هاكرز كوريا الشمالية يسرقون 2 مليار دولار من العملات المشفرة في عام 2025، وكشف نمط غسيل الأموال خلال 45 يومًا

شركة تحليل blockchain Chainalysis تكشف في تقريرها الأخير أن الهاكرز المرتبطين بكوريا الشمالية سرقوا على الأقل 2 مليار دولار من العملات المشفرة في عام 2025، مسجلين رقمًا قياسيًا، بزيادة قدرها 51% مقارنة بالعام السابق، ليصل إجمالي سرقاتهم إلى 6.75 مليار دولار. تظهر أنماط الهجمات طابع “قليل ولكن دقيق”، فبالرغم من انخفاض عدد الحوادث، إلا أن حجم الهجمات الفردية كبير، حيث أن 76% من هجمات الطبقة الخدمية كانت من تنفيذهم، وكان حادث ثغرة Bybit بقيمة 1.4 مليار دولار في مارس هو الدافع الرئيسي.

يصور التقرير لأول مرة بشكل منهجي مسار غسيل الأموال الفريد لهاكرز كوريا الشمالية: يعتمدون على مزودي خدمات صينيين ومُخلّطين، ويتبعون دورة تنظيف أموال نموذجية مدتها 45 يومًا. هذا يشير إلى أن صناعة العملات المشفرة تواجه تهديدًا “فائقًا” مدعومًا من الدولة، منظمًا بشكل عالي وذو موارد مالية ضخمة، مما يفرض تحديات غير مسبوقة على أمن البورصات والبروتوكولات والتعاون في الامتثال.

حجم السرقة يحقق أرقامًا قياسية: من “الصيد الواسع” إلى “الصيد الدقيق”

شهد عام 2025 نقطة تحول مقلقة في مجال سرقة العملات المشفرة: ارتفعت قيمة السرقات العالمية إلى 3.4 مليار دولار، وثلثاها تقريبًا يُنسب إلى جهة واحدة مرتبطة بالحكومة الكورية الشمالية. وفقًا لتقرير Chainalysis الموثوق، سرق هؤلاء الهاكرز في عام 2025 على الأقل 2.02 مليار دولار، وهو رقم يزيد بنسبة 51% عن 2024، ويقارب 6.7 أضعاف مستوى 2020. والأهم من ذلك، أن هذا الرقم القياسي تم تحقيقه في ظل انخفاض كبير في عدد الحوادث المعروفة، مما يبرز أن استراتيجيتهم تطورت من هجمات متكررة إلى ضربات دقيقة “جراحية” تستهدف أهدافًا عالية القيمة.

هذا النمط “القليل والكبير” يتضح بشكل جلي في البيانات. أشار التقرير إلى أن الهاكرز الكوريين الشماليين مسؤولون عن 76% من حوادث الاختراق على مستوى الطبقة الخدمية في 2025، وهو أعلى معدل تاريخي. و"الطبقة الخدمية" هنا تعني بشكل رئيسي البورصات المركزية (CEX)، والمنصات الحاضنة، والمنصات الخارجية (OTC) التي تملك أصولًا كبيرة للمستخدمين. الحدث الأبرز هو هجوم مارس 2025 على Bybit بقيمة 1.4 مليار دولار، والذي استحوذ على الجزء الأكبر من إجمالي سرقات الهاكرز الكوريين الشماليين خلال العام. قال Andrew Fierman، مدير الاستخبارات الأمنية الوطنية في Chainalysis، تعليقًا على ذلك: “هذا التطور هو استمرار لاتجاه طويل الأمد. لقد أظهر الهاكرز الكوريون الشماليون منذ فترة طويلة مستوى عاليًا من التعقيد، وهجماتهم في 2025 تبرز أن استراتيجياتهم وتفضيلاتهم تتطور باستمرار.” هذا يشير إلى أن المهاجمين يسعون لتعظيم نسبة المخاطرة مقابل العائد، ويركزون مواردهم على هدف واحد يمكن أن يحقق عائدًا ثوريًا.

هذا التحول يشكل تهديدًا هيكليًا لبيئة العملات المشفرة. عندما يستهدف المهاجمون المنصات والخدمات الأساسية ذات الأهمية النظامية، فإن نجاحهم لا يسبب خسائر مالية فادحة فحسب، بل يهدد ثقة السوق بشكل خطير، ويثير أزمة ثقة متسلسلة وتدقيقًا تنظيميًا. وعلى عكس سرقات المحافظ الشخصية الصغيرة، فإن هذه الهجمات تهز أساسات البنية التحتية للصناعة.

هندسة غسيل الأموال: كشف خط سير 45 يومًا لتنظيف الأموال

السرقة وإن كانت الخطوة الأولى، إلا أن كيفية تبييض “الأموال السوداء” وتحقيقها النهائي هو المفتاح في دورة عمل الهاكرز. أحد الإسهامات الرئيسية في تقرير Chainalysis هو رسم مسار واضح لنموذج غسيل الأموال المتطور جدًا لفرق الهاكرز الكوريين، والذي يختلف بشكل كبير عن عمليات غسيل الأموال لدى العصابات الإجرامية العادية.

أولًا، من حيث استراتيجيات نقل الأموال، يظهر الهاكرز الكوريون وعيًا عاليًا بمكافحة التتبع. يميلون إلى تقسيم المبالغ الكبيرة إلى دفعات صغيرة أقل من 50 ألف دولار على السلسلة، حيث أن أكثر من 60% من التحويلات تظل تحت هذا الحد. بالمقابل، يفضل الهاكرز غير المرتبطين بالدولة إجراء تحويلات بملايين أو عشرات الملايين من الدولارات. هذه التقنية “التجزئة” تزيد بشكل كبير من تعقيد وتكلفة تتبع العمليات على السلسلة، وتدل على أن عمليات الأمان التشغيلي (OPSEC) أصبحت أكثر دقة.

ثانيًا، من حيث اختيار الخدمات، تكشف تفضيلاتهم عن اعتمادهم الجغرافي وقيود معينة. يستخدم الهاكرز الكوريون بشكل كبير خدمات الضمان الصينية، والوسطاء، وشبكات OTC، ويعتمدون بشكل كبير على الجسور بين السلاسل والمُخلّطين (مثل Tornado Cash) لتشويش مسارات الأموال. ومن المثير للاهتمام أنهم نادرًا ما يتعاملون مع بروتوكولات DeFi للإقراض أو البورصات اللامركزية (DEX) التي يكثر استخدامها من قبل المجرمين. وأشار تقرير Chainalysis إلى أن هذه الأنماط تظهر أن الجهات الفاعلة الكورية تخضع لقيود مختلفة، وترتبط بشكل عميق بشبكات خدمات غير قانونية في منطقة آسيا والمحيط الهادئ، وربما يرجع ذلك إلى عزلتها عن النظام المالي العالمي.

عملية غسيل الأموال ذات الـ45 يومًا للهاكرز الكوريين

المرحلة الأولى: التشويش السريع (اليوم 0-5)

• الهدف الأساسي: قطع الصلة المباشرة بين الأموال المسروقة وعنوان المصدر.
• الأدوات الرئيسية: المُخلّطون، بروتوكولات DeFi (لتحويل الأصول بسرعة).
• الهدف: خلق عوائق أولية للتتبع، ومنح الوقت للعمليات اللاحقة.

المرحلة الثانية: الدمج والانتشار (اليوم 6-20)

• الهدف الأساسي: إدخال الأموال إلى منظومة أوسع، لتهيئة عملية التحقق من الأصول.
• الأدوات الرئيسية: بورصات مركزية ذات متطلبات KYC مرنة، الجسور بين السلاسل، خدمات المُخلّط الثانوية.
• الهدف: الانتقال بين سلاسل وأصول وخدمات مختلفة، لتشويش المسارات، وبدء التواصل مع قنوات التصدير المحتملة.

المرحلة الثالثة: التحقق النهائي (اليوم 21-45)

• الهدف الأساسي: تحويل الأصول المشفرة إلى عملة نقدية أو أشكال أخرى يصعب تتبعها.
• الأدوات الرئيسية: بورصات بدون KYC، منصات الصرف الفوري، خدمات OTC الصينية، وإعادة دمج الأموال في بورصات مركزية رئيسية لدمج التدفقات القانونية.
• الهدف: إتمام عملية غسيل الأموال، وتحقيق القيمة الاقتصادية للسرقة.

ثورة تكتيكية: الذكاء الاصطناعي و"الاختراق الداخلي" أدوات جديدة

لتحقيق سرقات واسعة النطاق وعمليات غسيل أموال فعالة، لا يكفي الاعتماد على التقنيات التقليدية وحدها. أشار تقرير Chainalysis والأدلة الصناعية إلى أن الهاكرز الكوريين ربما يجرون “ثورة تكتيكية” في مجالين، مما يمنحهم ميزة غير متكافئة.

أولًا، هو الاستخدام العميق للذكاء الاصطناعي (AI). أوضح Andrew Fierman للوسائل الإعلامية أن كوريا الشمالية تستخدم AI كـ"قوة خارقة" لعملياتها، خاصة في عمليات غسيل الأموال. وقال: “كوريا الشمالية تستخدم الاتساق والسلاسة لتعزيز عملية غسيل أموال سرقة العملات المشفرة، وهذا يشير إلى استخدام AI. الآلية الهيكلية لعملية الغسيل وحجم العمليات يخلق تدفق عمل يتكامل مع المُخلّطين، وبروتوكولات DeFi، والجسور بين السلاسل… لتحقيق سرقة كمية هائلة من العملات المشفرة بكفاءة عالية، تحتاج كوريا الشمالية إلى شبكة غسيل أموال ضخمة وآلية سلسة، وربما يكون ذلك تطبيقًا للذكاء الاصطناعي.” يمكن للذكاء الاصطناعي أن يُستخدم لإنشاء وتبديل عناوين المحافظ تلقائيًا، وتحسين مسارات المعاملات لتجنب أنماط المراقبة، وحتى محاكاة سلوك المستخدم الطبيعي لدمج المعاملات مع السوق، مما يزيد من صعوبة التصدي.

ثانيًا، هناك “اختراق داخلي” غير مسبوق كوسيلة تكتيكية. أشار التقرير إلى أن الهاكرز الكوريين يزرعون عناصر عملياتية في شركات العملات المشفرة (مثل البورصات، والمنصات الحاضنة، وشركات Web3) للحصول على وصول مميز. في يوليو، كشف المحقق الشهير ZachXBT أن هناك احتمالية أن يكون أفراد مرتبطون بكوريا الشمالية قد تسللوا إلى 345 إلى 920 وظيفة في صناعة التشفير العالمية. هذا النوع من “حصان طروادة” يمكن أن ينهار الدفاعات الخارجية الأكثر صلابة من الداخل، ويفتح أبوابًا لنقل أموال ضخمة. بالإضافة إلى ذلك، يتنكر المهاجمون كمشغلين أو جهات اتصال صناعية، ويستخدمون تقنيات تصيد الاحتيال عبر مكالمات فيديو مزورة، حيث سرقوا أكثر من 300 مليون دولار هذا العام. هذه الأساليب مجتمعة تجعل من الصعب على الدفاعات أن ترد، فهي تواجه ثغرات في الكود وأيضًا في الثقة والبشر.

توقعات 2026: التحدي النهائي للتعاون الصناعي في الدفاع

في مواجهة خصم يمتلك موارد دولة، ويتطور باستمرار، ولا يتردد في المخاطرة، ستشهد صناعة العملات المشفرة في 2026 اختبارًا حاسمًا للأمان. حذر تقرير Chainalysis بشكل واضح: نظرًا لاعتماد كوريا الشمالية بشكل متزايد على سرقات العملات المشفرة لتمويل أولوياتها الوطنية وتجنب العقوبات الدولية، يجب أن تدرك الصناعة أن سلوك هذا التهديد يختلف جوهريًا عن الجريمة السيبرانية العادية.

قد تتنوع أساليب الهجوم بشكل أكبر. على الرغم من أن البورصات المركزية الكبرى مثل Bybit و Upbit لا تزال أهدافًا عالية القيمة، إلا أن بروتوكولات DeFi طويلة الأمد (مثل Balancer و Yearn) قد تصبح أيضًا في مرمى النيران. أكد Fierman: “على الرغم من أننا لا نستطيع التنبؤ بما سيحدث في 2026، إلا أننا نعلم أن كوريا الشمالية ستسعى لتعظيم عائداتها، وهذا يعني أن المؤسسات ذات الاحتياطيات الكبيرة يجب أن تحافظ على معايير أمن عالية لضمان عدم أن تصبح الثغرة التالية.”

لمواجهة هذا التحدي، لم تعد الجهود الفردية كافية. يدعو التقرير إلى إنشاء آلية استجابة سريعة وتعاونية على مستوى الصناعة. علق Fierman: “تنفيذ كوريا الشمالية لسياسات غسيل أموال سريعة وفعالة يتطلب استجابة سريعة وشاملة. على الجهات القانونية والقطاع الخاص، من البورصات إلى شركات تحليل blockchain، التنسيق بشكل فعال، والتدخل عند مرور الأموال عبر العملات المستقرة أو وصولها إلى بورصات يمكن تجميد أموالها فورًا.” ويشمل ذلك مشاركة المعلومات الاستخباراتية في الوقت الحقيقي، وحظر العناوين المشبوهة عبر المنصات، والتعاون الوثيق مع الجهات القانونية العالمية.

بالنسبة للمستثمرين العاديين، فإن هذا التقرير هو تذكير قوي بالمخاطر: تزايد مخاطر الاحتفاظ بكميات كبيرة من الأصول على منصات مركزية (حتى لو كانت من أكبر المنصات). استخدام المحافظ الصلبة، وتوزيع الأصول، واليقظة العالية تجاه أي اتصالات غير موثوقة، ستصبح من العادات الأمنية الضرورية. في 2026، ستصبح معركة الدفاع والهجوم بين العملات المشفرة والمنظمات السيبرانية الوطنية أكثر حدة.