادثة Kelp DAO فهي من نوع آخر من الأساليب. استغل الهاكرز ضعف في بنية جسر LayerZero، الذي يعتمد على "مُصادق واحد" في بروتوكول الاتصال عبر السلاسل، وهاجم البنية التحتية لـ RPC وغيّر منطق التحقق. بعد إجبار النظام على نقل صلاحيات التحقق إلى عقدة خاضعة للسيطرة، تم سرقة أكثر من 116,000 rsETH. وحتى مع قيام فريق Arbitrum بتجميد بعض الأصول بشكل طارئ، سرعان ما قام الهاكرز بنقل الأموال عبر بروتوكولات السيولة عبر السلاسل مثل THORChain.

الأمر الأكثر إثارة للقلق هو الاتجاه التصاعدي. نسبة سرقة العملات المشفرة من قبل هاكرز كوريا الشمالية تتصاعد بشكل ملحوظ — من أقل من 10% في 2020 و2021، إلى 22% في 2022، و37% في 2023، و39% في 2024، و64% في 2025، وبلغت ذروتها هذا العام عند 76%. منذ عام 2017، تجاوزت قيمة العملات المشفرة التي سرقها هاكرز كوريا الشمالية 6 مليارات دولار.

وأشار تقرير TRM إلى أن سرقة أحد أكبر البورصات في عام 2025 بقيمة 1.46 مليار دولار كانت نقطة تحول في أسلوب هجمات هاكرز كوريا الشمالية. بعد ذلك، غيروا استراتيجيتهم، وأصبحوا يركزون على الأهداف ذات القيمة العالية، ويهاجمون بشكل خاص الجسور بين السلاسل وأنظمة الحوكمة متعددة التوقيعات والبنى التحتية الحيوية، بهدف القضاء على الهدف بضربة واحدة.

ومن المثير للاهتمام أن حادثتي Drift وKelp DAO تعكسان أيضًا تنوع أساليب غسيل الأموال التي تتبعها كوريا الشمالية. هاكرز Drift يظهرون صبرًا كبيرًا، حيث يظل المال في شبكة إيثريوم دون حركة لعدة أشهر أو سنوات، ربما في انتظار أن يمر الزخم، ثم يبيعون الأصول بعد ذلك. بالمقابل، يركز هاكرز Kelp DAO على السرعة، حيث يبدؤون بتحويل الأموال بسرعة عبر THORChain إلى بيتكوين، ثم يتركونها لوسطاء غسيل الأموال في السوق السوداء.

في مواجهة هذا التهديد المتزايد، تدعو TRM جميع المنصات إلى تعزيز الرقابة والامتثال على الفور. تشمل استراتيجيات الدفاع مراقبة التدفقات عبر الجسور باستخدام THORChain، وتعزيز تتبع المعاملات عبر البنى التحتية للجسور بين السلاسل، وفحص مسارات الإيداع المرتبطة بحوكمة سولانا، خاصة تلك التي تتعلق بآليات nonce الدائمة. بالإضافة إلى ذلك، ينبغي على الصناعة الانضمام بنشاط إلى شبكات الدفاع المشتركة مثل Beacon Network، بحيث يمكن عند تحديد عناوين محافظ هاكرز كوريا الشمالية، تفعيل إنذارات مشتركة عبر المنصات، وقطع تدفقات غسيل الأموال بشكل كامل. معركة الدفاع والهجوم هذه لم تنته بعد، والكابوس في عالم العملات الرقمية لا يزال مستمرًا.