فقط قرأت تقرير الحادث الخاص بـ Drift عن استغلال $270 مليون من أبريل، وبصراحة، مستوى التعقيد هنا مذهل نوعًا ما. لم يكن هجومًا عشوائيًا — نحن نتحدث عن عملية استخباراتية استمرت ستة أشهر من قبل مجموعة مرتبطة بدولة كورية شمالية، قامت بشكل أساسي بالتوغل داخل البروتوكول قبل تنفيذ الهجوم.

إذن، كيف حدث الأمر. حوالي خريف 2025، ظهر هؤلاء الفاعلون في مؤتمر رئيسي للعملات المشفرة متنكرين في هيئة شركة تداول كمي. كان لديهم المهارات التقنية، وخلفيات تبدو شرعية، وفهم فعلي لبروتوكول Drift. على مدى الأشهر التالية، مروا بما بدا وكأنه عملية انضمام طبيعية تمامًا — أنشأوا مجموعة على تيليجرام، وأجروا محادثات حقيقية حول استراتيجيات التداول وتكاملات الخزائن، وأودعوا أكثر من $1 مليون من أموالهم الخاصة، والتقوا بمساهمي Drift وجهًا لوجه في عدة مؤتمرات عبر دول مختلفة في فبراير ومارس.

بحلول الوقت الذي نفذوا فيه الاستغلال في 1 أبريل، كانوا قد بنوا هذه العلاقة لمدة تقارب الستة أشهر. هذا نوع من الصبر لا يمتلكه معظم المهاجمين.

تم الاختراق الفعلي عبر اثنين من الأساليب الذكية. أولاً، جعلوا الناس يحملون تطبيق محفظة وهمي عبر TestFlight، والذي يتجاوز عملية مراجعة أمان أبل. ثانيًا، استغلوا ثغرة معروفة في VSCode وCursor كانت تحذر منها مجتمع الأمان منذ أواخر 2025 — ببساطة، فتح ملف في المحرر كان يمكن أن ينفذ برمجيات عشوائية بصمت ودون تحذيرات.

بمجرد أن تم اختراق الأجهزة، أصبح لديهم الوصول اللازم للحصول على موافقات التوقيع المتعدد التي يحتاجونها. ظلت المعاملات الموقعة مسبقًا خاملة لأكثر من أسبوع قبل أن تُنفذ في 1 أبريل، مما أدى إلى سرقة أكثر من $270 مليون في أقل من دقيقة.

تتبعت التحقيقات هذا الأمر إلى UNC4736، المعروف أيضًا باسم AppleJeus أو Citrine Sleet — نفس المجموعة التي نفذت هجوم Radiant Capital. ومن المثير للاهتمام أن الأشخاص الذين حضروا المؤتمرات لم يكونوا من مواطني كوريا الشمالية. هؤلاء الفاعلون يطلقون هويات طرف ثالث مكتملة البناء مع تاريخ وظيفي وشبكات مهنية مصممة لتجاوز عمليات التدقيق.

ما يثير القلق حقًا في هذا الأمر هو السؤال الأوسع الذي يطرحه على التمويل اللامركزي (DeFi). إذا كان المهاجمون على استعداد لإنفاق ستة أشهر ومليون دولار لبناء حضور شرعي، واللقاء بالفِرق شخصيًا، والمساهمة برأس مال حقيقي، والانتظار حتى اللحظة المناسبة — فما النموذج الأمني الذي يمكنه فعلاً أن يلتقط ذلك؟ تحذر Drift بروتوكولات أخرى من مراجعة ضوابط الوصول ومعاملة كل جهاز يتصل بمفتاح التوقيع المتعدد كهدف محتمل. لكن الحقيقة غير المريحة هي أن حوكمة التوقيع المتعدد، التي تعتمد عليها معظم الصناعة كنموذج أمني أساسي، قد تكون لديها بعض الضعف البنيوي العميق عند مواجهة هذا المستوى من التعقيد.

هذا نوع من الحوادث يجعلك تعيد التفكير في معنى "الأمان" على نطاق واسع.