سرقة العملات المشفرة في عام 2025 ستشهد نقطة تحول: هجمات كوريا الشمالية تصل إلى أعلى مستوى لها عند 2.02 مليار دولار، ودورة غسيل الأموال تستغرق حوالي 45 يومًا

نقاط رئيسية:

يواجه قطاع التشفير اختبارًا حاسمًا في عام 2025. وفقًا لبيانات Chainalysis، تجاوز إجمالي الأموال المسروقة هذا العام 3.4 مليار دولار، وشكلت حادثة واحدة كبيرة وحدها 1.5 مليار دولار. والأكثر إثارة للدهشة هو أن طرق الهجوم تتطور بشكل متزايد، مما يصعب الدفاع عنها.

أكثر الظواهر إثارة للقلق هي أن عدد الهجمات المؤكدة قد انخفض، في حين أن مبلغ السرقة لكل حادثة قد زاد بشكل حاد. لأول مرة، تجاوزت نسبة خسائر أكبر هجوم إلى متوسط الحوادث 1000 مرة، متجاوزة سوق الثور في عام 2021.

سجل سرقات من قبل كوريا الشمالية: أعلى مستوى على الإطلاق بقيمة 20.2 مليار دولار

بلغت قيمة عمليات السرقة المرتبطة بكوريا الشمالية في عام 2025 على الأقل 2.02 مليار دولار، بزيادة قدرها 51% مقارنة بالعام السابق. وهذا يمثل أعنف سنة في تاريخ سرقات التشفير من قبل كوريا الشمالية، حيث تمثل 76% من جميع الحوادث المؤكدة.

من حيث الإجمالي، بلغ إجمالي العملات المشفرة المسروقة من قبل كوريا الشمالية على الأقل 6.75 مليار دولار، وهو حجم لا يسمح لمجموعات هاكر أخرى بمجاراته.

لقد برزت طرق الهجوم المتطورة التي تستخدمها هاكرز كوريا الشمالية. ففي السابق، كانوا يتسللون فقط كموظفي تكنولوجيا المعلومات، أما الآن فهم:

• يتنكرون كمختصين في التوظيف في شركات Web3 و AI الشهيرة، ويستخدمون عمليات توظيف زائفة للحصول على معلومات تسجيل الدخول والكود المصدري
• يتظاهرون بالتواصل مع مستثمرين أو مستحوذين احتياليين يستهدفون الإدارة، للحصول على معلومات النظام والوصول إلى البنى التحتية ذات القيمة العالية
• يستخدمون هجمات معقدة على إدارة المفاتيح الخاصة وعمليات التوقيع، لتجنب حماية المحافظ الباردة

تركز هذه الطرق بشكل خاص على شركات AI و blockchain ذات الأهمية الاستراتيجية، ويُعتقد أن هناك خلفية تتعلق بتمويل الدولة وتجنب العقوبات الدولية.

ثلاثة حوادث كبيرة تمثل 69% من إجمالي الخسائر

تشير بيانات 2025 إلى تصعيد في قطاع التشفير. فالأموال المسروقة من أكبر الهجمات وصلت إلى مستوى يعادل 1000 مرة من الحوادث العادية، وتركز 69% من الخسائر في ثلاثة حوادث رئيسية.

هذا التركيز العالي يدل على أن نقاط الضعف الأمنية تتركز في منصات معينة. ويعتمد المهاجمون على استهداف خدمات كبيرة، مع استراتيجية لتحقيق أكبر تأثير، بحيث تؤثر نجاحات واحدة على تقييم الأمان السنوي بشكل كبير.

في مجال المحافظ الشخصية، ارتفع عدد الحوادث بشكل سريع ليصل إلى 158,000 حادثة (مقارنة بـ 54,000 في 2022)، وبلغ عدد الضحايا 80,000 شخص. ومع ذلك، فإن متوسط الخسائر يتناقص، مما يشير إلى أن المهاجمين يوسعوا قاعدة المستخدمين المستهدفين، لكن حجم الضرر لكل فرد يتقلص.

الأمر الأكثر وضوحًا هو شبكة Solana، حيث تم الإبلاغ عن حوالي 26,500 ضحية، مما يسلط الضوء على خطورة قضايا أمان المحافظ الشخصية.

نموذج غسيل الأموال الخاص بكوريا الشمالية: عملية منظمة على دورة 45 يومًا

بعد عمليات سرقة كبيرة، ينفذ هاكرز كوريا الشمالية أساليب غسيل أموال منظمة جدًا. تتكرر هذه العملية على دورة تقريبًا كل 45 يومًا، وتقسم إلى مراحل متعددة.

المرحلة الأولى (0-5 أيام): التوزيع الفوري

• تدفقات إلى بروتوكولات DeFi زادت بنسبة +370%
• استخدام خدمات المزج (mixing) زاد بنسبة +135-150%
• الأولوية في المرحلة المبكرة هي “فصل الأموال المسروقة على الفور”

المرحلة الثانية (6-10 أيام): الانتشار الواسع

• الانتقال إلى منصات تداول أقل قيود KYC (+37%)
• التدفق التدريجي إلى بورصات مركزية (+32%)
• التوزيع عبر جسور بين السلاسل (Cross-chain bridges) بنسبة +141%

المرحلة الثالثة (20-45 يومًا): التصريف النهائي

• زيادة ملحوظة في استخدام منصات بدون KYC (+82%) وخدمات الضمان (+87%)
• استخدام نشط لشبكات غسيل الأموال الناطقة بالصينية (+33-1000%)
• التحويل النهائي إلى عملات نقدية أو أصول أخرى

ما يميز هاكرز كوريا الشمالية هو اعتمادهم بشكل كبير على شبكات غسيل الأموال وخدمات الضمان التي تستخدم اللغة الصينية. أكثر من 60% من المعاملات تُقسَّم إلى أقل من 50 ألف دولار، ضمن استراتيجية “التجزئة”، مما يزيد من صعوبة التتبع.

وفي المقابل، نادراً ما يستخدمون:

• بروتوكولات الإقراض (-80%)
• منصات بدون KYC (-75%)، رغم وجود تناقض كبير
• منصات P2P (-64%)
• DEX (-42%)

ويُستنتج من ذلك أن عمليات كوريا الشمالية تعتمد على التعاون مع وسطاء موثوقين، ويفضلون الشركاء المحليين الموثوقين على الخدمات ذات الحرية العالية.

تطور أمان DeFi: زيادة TVL مع الحفاظ على خسائر منخفضة

ظاهرة مثيرة للاهتمام لوحظت بين 2024 و2025. على الرغم من أن إجمالي الأصول المقفلة في DeFi (TVL) تعافى بشكل كبير من أدنى مستوياته في 2023، إلا أن خسائر الاختراقات تظل عند مستويات منخفضة تاريخيًا.

2020-2021: تزايد متزامن في TVL والخسائر 2022-2023: تراجع في كلا المؤشرين 2024-2025: تعافي TVL مع استقرار خسائر الاختراقات عند مستويات منخفضة

هذه التغيرات تحمل معنيين رئيسيين:

تحسن في تدابير الأمان في بداية عصر DeFi بين 2020-2021، كانت بروتوكولات الأمان ضعيفة جدًا. الآن، مع زيادة TVL، لم تتزايد خسائر الاختراق، مما يدل على أن فرق التطوير عززت بشكل كبير من إجراءات الأمان.

تحول في أهداف المهاجمين بالنظر إلى زيادة سرقات المحافظ الشخصية وهجمات على خدمات مركزية، يتضح أن المهاجمين يغيرون استراتيجيتهم من استهداف DeFi إلى أهداف أخرى.

كمثال، حادثة بروتوكول في سبتمبر 2025 تظهر فعالية البنية التحتية الأمنية المُحسنة. عند حدوث هجوم عبر عميل مخترق، اكتشفت منصة المراقبة الأمنية نشاطًا مشبوهًا قبل 18 ساعة، وتم إيقاف البروتوكول خلال 20 دقيقة، مما حال دون خروج الأموال. وخلال 12 ساعة، تم استرداد جميع الأموال المسروقة. والأهم أن أصول بقيمة 3 ملايين دولار كانت تحت سيطرة المهاجمين وتم تجميدها عبر الحوكمة، مما أدى إلى خسارتهم للأموال بدلًا من ذلك.

هذه السرعة والكفاءة في الاستجابة غيرت بشكل جذري نمط الهجمات التي كانت سابقًا تؤدي إلى خسائر دائمة.

تحديات 2026 وتوصيات للصناعة

البيانات لعام 2025 تظهر أن كوريا الشمالية تمكنت من تقليل عدد الهجمات المؤكدة بنسبة 74%، مع زيادة حجم الأموال المسروقة بنسبة 51%. وهذا يشير إلى أن النشاط المرئي هو جزء ضئيل من الواقع، وأن هناك أنشطة سرية أكبر غير مرئية.

أما التحديات الكبرى لصناعة التشفير في 2026 فهي:

تعزيز التعرف على خصائص غسيل الأموال الخاصة بكوريا الشمالية مثل أنماط نوعية الخدمات، حجم التحويلات، استخدام الشبكات الصينية، وغيرها من السمات التي تميز هاكرز كوريا الشمالية عن غيرهم. يمكن أن يساعد اكتشافها في التدخل المبكر.

تعزيز الدفاع عن الأهداف ذات القيمة العالية رغم انخفاض عدد الهجمات، إلا أن قوتها تزداد، مما يتطلب يقظة عالية ضد أساليب الاحتيال والتصيد الاجتماعي، خاصة في شركات AI و blockchain ذات الأهمية الاستراتيجية. فالأمان التقليدي لم يعد كافيًا.

تحسين قدرات المراقبة والاستجابة كما أظهر حادث Venus، فإن المراقبة النشطة، والاستجابة السريعة، وآليات الحوكمة الحاسمة يمكن أن تقلل من الأضرار. ويجب أن تتبنى الصناعة بشكل موحد معايير أمنية عالية.

الهجمات التي تنفذها كوريا الشمالية ليست مجرد جرائم إلكترونية، بل هي أنشطة استراتيجية على مستوى الدولة. تتطلب تتبع طرقها وأساليب تشغيلها مستوى عالٍ من اليقظة، وهو تحدٍ أساسي لتحسين مستوى الأمان في القطاع.