أكبر عائق في تطوير التمويل اللامركزي

مؤلف: كلوي، صائدة السلاسل

في الأسبوع الماضي، تعرض بروتوكول الإقراض "دريفت" التابع لشركة سولانا للاختراق، مما أدى إلى سرقة ما يقرب من 285 مليون دولار من أصول المستخدمين. ووفقًا للبيانات الرسمية، لم يكن هذا هجومًا نموذجيًا على ثغرة في العقود الذكية، بل كان هجومًا هندسيًا اجتماعيًا مخططًا له بدقة على مدى ستة أشهر من قبل قراصنة مدعومين من الدولة.

بل إن هناك أدلة تحقيقية تشير إلى أن نفس المجموعة من الجهات الفاعلة في التهديد ربما تكون قد تسللت بالفعل إلى التطوير الأساسي للعديد من بروتوكولات التمويل اللامركزي، ليس كمهاجمين، ولكن كمساهمين.

يتسلل قراصنة الإنترنت الكوريون الشماليون عادةً إلى الأهداف المبكرة، لكنهم نادراً ما يستثمرون مبالغ كبيرة من المال.

وبحسب البيان المتعلق بحادثة دريفت، فإن الاستراتيجية الأساسية للمهاجمين كانت "أن يصبحوا جزءًا من النظام البيئي".

منذ خريف عام 2025، تنكروا في صورة شركة تداول كمي وبدأوا في التواصل مع المساهمين الرئيسيين في Drift في مؤتمرات صناعة العملات المشفرة الكبرى. لم يكن هذا التفاعل حدثًا لمرة واحدة، بل كان عبارة عن تفاعلات متعددة عبر بلدان ومؤتمرات مختلفة، تم إجراؤها عمدًا على مدار ستة أشهر. كان هؤلاء الأفراد يتمتعون بكفاءة فنية عالية، ولديهم خلفيات يمكن التحقق منها، وكانوا على دراية جيدة بكيفية عمل شركة دريفت.

علاوة على ذلك، لم تقتصر تفاعلاتهم على الأعضاء الأساسيين في فريق دريفت. كما استغل الفريق الآلية المفتوحة لخزينة النظام البيئي لـ Drift، حيث نجح في إدراج خزينة خاصة به كشركة تجارية شرعية، وأودع أكثر من مليون دولار من أمواله الخاصة، وشارك في اجتماعات عمل متعددة، وطرح أسئلة متعمقة حول المنتج، مما عزز الثقة مع فريق المشروع.

صرح ستيفن، خبير تقنية البلوك تشين، في مقابلة مع موقع ChainCatcher: "يتسلل قراصنة كوريا الشمالية إلى الأهداف منذ البداية، وهو أمر شائع، لكن استثمار مبالغ كبيرة من المال كأساس للثقة أمر نادر نسبياً." ومع ذلك، بالنسبة للمهاجمين، فإن هذا المليون دولار هو في الأساس استثمار خالٍ من المخاطر؛ فما داموا لا يشنون هجومًا، فإن هذه الأموال مجرد أموال عادية موجودة في الخزنة، ويمكن سحبها في أي وقت؛ ويتم تنفيذ العمليات الفعلية بواسطة أفراد من أطراف ثالثة غير مدركين، مما ينتج عنه خسارة اقتصادية شبه معدومة للمنظمة نفسها.

بالإضافة إلى ذلك، وخلال تعاونهم طويل الأمد مع Drift، شارك الفريق مشاريع وتطبيقات برمجية مخزنة على GitHub بحجة عرض أدوات التطوير الخاصة بهم. بالنظر إلى الظروف السائدة في ذلك الوقت، كان من الطبيعي تماماً أن يقوم الشركاء بمراجعة قواعد بعضهم البعض. ومع ذلك، كشفت التحقيقات اللاحقة التي أجرتها شركة Drift أن أحد المساهمين قد نسخ مشروع كود GitHub يحتوي على كود خبيث، بينما تم حث مساهم آخر على تنزيل تطبيق TestFlight متنكرًا في صورة منتج محفظة.

إن السبب في صعوبة الحماية من مسار مشروع الكود هو أنه مضمن بشكل كامل في سير العمل اليومي للمطورين. يستخدم المطورون عادةً محررات الأكواد مثل VSCode أو Cursor عند كتابة الأكواد، والتي يمكن اعتبارها بمثابة برنامج Word للمهندسين، وهو شيء يفتحونه ويستخدمونه يوميًا.

اكتشف مجتمع أبحاث الأمن ثغرة خطيرة في مثل هذه المحررات بحلول نهاية عام 2025: فعندما يفتح المطورون مشاريع التعليمات البرمجية التي يشاركها الآخرون، يتم تنفيذ الأوامر الخبيثة المخفية داخل المشاريع تلقائيًا في الخلفية، بشكل سري تمامًا، دون ظهور أي نوافذ تأكيد على الشاشة، ولا تتطلب أي نقرات للموافقة، ولا تقدم أي تحذيرات. اعتقد المطورون أنهم كانوا "ينظرون إلى الشفرة" فقط، لكن أجهزة الكمبيوتر الخاصة بهم كانت في الواقع مزروعة بأبواب خلفية. استغل المهاجمون هذه الثغرة الأمنية لإخفاء البرامج الضارة ضمن العمليات اليومية التي يقوم بها المطورون بشكل روتيني.

بحلول الوقت الذي وقع فيه هجوم Drift في الأول من أبريل، تم مسح سجلات دردشة Telegram الخاصة بالمهاجمين وجميع آثار البرامج الضارة بالكامل، ولم يتبق سوى فجوة قدرها 285 مليون دولار.

هل فيلم "دريفت" ليس سوى غيض من فيض؟

وفقًا لتحقيق أجرته منظمة الاستجابة الأمنية للطوارئ SEAL 911 في صناعة العملات المشفرة، تم تنفيذ هذا الهجوم من قبل نفس مجموعة الجهات الفاعلة في التهديد المسؤولة عن اختراق Radiant Capital في أكتوبر 2024. وتشمل هذه الروابط تدفقات الأموال على سلسلة الكتل (الأموال المستخدمة لإعداد واختبار هذه العملية تعود إلى مهاجمي Radiant) والأنماط التشغيلية (الشخصيات المستخدمة في هذه العملية تظهر تداخلات يمكن التعرف عليها مع الأنشطة الكورية الشمالية المعروفة). شركة مانديانت، وهي شركة معروفة في مجال الطب الشرعي الأمني ​​استعانت بها شركة دريفت (التي أصبحت الآن جزءًا من جوجل)، كانت قد نسبت سابقًا حادثة راديانت إلى منظمة UNC4736 التابعة للدولة الكورية الشمالية، لكن مانديانت لم تنسب رسميًا حادثة دريفت بعد، ولا تزال عمليات الطب الشرعي الكاملة للأجهزة جارية.

والجدير بالذكر أن الأفراد الذين حضروا الاجتماعات شخصياً لم يكونوا من مواطني كوريا الشمالية. ستيفنو: "لا ينبغي النظر إلى قراصنة كوريا الشمالية على أنهم منظمة قرصنة نموذجية، بل على أنهم وكالة استخبارات؛ إنها منظمة كبيرة تضم آلاف الأشخاص ولها أدوار محددة بوضوح." ومن بينهم، يُعرف القرصان الكوري الشمالي لازاروس رسميًا في مجال الأمن الدولي باسم APT38، بينما تُصنف منظمة أخرى تابعة له، وهي كيمسوكي، باسم APT43.

وهذا يفسر سبب قدرتهم على نشر أشخاص حقيقيين دون اتصال بالإنترنت. يقومون بتأسيس شركات في الخارج بأسماء مختلفة، ويقومون بتوظيف موظفين محليين، قد لا يكونون على دراية بمن يعملون لديه. "قد يعتقد أنه انضم إلى شركة عمل عن بعد عادية، وبعد عام يتم إرساله لمقابلة عميل؛ كل شيء يبدو طبيعياً، ولكن وراء ذلك توجد منظمة قرصنة." عندما تأتي جهات إنفاذ القانون للتحقيق، يكون ذلك الشخص لا يعلم شيئاً.

قد يكون فيلم "دريفت" مجرد غيض من فيض.

إذا كشفت حادثة Drift عن ثغرة أمنية في بروتوكول واحد، فإن التحقيقات اللاحقة تشير إلى مشكلة أكبر: ربما كانت نفس الأساليب تعمل عبر النظام البيئي DeFi بأكمله لسنوات.

وفقًا لتحقيق الباحث في مجال البلوك تشين، تايفانو، منذ التوسع السريع للتمويل اللامركزي في عام 2020، انتشرت المساهمات البرمجية المرتبطة بعمال تكنولوجيا المعلومات الكوريين الشماليين عبر العديد من المشاريع المعروفة، بما في ذلك SushiSwap وTHORChain وHarmony وAnkr وYearn Finance.

إن الأساليب التي استخدمها هؤلاء الأفراد تشبه إلى حد كبير تلك المستخدمة في حادثة Drift: استخدام هويات مزورة، والحصول على أدوار تطويرية من خلال منصات العمل الحر والاتصالات المباشرة، والدخول إلى قنوات Discord، ومجتمعات المطورين، وحتى حضور اجتماعات المطورين. بمجرد انضمامهم إلى المشروع، يساهمون في كتابة التعليمات البرمجية، ويشاركون في دورات التطوير، ويبنون الثقة مع الفريق حتى يفهموا بنية البروتوكول بالكامل وينتظرون اللحظة المناسبة للتصرف.

يعتقد ستيفن أنه في وكالات الاستخبارات التقليدية، يمكنهم حتى أن ينتظروا مدى الحياة، حيث يواصل الجيل التالي المهام غير المكتملة للجيل السابق. بالنسبة لهم، مشاريع Web3 قصيرة الأجل ذات عوائد عالية، وطبيعة العمل عن بعد تسمح لشخص واحد بشغل أدوار متعددة عبر مشاريع مختلفة، وهو أمر شائع جدًا في صناعة Web3 ولا يثير الشكوك.

"تشمل منظمة القرصنة الكورية الشمالية جميع مشاريع Web3 في نطاق هجومها، حيث تقوم بفحص كل مشروع بعناية وجمع المعلومات عن أعضاء الفريق." قال ستيفن: "إن فهمهم للمشاريع أوضح من فهم فرق المشاريع نفسها". إن السبب وراء تحول Web3 إلى هدف رئيسي هو أن هذا النظام البيئي يمتلك كمية كبيرة من الأموال، ويفتقر إلى تنظيم عالمي موحد، كما أن انتشار العمل عن بعد يجعل من المستحيل في كثير من الأحيان التحقق من الهويات الحقيقية للمتعاونين والموظفين. بالإضافة إلى ذلك، فإن الطبيعة الشابة وغير المتمرسة للممارسين توفر بيئة مثالية للتسلل لوكالات الاستخبارات الكورية الشمالية.

حوادث القرصنة شائعة؛ هل يمكن لفرق المشاريع أن تجلس وتنتظر فقط؟

بالنظر إلى الحوادث الكبرى في السنوات الأخيرة، لطالما كانت الهندسة الاجتماعية تكتيكاً أساسياً لجماعات القرصنة الكورية الشمالية. صدرت مؤخراً مذكرات مؤسس منصة بينانس، سي زد، بعنوان "حياة بينانس"، والتي تروي الحادثة التي وقعت في مايو 2019 عندما تم اختراق منصة بينانس وسرقة 7000 بيتكوين. وبحسب CZ، قام المتسللون أولاً باختراق أجهزة الكمبيوتر المحمولة للعديد من الموظفين باستخدام برامج ضارة متطورة، ثم قاموا بزرع أوامر خبيثة خلال الخطوة الأخيرة من عملية السحب، وسرقوا جميع عملات البيتكوين البالغ عددها 7000 من المحفظة الساخنة في الساعة 1 صباحًا (بقيمة تقارب 40 مليون دولار في ذلك الوقت). كتب CZ في الكتاب أنه بناءً على أساليب الهجوم، كان المتسللون يتربصون في شبكة Binance لبعض الوقت، وكان من المشتبه بهم بشدة أنهم من Lazarus في كوريا الشمالية، وربما حتى يقومون برشوة الموظفين الداخليين.

حادثة شبكة رونين عام 2022 هي أيضاً حالة كلاسيكية. رونين هي السلسلة الجانبية التي تقف وراء لعبة البلوك تشين الشهيرة Axie Infinity، وهي المسؤولة عن التعامل مع جميع عمليات نقل الأصول داخل اللعبة عبر السلاسل، مع وجود كمية كبيرة من الأموال المقفلة في ذلك الوقت. وقد تم إطلاق الهجوم عندما تلقى أحد المطورين عرض عمل يبدو أنه ذو أجر مرتفع من شركة معروفة وقام بتنزيل ملف يحتوي على برامج ضارة أثناء عملية المقابلة، مما سمح للمهاجمين بالوصول إلى النظام الداخلي وسرقة 625 مليون دولار في نهاية المطاف.

استخدمت حادثة CoinsPaid لعام 2023 تكتيكات متطابقة تقريبًا. CoinsPaid هي شركة مزودة لخدمات دفع العملات المشفرة، وقد تواصل المهاجمون بالمثل مع الموظفين من خلال عملية توظيف مزورة، مما دفعهم إلى تثبيت برامج ضارة قبل اختراق النظام. أصبحت أساليب القرصنة الحديثة أكثر تنوعاً: مكالمات فيديو مزيفة، وحسابات اجتماعية مخترقة، وبرامج ضارة متنكرة في هيئة برامج اجتماعات.

تلقى الضحايا روابط اجتماعات عادية ظاهريًا من Calendly، وعند النقر عليها، تم توجيههم لتثبيت تطبيق اجتماعات مزيف، مما سمح للبرامج الضارة بسرقة المحافظ وكلمات المرور وعبارات الاسترداد وسجلات الاتصالات. وتشير التقديرات إلى أن مجموعات القرصنة الكورية الشمالية قد سرقت أكثر من 300 مليون دولار من خلال هذه الأساليب.

وفي الوقت نفسه، يجدر التنويه أيضاً إلى الوجهة النهائية للأموال المسروقة. صرح ستيفن بأن الأموال المسروقة تقع في نهاية المطاف تحت سيطرة حكومة كوريا الشمالية. يتم تنفيذ عمليات غسيل الأموال بواسطة فريق متخصص داخل المنظمة، يقوم بإعداد أجهزة خلط العملات وفتح حسابات بهويات مزيفة في العديد من منصات التداول، وذلك باتباع عملية كاملة ومعقدة: حيث يتم تنظيف الأموال من خلال أجهزة الخلط فور سرقتها، ثم استبدالها بعملات الخصوصية، ونقلها لاحقًا عبر مشاريع التمويل اللامركزي المختلفة، وتدور بشكل متكرر بين منصات التداول والتمويل اللامركزي.

"تكتمل العملية بأكملها في غضون 30 يومًا تقريبًا، وتنتهي الأموال النهائية في الكازينوهات في جنوب شرق آسيا، ومنصات التداول الصغيرة التي لا تتطلب التحقق من الهوية، ومقدمي خدمات التداول خارج البورصة في هونغ كونغ وجنوب شرق آسيا، حيث يتم صرفها نقدًا."

إذن، في مواجهة نموذج التهديد الجديد هذا، حيث لا يقتصر الخصوم على كونهم مهاجمين فحسب، بل يشملون أيضاً كونهم مشاركين، كيف ينبغي لصناعة العملات المشفرة أن تستجيب؟

يعتقد ستيفن أن فرق المشاريع التي تدير مبالغ كبيرة من الأموال يجب أن تستعين بفرق أمنية محترفة، وأن تُنشئ مناصب أمنية مخصصة داخل الفريق، وأن تضمن التزام جميع الأعضاء الأساسيين ببروتوكولات الأمن بشكل صارم. من المهم بشكل خاص أن تكون أجهزة التطوير والأجهزة المسؤولة عن التوقيعات المالية معزولة فعلياً بشكل صارم. وذكر على وجه التحديد أن إحدى القضايا الرئيسية في حادثة دريفت كانت إلغاء آلية قفل الوقت، "والتي لا ينبغي إلغاؤها في أي وقت".

ومع ذلك، فقد أقر أيضاً بأنه إذا كانت أجهزة الاستخبارات الكورية الشمالية ترغب حقاً في التغلغل بعمق، فسيكون من الصعب حتى إجراء فحوصات خلفية صارمة لتحديد الهوية بشكل كامل. لكن الاستعانة بفرق الأمن لا تزال أمراً بالغ الأهمية. واقترح أن تقوم فرق المشاريع بإدخال فرق زرقاء (الجانب الدفاعي في الهجوم والدفاع السيبراني)، حيث لا يمكن للفرق الزرقاء المساعدة في تعزيز أمن الأجهزة والسلوكيات فحسب، بل يمكنها أيضًا مراقبة العقد الرئيسية باستمرار، مما يسمح بالكشف الفوري عن الهجمات والاستجابة لها في حالة حدوث تقلبات غير طبيعية. "الاعتماد فقط على القدرات الأمنية لفريق المشروع نفسه غير كافٍ لمواجهة هذا المستوى من الهجوم."

وأضاف أن قدرات كوريا الشمالية في مجال الحرب الإلكترونية تحتل مرتبة بين أفضل خمس قدرات في العالم، ولا تتفوق عليها سوى الولايات المتحدة وروسيا والصين وإسرائيل. في مواجهة مثل هؤلاء الخصوم، فإن الاعتماد فقط على عمليات تدقيق التعليمات البرمجية ليس كافياً على الإطلاق.

خاتمة

تثبت حادثة Drift أن أكبر التهديدات التي تواجه التمويل اللامركزي اليوم ليست مجرد ظروف السوق أو السيولة؛ فمن حيث الأمن، لا يتعلق الأمر فقط بمنع ثغرات التعليمات البرمجية، حيث قد يختبئ الجواسيس بجوارك مباشرة.

عندما يكون المهاجمون على استعداد لقضاء ستة أشهر واستثمار ملايين الدولارات لتنمية علاقة ما، فإن عمليات تدقيق التعليمات البرمجية التقليدية والدفاعات الأمنية تكون ببساطة غير كافية. علاوة على ذلك، ووفقًا للتحقيقات الحالية، ربما كانت هذه المجموعة من التكتيكات تعمل في مشاريع متعددة لسنوات، ولكن لم يتم اكتشافها بعد.

لم يعد السؤال الأساسي هو ما إذا كان بإمكان التمويل اللامركزي الحفاظ على اللامركزية والانفتاح؛ السؤال الحقيقي هو: هل يمكنه مقاومة اختراق هؤلاء الخصوم المتقنين مع الحفاظ على انفتاحه؟