قال بروتوكول Drift إن الهجوم الذي وقع في 1 أبريل على منصته جاء بعد أشهر من التخطيط والهندسة الاجتماعية

الملخص

• قال Drift إن المهاجمين أمضوا ستة أشهر في بناء الثقة قبل استخدام أدوات خبيثة لاختراق أجهزة المساهمين.
• ربطت البورصة الاستغلال بثقة متوسطة-مرتفعة بالمهاجمين الذين يقفون وراء اختراق Radiant Capital في أكتوبر 2024.
• قال Drift إن التواصل المتكرر وجهًا لوجه في فعاليات كريبتو ساعد المهاجمين على دراسة المساهمين والحصول على وصول.

يربط البورصة اللامركزية القضية بمجموعة قضت وقتًا في بناء الثقة مع المساهمين قبل إرسال أدوات وروابط خبيثة. تضع تقديرات خارجية الخسارة بنحو 280 مليون دولار.

قال بروتوكول Drift إن مراجعته المبكرة خلصت إلى وجود حملة طويلة ومنظمة ضد المنصة. وقال الفريق إن المهاجمين أظهروا “دعمًا تنظيميًا وموارد وأشهرًا من التحضير المتعمد” خلال العملية.

قالت البورصة إن التواصل بدأ حوالي أكتوبر 2025. ووفقًا لـ Drift، اقترب أشخاص يتظاهرون بأنهم أعضاء في شركة تداول كمي من المساهمين في مؤتمر كريبتو كبير، وادّعوا أنهم يريدون التكامل مع البروتوكول.

اجتماعات وجهًا لوجه بنت الثقة مع مرور الوقت

قال Drift إن المجموعة واصلت لقاء المساهمين في عدة فعاليات صناعية خلال الأشهر الستة التالية. وقال الفريق إن الأشخاص المعنيين كانوا ذوي مهارات تقنية، ويعرفون كيفية عمل Drift، ويبدو أنهم لديهم خلفيات مهنية حقيقية.

ساعد هذا التواصل المستمر المجموعة على كسب الثقة. قال Drift إن المهاجمين استخدموا لاحقًا روابط وأدوات خبيثة جرى تقاسمها مع المساهمين من أجل اختراق الأجهزة، وتنفيذ الاستغلال، وإزالة آثار نشاطهم بعد الاختراق.

وأضاف Drift أيضًا أنه لديه “ثقة متوسطة-مرتفعة” بأن الجهات نفسها التي نفذت اختراق Radiant Capital في أكتوبر 2024 نفذت هذا الاستغلال أيضًا. تسبّب الهجوم السابق في خسائر بنحو 58 مليون دولار، كما شمل برمجيات خبيثة استُخدمت لاكتساب وصول إلى الأنظمة الداخلية.

قالت Radiant Capital في ديسمبر 2024 إن هاكرًا يتماشى مع North Korea تظاهر بأنه مقاول سابق وأرسل برمجيات خبيثة عبر Telegram. وقالت Radiant Capital إن “ملف ZIP هذا” انتشر لاحقًا بين المطورين لأجل التعليقات، وفتح الطريق أمام عملية الاختراق.

تحذير من Drift بأن المؤتمرات قد تصبح أهدافًا للهجمات

قال Drift إن الأشخاص الذين التقوا المساهمين وجهًا لوجه “لم يكونوا من مواطني North Korea”. وفي الوقت نفسه، قال الفريق إن جهات تهديد مرتبطة بـ DPRK غالبًا ما تستخدم وسطاء من أطراف ثالثة للتواصل المباشر وبناء العلاقات.

قالت البورصة إنّها تعمل الآن مع جهات إنفاذ القانون ومع مشاركين آخرين في صناعة كريبتو من أجل بناء سجل كامل لهجوم April 1

أضافت القضية أيضًا تحذيرًا جديدًا لشركات كريبتو، إذ يمكن للمؤتمرات والاجتماعات وجهًا لوجه أن تمنح مجموعات التهديد فرصة لدراسة الفرق وبناء الثقة والتحضير لهجمات لاحقة.