هاجم قراصنة كوريا الشمالية مرة أخرى! سرقت مجموعة لازاروس 30.6 مليون، وتعرضت بورصة كورية جنوبية للضرر للمرة الثالثة

يُشتبه في أن مجموعة لازاروس الشهيرة بجرائم الإنترنت في كوريا الشمالية قد دبرت هجومًا كبيرًا على الأصول الرقمية، مما أدى إلى خسارة أكبر تبادل للأصول الرقمية في كوريا الجنوبية حوالي 30.6 مليون دولار. أكدت مشغلة التبادل، Dunamu، أنه تم نقل أصول مرتبطة بـ Solana بقيمة 44.5 مليار وون كوري إلى محفظة غير مصرح بها يوم الخميس، وأفادت الشركة أنها ستستخدم احتياطياتها الخاصة لتعويض المستخدمين بالكامل.

منظمة لازاروس الكورية الشمالية متهمة بهجوم قراصنة بقيمة 30.6 مليون دولار

（المصدر：X）

وفقًا لوكالة الأنباء الكورية الجنوبية، وبحسب مصادر حكومية وصناعية، هناك دلائل تشير إلى أن هذا الهجوم قد يكون مرتبطًا بنفس المجموعة التي تم لومها سابقًا على حوادث الاقتحام التي نفذتها مجموعة Lazarus، حيث تستعد السلطات لإجراء تفتيش ميداني على هذا التبادل. كانت هذه المجموعة مرتبطة سابقًا بأنشطة سرقة الأصول الرقمية، بهدف خلق إيرادات لبيونغ يانغ في ظل النقص المستمر في العملات الأجنبية. تواجه كوريا الشمالية عقوبات دولية صارمة، وطرق الحصول التقليدية على العملة الأجنبية محدودة للغاية، مما يجعل سرقة الأصول الرقمية مصدرًا مهمًا لتمويلها.

أكدت شركة Dunamu، مشغل أكبر تبادل للعملات الرقمية في كوريا الجنوبية، أن أصولًا مرتبطة بـ Solana بقيمة 445 مليار وون كوري تم نقلها يوم الخميس إلى محفظة غير مصرح بها. وأفادت الشركة أنها ستستخدم احتياطياتها الخاصة لتعويض المستخدمين بالكامل، وأوقفت سريعًا عمليات السحب والإيداع في الوقت الذي بدأت فيه مراجعة داخلية. تظهر هذه الاستجابة السريعة والالتزام بالتعويض الكامل أن Dunamu تحاول تقليل الأضرار التي لحقت بثقة المستخدمين نتيجة لهذا الهجوم الإلكتروني.

أفاد المحققون أن التقنية المستخدمة في هذا الهجوم تشبه إلى حد كبير تلك المستخدمة في حادثة عام 2019، عندما زُعم أن المهاجمين سرقوا عملة إيثيريوم بقيمة 58 مليار وون كوري من نفس المنصة. يعتقد المسؤولون أن القراصنة قد تجاوزوا البنية التحتية الأساسية عن طريق انتحال صفة المدير أو اختراق الحسابات الداخلية، مما سمح لهم بتفويض عمليات السحب. تُعتبر هذه الطريقة في التسلل الداخلي نموذجاً نموذجياً لهجمات مجموعة لازاروس، مما يدل على أن المنظمة لديها بحث متعمق واستعداد طويل الأمد للاختراق على الأنظمة المستهدفة.

قال مسؤولون أمنيون إن هذه الأموال تم تحويلها بسرعة من خلال المحافظ المرتبطة بمنصات أخرى، مما يدل على أن شخصًا ما يحاول إخفاء آثار المعاملات باستخدام أساليب غسيل الأموال التي استخدمتها مجموعة لازاروس في السابق. وقال أحد المسؤولين: “هذه هي الطريقة المعتادة لديهم، حيث يتم توزيع الرموز على عدة شبكات لتفكيك عملية التتبع.”

الارتفاع نموذج الهجوم النموذجي لمنظمة لعازر

الاختراق طويل الأمد: من خلال الهندسة الاجتماعية أو هجمات سلسلة التوريد، يتسلل لعدة أشهر أو حتى سنوات.

سرقة صلاحيات داخلية: انتحال صفة المدير أو اختراق حسابات داخلية للحصول على صلاحيات السحب

التحويل السريع: نقل الأموال بسرعة إلى عدة محافظ قبل أن يتم اكتشافها

غسل الأموال عبر السلاسل: توزيع الرموز على عدة شبكات بلوكشين لكسر التتبع

خدمة خلط العملات: استخدم بروتوكولات خلط مثل Tornado Cash لمزيد من إخفاء تدفق الأموال

أشار المحللون إلى أن Lazarus استهدف عدة مرات منصات الأصول الرقمية البارزة لتعظيم التأثير والظهور، مما يدل على أن هذا الهجوم قد تم التخطيط له عمدًا، بهدف الاستفادة من اهتمام الجمهور الكبير. إن قيمة أخبار هجوم أكبر تبادل للأصول الرقمية في كوريا الجنوبية عالية جدًا، وقد تكون هذه الظهور العالي وسيلة لكوريا الشمالية لإظهار قدراتها على الشبكة للمجتمع الدولي.

Dunamu تلتزم بالتعويض الكامل ووقف التداول

أكد مشغل أكبر تبادل تشفير في كوريا الجنوبية، Dunamu، يوم الخميس أنه تم نقل أصول مرتبطة بـ Solana بقيمة 445 مليار وون كوري (حوالي 30.6 مليون دولار أمريكي) إلى محفظة غير مصرح بها. وقالت الشركة إنها ستستخدم احتياطياتها الخاصة لتعويض المستخدمين بالكامل، وأوقفت بسرعة السحوبات والإيداعات في الوقت الذي بدأت فيه مراجعة داخلية. إن هذا الالتزام بالتعويض الكامل ليس شائعًا في حالات اختراق تبادل الأصول الرقمية، مما يظهر قوة Dunamu المالية وموقفها المسؤول تجاه المستخدمين.

توقف السحب والإيداع هو إجراء طارئ قياسي يهدف إلى منع المهاجمين من تحويل الأموال بشكل إضافي أو استغلال ثغرات النظام. ومع ذلك، فإن هذا التوقف قد يسبب أيضًا إزعاجًا للمستخدمين العاديين، حيث لا يمكنهم إجراء المعاملات أو سحب الأموال. تحتاج Dunamu إلى تحقيق التوازن بين التحقيقات الأمنية واستعادة العمليات العادية، حيث قد يؤدي الوقت الطويل للتوقف إلى فقدان المستخدمين لصالح منصات المنافسين.

على الرغم من أن التعويض الكامل يحمي مصالح المستخدمين، إلا أنه يمثل عبءًا ماليًا هائلًا على Dunamu. إن خسائر قدرها 30.6 مليون دولار بالإضافة إلى تكاليف التحديثات الأمنية المحتملة، والغرامات التنظيمية، والأضرار التي تلحق بالسمعة، قد تتجاوز التكاليف الإجمالية بكثير قيمة الخسائر المباشرة. وقد أثار هذا أيضًا مناقشات حول احتياطات الأمان وآليات التأمين في التبادل، وما إذا كان بإمكان تبادل واحد تحمل تأثيرات مالية من هذا النوع من الهجمات على المدى الطويل.

قام محلل blockchain بتتبع تدفق الأموال المسروقة على وسائل التواصل الاجتماعي. قام مهاجم مجهول الهوية بسرقة أموال من عدة محافظ ساخنة لأكبر تبادل للعملات الرقمية في كوريا، وبعد الانتظار لبعض الوقت، بدأ في تحويل الأموال عبر السلاسل. في مرحلة ما، قام المخترق بنقل USDC من سلسلة إلى أخرى بطريقة جسر، مما جعل تتبع الأموال أمرًا صعبًا للغاية.

استحواذ نافي على توقيت المفاجأة يثير التساؤلات

في اليوم التالي لإعلان Naver عن خططها للاستحواذ على Dunamu من خلال قسمها المالي عن طريق تبادل الأسهم، حدثت حادثة انتهاك في هذا التبادل، مما جعل Naver محور اهتمام البلاد. أثار هذا التزامن الزمني العديد من التكهنات: هل حاول شخص ما تخريب صفقة الاستحواذ؟ هل قام أحد المطلعين بتسريب معلومات حول ثغرة أمنية؟ أم أن الأمر مجرد مصادفة؟

تُعتبر Naver أكبر شركة إنترنت في كوريا الجنوبية، وكانت خطتها للاستحواذ على Dunamu تُعتبر حدثًا بارزًا في دمج صناعة التشفير مع عمالقة التكنولوجيا التقليديين. ومع ذلك، فإن حدوث هجوم إلكتروني قد يؤثر على تقييم الاستحواذ ومفاوضات الشروط. قد تطلب Naver خفض سعر الاستحواذ أو زيادة شروط الأمان، بينما تحتاج Dunamu إلى إثبات قدرتها على تحسين الحماية الأمنية لـ Naver.

في الوقت نفسه، تستعد شركة Naver Financial، التابعة لعملاق الإنترنت الكوري Naver، لإطلاق محفظة مستقرة للعملة في بوسان، وهو جزء من دفع المدينة المستمر لبناء اقتصاد محلي مدفوع بتقنية البلوكشين. ووفقًا للتقارير، أكملت Naver تطوير هذه المحفظة، وهي الآن في مرحلة الفحص النهائي، ومن المتوقع أن تطلق رسميًا الشهر المقبل. يتم تطوير هذا المشروع بالتعاون مع شركة رأس المال المخاطر Hashed ومنصة تبادل الأصول الرقمية في بوسان (BDAN).

تبدو خطة توسيع الأعمال هذه أكثر حساسية بعد الهجوم الإلكتروني. إذا أرادت Naver بناء سمعة في مجال التشفير، يجب أن تثبت أنها تستطيع تقديم ضمانات أمان أقوى من أكبر تبادل للعملات الرقمية في كوريا. قد يدفع هذا الحدث Naver إلى إجراء مراجعات أمنية واختبارات ضغط أكثر شمولاً قبل إطلاق المحفظة المستقرة.

من المحتمل أن تعيد كوريا الجنوبية فرض عقوبات على قراصنة كوريا الشمالية

في وقت سابق من هذا الشهر، أعلنت كوريا الجنوبية أنها قد تعيد النظر في طريقة فرض العقوبات على كوريا الشمالية بعد أن اتخذت الولايات المتحدة تدابير جديدة تربط أنشطة سرقة الأصول الرقمية في بيونغ يانغ بتمويل برامجها النووية. قالت نائبة وزير الخارجية الكوري الجنوبي كيم جي نا إن سيول قد “تعيد النظر في تدابير العقوبات عند الحاجة الحقيقية”، وأكدت أنها ستنسق عن كثب مع واشنطن لمواجهة التهديدات المتزايدة من كوريا الشمالية في مجال الشبكات والتهديدات الرقمية.

قال كين: “إذا سرق بيونغ يانغ الأصول الرقمية، فإن التنسيق بين كوريا الجنوبية والولايات المتحدة أمر بالغ الأهمية، لأن هذه الأصول الرقمية قد تستخدم لتمويل برامج الأسلحة النووية والصواريخ في كوريا الشمالية، مما يشكل تهديدًا لنظامنا البيئي الرقمي.” تكشف هذه التصريحات عن البعد الجيوسياسي وراء هجمات الهاكرز الكوريين الشماليين، فهي ليست مجرد جريمة اقتصادية، بل تهديد للأمن الوطني.

وفقًا لتقديرات الأمم المتحدة ووزارة الخزانة الأمريكية، فإن المبلغ الإجمالي للعملات الرقمية الذي سرقته كوريا الشمالية من خلال الهجمات الإلكترونية قد تجاوز مليارات الدولارات، حيث تم استخدام هذه الأموال لتجنب العقوبات الدولية، والحفاظ على تشغيل النظام، وتمويل برامج الأسلحة النووية والصواريخ. مجموعة لازاروس، كونها وحدة الإنترنت الأكثر تميزًا في كوريا الشمالية، تستهدف هجماتها جميع أنحاء العالم، حيث تعرضت كل من تبادل الأصول الرقمية والمؤسسات المالية التقليدية لهجماتها.

خسارة 30.6 مليون دولار التي تعرض لها أكبر تبادل للعملات الرقمية في كوريا الجنوبية ليست الأكبر في تاريخ هجمات القراصنة من كوريا الشمالية، ولكن توقيتها بعد إعلان خطة الاستحواذ من Naver، بالإضافة إلى التشابه التكنيكي مع حادثة عام 2019، يجعل التحقيق في هذه الحادثة ونسبها أكثر تعقيداً. سيكون من المهم متابعة ما إذا كانت الحكومة الكورية الجنوبية ستعيد فرض عقوبات أكثر صرامة، وكيف ستعزز المجتمع الدولي من تدابيره ضد التهديدات السيبرانية من كوريا الشمالية.