كوريا الشمالية توسع عمليات سرقة التشفير التابعة لجمهورية كوريا الشعبية الديمقراطية حيث تم سرقة رقم قياسي بلغ 2.02 مليار دولار في 2025

تزامن تزايد اعتماد البلوكشين وارتفاع أسعار الأصول الرقمية مع تصاعد حاد في سرقة الكريبتو من كوريا الشمالية، مما أعاد تشكيل المخاطر العالمية عبر الخدمات المركزية و DeFi والمحافظ الشخصية.

سُرق أكثر من 3.4 مليار دولار في عام 2025 مع تحول سرقة الكريبتو

وفقًا لتقرير جديد صادر عن Chainalysis، شهد قطاع التشفير سرقة أكثر من 3.4 مليار دولار بين يناير وأوائل ديسمبر 2025، مع كون اختراق Bybit في فبراير وحده مسؤولاً عن 1.5 مليار دولار. ومع ذلك، خلف هذا الرقم الرئيسي، تغير هيكل جرائم العملات المشفرة بشكل ملحوظ على مدى ثلاث سنوات فقط.

علاوة على ذلك، ارتفعت اختراقات المحافظ الشخصية كحصة من إجمالي السرقة. فقد ارتفعت من 7.3% من القيمة المسروقة في عام 2022 إلى 44% في عام 2024. وفي عام 2025، كانت ستمثل 37% من إجمالي الخسائر لو لم يشوه اختراق Bybit البيانات بشكل كبير.

الخدمات المركزية، على الرغم من الموارد العميقة وفرق الأمان المحترفة، تستمر في تكبد خسائر كبيرة متزايدة ناجمة عن اختراقات المفاتيح الخاصة. في حين أن مثل هذه الحوادث تحدث بشكل غير متكرر، إلا أنها تظل مدمرة. في الربع الأول من عام 2025، مثلت 88% من جميع الخسائر، مما يؤكد المخاطر النظامية الناجمة عن نقاط الفشل الفردية.

ومع ذلك، فإن استمرار أحجام السرقة المرتفعة يُظهر أنه على الرغم من الممارسات الأفضل في بعض القطاعات، لا يزال بإمكان المهاجمين استغلال نقاط الضعف عبر ناقلات ومنصات متعددة.

الاختراقات الضخمة الاستثنائية تهيمن على سرقة الكريبتو

لطالما مالت سرقة الكريبتو نحو حفنة من الاختراقات الكبيرة، لكن عام 2025 شهد حدًا أقصى جديدًا. للمرة الأولى، تجاوزت النسبة بين أكبر اختراق والحادث المتوسط 1,000 ضعف، استنادًا إلى قيمة الدولار الأمريكي للأموال وقت السرقة.

ونتيجة لذلك، شكلت أكبر ثلاثة اختراقات في عام 2025 69% من جميع خسائر الخدمات. بينما تميل أعداد الحوادث والخسائر المتوسطة إلى التحرك مع أسعار الأصول، فإن حجم القيم المتطرفة الفردية يرتفع بشكل أسرع. هذا التركيز في المخاطر يعني أن اختراقًا واحدًا يمكن أن يعيد تشكيل إحصائيات الخسائر السنوية للصناعة بأكملها.

كوريا الشمالية تقود مشهد سرقة الكريبتو العالمي

تظل جمهورية كوريا الشعبية الديمقراطية (DPRK) الفاعل الأكثر أهمية على مستوى الدولة القومية في جرائم الأصول الرقمية. في عام 2025، سرق قراصنة كوريا الشمالية ما لا يقل عن 2.02 مليار دولار من العملات المشفرة، بزيادة قدرها 681 مليون دولار عن عام 2024 وارتفاع سنوي بنسبة 51% في القيمة المأخوذة.

جعلت هذه العمليات عام 2025 الأسوأ على الإطلاق للسرقة المرتبطة بكوريا الشمالية من حيث القيمة. علاوة على ذلك، مثلت هجمات كوريا الشمالية رقماً قياسياً بلغ 76% من جميع اختراقات الخدمات، مما دفع الإجمالي التراكمي للحد الأدنى المسروق من قبل الجهات الفاعلة المرتبطة ببيونغ يانغ إلى 6.75 مليار دولار. والجدير بالذكر أن هذه الغنيمة القياسية جاءت على الرغم من انخفاض حاد مقيّم في الحوادث المؤكدة.

يستغل المشغلون الكوريون الشماليون بشكل متزايد أحد ناقلاتهم الأساسية: زرع عمال تكنولوجيا المعلومات داخل منصات التداول والأمناء وشركات web3.

بمجرد الدخول، يمكن لهؤلاء العمال تطوير وصول ممتاز، وتسهيل الحركة الجانبية، وتنسيق عمليات السرقة واسعة النطاق في نهاية المطاف. من المحتمل أن هجوم Bybit في فبراير 2025 قد ضخّم تأثير نموذج التسلل هذا.

ومع ذلك، فقد كيفت المجموعات المرتبطة بكوريا الشمالية أيضًا تكتيكات الهندسة الاجتماعية الخاصة بها. بدلاً من مجرد التقدم للوظائف، أصبحوا الآن كثيرًا ما ينتحلون شخصية القائمين بالتوظيف لشركات web3 والذكاء الاصطناعي البارزة، وينظمون عمليات توظيف وهمية معقدة. غالبًا ما تنتهي هذه بـ "فحوصات فنية" تخدع الأهداف لتسليم بيانات الاعتماد أو الكود المصدري أو الوصول إلى VPN وSSO لأصحاب العمل الحاليين.

على المستوى التنفيذي، تتضمن حملات الهندسة الاجتماعية المماثلة تواصلًا مزيفًا من مستثمرين استراتيجيين أو مستحوذين مفترضين.

تُستخدم اجتماعات العروض التقديمية وعمليات العناية الواجبة الزائفة للتحقيق في تفاصيل النظام الحساسة ورسم مسارات الوصول إلى البنية التحتية عالية القيمة. يعتمد هذا التطور مباشرة على مخططات احتيال عمال تكنولوجيا المعلومات السابقة ويسلط الضوء على تركيز أكثر إحكامًا على أعمال الذكاء الاصطناعي والبلوكشين ذات الأهمية الاستراتيجية.

طوال الفترة 2022-2025، احتلت الاختراقات المنسوبة إلى كوريا الشمالية باستمرار أعلى نطاقات القيمة، بينما أظهر الفاعلون من غير الدول القومية توزيعات أكثر طبيعية عبر أحجام الحوادث. يشير هذا النمط إلى أنه عندما تضرب كوريا الشمالية، فإنها تفضل الخدمات المركزية الكبيرة وتهدف إلى أقصى تأثير مالي وسياسي.

أحد السمات البارزة لعام 2025 هو أن هذا الإجمالي القياسي تم تحقيقه بعمليات معروفة أقل بكثير.

يبدو أن اختراق Bybit الهائل قد سمح للمجموعات المرتبطة بكوريا الشمالية بتنفيذ عدد صغير من الهجمات المربحة للغاية بدلاً من حجم أكبر من التسويات متوسطة الحجم.

أنماط غسيل العملات المشفرة المميزة لكوريا الشمالية

وفر التدفق غير المسبوق للأصول المسروقة في أوائل عام 2025 رؤية واضحة بشكل غير عادي حول كيفية تحريك الجهات الفاعلة المرتبطة ببيونغ يانغ للأموال على نطاق واسع. تختلف أنماط غسيل العملات المشفرة الخاصة بهم بشكل كبير عن تلك الخاصة بالمجموعات الإجرامية الأخرى وتستمر في التطور بمرور الوقت.

تظهر التدفقات الخارجية لكوريا الشمالية هيكل تقسيم مميز. يسافر ما يزيد قليلاً عن 60% من الحجم في تحويلات أقل من 500,000 دولار، بينما يرسل الفاعلون الآخرون في الأموال المسروقة أكثر من 60% من تدفقاتهم على السلسلة في شرائح تتراوح بين مليون دولار و10 ملايين دولار+.

على الرغم من سرقة إجماليات أكبر عادة، تقسم مجموعات كوريا الشمالية المدفوعات إلى قطاعات أصغر، مما يشير إلى محاولة متعمدة للتهرب من الكشف من خلال هيكلة أكثر تطوراً.

علاوة على ذلك، يفضل الفاعلون الكوريون الشماليون باستمرار نقاط اتصال غسيل محددة.

يعتمدون بشكل كبير على خدمات حركة الأموال والضمانات باللغة الصينية، وغالبًا ما يعملون من خلال شبكات متصلة بشكل فضفاض من غاسلي الأموال المحترفين الذين قد تكون معايير الامتثال الخاصة بهم ضعيفة. كما يستخدمون بشكل مكثف خدمات الجسور والخلط عبر السلاسل، إلى جانب مزودين متخصصين مثل Huione، لزيادة التعتيم والتعقيد القضائي.

في المقابل، تفضل العديد من المجموعات الإجرامية الأخرى بروتوكولات الإقراض ومنصات التداول بدون KYC ومنصات P2P ومنصات التداول اللامركزية للسيولة والاسم المستعار. تُظهر كيانات كوريا الشمالية تكاملًا محدودًا مع هذه المجالات من DeFi، مما يؤكد أن قيودها وأهدافها تختلف عن تلك الخاصة بمجرمي الإنترنت ذوي الدوافع المالية النموذجية.

تشير هذه التفضيلات إلى أن شبكات كوريا الشمالية مرتبطة بشكل وثيق بالمشغلين غير الشرعيين عبر منطقة آسيا والمحيط الهادئ، خاصة في القنوات المتمركزة في الصين التي توفر وصولاً غير مباشر إلى النظام المالي العالمي. يتطابق هذا مع تاريخ بيونغ يانغ الأوسع في استخدام وسطاء صينيين للالتفاف على العقوبات ونقل القيمة إلى الخارج.

دورة الغسيل لمدة 45 يومًا بعد سرقة الكريبتو من كوريا الشمالية

يكشف التحليل على السلسلة للسرقات المرتبطة بكوريا الشمالية بين عامي 2022 و2025 عن دورة غسيل متعددة الموجات مستقرة نسبيًا تستمر حوالي 45 يومًا. في حين أنه ليست كل العمليات تتبع هذا الجدول الزمني، إلا أنه يظهر بشكل متكرر عندما يتم نقل الأموال المسروقة بنشاط.

الموجة الأولى، التي تمتد من الأيام 0 إلى 5، تركز على الطبقات الفورية. ترى بروتوكولات DeFi ارتفاعات شديدة في تدفقات الأموال المسروقة كنقاط دخول أولية، بينما تسجل خدمات الخلط قفزات كبيرة في الحجم لإنشاء الطبقة الأولى من التعتيم. تم تصميم هذا الاندفاع من الحركة لدفع الأموال بعيدًا عن عناوين المصدر التي يمكن تحديدها بسهولة.

الموجة الثانية، التي تغطي الأيام من 6 إلى 10، تمثل بداية التكامل في النظام البيئي الأوسع. تبدأ منصات التداول ذات الضوابط المحدودة لـ KYC وبعض المنصات المركزية والخلاطات الثانوية في تلقي التدفقات، وغالبًا ما يتم تسهيلها بواسطة جسور عبر السلاسل التي تجزئ وتعقد مسارات المعاملات. هذه المرحلة حاسمة، حيث تنتقل الأموال نحو مخارج محتملة.

الموجة الثالثة، التي تمتد من الأيام 20 إلى 45، تتميز بالذيل الطويل للتكامل. تظهر منصات التداول بدون KYC وخدمات التبادل الفوري وخدمات الغسيل باللغة الصينية كنقاط نهاية رئيسية. تتلقى منصات التداول المركزية أيضًا ودائع بشكل متزايد، مما يعكس الجهود المبذولة لمزج العائدات غير المشروعة مع تدفقات التجارة المشروعة، غالبًا من خلال المشغلين في ولايات قضائية أقل تنظيمًا.

توفر نافذة الـ 45 يومًا الواسعة هذه معلومات استخبارية قيمة لفرق إنفاذ القانون والامتثال الساعية لتعطيل التدفقات في الوقت الفعلي. ومع ذلك، يلاحظ المحللون نقاطًا عمياء مهمة: تحويلات المفاتيح الخاصة، أو بعض صفقات OTC من الكريبتو إلى العملة الورقية، أو الترتيبات خارج السلسلة بالكامل يمكن أن تظل غير مرئية ما لم تقترن بمعلومات استخبارية إضافية.

ارتفاع اختراقات المحافظ الشخصية في الحجم

إلى جانب اختراقات الخدمات البارزة، تصاعدت الهجمات على الأفراد بشكل حاد. تشير التقديرات ذات الحد الأدنى إلى أن اختراقات المحافظ الشخصية مثلت حوالي 20% من إجمالي القيمة المسروقة في عام 2025، انخفاضًا من 44% في عام 2024، ومع ذلك لا تزال تعكس أضرارًا واسعة النطاق.

تضاعف عدد الحوادث ثلاث مرات تقريبًا من 54,000 في عام 2022 إلى 158,000 في عام 2025. خلال نفس الفترة، تضاعف عدد الضحايا الفريدين من حوالي 40,000 إلى 80,000 على الأقل. من المحتمل أن تعكس هذه الزيادات تبني المستخدم الأوسع للأصول ذاتية الحفظ. على سبيل المثال، سجلت Solana، إحدى السلاسل التي تحتوي على أكثر المحافظ الشخصية نشاطًا، حوالي 26,500 مستخدم متأثر، أكثر بكثير من الشبكات الأخرى.

ومع ذلك، انخفضت القيمة الإجمالية بالدولار التي خسرها الأفراد من 1.5 مليار دولار في عام 2024 إلى 713 مليون دولار في عام 2025. يشير هذا إلى أن المهاجمين ينشرون الجهود عبر العديد من الضحايا بينما يستخرجون مبالغ أصغر لكل حساب، ربما لتقليل مخاطر الكشف واستغلال المستخدمين الأقل تطوراً.

تضيء مقاييس الجريمة على مستوى الشبكة السلاسل التي تمثل حاليًا أكبر خطر على المستخدم. في عام 2025، عند قياس السرقة لكل 100,000 محفظة، تظهر Ethereum وTron أعلى معدلات الجريمة. يجمع حجم Ethereum الهائل بين أعداد الحوادث المرتفعة والمخاطر المرتفعة لكل محفظة، بينما تعرض Tron معدل سرقة مرتفع نسبيًا على الرغم من القاعدة النشطة الأصغر. في المقابل، تظهر Base وSolana معدلات أقل على الرغم من أن مجتمعات مستخدميها كبيرة.

تشير هذه الاختلافات إلى أن اختراقات المحافظ الشخصية لا تتوزع بالتساوي عبر النظام البيئي. من المحتمل أن تؤثر عوامل مثل التركيبة السكانية للمستخدمين وأنواع التطبيقات المهيمنة والبنية التحتية الإجرامية المحلية ومستويات التعليم على المكان الذي يركز فيه المحتالون ومشغلو البرامج الضارة جهودهم.

تختلف اختراقات DeFi عن اتجاهات إجمالي القيمة المغلقة

يظهر قطاع التمويل اللامركزي تباعدًا ملحوظًا بين نمو السوق ونتائج الأمان. تؤكد البيانات من عام 2020 حتى عام 2025 ثلاث مراحل واضحة في العلاقة بين إجمالي القيمة المغلقة (TVL) في DeFi والخسائر المتعلقة بالاختراق.

في المرحلة الأولى، من عام 2020 إلى عام 2021، ارتفع TVL والخسائر جنبًا إلى جنب حيث جذب ازدهار DeFi المبكر كلاً من رأس المال والمهاجمين المتطورين. شهدت المرحلة الثانية، التي تغطي الفترة من 2022 إلى 2023، تراجع كل من TVL والخسائر مع تبريد الأسواق. ومع ذلك، تمثل المرحلة الثالثة، التي تمتد من 2024 و2025، كسرًا هيكليًا: تعافى TVL من أدنى مستوياته في عام 2023، لكن أحجام الاختراق لا تزال هادئة نسبيًا.

يشير هذا التباعد إلى أن تحسينات أمان DeFi بدأت في إحداث تأثير قابل للقياس. علاوة على ذلك، فإن الارتفاع المتزامن لهجمات المحافظ الشخصية واختراقات منصات التداول المركزية يشير إلى استبدال الهدف، مع قيام الجهات الفاعلة التهديدية بتحويل الموارد نحو المناطق التي يُنظر إليها على أنها أسهل للاختراق.

دراسة حالة: بروتوكول Venus يسلط الضوء على التقدم الدفاعي

تؤكد حادثة بروتوكول Venus في سبتمبر 2025 كيف يمكن للدفاعات المتدرجة أن تغير النتائج بشكل مفيد. استخدم المهاجمون عميل Zoom مخترق للحصول على موطئ قدم وتلاعبوا بمستخدم لمنح سيطرة مفوضة على حساب يحتفظ بأصول بقيمة 13 مليون دولار.

في ظل ظروف DeFi السابقة، قد يكون مثل هذا الوصول قد أدى إلى خسائر لا رجعة فيها. ومع ذلك، كان Venus قد دمج منصة مراقبة أمنية قبل شهر واحد فقط. أبلغت تلك المنصة عن نشاط مشبوه قبل الهجوم بحوالي 18 ساعة وأصدرت تنبيهًا آخر عندما تم تقديم المعاملة الخبيثة.

في غضون 20 دقيقة، أوقف Venus بروتوكوله مؤقتًا، مما أوقف حركة الأموال. عادت الوظائف الجزئية بعد حوالي 5 ساعات، وفي غضون 7 ساعات قام البروتوكول بتصفية محفظة المهاجم قسراً. بحلول علامة الـ 12 ساعة، تم استرداد جميع الأموال المسروقة واستؤنفت العمليات العادية.

في خطوة أخرى، وافقت حوكمة Venus على اقتراح لتجميد ما يقرب من 3 ملايين دولار من الأصول التي لا تزال تحت سيطرة المهاجم. فشل الخصم في النهاية في تحقيق الربح وبدلاً من ذلك تكبد خسائر صافية، مما يعرض القوة المتنامية لأطر الحوكمة على السلسلة والمراقبة والاستجابة للحوادث.

ومع ذلك، لا ينبغي لهذه القضية أن تولد رضا عن النفس. إنها توضح ما هو ممكن عندما تستثمر البروتوكولات مبكرًا في المراقبة وكتيبات اللعب المتدربة، لكن العديد من منصات DeFi لا تزال تفتقر إلى قدرات مماثلة أو خطط طوارئ واضحة.

الآثار المترتبة على عام 2026 وبيئة التهديد المستقبلية

تصور بيانات عام 2025 نظامًا بيئيًا لكوريا الشمالية قابل للتكيف بدرجة عالية، حيث يمكن لعدد أقل من العمليات أن تحقق نتائج قياسية. تُظهر حادثة Bybit، جنبًا إلى جنب مع التسويات الأخرى واسعة النطاق، كيف يمكن لحملة ناجحة واحدة أن تحافظ على احتياجات التمويل لفترات ممتدة بينما تركز المجموعات على الغسيل والأمن التشغيلي.

علاوة على ذلك، فإن الملف التعريفي الفريد لسرقة الكريبتو من كوريا الشمالية بالنسبة للنشاط غير المشروع الآخر يوفر فرص كشف قيمة. يمكن أن يساعد تفضيلهم لأحجام تحويل محددة، والاعتماد الكبير على شبكات معينة باللغة الصينية، ودورة الغسيل المميزة البالغة 45 يومًا منصات التداول وشركات التحليلات والجهات التنظيمية على وضع علامة على السلوك المشبوه في وقت مبكر.

مع استمرار قراصنة العملات المشفرة في كوريا الشمالية في استخدام الأصول الرقمية لتمويل أولويات الدولة والالتفاف على العقوبات، يجب على الصناعة أن تقبل أن هذا الخصم يعمل بحوافز مختلفة عن المجرمين العاديين ذوي الدوافع المالية. يشير أداء النظام القياسي القياسي لعام 2025، الذي تحقق بنسبة 74% أقل من الهجمات المعروفة، إلى أن العديد من العمليات قد لا تزال غير مكتشفة.

بالنظر إلى عام 2026، سيكون التحدي المركزي هو تحديد وتعطيل هذه العمليات عالية التأثير قبل حدوث اختراق آخر بحجم Bybit. سيكون تعزيز الضوابط في الأماكن المركزية وتقوية المحافظ الشخصية وتعميق التعاون مع إنفاذ القانون أمرًا بالغ الأهمية لاحتواء كل من حملات الدول القومية والموجة الأوسع من جرائم الكريبتو.

باختصار، أكد عام 2025 أنه بينما تتحسن الدفاعات في مجالات مثل DeFi، لا يزال الفاعلون المتطورون مثل كوريا الشمالية ولصوص المحافظ واسعة النطاق يستغلون نقاط الضعف الهيكلية، مما يجعل الاستجابات العالمية المنسقة أكثر إلحاحًا من أي وقت مضى.