צפון קוריאה גנבה למעלה מ-500 מיליון דולר בקריפטו החודש — והאיום של 6.75 מיליארד דולר עוד לא הסתיים

גניבות קריפטו בהיקף חסר תקדים: צפון קוריאה גונבת למעלה מ-500 מיליון דולר תוך שבועות

בתוך פחות משלושה שבועות, קבוצות סייבר הקשורות לשלטון בצפון קוריאה הצליחו לגנוב למעלה מ-500 מיליון דולר מפלטפורמות DeFi בקריפטו. אירועים אלו מהווים הסלמה חמורה במאמצי המדינה לממן את תוכנית הנשק שלה באמצעות גניבות קריפטוגרפיות מתוחכמות. שתי התקפות מרכזיות נגד פרוטוקולי Drift ו-KelpDAO העלו את סך הגניבות השנתי של צפון קוריאה ליותר מ-700 מיליון דולר.

התקפות על פרוטוקולי Drift ו-KelpDAO: הנזק הגדול ביותר השנה

ב-1 באפריל, פרוטוקול Drift המבוסס על Solana ספג תקיפה בה נגנבו כ-286 מיליון דולר. מומחי אבטחת סייבר הצליחו לקשר את המתקפה לקבוצת ההאקרים הצפון קוריאנית הידועה בשם Lazarus Group, באמצעות ניתוח מתודולוגיות הלבנת כספים ושיטות התקיפה.

ב-18 באפריל, פרוטוקול KelpDAO סבל מתקיפה נוספת בה נגנבו כ-290 מיליון דולר. תקיפה זו הפכה לאירוע הפריצה הגדול ביותר בקריפטו בשנת 2026. חברת LayerZero, המספקת תשתית צולבת, אישרה כי המתקפה בוצעה באמצעות ניצול פגיעויות בתשתית ה-RPC של הרשת המבוזרת שלה. ההאקרים הצליחו להשתלט על נתיבי נתונים קריטיים ולשנות את פעילות הפרוטוקול מבלי לפגוע בקריפטוגרפיה הבסיסית שלו.

שינוי טקטיקות: התקפות על התשתית ולא על הליבה

התקפות אלו מצביעות על שינוי משמעותי באסטרטגיית ההאקרים הצפון קוריאנים. במקום לתקוף ישירות את חוזי החכמה של פרוטוקולי DeFi, הם מתמקדים בתשתיות המשניות, כגון שירותי RPC ורכיבי תוכנה של צד שלישי. גישה זו מאפשרת להם לעקוף אמצעי אבטחה מסורתיים ולגרום לנזק רב יותר.

חברת Cyvers, המתמחה באבטחת בלוקצ'יין, מסרה כי קבוצות הקשורות לצפון קוריאה משקיעות משאבים רבים יותר בהכנה וביצוע התקפות, תוך ניצול נקודות התורפה החלשות ביותר במערכות המטרה. לדברי החברה, "אנו רואים כיצד הם מזהים באופן עקבי את הקישור החלש ביותר במערכת, במקרה זה מדובר בתשתית צד שלישי ולא בפרוטוקול עצמו".

איומים נוספים: חדירת צפון קוריאה לעולם הפיתוח בקריפטו

לאחרונה התגלו מקרים בהם מפתחים בתחום הקריפטו, אשר עבדו בעבר בפלטפורמות מבוססות בלוקצ'יין, היו קשורים לפעילות סייבר צפון קוריאנית. אירועים אלו מעלים חששות מפני חדירת האקרים לתוך צוותי הפיתוח והחדירה למערכות לפני שהפרוטוקולים עצמם מודעים לסכנה.

דוגמה לכך היא הפריצה לתוכנת ה-Axios npm, אשר שימשה פיתוחים רבים בתחום הקריפטו. חוקרים מ-Google קישרו את הפריצה לקבוצת האקרים צפון קוריאנית בשם UNC1069, אשר פעלה במטרה להחדיר קוד זדוני עוד לפני שהקוד הגיע לשרתים של פרוטוקולי הבלוקצ'יין.

"ההתקפות האחרונות מראות כי קבוצות הסייבר הצפון קוריאניות הופכות מתוחכמות יותר ומשקיעות משאבים רבים יותר בהכנה וביצוע התקפות. הן מזהות את נקודות התורפה החלשות ביותר ומנצלות אותן בצורה שיטתית"

— חברת Cyvers, מומחי אבטחת בלוקצ'יין

מה צפוי בעתיד? המשך האיום והאתגרים לאבטחת הקריפטו

מומחים מזהירים כי האיומים מצפון קוריאה אינם מסתיימים בגניבות אלו. המדינה ממשיכה להשקיע משאבים רבים בפיתוח יכולות סייבר מתקדמות, תוך ניצול נקודות תורפה חדשות במערכות מבוזרות. האתגר העיקרי עומד בפני מפתחי פרוטוקולי DeFi, אשר נדרשים לחזק את תשתיות הצד השלישי ולהגביר את המודעות לסיכוני סייבר.

בנוסף, החדירה של מפתחים זדוניים לתוך צוותי הפיתוח מהווה איום משמעותי. פרוטוקולים רבים אינם מודעים לכך שמפתחים מסוימים עשויים להיות קשורים לפעילות סייבר עוינת, מה שמאפשר להם לחדור למערכות לפני שהפרוטוקולים עצמם מודעים לסכנה.

מסקנות והמלצות לאבטחת מערכות DeFi

על מנת להתמודד עם האיומים המתגברים, מומחים ממליצים על מספר צעדים:

• חיזוק תשתיות צד שלישי: פרוטוקולי DeFi חייבים לבדוק ולנטר באופן שוטף את תשתיות הצד השלישי בהן הם משתמשים, כגון שירותי RPC ורכיבי תוכנה.
• בדיקות רקע קפדניות: יש לבצע בדיקות רקע מקיפות למפתחים ולעובדים חדשים, במיוחד אלו העובדים בתחום הקריפטו.
• הגברת המודעות לסיכוני סייבר: צוותי הפיתוח והאבטחה חייבים להיות מודעים לסיכונים ולשיטות ההתקפה החדשות של קבוצות הסייבר הצפון קוריאניות.
• שיתוף מידע בין פרוטוקולים: שיתוף מידע על איומים והתקפות בין פרוטוקולים שונים יכול לסייע במניעת התקפות עתידיות.

האיומים מצפון קוריאה ממשיכים להתפתח, והאתגר לאבטחת מערכות DeFi הופך למורכב יותר. רק באמצעות שיתוף פעולה בין מפתחים, חברות אבטחה ורשויות אכיפת החוק ניתן יהיה להתמודד עם האיומים הללו ולהגן על עתיד הקריפטו.