الفرق في سعر Kimchi مقابل قراصنة الدولة: الحرب السيبرانية الخفية بين كوريا الشمالية وكوريا الجنوبية عقب سلسلة من اختراقات Upbit

يتعافى السوق تدريجياً، لكن منصات التداول تواجه مجدداً اختراقات أمنية خطيرة.

في 27 نوفمبر، أعلنت Upbit—أكبر بورصة عملات رقمية في كوريا الجنوبية—عن حادث أمني كبير أدى إلى فقدان ما يقارب 54 مليار وون كوري (36.8 مليون دولار أمريكي) من الأصول.

عند الساعة 4:42 صباحاً بتوقيت كوريا، في 27 نوفمبر، وبينما كان معظم المتداولين الكوريين نائمين، شهدت المحفظة الساخنة لـ Upbit على شبكة Solana تحويلات غير اعتيادية للأموال.

أوضحت شركات أمن البلوك تشين مثل SlowMist أن المهاجم لم يستهدف أصلًا واحدًا، بل نفذ عملية سرقة واسعة لأصول Upbit على شبكة Solana.

شملت الأصول المسروقة رموزاً أساسية مثل SOL وUSDC، إلى جانب معظم رموز SPL الرئيسية ضمن منظومة Solana.

قائمة جزئية بالأصول المسروقة:

• DeFi/Infrastructure: JUP (Jupiter)، RAY (Raydium)، PYTH (Pyth Network)، JTO (Jito)، RENDER، IO، وغيرها.
• Meme/Community: BONK، WIF، MOODENG، PENGU، MEW، TRUMP، وغيرها.
• مشاريع أخرى: ACS، DRIFT، ZETA، SONIC، وغيرها.

تشير هذه السرقة الشاملة إلى أن الجهة المهاجمة تمكنت على الأرجح من الوصول إلى المفتاح الخاص لمحفظة Upbit الساخنة على Solana أو اخترقت خادم التوقيع، مما أتاح لها تفويض وتحويل جميع رموز SPL المحتفظ بها في المحفظة.

بالنسبة لـ Upbit، التي تحتكر 80% من سوق العملات الرقمية في كوريا الجنوبية وتحمل أعلى اعتماد أمني من وكالة الإنترنت والأمن الكورية (KISA)، يشكل هذا الحادث خرقاً كارثياً.

ومع ذلك، ليست هذه أول مرة تتعرض فيها منصة كورية جنوبية للاختراق.

عند مراجعة سجل الأحداث، يتضح أن سوق العملات الرقمية الكوري الجنوبي كان هدفاً دائماً للقراصنة—خصوصاً من كوريا الشمالية—على مدار السنوات الثماني الماضية.

سوق العملات الرقمية في كوريا الجنوبية ليس مركزاً للمضاربة الفردية فحسب، بل يمثل أيضاً نقطة جذب مفضلة لقراصنة كوريا الشمالية.

ثماني سنوات من النزاع السيبراني بين الشمال والجنوب: سجل اختراقات منصات التداول

تطورت أساليب الهجوم من الاختراقات المباشرة إلى هندسة اجتماعية متقدمة، وازدادت قائمة المنصات الكورية الجنوبية المستهدفة باستمرار.

إجمالي الخسائر: نحو 200 مليون وون كوري (200 مليون دولار أمريكي وقت السرقة؛ وأكثر من 1.2 مليار دولار أمريكي بالقيمة الحالية، حيث أن 342,000 ETH المسروقة من Upbit في 2019 تساوي الآن أكثر من مليار دولار أمريكي)

• 2017: الغرب المتوحش—القراصنة يستهدفون أجهزة موظفي المنصات

شهد عام 2017 انطلاق السوق الصاعد للعملات الرقمية وبداية أزمة أمنية لمنصات التداول الكورية الجنوبية.

كانت Bithumb، أكبر منصة في كوريا الجنوبية، أول ضحية رئيسية. ففي يونيو، تمكن القراصنة من اختراق جهاز موظف في Bithumb وسرقة بيانات شخصية لـ 31,000 مستخدم. استغلوا هذه المعلومات لتنفيذ هجمات تصيد مستهدفة وسرقوا ما يقارب 32 مليون وون كوري (32 مليون دولار أمريكي). اكتشف المحققون أن بيانات العملاء غير المشفرة كانت مخزنة على جهاز الموظف، وأن تحديثات الأمان الأساسية كانت غائبة.

كشفت الحادثة عن ثغرات كبيرة في إدارة الأمن لدى منصات التداول الكورية الجنوبية في ذلك الوقت—حتى القواعد الأساسية مثل عدم تخزين بيانات العملاء على أجهزة شخصية لم تكن مطبقة.

كان انهيار منصة Youbit المتوسطة الحجم أكثر أهمية. خلال عام واحد، تعرضت Youbit لهجومين مدمرين: فقدت حوالي 4,000 BTC (5 ملايين وون كوري أو 5 ملايين دولار أمريكي) في أبريل، وسُرق 17% إضافي من الأصول في ديسمبر. لم تتمكن Youbit من التعافي، فأعلنت الإفلاس، وسمحت للمستخدمين بسحب 75% فقط من أرصدتهم، بينما خضعت البقية لإجراءات إفلاس طويلة.

بعد حادثة Youbit، اتهمت KISA كوريا الشمالية علناً بتنفيذ الهجوم لأول مرة، وأرسلت بذلك رسالة واضحة للسوق:

أصبحت المنصات تواجه مجموعات قراصنة مدعومة من دول لديها أهداف جيوسياسية، وليس مجرد مجرمين إلكترونيين.

• 2018: سرقة المحفظة الساخنة

شهد يونيو 2018 سلسلة من الهجمات على السوق الكوري الجنوبي.

في 10 يونيو، تعرضت منصة Coinrail للاختراق، وفقدت أكثر من 40 مليون وون كوري (40 مليون دولار أمريكي). على عكس الحوادث السابقة، ركز القراصنة على رموز ICO (مثل NPXS من Pundi X)، وليس Bitcoin أو Ethereum. أدى الخبر إلى انخفاض سعر Bitcoin بأكثر من 10%، وخسر سوق العملات الرقمية أكثر من 4 مليارات دولار أمريكي خلال يومين.

بعد عشرة أيام فقط، تعرضت منصة Bithumb للاختراق، حيث فقدت حوالي 31 مليون وون كوري (31 مليون دولار أمريكي) من رموز XRP وغيرها من محفظتها الساخنة. ومن المفارقات أن Bithumb أعلنت قبل أيام على تويتر عن “نقل الأصول إلى محافظ باردة لترقية نظام الأمان”.

كان هذا ثالث اختراق لـ Bithumb خلال ثمانية عشر شهراً.

تسببت سلسلة الاختراقات في تضرر ثقة السوق بشكل كبير. أجرت وزارة العلوم وتكنولوجيا المعلومات والاتصالات تدقيقاً لـ 21 منصة محلية، ووجدت أن 7 فقط اجتازت جميع اختبارات الأمان الـ85. أما الـ14 الباقية فكانت “في خطر دائم للاختراق”، مع وجود عيوب كبيرة في إدارة المحافظ الباردة لدى 12 منها.

• 2019: سرقة 342,000 ETH من Upbit

في 27 نوفمبر 2019، تعرضت Upbit لأكبر عملية سرقة عملات رقمية منفردة في كوريا الجنوبية.

استغل القراصنة عملية دمج المحافظ لنقل 342,000 ETH في عملية واحدة. وبدلاً من تصريف الأصول مباشرة، استخدموا تقنيات “peel chain” لتقسيم الأموال إلى العديد من المعاملات الصغيرة، وتحويلها عبر عشرات المنصات دون متطلبات KYC ومزجها.

وجد المحققون أن 57% من ETH المسروقة تم تحويلها إلى Bitcoin بخصم 2.5% على منصات يشتبه في إدارتها من قبل كوريا الشمالية، بينما تم غسل الـ43% الباقية عبر 51 منصة في 13 دولة.

لم يتم حتى نوفمبر 2024—بعد خمس سنوات—تأكيد الشرطة الكورية الجنوبية رسمياً أن الهجوم نفذته مجموعة Lazarus وAndariel التابعة لكوريا الشمالية. وتتبع المحققون عناوين IP، وحللوا تدفقات الأموال، ووجدوا كلمات رمزية خاصة بكوريا الشمالية مثل “غير مهم” في برامج الهجوم.

عملت السلطات الكورية الجنوبية مع مكتب التحقيقات الفيدرالي (FBI) لأربع سنوات لتعقب الأصول، وتمكنت في النهاية من استرداد 4.8 BTC (600 مليون وون كوري تقريباً) من منصة سويسرية وإعادتها إلى Upbit في أكتوبر 2024.

وبالمقارنة مع إجمالي المبلغ المسروق، يعتبر هذا الاسترداد ضئيلاً.

• 2023: حادثة GDAC

في 9 أبريل 2023، تعرضت منصة GDAC للاختراق، وفقدت نحو 13 مليون وون كوري (13 مليون دولار أمريكي)—أي 23% من إجمالي الأصول تحت الحفظ.

شملت الأصول المسروقة حوالي 61 BTC، و350 ETH، و10 ملايين رمز WEMIX، و220,000 USDT. استولى القراصنة على المحفظة الساخنة لـ GDAC وسارعوا بغسل جزء من الأموال عبر Tornado Cash.

• 2025: اختراق Upbit مجدداً—بعد ست سنوات بالضبط

في 27 نوفمبر، بعد ست سنوات من الاختراق السابق، تعرضت Upbit لعملية سرقة كبيرة أخرى.

في الساعة 4:42 صباحاً، شهدت المحفظة الساخنة لـ Upbit على Solana تحويلات غير طبيعية، حيث تم نقل حوالي 54 مليار وون كوري (36.8 مليون دولار أمريكي) إلى عناوين مجهولة.

عقب اختراق Upbit في 2019، أصدرت كوريا الجنوبية قانوناً خاصاً في 2020، يفرض شهادة ISMS وحسابات بنكية بأسماء حقيقية لجميع المنصات. خرج العديد من المنصات الصغيرة من السوق، وبقيت حفنة من الكبار. استحوذت Upbit، المدعومة من Kakao والحاصلة على الشهادة، على أكثر من 80% من الحصة السوقية.

ورغم ست سنوات من الإصلاحات التنظيمية، لم تكن Upbit بمنأى عن هجوم جديد.

حتى تاريخ النشر، تعهدت Upbit بتعويض جميع المستخدمين المتضررين بالكامل، لكن تفاصيل المهاجم وطريقة التنفيذ لا تزال غير معلنة.

علاوة الكيمتشي، القراصنة المدعومون من الدول، والأسلحة النووية

الحوادث الأمنية المتكررة في منصات التداول الكورية الجنوبية ليست مجرد إخفاقات تقنية، بل تعكس واقعاً مأساوياً للجغرافيا السياسية.

في سوق مركزي، غني بالسيولة، وفريد جغرافياً، تُجبر منصات التداول الكورية الجنوبية على الدفاع عن نفسها بميزانيات أمنية تجارية أمام وحدات قراصنة مدعومة من دول ذات طموحات نووية.

تُعرف هذه الوحدة باسم مجموعة Lazarus.

تعمل Lazarus تحت إشراف مكتب الاستطلاع العام الكوري الشمالي (RGB)، وتُعد من نخبة فرق الحرب السيبرانية في بيونغ يانغ.

قبل استهداف العملات الرقمية، أثبتت Lazarus قدراتها في القطاع المالي التقليدي.

اخترقت Sony Pictures في 2014، وسرقت 81 مليون وون كوري (81 مليون دولار أمريكي) من بنك بنغلاديش في 2016، وشنّت هجوم الفدية WannaCry في 2017، الذي أثر على 150 دولة.

منذ 2017، ركزت Lazarus جهودها على العملات الرقمية لأسباب واضحة:

منصات التداول أقل تنظيماً، ومعايير الأمان غير متسقة، ويمكن تحويل الأموال المسروقة بسرعة عبر الحدود على السلسلة، متجاوزة العقوبات الدولية.

كوريا الجنوبية هدف مثالي.

أولاً، هي خصم جيوسياسي طبيعي. استهداف شركات كورية جنوبية يوفر لكوريا الشمالية الأموال والفوضى في دولة "عدوة".

ثانياً، تخلق علاوة الكيمتشي تجمعاً مربحاً للسيولة. يشتهر المستثمرون الأفراد الكوريون الجنوبيون بالحماس، مما يرفع الطلب ويخلق علاوات دائمة مع سعي الوون الكوري وراء أصول رقمية محدودة.

هذا يعني أن محافظ المنصات الساخنة في كوريا الجنوبية تحتفظ بسيولة أكبر بكثير من نظيراتها في الأسواق الأخرى—وهو كنز للقراصنة.

ثالثاً، اللغة ميزة. تتقن Lazarus الهندسة الاجتماعية—إعلانات وظائف وهمية، رسائل تصيد إلكتروني، وانتحال خدمة العملاء للحصول على رموز التحقق.

دون وجود حاجز لغوي، تصبح هجمات التصيد المستهدفة ضد موظفي ومستخدمي كوريا الجنوبية أكثر فعالية بكثير.

أين تذهب الأموال المسروقة؟ هذا هو الجزء الأكثر أهمية في القصة.

تتبعت تقارير الأمم المتحدة وشركات تحليلات البلوك تشين العملات الرقمية المسروقة من Lazarus إلى برامج كوريا الشمالية النووية والصاروخية.

استشهدت رويترز بتقرير سري للأمم المتحدة يُظهر أن كوريا الشمالية تستخدم العملات الرقمية المسروقة في تمويل تطوير الصواريخ.

في مايو 2023، صرحت نائبة مستشار الأمن القومي في البيت الأبيض Anne Neuberger أن حوالي 50% من تمويل برنامج الصواريخ الكوري الشمالي يأتي من الهجمات السيبرانية وسرقة العملات الرقمية، ارتفاعاً من "حوالي الثلث" في يوليو 2022.

باختصار، كل اختراق لمنصة كورية جنوبية قد يدعم بشكل غير مباشر تطوير رؤوس نووية عبر المنطقة منزوعة السلاح.

أصبحت عملية غسل الأموال الآن متطورة للغاية: تُقسم الأصول إلى العديد من المعاملات الصغيرة باستخدام تقنيات "peel chain"، وتُمزج عبر Tornado Cash أو Sinbad، وتُستبدل بعملة Bitcoin بخصم على منصات تديرها كوريا الشمالية، ثم تُحول في النهاية إلى نقد عبر قنوات سرية في الصين وروسيا.

بالنسبة لـ 342,000 ETH المسروقة من Upbit في 2019، أفادت الشرطة الكورية الجنوبية أن 57% منها تم تحويلها إلى Bitcoin في ثلاث منصات تديرها كوريا الشمالية بخصم 2.5%، بينما تم غسل الـ43% الباقية عبر 51 منصة في 13 دولة. ولا تزال معظم الأموال غير مستردة حتى الآن.

هذا يبرز المعضلة الأساسية التي تواجه منصات التداول الكورية الجنوبية:

من جهة، تمتلك Lazarus موارد دولة، واستثماراً غير محدود، وعمليات على مدار الساعة. ومن جهة أخرى، يجب على شركات تجارية مثل Upbit وBithumb الدفاع أمام تهديدات مستمرة مدعومة من دول.

حتى المنصات الكبرى ذات الإجراءات الأمنية القوية تجد صعوبة في مواجهة الهجمات المستمرة من جهات مدعومة من دول.

هذه ليست مشكلة كوريا الجنوبية فقط

ثماني سنوات، وأكثر من اثني عشر هجوماً، وخسائر بقيمة 200 مليون وون كوري (200 مليون دولار أمريكي)—تُعد هذه القضايا مؤشراً على تحديات قطاع العملات الرقمية في مواجهة خصوم مدعومين من دول.

تجربة منصات التداول الكورية الجنوبية تعكس تحديات قطاع العملات الرقمية في مواجهة خصوم مدعومين من دول.

كوريا الشمالية هي الأكثر شهرة، لكنها ليست الوحيدة. مجموعات تهديد روسية ارتبطت بهجمات DeFi؛ وقراصنة إيرانيون استهدفوا شركات العملات الرقمية الإسرائيلية؛ كما وسعت كوريا الشمالية نطاق عملياتها عالمياً، كما ظهر في اختراق Bybit بقيمة 1.5 مليار دولار أمريكي في 2025، واختراق Ronin بقيمة 625 مليون دولار أمريكي في 2022، مما أثر على ضحايا حول العالم.

يواجه قطاع العملات الرقمية تحدياً أساسياً: كل شيء يمر عبر نقاط مركزية.

مهما بلغت درجة أمان البلوك تشين، تمر الأصول في النهاية عبر منصات التداول والجسور والمحافظ الساخنة—وهي أهداف رئيسية للمهاجمين.

تركز هذه النقاط مبالغ ضخمة، لكنها تدار من شركات تجارية ذات موارد محدودة، مما يجعلها أهدافاً مثالية للقراصنة المدعومين من الدول.

موارد الدفاع والهجوم غير متكافئة. يمكن لـ Lazarus أن تفشل مئة مرة؛ أما المنصة فلا تحتمل سوى فشل واحد.

ستستمر علاوة الكيمتشي في جذب المستثمرين العالميين والمضاربين المحليين. ولن تتوقف Lazarus لمجرد انكشافها، والمعركة بين منصات التداول الكورية الجنوبية والقراصنة المدعومين من الدول لم تنتهِ بعد.

ينبغي على المستخدمين الانتباه إلى التطورات الأمنية لحماية أصولهم.

بيان:

1. تمت إعادة نشر هذا المقال من [TechFlow]. جميع حقوق النشر محفوظة للمؤلف الأصلي [TechFlow]. لأي استفسارات حول إعادة النشر، يرجى التواصل مع فريق Gate Learn لضمان معالجة سريعة حسب الإجراءات المعتمدة.
2. إخلاء مسؤولية: الآراء والمحتوى الواردة في هذا المقال تعبر عن رأي الكاتب فقط ولا تشكل نصيحة استثمارية.
3. تمت ترجمة النسخ بلغات أخرى بواسطة فريق Gate Learn. ما لم يُذكر Gate كمصدر، لا يجوز نسخ أو توزيع أو اقتباس المقالات المترجمة.