تم التعرف على عملية هندسة اجتماعية متطورة وذات مراحل متعددة نفذها قراصنة مدعومون من دولة كوريا الشمالية كالسبب الجذري لاستغلال ثغرة بقيمة 285 مليون دولار في بروتوكول التمويل اللامركزي (DeFi) القائم على سولانا، Drift. وفقًا لتحقيق مفصل أجرته شركة استخبارات البلوك تشين Elliptic، فإن الهجوم الذي وقع في أكتوبر 2024 لم يكن نتيجة عيب في عقد ذكي، بل كان تتويجًا لحملة صبورة استمرت ستة أشهر استهدفت أحد مطوري Drift. قام القراصنة، الذين نُسبوا إلى جمهورية كوريا الشعبية الديمقراطية (DPRK)، ببناء الثقة بدقة قبل نشر برمجيات خبيثة للحصول على وصول غير مصرح به إلى الأنظمة الخلفية الحساسة للبروتوكول والمفاتيح الخاصة.
تمثل العملية منهجية التهديد المستمر المتقدم (APT) التي تستخدمها مجموعات مثل لازاروس. بدأ الجهات الفاعلة التهديد بالاتصال بالمطور في أبريل 2024، متظاهرين بأنهم شركة رأس مال استثماري شرعية مهتمة بالتعاون. على مدى الأشهر التالية، شاركوا في مناقشات تقنية عادية ومفصلة حول بروتوكول Drift، مما مكنهم من بناء المصداقية بنجاح. جاءت اللحظة المحورية عندما شارك المهاجمون ملف مشروع Visual Studio Code خبيثًا. بمجرد فتح المطور لهذا الملف، نفذ كودًا قام بتثبيت حصان طروادة للوصول عن بُعد (RAT)، مما منح القراصنة سيطرة مستمرة على نظام المطور، والأهم من ذلك، الوصول إلى بيانات الاعتماد الحساسة ونصوص النشر.
من خلال هذه النقطة الاستراتيجية، تمكن المهاجمون من التلاعب بعملية ترقية البروتوكول. من المرجح أنهم اعترضوا أو عدلوا المعاملات لإدخال ترقية برنامج خبيثة لتحويل أموال المستخدمين. نُفذ الاستغلال بسرعة، مما أدى إلى سحب ما يقرب من 285 مليون دولار من الأصول الرقمية من مجمعات السيولة في البروتوكول. يؤكد هذا الحادث تطورًا حاسمًا في التهديدات الإلكترونية التي تركز على العملات المشفرة: في حين أن تدقيق الكود وبرامج مكافأة الأخطاء تظل ضرورية، فإن العنصر البشري أصبح بشكل متزايد ناقل الهجوم الأساسي. يمكن للهندسة الاجتماعية المتطورة التي تستهدف الموظفين الرئيسيين على فترات طويلة تجاوز حتى أقوى إجراءات الأمن التقني.
يمثل اختراق Drift أحد أكبر سرقات العملات المشفرة المرتبطة مباشرة بحملة هندسة اجتماعية ويعزز تركيز كوريا الشمالية المستمر على سرقة العملات المشفرة لتمويل نظامها. تم مشاركة نتائج Elliptic مع سلطات إنفاذ القانون والهيئات التنظيمية ذات الصلة. بالنسبة للمشاريع في فضاء Web3، يخدم هذا الهجوم كتحذير صارخ. يجب أن تتوسع الأوضاع الأمنية لتتجاوز تدقيق العقود الذكية لتشمل تدريبًا شاملاً على الأمن التشغيلي (OpSec) لجميع أعضاء الفريق، وضوابط وصول صارمة، وضمانات توقيع متعدد للنشر، والتحقق الدقيق من جميع الاتصالات الخارجية، خاصة تلك التي تتضمن نقل الملفات أو طلبات الوصول المميز.
