ممکن است با مشتریان ثروتمندی روبرو شوید که احتمالاً "مزدور" هکرهای کره شمالی هستند.

نویسنده اصلی: نیکی، فورسایت نیوز

اخیراً، Drift Protocol آخرین نتایج تحقیقات در مورد این حمله را منتشر کرد که نشان می‌دهد این عملیات توسط همان عامل تهدیدی که در حادثه هک Radiant Capital در اکتبر 2024 نقش داشت، انجام شده است و شباهت زیادی در جریان‌های سرمایه درون زنجیره‌ای و روش‌های عملیاتی دارد. شرکت امنیتی Mandiant حمله Radiant Capital را به UNC4736، سازمانی مرتبط با دولت کره شمالی، نسبت داد.

پس از حمله Drift، هکرها ۱۳۰۲۹۳ eth-143">اتریوم به ارزش تقریبی ۲۶۶ میلیون دلار جمع‌آوری کرده‌اند. این حادثه ۲۰ پروتکل از جمله Prime Numbers Fi، Gauntlet، Elemental DeFi ، Project 0 و موارد دیگر را تحت تأثیر قرار داد. ضررهای Prime Numbers Fi بیش از 10 میلیون دلار، Gauntlet حدود 6.4 میلیون دلار، Neutral Trade حدود 3.67 میلیون دلار و Elemental DeFi حدود 2.9 میلیون دلار تخمین زده شد و Elemental ابراز امیدواری کرد که بتواند غرامت جزئی را از Drift دریافت کند.

دریفت اظهار داشت که این حمله یک عملیات با برنامه‌ریزی دقیق بود که شش ماه به طول انجامید. در پاییز ۲۰۲۵، گروهی که ادعا می‌کردند یک شرکت معاملات کمی هستند، در یک کنفرانس بزرگ کریپتو به مشارکت‌کنندگان Drift مراجعه کردند. بر اساس جدول زمانی، کنفرانس‌های اصلی کریپتو در این دوره شامل هفته بلاکچین کره ۲۰۲۵ (۲۲ تا ۲۸ سپتامبر ۲۰۲۵، برگزار شده در سئول)، TOKEN2049 سنگاپور (۱ تا ۲ اکتبر ۲۰۲۵، برگزار شده در سنگاپور)، هفته بلاکچین بایننس دبی ۲۰۲۵ (۳۰ تا ۳۱ اکتبر ۲۰۲۵، برگزار شده در دبی) و Solana Breakpoint دبی (۲۰ تا ۲۱ نوامبر ۲۰۲۵، برگزار شده در دبی) بودند.

مقامات دریفت ادعا کردند که از نظر فنی ماهر هستند، پیشینه حرفه‌ای قابل اثباتی دارند و با عملیات دریفت بسیار آشنا هستند. هر دو طرف یک گروه تلگرامی ایجاد کردند و طی ماه‌های بعد، بحث‌های مفصلی در مورد استراتژی‌های معاملاتی و ادغام خزانه‌داری انجام دادند.

از دسامبر ۲۰۲۵ تا ژانویه ۲۰۲۶، این گروه رسماً در یک گنجینه زیست‌محیطی در دریفت مستقر شدند و فرم‌های جزئیات استراتژی مورد نیاز را پر کردند. آنها چندین جلسه کاری با چندین مشارکت‌کننده برگزار کردند، مشکلات جزئی محصول را مطرح کردند و بیش از ۱ میلیون دلار از بودجه خودشان را واریز کردند. آنها از طریق عملیات صبورانه و منظم، حضور تجاری کاملاً کارآمدی را در اکوسیستم Drift ایجاد کردند.

بحث‌های مربوط به ادغام تا ماه مارس امسال ادامه داشت. چندین نفر از مشارکت‌کنندگان دریفت دوباره در کنفرانس‌های بین‌المللی مختلف با این افراد رو در رو ملاقات کردند. در این زمان، هر دو طرف تقریباً شش ماه رابطه‌ی همکاری برقرار کرده بودند و طرف دیگر دیگر غریبه نبود، بلکه شریکی بود که با او کار کرده بودند. در این دوره، آنها پیوندهایی به پروژه‌ها، ابزارها و برنامه‌هایی که ادعا می‌کردند در حال ساخت آنها هستند، به اشتراک گذاشتند، که این یک رویه رایج در بین شرکت‌های تجاری است.

پس از حمله در تاریخ ۲ آوریل، محققان یک بررسی جامع از دستگاه‌ها، حساب‌ها و سوابق ارتباطی شناخته‌شده‌ی آسیب‌دیده انجام دادند و دریافتند که تعاملات با این تیم تجاری محتمل‌ترین مسیر نفوذ بوده است. در زمان حمله، سوابق چت تلگرام طرف مقابل و بدافزار به طور کامل پاک شده بود.

تحقیقات نشان داد که مهاجمان ممکن است از طریق سه روش به دستگاه‌های کاربران Drift نفوذ کرده باشند. ممکن است یکی از مشارکت‌کنندگان پس از کپی کردن مخزن کد به اشتراک گذاشته شده توسط تیم، که به عنوان رابط کاربری برای استقرار خزانه‌داری آنها پنهان شده بود، در معرض خطر قرار گرفته باشد. یکی دیگر از مشارکت‌کنندگان فریب خورد و اپلیکیشن TestFlight را دانلود کرد، که طرف مقابل ادعا می‌کرد محصول کیف پول آنهاست. در مورد مسیر نفوذ به مخزن کد، جامعه امنیتی از دسامبر ۲۰۲۵ تا فوریه ۲۰۲۶ بارها در مورد آسیب‌پذیری‌های شناخته‌شده در VSCode و Cursor هشدار داده بود، که در آن‌ها صرفاً باز کردن یک فایل، پوشه یا مخزن در ویرایشگر می‌تواند بی‌سروصدا کد دلخواه را بدون کلیک کاربر یا هیچ گونه اعلانی اجرا کند. تجزیه و تحلیل کامل پزشکی قانونی از سخت‌افزار آسیب‌دیده هنوز در حال انجام است.

این عملیات با همان عامل تهدیدی مرتبط است که در حادثه هک Radiant Capital در اکتبر 2024 نقش داشت. مندیانت حمله Radiant را به UNC4736، یک سازمان تحت حمایت دولت کره شمالی، که با نام‌های AppleJeus یا Citrine Sleet نیز شناخته می‌شود، نسبت داد. این انتساب بر دو جنبه استوار است: جریان‌های مالی درون زنجیره‌ای نشان می‌دهد که وجوه مورد استفاده برای برنامه‌ریزی و آزمایش این عملیات را می‌توان به مهاجمان Radiant ردیابی کرد؛ از نظر عملیاتی، پوشش‌های استفاده شده در این اقدام، همپوشانی‌های قابل شناسایی با فعالیت‌های شناخته شده مرتبط با کره شمالی را نشان می‌دهد.

دریفت خاطرنشان کرد افرادی که در جلسات آفلاین حاضر شدند، ملیت کره شمالی نداشتند. چنین بازیگران تهدید سطح بالای کره شمالی معمولاً از طریق واسطه‌های شخص ثالث روابط رو در رو برقرار می‌کنند.

UNC4736 مجموعه‌ای از عوامل تهدید است که توسط Mandiant ردیابی شده و ارزیابی‌های با اطمینان بالا آن را به اداره کل شناسایی کره شمالی مرتبط می‌داند. این سازمان از سال ۲۰۱۸ به طور مداوم صنایع ارزهای دیجیتال و فین‌تک را هدف قرار داده و از طریق حملات زنجیره تأمین، مهندسی اجتماعی و ارسال بدافزار، دارایی‌های دیجیتال را به سرقت برده است.

از جمله حملات بزرگ شناخته‌شده می‌توان به حمله به زنجیره تأمین 3CX در مارس 2023، سرقت 50 میلیون دلاری از Radiant Capital در سال 2024 و سرقت 285 میلیون دلاری از Drift اشاره کرد که داده‌های آماری نشان می‌دهد این سازمان در مجموع تقریباً 335 میلیون دلار سرقت کرده است.

این خوشه به‌طور گسترده به‌عنوان زیرمجموعه‌ای از گروه لازاروس در نظر گرفته می‌شود که بر جرایم سایبری با انگیزه مالی تمرکز دارد. گروه لازاروس در فوریه ۲۰۲۵ تقریباً ۱.۵ میلیارد دلار دارایی از بای‌بیت سرقت کرد و بزرگترین سرقت واحد در تاریخ ارزهای دیجیتال را رقم زد.

گروه لازاروس، خوشه‌ای از عوامل تهدید سایبری است که توسط دولت کره شمالی حمایت می‌شوند و متعلق به اداره کل شناسایی هستند که شامل چندین زیرگروه مانند UNC4736 (یعنی AppleJeus/Citrine Sleet) و TraderTraitor می‌شود. طبق گزارش Chainalysis، هکرهای کره شمالی تقریباً ۶.۷۵ میلیارد دلار ارز دیجیتال را از طریق خوشه‌هایی مانند لازاروس به سرقت برده‌اند که بیش از ۲ میلیارد دلار آن تنها در سال ۲۰۲۵ بوده است.

این سازمان مسئول چندین حمله سایبری جهانی بوده است: هک سونی پیکچرز انترتینمنت در سال ۲۰۱۴، سرقت ۸۱ میلیون دلاری از بانک مرکزی بنگلادش در سال ۲۰۱۶، شیوع جهانی باج‌افزار واناکرای در سال ۲۰۱۷، سرقت‌های ۶۲۰ و ۱۰۰ میلیون دلاری از رونین بریج و هارمونی هورایزن بریج در سال ۲۰۲۲ و حملات به کیف پول اتمیک و استیک در سال ۲۰۲۳. در اکتبر ۲۰۲۴، UNC4736 به Radiant Capital حمله کرد و ۵۰ میلیون دلار سرقت کرد؛ در فوریه ۲۰۲۵، TraderTraitor مبلغ بی‌سابقه ۱.۵ میلیارد دلار از Bybit سرقت کرد؛ و در آوریل ۲۰۲۶، آنها حمله‌ای ۲۸۵ میلیون دلاری به Drift Protocol انجام دادند.

لازاروس مجموع سرقت‌های ارز دیجیتال کره شمالی را به ۶.۷۵ میلیارد دلار رسانده است. روش‌های حمله از تخریب اولیه به نفوذ بلندمدت، مهندسی اجتماعی، حملات زنجیره تأمین و نفوذ مخرب از طریق قراردادهای هوشمند /امضاهای چندگانه تغییر یافته است.

در بیانیه‌ی دریفت آمده است که تحقیقات نشان داده هویت‌های مورد استفاده در اقدامات هدایت‌شده توسط اشخاص ثالث، دارای سوابق شخصی و حرفه‌ای کاملی از جمله سابقه‌ی کاری، صلاحیت‌های عمومی و شبکه‌های حرفه‌ای بوده‌اند. افرادی که توسط مشارکت‌کنندگان دریفت به صورت آفلاین دیده می‌شدند، ماه‌ها صرف ساخت پروفایل‌های هویتی کردند که بتوانند در یک زمینه همکاری تجاری، در برابر بررسی دقیق مقاومت کنند.

تیلور موناهان، محقق امنیتی، پیش از این اظهار داشت که کارکنان فناوری اطلاعات کره شمالی حداقل هفت سال است که در شرکت‌های ارز دیجیتال و پروژه‌های DeFi نفوذ می‌کنند و بیش از ۴۰ پلتفرم DeFi، کارکنان فناوری اطلاعات کره شمالی را در مراحل مختلف درگیر خود کرده‌اند. حادثه Drift همچنین نشان می‌دهد که مهاجمان از نفوذ از راه دور به عملیات اطلاعاتی هدفمند و رو در رو، که ماه‌ها طول می‌کشد، تکامل یافته‌اند.

شرکت Drift اعلام کرد که به همکاری با نیروهای انتظامی، شرکای پزشکی قانونی و تیم‌های اکوسیستم ادامه خواهد داد و جزئیات بیشتر پس از تکمیل تحقیقات منتشر خواهد شد. تمام عملکردهای پروتکل باقی‌مانده مسدود شده‌اند، کیف پول‌های دزدیده شده از امضاهای چندگانه حذف شده‌اند و آدرس‌های مهاجمان در صرافی‌های مختلف و اپراتورهای پل بین زنجیره‌ای علامت‌گذاری شده‌اند.