هاكرز كوريا الشمالية ينهبون 2.02 مليار دولار في عام 2025، ودورة غسيل الأموال التي تستغرق 45 يومًا تكشف عن قواعد عملهم

في عام 2025، يواجه قطاع العملات المشفرة تهديدات غير مسبوقة. وفقًا لتقرير الهجمات الإلكترونية السنوي لشركة تحليل أمان البلوكتشين Chainalysis، على الرغم من أن مجموعة قراصنة كوريا الشمالية قامت بتقليل الهجمات المعروفة بنسبة كبيرة بلغت 74%، إلا أنها سجلت رقمًا قياسيًا في حجم سرقة الأموال. وراء نمط الهجمات “القليل ولكن الدقيق”، يكمن دورة تشغيل واضحة — حيث يستغرق الأمر في المتوسط حوالي 45 يومًا من السرقة إلى غسيل الأموال، وتعد هذه الدورة مؤشرًا رئيسيًا على تتبع تدفقات أموال كوريا الشمالية.

قطاع العملات المشفرة يخسر 3.4 مليار دولار في 2025، وحجم الهجمات القصوى يسجل رقمًا قياسيًا

خلال الفترة من يناير إلى ديسمبر 2025، تعرض قطاع العملات المشفرة لخسائر سرقة تجاوزت 3.4 مليار دولار. وكان لأحداث واحدة تأثير غير مسبوق على الخسائر السنوية — حيث استحوذت أكبر ثلاثة هجمات قرصنة على 69% من إجمالي الخسائر. والأكثر إثارة للصدمة هو أن هجمة واحدة على منصة Bybit في فبراير تسببت في خسارة قدرها 1.5 مليار دولار، وهو النسبة المطلقة الأكبر من الأموال المسروقة في ذلك الشهر.

تظهر مصادر الأموال المسروقة خصائص جديدة. على الرغم من أن عدد حالات سرقة المحافظ الشخصية ارتفع إلى 158,000 (محققًا أعلى مستوى منذ 2022)، إلا أن نسبة سرقة المحافظ الشخصية من إجمالي الخسائر انخفضت بسبب الحجم الهائل لحادثة Bybit. في الوقت نفسه، أصبحت الهجمات على الخدمات المركزية أكثر تدميرًا — على الرغم من أن هذه الاختراقات ليست متكررة، إلا أن هجمة على خدمات مركزية في الربع الأول من 2025 تسببت في 88% من إجمالي خسائر الربع.

وأكثر البيانات إثارة للقلق هو أن الفارق بين أكبر هجمة قرصنة وحجم الوسيط لجميع الأحداث تجاوز لأول مرة 1000 مرة. بمعنى آخر، فإن أكبر سرقة من حيث الأموال المسروقة كانت 1000 ضعف متوسط الأحداث العادية، وهذا التباين في الحجم يتجاوز حتى نسب الذروة في سوق الثيران عام 2021.

كوريا الشمالية تمثل 76% من الهجمات المنفردة، وتقليل الهجمات المعروفة لم يمنع الأرقام القياسية

خلف كل ذلك، لا تزال مجموعة قراصنة كوريا الشمالية تمثل أكبر تهديد لقطاع العملات المشفرة. في عام 2025، سرقت هذه الدولة على الأقل 2.02 مليار دولار من العملات المشفرة، بزيادة قدرها 51% عن 1.339 مليار دولار في 2024، مسجلة أعلى رقم في التاريخ. منذ 2022، بلغ إجمالي الأموال المسروقة من قبل مجموعات قراصنة كوريا الشمالية 6.75 مليار دولار.

المثير للارتباك هو أن أعلى مبلغ سرقة في التاريخ تم تحقيقه في ظل انخفاض كبير في الهجمات المعروفة. حيث شكلت هجمات قراصنة كوريا الشمالية 76% من جميع الاختراقات (رقم قياسي)، لكن تكرار الهجمات الفردية انخفض. هذا يشير إلى تحول جوهري في استراتيجية الهجوم — حيث يركزون على الجودة بدلًا من الكمية.

لقد تطور قراصنة كوريا الشمالية إلى أساليب متعددة من الاختراق المتدرج. في البداية، كانوا يزرعون موظفي تكنولوجيا المعلومات داخل خدمات التشفير للحصول على وصول امتيازي. لكن في السنوات الأخيرة، تم استبدال هذه الأساليب بهجمات هندسة اجتماعية أكثر تطورًا. يتظاهرون بأنهم موظفو توظيف من شركات Web3 و AI المعروفة، ويصممون عمليات توظيف وهمية بعناية، ويخدعون الضحايا للحصول على بيانات تسجيل الدخول، والكود المصدري، وحتى صلاحيات VPN أو تسجيل الدخول الأحادي (SSO).

على مستوى الإدارة العليا، يستخدم قراصنة كوريا الشمالية أساليب أكثر سرية — حيث يتظاهرون بأنهم مستثمرون استراتيجيون أو مشترون، ويجرون عروض استثمارية وتحقيقات استقصائية وهمية لاستكشاف معلومات أنظمة حساسة وبنى تحتية ذات قيمة عالية. يفسر هذا الاستهداف الدقيق كيف يمكنهم تحقيق سرقات أكبر مع عدد أقل من الهجمات — حيث يركزون على الخدمات الكبرى والعقد الحيوية.

تحليل عمليات غسيل أموال كوريا الشمالية: استراتيجية “التقسيم” الخاصة ودورة غسيل الأموال التي تستغرق 45 يومًا

على عكس مجرمي الإنترنت الآخرين، تمتلك كوريا الشمالية نمطًا من غسيل الأموال منظمًا وفريدًا. تظهر أنشطة غسيل الأموال لديهم خصائص واضحة من نوع “التقسيم” — حيث يتركز أكثر من 60% من المعاملات على مبالغ أقل من 50 ألف دولار، على عكس نمط قرصنة آخرين حيث يتم تقسيم 60% من الأموال عبر عمليات متفرقة بين 1 مليون و10 ملايين دولار.

كما تظهر كوريا الشمالية تفضيلًا واضحًا عند اختيار خدمات غسيل الأموال. فهي تعتمد بشكل كبير على خدمات التحويل المالي والضمانات باللغة الصينية (بزيادة تتراوح بين 355% وأكثر من 1000% مقارنة بغيرها من المهاجمين)، مما يدل على وجود علاقات وثيقة بين كوريا الشمالية وشبكات الأموال غير المشروعة في آسيا والمحيط الهادئ. ثانيًا، تعتمد بشكل كبير على خدمات الجسور بين السلاسل (زيادة بنسبة 97%) لنقل الأصول بين سلاسل الكتل المختلفة لزيادة صعوبة التتبع، وتستخدم بشكل متكرر خدمات التشفير المموه (زيادة بنسبة 100%) لإخفاء تدفقات الأموال. كما أن استخدام أدوات خدمات احترافية مثل Huione وغيرها يزيد بنسبة 356%.

ومن الملفت أن قراصنة كوريا الشمالية يتجنبون بشكل ملحوظ استخدام بروتوكولات الإقراض (أقل بنسبة 80% من غيرهم)، والمنصات غير المعروفة بـ KYC (أقل بنسبة 75%)، ومنصات الند للند (أقل بنسبة 64%). هذا النمط يوضح أن عملياتهم تخضع لقيود مختلفة عن المجرمين الإلكترونيين التقليديين — حيث يحتاجون إلى التنسيق مع وسطاء معينين، وتكون القنوات ثابتة نسبيًا.

من خلال مراقبة البيانات من 2022 إلى 2025، يتضح أن تدفقات الأموال بعد عمليات السرقة الكبرى تتبع دورة منظمة بشكل عالٍ — حيث تستغرق العملية عادة حوالي 45 يومًا. تنقسم دورة غسيل الأموال هذه إلى ثلاث مراحل واضحة:

المرحلة الأولى: التصنيف العاجل (اليوم 0-5) — بعد وقوع السرقة، يُلاحظ نشاط غير عادي في المعاملات خلال الأيام الأولى. تُعد بروتوكولات DeFi الوجهة الرئيسية للأموال المسروقة، حيث زاد حجم المعاملات بنسبة 370%، وزادت معاملات خدمات التشفير المموه بنسبة 135-150%. الهدف من هذه المرحلة هو قطع الاتصال بسرعة بين الأموال المسروقة والمصدر الأصلي.

المرحلة الثانية: الدمج الأولي (اليوم 6-10) — بعد الأسبوع الثاني، تبدأ الأموال في التدفق إلى خدمات تساعد على دمجها في النظام البيئي الواسع. تبدأ منصات التداول ذات متطلبات KYC أقل والبورصات المركزية (CEX) في استقبال التدفقات (زيادة بنسبة 37% و32% على التوالي)، وتستمر عمليات التشفير المموه، وتساعد الجسور بين السلاسل مثل XMRt على توزيع الأموال عبر عدة سلاسل (زيادة بنسبة 141%). هذه المرحلة حاسمة لنقل الأموال نحو مخرج نهائي.

المرحلة الثالثة: الدمج النهائي (اليوم 20-45) — في المرحلة الأخيرة، تزداد استخدام الخدمات التي يمكنها تحويل الأموال إلى عملات نقدية. تزداد بشكل كبير عمليات التبادل بدون KYC بنسبة 82%، وخدمات الضمان بنسبة 87%، وتزيد عمليات التبادل الفوري بنسبة 61%، وتصبح المنصات الصينية مثل HuiWang و غيرها الوجهة النهائية للتحويل. كما يشارك في ذلك منصات ذات تنظيم أقل بنسبة 33%، مما يُكمل الحلقة المغلقة لشبكة غسيل الأموال.

متوسط دورة غسيل الأموال التي تستغرق 45 يومًا تعتبر معلومات قيمة لوحدات إنفاذ القانون والامتثال. غالبًا ما يتبع قراصنة كوريا الشمالية هذا الجدول الزمني، مما قد يعكس قيودًا على الوصول إلى البنى التحتية المالية، واحتياجهم للتنسيق مع وسطاء معينين. على الرغم من أن بعض الأموال المسروقة تدخل في فترات سكون لعدة أشهر أو سنوات، إلا أن نمط الدورة هذا يظل ثابتًا أثناء عمليات الغسيل النشطة، مما يوفر نافذة زمنية ثمينة للتتبع.

استهداف المحافظ الشخصية: 158,000 حادثة سرقة وراء مخاطر بيئية

ارتفعت حوادث سرقة المحافظ الشخصية في 2025 إلى 158,000، مقارنة بـ 54,000 في 2022، بزيادة تقارب ثلاثة أضعاف. وارتفع عدد الضحايا من 40,000 في 2022 إلى ما لا يقل عن 80,000 في 2025. هذه الموجة الواسعة من الهجمات على المستخدمين الأفراد مرتبطة ارتباطًا وثيقًا بانتشار استخدام العملات المشفرة. على سبيل المثال، على شبكة Solana، التي تشتهر بنشاط المحافظ الشخصية، يوجد حوالي 26,500 ضحية.

ومع ذلك، من المطمئن إلى حد ما أن إجمالي المبالغ المسروقة من الضحايا في 2025 انخفض من ذروته في 2024 البالغة 1.5 مليار دولار إلى 713 مليون دولار. هذا يشير إلى أن المهاجمين يوزعون هجماتهم بشكل أوسع، لكن كل ضحية يتعرض لخسارة أقل.

توزيع مخاطر السرقة بين سلاسل الكتل يختلف بشكل كبير. عند حساب معدل السرقة لكل 100,000 محفظة نشطة، فإن إيثريوم و ترون تظهران أعلى معدلات سرقة، خاصة ترون، على الرغم من أن قاعدة المستخدمين أقل، إلا أن معدل السرقة مرتفع بشكل غير معتاد. بالمقابل، تظهر شبكات مثل Base و Solana معدلات سرقة أقل رغم وجود قاعدة مستخدمين كبيرة. هذا الاختلاف يشير إلى أن العوامل التقنية، وخصائص المستخدمين، والنظام البيئي للتطبيقات الشعبية، والبنى التحتية للجريمة المحلية، كلها تلعب دورًا في مستوى الخطر.

عودة تدفقات التمويل في DeFi وتحسن الأمان في 2025، وتوجهات معاكسة

تُظهر بيانات أمان DeFi في 2025 تباينًا ملحوظًا، يتناقض مع الاتجاهات التاريخية.

يمكن تقسيم السنوات الأربع الماضية إلى ثلاث مراحل مختلفة تمامًا: فترة التوسع 2020-2021، حيث زاد قيمة القفل الإجمالية (TVL) مع خسائر الهجمات؛ فترة الركود 2022-2023، حيث انخفضت المؤشرات معًا؛ ثم فترة التباين الجديدة 2024-2025 — حيث ارتفعت قيمة القفل بشكل ملحوظ من أدنى مستويات 2023، لكن خسائر الهجمات بقيت منخفضة بشكل غير متوقع.

وفقًا لمنطق السارق المصرفي Willie Sutton، “هو يسرق البنوك لأنها هناك”. بناءً على هذا، كان من المتوقع أن يؤدي ارتفاع قيمة القفل في DeFi إلى زيادة خسائر الهجمات، لكن ما يحدث في 2024-2025 هو عكس ذلك — حيث تتدفق مئات المليارات من الدولارات مرة أخرى إلى هذه البروتوكولات، لكن خسائر الهجمات تظل منخفضة.

يمكن تفسير هذا الظاهرة بعاملين: أولًا، تحسين الأمان الفعلي — على الرغم من زيادة قيمة القفل، إلا أن معدل الهجمات يتراجع، مما يدل على أن بروتوكولات DeFi تتبنى تدابير أمنية أكثر فاعلية من السابق؛ ثانيًا، تحول أهداف الهجوم — حيث تزداد سرقات المحافظ الشخصية وهجمات الخدمات المركزية، مما يشير إلى أن مجرمي الإنترنت يوجهون تركيزهم من بروتوكولات DeFi إلى أهداف أسهل.

نجاح بروتوكول Venus في إنقاذ نفسه: إيقاف خسارة 13 مليون دولار خلال 20 دقيقة

توضح حادثة بروتوكول Venus في سبتمبر 2025 كيف يمكن لآليات الدفاع الأمني المحسنة أن تغير المعادلة. حيث قام المهاجمون باختراق عميل Zoom الخاص بهم، ثم استدرجوا مستخدمًا لمنحهم صلاحيات على حساب بقيمة 13 مليون دولار. كان من المفترض أن تكون كارثة.

لكن، قبل شهر، أطلق فريق Venus منصة مراقبة أمنية تسمى Hexagate. حيث اكتشفت أنشطة مشبوهة قبل 18 ساعة من الهجوم، وأطلقت إنذارات فورية عند تنفيذ المعاملات الخبيثة. خلال 20 دقيقة فقط، أوقفوا عمليات البروتوكول، واحتجزوا التدفقات المالية تمامًا.

تبع ذلك استجابة أسرع: خلال 5 ساعات، أجروا فحوصات أمنية واستعادوا بعض الوظائف؛ خلال 7 ساعات، قاموا بتصفية محافظ المهاجمين؛ وخلال 12 ساعة، استعادوا كامل الأموال المسروقة وأعادوا الخدمة بالكامل. والأهم، أن Venus استخدمت تصويت الحوكمة لتجميد أصول بقيمة 3 ملايين دولار لا تزال تحت سيطرة المهاجم، مما منعهم من تحقيق أرباح وخسارة أموال.

هذه الحالة تمثل تطورًا جوهريًا في بنية أمن DeFi. المراقبة النشطة، والرد السريع، وآليات الحوكمة الفعالة، جعلت النظام أكثر مرونة ومرونة. على الرغم من استمرار الهجمات، فإن القدرة على الكشف عنها، والتصدي لها، وحتى عكسها، أصبحت واقعًا — من “الهجوم الناجح غالبًا يعني خسارة دائمة” إلى “الهجوم يمكن منعه أو عكسه على الفور”.

التهديدات المستقبلية ودورات الاستجابة

تصور بيانات 2025 تطورًا معقدًا لمجموعة تهديدات كوريا الشمالية لقطاع العملات المشفرة. يقل تكرار الهجمات، لكن تدميريتها تزداد، مما يدل على أن أساليبها أصبحت أكثر دقة وصبرًا. تأثير حادثة Bybit على دورة النشاط السنوية يظهر أنها تقلل من وتيرة العمليات بعد سرقات كبيرة، وتركز على عمليات غسيل الأموال طويلة الأمد.

بالنسبة لصناعة العملات المشفرة، يتطلب هذا الاتجاه تعزيز اليقظة المستمرة للأهداف ذات القيمة العالية، وزيادة القدرة على التعرف على أنماط غسيل الأموال الخاصة بكوريا الشمالية. إن تفضيلهم المستمر لأنواع معينة من الخدمات وأحجام التحويلات يوفر فرصًا للكشف، ويبرز الفروق بين سلوكيات قراصنة كوريا الشمالية وغيرها من المجرمين، مما يساعد المحققين على تتبع أنشطتهم على السلسلة.

إن النمو القياسي الذي حققته كوريا الشمالية في 2025 — مع تقليل الهجمات المعروفة بنسبة 74% وتحقيق أعلى سرقة — يشير إلى أن ما نراه الآن قد يكون مجرد قمة جبل الجليد. التحدي الرئيسي في 2026 هو: كيف يمكن الكشف المبكر عن هجمات مماثلة لحجم Bybit قبل وقوعها، ووقفها في الوقت المناسب. فهم دورة غسيل الأموال التي تستغرق 45 يومًا هو المفتاح للسلطات الأمنية وفرق الأمان.