مليارات الدولارات المسروقة، ومئات الاعتقالات: هل بلغت جرائم العملات المشفرة ذروتها أم تتكيف؟
في عام 2025، تجاوز قراصنة مرتبطون بكوريا الشمالية مبلغ 2 مليار دولار من العملات المشفرة المسروقة، محطمين بذلك جميع الأرقام القياسية السابقة. وفي الوقت نفسه، استعادت سلطات إنفاذ القانون العالمية 439 مليون دولار واعتقلت المئات من غاسلي الأموال عبر 40 دولة في عملية واحدة استغرقت أربعة أشهر. هذا الاصطدام بين عمليات السرقة الحكومية القياسية وجهود الإنفاذ متعددة الأطراف المنسقة يثير تساؤلاً أكثر حدة: هل وصل المهاجمون إلى سقف قدراتهم، أم أنهم يتعلمون كيفية تجاوز كل نقطة تفتيش جديدة تنشرها الحكومات؟
تحدد الإجابة على هذا السؤال سياسات الخزانة، وميزانيات أمان الجسور، ومدى قابلية البنية التحتية التي تحافظ على الخصوصية للبقاء. إذا أثرت جهود الإنفاذ على التدفقات غير المشروعة، فيمكن للصناعة الاعتماد على تحسين إجراءات “اعرف عميلك” (KYC)، والعقوبات، وتحليلات السلسلة لإدارة المخاطر. أما إذا تكيف المهاجمون من خلال الانتقال بين السلاسل، وتجزئة عمليات صرف الأموال، واستغلال الولايات القضائية التي تفتقر إلى تطبيق “قاعدة السفر” (Travel Rule)، فإن نظام الدفاع يحتاج إلى تغييرات معمارية، وليس مجرد تحسين لـ”مسرح الامتثال”.
تكتيكات السرقة الجديدة: الذكاء الاصطناعي واستغلال الجسور
حددت عملية اختراق Bybit في فبراير 2025 حجم المشكلة لهذا العام. نسبت وكالة التحقيقات الفيدرالية (FBI) سرقة 1.5 مليار دولار إلى مجموعة لازاروس (Lazarus Group) الكورية الشمالية، والمعروفة أيضًا باسم مجموعة TraderTraitor، وهي حملة تصيد احتيالي وبرامج ضارة متعددة السنوات تستهدف مطوري البلوك تشين وفرق العمليات.
سلم المهاجمون تطبيقات تداول مزيفة عبر اختراقات سلسلة التوريد، مما مكنهم من الوصول إلى البنية التحتية لتوقيع المحافظ الساخنة. وقد وثقت TRM Labs عملية غسيل الأموال اللاحقة: مبادلات فورية إلى أصول أصلية، ثم عمليات عبور للجسور إلى Bitcoin و Tron، يليها خلط متعدد الطبقات عبر بروتوكولات غامضة. أكد تحديث Chainalysis في منتصف العام خسائر خدمات تجاوزت 2.17 مليار دولار بحلول 30 يونيو، حيث شكلت سرقة Bybit الجزء الأكبر.
رفع تقرير Elliptic في أكتوبر إجمالي المبلغ إلى أكثر من 2 مليار دولار يُعزى إلى الجهات الفاعلة المرتبطة بكوريا الشمالية وحدها، مشيرًا إلى “تعقيد متصاعد في عمليات غسيل الأموال استجابة لتحسين التتبع”. ربطت وكالة الشرطة الوطنية اليابانية ومركز الجرائم السيبرانية التابع لوزارة الدفاع الأمريكية بشكل مشترك خسارة DMM Bitcoin البالغة 308 مليون دولار بنفس بنية TraderTraitor التحتية في أواخر عام 2024.
نشرت وزارة الخارجية اليابانية في عام 2025 خلاصة توضح طرق كوريا الشمالية للسرقة السيبرانية، ومسارات غسيل الأموال، والحوادث المحددة على مدار 18 شهرًا، ووضعت معايير الإسناد التي تعتمد على عائلات البرامج الضارة، وتداخل البنية التحتية، والأساليب الاستدلالية على السلسلة التي أكدتها وكالات استخبارات متعددة.
تحول سطح الهجوم من المحافظ الساخنة للبورصات إلى الجسور وعمليات التحقق، حيث تؤدي نقاط الفشل الفردية إلى تدفقات ضخمة. قاس تقرير Elliptic لعام 2025 حول الجرائم عبر السلاسل عدد المرات التي تعبر فيها الأصول المسروقة الآن أكثر من ثلاث، أو خمس، أو حتى عشر سلاسل لإحباط التتبع. وصف أندرو فيرمين، رئيس استخبارات الأمن القومي في Chainalysis، هذا التطور في مذكرة: “مغسلو الأموال في كوريا الشمالية يغيرون باستمرار آليات غسيل الأموال وتكتيكات التهرب لتجنب التعطيل”.
وأضاف أن الخلاطات لا تزال ضمن الأدوات، حيث شهد Tornado Cash تدفقات متجددة مرتبطة بكوريا الشمالية بعد سحب وزارة الخزانة تصنيفها للعقوبات في مارس 2025، بعد انتكاسات قضائية. ومع ذلك، يستمر مزيج الأماكن في التحول. بعد فرض عقوبات على Blender و Sinbad، انتقلت التدفقات إلى البورصات اللامركزية عبر السلاسل، وممرات USDT، ووسطاء خارج البورصة في جنوب شرق آسيا.
الإنفاذ العالمي: الإنتربول وشركاؤه يتعاونون
تصاعدت جهود الإنفاذ في عام 2025. استعادت عملية HAECHI VI التابعة للإنتربول، التي استمرت من أبريل إلى أغسطس، 439 مليون دولار عبر 40 دولة، بما في ذلك 97 مليون دولار من الأصول الافتراضية. جاءت هذه العملية المنسقة بعد عملية HAECHI V لعام 2024، التي سجلت أرقامًا قياسية في الاعتقالات والمصادرات. استمرت يوروبول في اتخاذ إجراءات موازية ضد بنية غسيل الأموال وشبكات الاحتيال المتعلقة بالعملات المشفرة طوال العام.
كشف تحديث مجموعة العمل المالي (FATF) في يونيو 2025 أن تنفيذ “قاعدة السفر” قد ارتفع إلى 85 ولاية قضائية، مع تشديد التوجيهات للمشرفين على تبادل المعلومات عبر الحدود. تعتبر هذه رياحًا معاكسة كبيرة لشبكات صرف الأموال التي اعتمدت على أنظمة امتثال مجزأة.
تستهدف العقوبات والقضايا الجنائية الآن الميسرين بقدر ما تستهدف القراصنة. استهدفت إجراءات مكتب مراقبة الأصول الأجنبية (OFAC) في يوليو 2025 سلاسل إيرادات عمال تكنولوجيا المعلومات في كوريا الشمالية، بينما وجهت لوائح اتهام ومصادرات وزارة العدل اتهامات لعملاء كوريين شماليين بسرقة العملات المشفرة وغسيل الأموال. أجبر المدعون العامون مشغلي محفظة Samourai على الإقرار بالذنب، وأغلق منسق Wasabi في عام 2024. كانت النتيجة عددًا أقل من مراكز غسيل الأموال المركزية الكبيرة، والمزيد من الإخفاء المجزأ عبر السلاسل.
أشار فيرمين إلى الاستجابة التكتيكية: “زيادة العناية الواجبة بمعرفة العميل (KYC) من قبل البورصات يمكن أن تساعد في تعطيل حسابات البغال، وأدت العقوبات المفروضة على الخلاطات في النهاية إلى دفع الجهات الفاعلة إلى منصات بديلة، والتي قد تكون لديها سيولة أقل لتسهيل غسيل الأموال على نطاق واسع، وقدرة مصدري العملات المستقرة على تجميد الأصول في أي نقطة في سلسلة التوريد، كل ذلك يساعد في تعطيل جهود غسيل الأموال الكورية الشمالية”.
كوريا الشمالية كخصم في عالم العملات المشفرة
تجمع معايير الإسناد بين التحليلات الجنائية على السلسلة واستخبارات الإشارات وتحليل البرامج الضارة. أكد مكتب التحقيقات الفيدرالي علنًا إسناد اختراق Bybit في فبراير 2025، بينما عززت مصادر متعددة ووزارة الخارجية اليابانية الأدلة التي تربط TraderTraitor بالسرقات السابقة.
تحول اختيار الأهداف نحو البورصات، والجسور، ومسارات التحقق، حيث تؤدي إخفاقات الأمان التشغيلي إلى إطلاق أقصى قيمة. تظهر بيانات Chainalysis أن خسائر عام 2025 تركزت في اختراقات على مستوى الخدمة بدلاً من اختراقات المحافظ الفردية، مما يعكس تحول المهاجمين نحو أهداف البنية التحتية ذات التأثير الكبير.
تنتقل أنماط غسيل الأموال الآن بانتظام عبر ممرات USDT ومنافذ البيع بالتجزئة خارج المناطق التنظيمية الصارمة. تتبع تحقيق أجرته رويترز عام 2024 تدفقات مرتبطة بمجموعة لازاروس إلى شبكة مدفوعات في جنوب شرق آسيا. وثقتا Chainalysis و Elliptic انخفاضًا مطردًا في عمليات صرف الأموال المباشرة من البورصات، من حوالي 40% من التحويلات غير المشروعة في 2021-2022 إلى حوالي 15% بحلول منتصف 2025، وارتفاعًا مقابلاً في التوجيه المعقد متعدد القفزات الذي يمزج مبادلات البورصات اللامركزية، والجسور، وشبكات الصرافين.
وصف فيرمين التحكيم القضائي: “ستسعى كوريا الشمالية إلى تعديل الآليات، كما رأينا مؤخرًا، باستخدام كل شيء بدءًا من مصادر السيولة الكبيرة لغسيل الأموال، مثل مجموعة Huione، أو الاستفادة من تجار التجزئة الإقليميين الذين قد لا يسعون للامتثال للمتطلبات التنظيمية، أو لديهم لوائح متساهلة في ولاياتهم القضائية التشغيلية”.
هل يحد الإنفاذ من التدفقات أم يغير مسارها؟
الإجابة على المدى القريب هي كلاهما. تجد Chainalysis أن التحويلات المباشرة من الكيانات غير المشروعة إلى البورصات انخفضت إلى حوالي 15% في الربع الثاني من عام 2025، مما يعني أن الفحص والعقوبات والتعاون مع البورصات فعال. ومع ذلك، تدفع هذه الإجراءات الأموال نحو قفزات متعددة الطبقات عبر السلاسل ومعالجات الدفع خارج الأنظمة الأكثر صرامة.
تظهر بيانات FATF لعام 2025 أن قوانين “قاعدة السفر” موجودة في معظم المراكز الرئيسية، ولكن هناك تفاوتًا في التنفيذ، وهذا التفاوت هو بالضبط حيث تتشكل ممرات غسيل الأموال الجديدة. هناك احتكاكات حقيقية على جانب الخصم. عمليات الإنتربول والإجراءات الوطنية تجمد شرائح أكبر من الأرصدة غير المشروعة، وتنشر الجهات الفاعلة الخاصة عمليات التجميد والمصادرات، مما يؤكد اتجاهًا أوسع لتقليل المخاطر يزيد من تكاليف غسيل الأموال لكوريا الشمالية.
يمكن لمصدري العملات المستقرة تجميد الأصول في أي نقطة في سلسلة التوريد، وهي قوة تركز المخاطر في المصدرين المركزيين ولكنها تحسن فرص الاسترداد عند ممارستها بسرعة. السؤال هو ما إذا كان هذا الاحتكاك يتراكم بشكل أسرع مما يمكن للمهاجمين تجاوز حوله.
ماذا يجب على البناة وأمناء الخزانة فعله بعد ذلك؟
تعامل مع عمليات التسلل بأسلوب كوريا الشمالية كسيناريو مخاطر عمل، وليس كـ”بجعة سوداء” (حدث نادر غير متوقع). تقدم استشارات TraderTraitor الأمريكية حلولًا عملية، بما في ذلك:
* تصلب خطوط التوظيف والوصول إلى البائعين.
* طلب التحقق من توقيع الكود للأدوات.
* تقييد ميزانيات المحافظ الساخنة.
* أتمتة حدود سرعة السحب.
بالإضافة إلى ذلك، يوصى بالتدرب على خطط الاستجابة للحوادث التي تتضمن فحص العناوين الفوري، وسياسات إيقاف الجسور، ومسارات تصعيد إنفاذ القانون. تشير دراسات الحالات إلى أن عمليات التجميد المبكرة، والتتبع السريع الممكن بواسطة KYC، والتعاون مع البورصات تزيد بشكل كبير من فرص الاسترداد.
بالنسبة لمسارات رأس المال، طبق قوائم السماح المعتمدة مسبقًا للجسور والبورصات اللامركزية مع مبررات تجارية، ووسع الفحص الجاهز لـ”قاعدة السفر” ليشمل تحركات الخزانة لتجنب تلوث التدفقات الراجعة. ينشر بائعو تحليلات السلسلة أنواعًا جديدة من الأعلام الحمراء لغسيل الأموال عبر السلاسل: قم بدمجها في المراقبة بحيث تستجيب التنبيهات لقفزات الجسور ومحاور الأصول الأصلية، وليس فقط علامات الخلاطات القديمة.
جادل فيليب زينتنر، مؤسس Li.Fi، بأن مفاتيح الإيقاف على السلسلة تواجه مفاضلة بين المركزية والاستجابة. وأوضح في مذكرة: “من غير المرجح جدًا أن يكون الحل النقي على السلسلة بدون عامل مركزي قابلاً للتحقيق. أي شيء غير منظم يمكن إساءة استخدامه، وأي شيء مفتوح جدًا يمكن استخدامه أيضًا من قبل المتسلل نفسه. عندما يتم الاتصال بمجمعي DEX والجسور بشأن متسلل، غالبًا ما يكون الأوان قد فات بالفعل”.
وأضاف أن الحل المركزي من المرجح أن ينجح حتى اليوم. يعكس هذا الصدق حقيقة أن البروتوكولات اللامركزية تفتقر إلى طبقة التنسيق اللازمة لوقف انتشار السرقة في الوقت الفعلي دون إدخال خطر المركزية التي يقودها الإنسان.
بلوغ الذروة أم التكيف؟
تظهر الصورة المركبة أن الإنفاذ زاد من تكلفة وتعقيد غسيل الأموال، لكنه لم يوقف عمليات السرقة. سرق الفاعلون المرتبطون بكوريا الشمالية المزيد في عام 2025 أكثر من أي عام سابق، لكنهم الآن مجبرون على التوجيه عبر عشر سلاسل، والتحويل عبر أزواج غامضة، والاعتماد على وسطاء البيع بالتجزئة الإقليميين بدلاً من صرف الأموال مباشرة في البورصات الكبرى.
هذا تقدم للمدافعين؛ تعمل أساليب الكشف، وتحليل المجموعات، والتعاون عبر الحدود، ولكنه أيضًا دليل على أن المهاجمين يتكيفون بشكل أسرع مما تتوافق عليه الهيئات التنظيمية. سيكون اختبار عام 2026 هو ما إذا كانت الجولة التالية من الإنفاذ مع تطبيق أكثر صرامة لـ”قاعدة السفر”، وعمليات تجميد أكثر عدوانية للعملات المستقرة، والإجراءات متعددة الأطراف المستمرة ستضغط نافذة غسيل الأموال بما يكفي لتواجه الجهات الفاعلة الحكومية المتطورة احتكاكًا باهظًا.
أو بدلاً من ذلك، ما إذا كانوا سيتعمقون في الولايات القضائية ذات الإشراف الضعيف ويستمرون في تمويل العمليات من خلال سرقة العملات المشفرة. ستحدد الإجابة ما إذا كان يمكن للصناعة الاعتماد على الامتثال كدفاع أساسي أو ما إذا كانت بحاجة إلى تغييرات معمارية تعزز الجسور، وتحد من تعرض المحافظ الساخنة، وتبني تنسيقًا أفضل للاستجابة للحوادث في البروتوكولات نفسها.
