گزارش هک ارزهای دیجیتال کره شمالی در سال ۲۰۲۶: چرا سوءاستفاده از پروتکل Drift و KelpDAO عامل ۷۶ درصد از ضررها بوده است؟

برداشت اصلی:

• بازیگران کره شمالی اکنون حملات دقیق و با تأثیر بالا به پل‌ها و حکومت‌ها را ترجیح می‌دهند و همین امر باعث ۷۶ درصد از کل خسارات هک ارزهای دیجیتال جهانی در اوایل سال ۲۰۲۶ شده است. 
• زیرگروه‌هایی مانند TraderTraitor در حال ادغام مهندسی اجتماعی با خرابکاری در زیرساخت‌ها هستند، که نمونه آن سوءاستفاده‌های ۵۷۷ میلیون دلاری Drift و KelpDAO است.
• مقابله با این تهدیدات دقیق نیازمند تغییر از لیست‌های سیاه ایستا به KYT و تجزیه و تحلیل‌های بلادرنگ برای شناسایی صحنه‌سازی و مسدود کردن نقاط خروج قبل از ناپدید شدن وجوه است.

صنعت دارایی‌های دیجیتال در سال ۲۰۲۶ به یک واقعیت تکان‌دهنده رسیده است. جنگ سایبری تحت حمایت دولت‌ها از یک عامل مزاحم و مداوم در پس‌زمینه، به عامل اصلی ضرر و زیان جهانی ارزهای دیجیتال تبدیل شده است. 

یافته های اخیر از آزمایشگاه های TRM توجه را به یک روند حیرت‌انگیز جلب کرد. تنها در چهار ماه اول سال ۲۰۲۶، گروه‌های هکری کره شمالی مسئول ... بودند. 76٪ از همه هک ارز رمزنگاری شده ضرر و زیان جهانیاگرچه تعداد کل حوادث همچنان پایین است، اما دقت و مقیاس آنها بی‌سابقه است، به طوری که مجموع سرقت‌ها از سال ۲۰۱۷ اکنون از ... پیشی گرفته است. 6 میلیارد دلار علامت.

راهکار جدید: دقت بر فرکانس ارجحیت دارد

سال‌ها، روایت پیرامون هک‌های کره شمالی بر حجم حملات متمرکز بود. امروزه، داده‌ها یک تکامل تاکتیکی را نشان می‌دهند. گروه‌های نخبه به جای اینکه یک شبکه گسترده ایجاد کنند، در حال اجرای تعداد انگشت‌شماری عملیات دقیق و با تأثیر بالا هستند. 

در آوریل ۲۰۲۶، تنها دو حادثه - پروتکل دریفت حمله و KelpDAO سوءاستفاده - به حساب آورده شده 577 میلیون دلار در ضرر و زیان. این دو رویداد تنها ۳٪ از کل حوادث هک در سال را تشکیل می‌دهند، اما بیش از سه چهارم از کل ارزش از دست رفته را به خود اختصاص داده‌اند. این تغییر، نشان‌دهنده‌ی حرکت به سمت اهداف با پیچیدگی بالا است: پل‌های بین زنجیره‌ای و سیستم‌های حاکمیت چندامضایی.

سرقت پروتکل دریفت: یک کلاس درس در مهندسی اجتماعی

سرقت ۲۸۵ میلیون دلاری از Drift Protocol یک شاهکار بود نفوذ در سطح شرکت. 

نفوذ: عنصر انسانی 

ماه‌ها، افرادی که خود را توسعه‌دهندگان قانونی و شرکای نهادی جا می‌زدند، با تیم Drift ارتباط برقرار کردند. این پروکسی‌ها از نظر فنی مسلط و بسیار حرفه‌ای بودند و به آنها اجازه می‌دادند تا خود را در ساختار اجتماعی پروتکل جای دهند. زمانی که حمله فنی آغاز شد، مهاجمان از قبل اعتماد همان افرادی را که قرار بود از خزانه محافظت کنند، به دست آورده بودند.

مرحله ۱: ایجاد دارایی فانتوم (۱۱ مارس) 

صحنه‌سازی دیجیتال رسماً از ۱۱ مارس آغاز شد. دقیقاً ساعت ۹ صبح به وقت پیونگ‌یانگ، مهاجمان ۱۰ اتریوم از Tornado Cash برای تأمین مالی زیرساخت‌های خود منتقل کردند. اولین اقدام آنها «تولد» یک دارایی خیالی به نام توکن CarbonVote (CVT).

از نظر یک فرد خارجی، CVT مانند یک پروژه رو به رشد به نظر می‌رسید. مهاجمان چند هزار دلار را در استخرهای نقدینگی Raydium سرمایه‌گذاری کردند و از ربات‌های معامله‌ی شویی برای ایجاد یک تاریخچه‌ی جعلی از حجم معاملات استفاده کردند. آنها هفته‌ها صرف ساخت «قیمت بازار» تقریباً ۱.۰۰ دلار کردند. اوراکل‌های قیمت Drift - که برای یک دارایی دستکاری‌شده با هیچ کاربرد واقعی آماده نبودند - این سیگنال را دریافت کردند و شروع به در نظر گرفتن CVT به عنوان وثیقه‌ی قانونی کردند.

مرحله ۲: تله «نانس پایدار» (۲۳ تا ۳۰ مارس) 

مهاجمان بر روی یکی از ویژگی‌های Solana به نام نانس‌های بادواممعمولاً یک تراکنش سولانا در حدود ۹۰ ثانیه منقضی می‌شود. یک نانس پایدار اجازه می‌دهد تا یک تراکنش از قبل امضا شده و به طور نامحدود نگهداری شود تا بعداً منتشر شود. مهاجمان با استفاده از جایگاه اجتماعی خود، اعضای شورای امنیت Drift را به امضای اولیه آنچه که به نظر تراکنش‌های اداری معمول می‌رسید، ترغیب کردند. در واقع، اینها "چک‌های سفید" بودند. از آنجا که آنها با استفاده از نانس‌های پایدار امضا شده بودند، مهاجمان این مجوزها را مانند فنرهای پرقدرت نگه داشتند.

مرحله ۳: تغییر اساسی پیکربندی (۲۷ مارس) 

در ۲۷ مارس، دریفت یک حرکت استراتژیک انجام داد که یک ریسک را به یک فاجعه تبدیل کرد. این پروتکل، شورای امنیت خود را به پیکربندی آستانه جدید ۲/۵ منتقل کرد و ... قفل زمانی روی صفردر اکثر پروتکل‌های DeFi، یک «قفل زمانی» به عنوان یک دوره آرامش عمل می‌کند و به جامعه اجازه می‌دهد تا یک اقدام را بررسی و «متوقف» کند. با حذف آن، Drift تنها بازه زمانی که برای شناسایی یک تراکنش جعلی قبل از نهایی شدن آن داشتند را از بین برد.

مرحله ۴: اعدام ۱۲ دقیقه‌ای (۱ آوریل) 

در اول آوریل، مهاجمان با سرعت وحشتناکی حرکت کردند:

1. سپرده: آنها صدها میلیون توکن CVT «بی‌ارزش» را در Drift واریز کردند.
2. دستکاری: از آنجا که اوراکل‌ها معتقد بودند CVT معادل ۱.۰۰ دلار است، سیستم شاهد هجوم عظیمی از وثیقه‌ها بود.
3. فاضلاب: با استفاده از «چک‌های سفید» از پیش مجاز از ماه مارس، آنها فوراً محدودیت‌های برداشت را افزایش دادند.

فقط در دقیقه 12آنها ۳۱ برداشت از پیش امضا شده را اجرا کردند و دارایی‌های واقعی مانند USDC و JLP را در ازای وثیقه جعلی قرض گرفتند. این وجوه قبل از اینکه تیم Drift بتواند واکنشی نشان دهد، به اتریوم منتقل شد.

اکسپلویت KelpDAO: خرابکاری در زیرساخت پل

در حالی که هک Drift به مهندسی اجتماعی متکی بود، 292 میلیون دلار اکسپلویت KelpDAO یک حمله فنی علیه ... بود. زیرساخت لوله‌کشی زنجیره‌ای.

آسیب‌پذیری: ضعف تک تأییدکننده 

KelpDAO از یک پل LayerZero برای توکن rsETH خود استفاده کرد. برای صرفه‌جویی در هزینه‌ها یا پیچیدگی، این پل با طراحی «تأییدکننده تکی» پیکربندی شد. این بدان معناست که کل سیستم برای تأیید انتقال یا سوزاندن دارایی‌ها به یک منبع حقیقت - شبکه تأییدکننده غیرمتمرکز LayerZero Labs (DVN) - متکی بود. هیچ نظر دومی وجود نداشت.

زمینه‌سازی: مسموم کردن چاه 

مهاجمان دو گره RPC داخلی KelpDAO را شناسایی و به آنها نفوذ کردند. گره‌های RPC اساساً «گوش» یک برنامه بلاکچین هستند. آنها به نرم‌افزار می‌گویند که در شبکه چه اتفاقی می‌افتد. پس از ورود، هکرها نرم‌افزار گره را با یک نسخه «مسموم» شده تعویض کردند. این نسخه طوری برنامه‌ریزی شده بود که دروغ بگوید و گزارش دهد که rsETH در زنجیره منبع سوزانده شده است، حتی زمانی که چنین تراکنشی وجود نداشت.

اجرا: DDoS و Failover (18 آوریل) 

در ۱۸ آوریل، مهاجمان یک حمله‌ی گسترده‌ی انسداد سرویس توزیع‌شده (DDoS) را علیه گره‌های RPC خارجی و سالمی که پل معمولاً به آنها گوش می‌داد، راه‌اندازی کردند. با خاموش شدن گره‌های سالم، تأییدکننده‌ی پل از پروتکل ایمنی خود پیروی کرد: «به تنها گره‌هایی که هنوز پاسخ می‌دادند - گره‌های داخلیِ در معرض خطر - «خطا» وارد کرد».

گره‌های مسموم، روایتی نادرست را به تأییدکننده ارائه دادند. تأییدکننده، با دیدن «اثبات» از تنها منبع موجود خود، پیام جعلی بین زنجیره‌ای را تأیید کرد. این امر به مهاجمان اجازه داد تا ... ۱۱۶,۵۰۰ rsETH از قرارداد پل اتریوم.

تقلا: فرار کثیف 

برخلاف مهاجمان آرام Drift، گروه KelpDAO که به عنوان ... شناخته می‌شود. تاجر خائن زیرگروه - اشتباهاتی مرتکب شدند. آنها ۷۵ میلیون دلار اتریوم در آربیتروم، یک لایه ۲ متمرکز، باقی گذاشتند. این به شورای امنیت آربیتروم زمان کافی داد تا از اختیارات اضطراری خود استفاده کرده و وجوه را مسدود کند.

این مسدود شدن باعث «هجومی دیوانه‌وار» شد. هکرها با عجله ۱۷۵ میلیون دلار باقیمانده را جابجا کردند. THORChain، مبادله اتریوم با بیت کوین در سریع ترین زمان ممکن. این مرحله عمدتاً توسط واسطه های چینی انجام شد که نشان دهنده یک شبکه پولشویی ناکارآمد اما کارآمد است.

نقش حیاتی KYT و تجزیه و تحلیل بلاکچین

این حملات نشان‌دهنده یک چالش اساسی برای یکپارچگی اکوسیستم کریپتو در سال ۲۰۲۶ هستند. لیست‌های سیاه ایستا دیگر کافی نیستند، زمانی که بازیگران دولتی می‌توانند ماه‌ها برای انتقال دارایی‌های سرقت شده منتظر بمانند. اینجاست که... تراکنش خود را بشناسید (KYT) و پیشرفته تجزیه و تحلیل بلاکچین به مکانیسم‌های دفاعی ضروری تبدیل می‌شوند.

• هشدار در زمان واقعی: شبکه‌های هشدار، هشدارهای فوری بین پلتفرمی را فعال می‌کنند. وقتی یک آدرس مرتبط با کره شمالی شناسایی می‌شود، موسسات در عرض چند دقیقه، نه چند روز، مطلع می‌شوند و به طور بالقوه برداشت را قبل از تسویه حساب متوقف می‌کنند.
• انتساب چند هاپ: غربالگری ساده‌ی «اولین گام» به راحتی قابل دور زدن است. تحلیل‌های مدرن، وجوه را از طریق ده‌ها کیف پول واسطه و از طریق پل‌های متعدد ردیابی می‌کنند و منبع «واقعی» ثروت را شناسایی می‌کنند.
• نظارت بر بهداشت پل: همانطور که در حمله Drift مشاهده شد، آسیب‌پذیری در پیکربندی مدیریت و چندامضایی بود. ابزارهای تحلیلی اکنون به شرکت‌ها کمک می‌کنند تا سلامت و رفتار پروتکل‌هایی را که با آنها تعامل دارند، رصد کنند و تراکنش‌های مشکوک از پیش امضا شده یا تغییرات در تنظیمات قفل زمانی را علامت‌گذاری کنند.

زیرساخت خود را با ChainUp KYT ایمن کنید

این صنعت نمی‌تواند تنها به پایداری امنیت بلاک چین متکی باشد. با صبورتر و ماهرتر شدن هکرها، ابزارهای دفاعی نیز باید پیشگیرانه‌تر شوند.

ChainUp KYT نظارت لازم در سطح سازمانی را برای پیمایش چشم‌انداز تهدیدهای سال ۲۰۲۶ فراهم می‌کند. راهکار ما فراتر از فهرست سیاه اولیه است و موارد زیر را ارائه می‌دهد:

• نظارت بر معاملات در زمان واقعی: جریان‌های مشکوک را به محض ورود به زنجیره شناسایی و علامت‌گذاری کنید و امکان مداخله فوری را قبل از اتمام برداشت‌ها فراهم کنید.
• ردیابی پیشرفته چند گامی: برای شناسایی وجوهی که از خوشه‌های کره شمالی و سوءاستفاده‌های پل‌ها سرچشمه می‌گیرند، فراتر از «هاپ‌ها» و کیف پول‌های واسطه را بررسی کنید.
• هشدارهای مربوط به مدیریت پروتکل: سلامت پروتکل‌ها و پل‌های DeFi که با آنها تعامل دارید را رصد کنید و در مورد تغییرات پیکربندی پرخطر یا فعالیت چندامضایی غیرمعمول هشدار دریافت کنید.
• ادغام یکپارچه انطباق: ساخته شده برای اپراتورهای صرافی و بازیگران نهادی که برای رعایت استانداردهای نظارتی جهانی به داده‌های دقیق و بالینی نیاز دارند.

منتظر تخلیه ۱۲ دقیقه‌ای بعدی نباشید تا متوجه شوید که روش‌های دفاعی‌تان قدیمی شده‌اند. همین امروز یک نسخه آزمایشی با ChainUp رزرو کنید برای دیدن اینکه چگونه راهکارهای KYT ما می‌توانند زیرساخت شما را در برابر پیچیده‌ترین تهدیدات صنعت مقاوم کنند.