โปรเจกต์คริปโตเปิดเผยเกาหลีเหนือแฮก 285 ล้าน
โปรเจกต์คริปโตเปิดเผยเกาหลีเหนือแฮก 285 ล้าน
สุดสัปดาห์ที่ผ่านมา ทีมงานโปรเจกต์ Drift ซึ่งเป็นโปรโตคอลซื้อขายฟิวเจอร์สแบบ perpetual บนบล็อกเชน Solana ได้อัปเดตความคืบหน้าของการแฮกที่เกิดขึ้นเมื่อวันที่ 1 เมษายน รายงานชี้ว่าการโจมตีนี้มาจากปฏิบัติการข่าวกรองที่ยาวนาน 6 เดือน โดยกลุ่มแฮกเกอร์อาชญากรที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ แม้บางคนจะตำหนิทีม Drift ว่าประมาทหรือแย่กว่านั้นก็ตาม
โปรเจกต์คริปโตเปิดเผยเกาหลีเหนือแฮก 285 ล้าน
การแฮกครั้งนี้สูญเสียเงินราว 285 ล้านดอลลาร์จากพูลสตอเรจของ Drift ซึ่งเก็บ stablecoin อย่าง USDC, JLP, SOL และสินทรัพย์คริปโตอื่นๆ สองบริษัทติดตามบล็อกเชนอย่าง TRM Labs และ Elliptic ได้ถอดรหัสลำดับเหตุการณ์ทั้งหมด
ทุกอย่างเริ่มต้นกลางเดือนมีนาคม 2026 แฮกเกอร์เคลื่อนย้ายเงินผ่านบริการผสมอย่าง Tornado Cash เพื่อปกปิดร่องรอย และตั้งบัญชีพิเศษสำหรับเตรียมธุรกรรมล่วงหน้า วันที่ 27 มีนาคม ทีมรักษาความปลอดภัยของ Drift เปลี่ยนระบบอนุมัติใหม่ ใช้เพียง 2 จาก 5 ผู้ถือกุญแจในการอนุมัติการเปลี่ยนแปลงใหญ่ และยกเลิกช่วงเวลารอที่อาจกระตุ้นการแจ้งเตือน จากนั้นแฮกเกอร์สร้างโทเค็นปลอม CarbonVote Token (CVT) กว่า 750 ล้านหน่วย แล้ว操纵การซื้อขายให้เครื่องมือตรวจราคาของ Drift มองว่าโทเค็นไร้ค่าพวกนี้เป็นหลักประกันที่มีมูลค่าสูง สามารถถอนเงินจำนวนมหาศาลได้
วันที่ 1 เมษายน พวกเขายิงธุรกรรมที่เตรียมไว้ล่วงหน้า เพิ่มโทเค็นปลอมลงแพลตฟอร์ม ยกเพดานกู้ ปล่อยโทเค็นปลอมนับร้อยล้านหน่วย และดูดสินทรัพย์จริงผ่านการถอน 31 ครั้งรวดเร็ว กระบวนการทั้งหมดใช้เวลาแค่ 12 นาที จากนั้นสลับเงินที่ขโมยเป็น USDC บน exchange Solana และย้ายไป Ethereum เพื่อปกปิด
ผมขอร้องให้ทุกคนในวงการคริปโตอ่านรายงานนี้ให้จบ ผมคิดว่าจะเป็นแค่ social engineering ธรรมดาๆ แบบชวนงานหรือ recruiter แต่ผิดถนัด ความลึกของปฏิบัติการและตัวละครปลอมทำให้ผมคิดว่าพวกเขาคงล็อกทีมอื่นๆ ไว้หลายทีมแล้ว 😳 ลิงก์
วิธีการนี้คล้ายกับการโจมตี Resolv protocol ล่าสุด ที่แฮกเกอร์ควบคุม AWS signing key มินต์ USR เกือบ 80 ล้านหน่วยจากหลักประกันไม่กี่แสนดอลลาร์ และถอน 25 ล้านดอลลาร์ ทั้งสองกรณีอาศัยการเข้าถึง private key ผสมกับการออกสินทรัพย์เกินขีดจำกัด
หลักฐานชี้เกาหลีเหนือในโปรเจกต์คริปโตเปิดเผยเกาหลีเหนือแฮก 285 ล้าน
TRM Labs และ Elliptic ระบุความเชื่อมโยงเกาหลีเหนือภายในไม่กี่วัน ด้วยการเตรียม on-chain ที่ตรงเวลาท้องถิ่นเปียงยาง และพฤติกรรมคล้าย DPRK ก่อนหน้า อัปเดตสาธารณะของ Drift บน X เผยรายละเอียดปฏิบัติการ 6 เดือน ตั้งแต่ฤดูใบไม้ร่วง 2025 บุคคลปลอมตัวเป็นตัวแทนบริษัทเทรดเชิงปริมาณ เข้าติดต่อผู้ร่วมงาน Drift ที่งานคอนเฟอเรนซ์ใหญ่ จัดกลุ่ม Telegram พูดคุยกลยุทธ์เทรดและ vault integration ฝากเงินกว่า 1 ล้านดอลลาร์ใน Ecosystem Vault หลังแฮก ลบประวัติทั้งหมด
ฟอเรนซิกชี้ 3 ช่องทาง private key: ผู้ร่วมงานคนหนึ่งโคลน repo ที่มีช่องโหว่ VSCode/Cursor ให้รันโค้ดเงียบๆ คนที่สองดาวน์โหลด TestFlight app ที่แสร้งเป็น wallet ช่องที่สามอยู่ระหว่างสอบสวน ทีม SEAL 911 มั่นใจระดับกลาง-สูงว่าเป็นกลุ่มเดียวกับแฮก Radiant Capital ตุลาคม 2024 ผู้เกี่ยวข้องตัวจริงไม่ใช่เกาหลีเหนือแต่ตัวกลาง ซึ่งเป็นเทคนิค DPRK
ยิ่งคิดยิ่งโมโห นี่คือ civil negligence ชัดๆ Drift จัดการเงินผู้ใช้หลายร้อยล้าน รู้ว่าคริปโตเต็มไปด้วยแฮกเกอร์ แต่…ลิงก์
บางคนตั้งคำถามว่าทำไมโปรโตคอลขนาดนี้ถึงอนุญาตดาวน์โหลดแอปไม่ผ่านการตรวจบนเครื่อง multi-sig ขาดการแยก dev env กับ signing key ทนายคริปโต Ariel Givner บน X ชี้ว่าเป็นประมาทร้ายแรง แต่ผู้เชี่ยวชาญเตือนว่าปฏิบัติการ 6 เดือนแบบนี้บ่งชี้ว่าอาจมีเป้าหมายอื่นๆ อยู่แล้ว
เกาหลีเหนือพึ่งพาการขโมยคริปโตมานาน เช่น Ronin 2022 กว่า 600 ล้าน ปี 2025 ขโมย 2.02 พันล้านดอลลาร์ตาม Chainalysis คริปโตเอื้อให้กลุ่มข่าวกรองลงทุนสร้างความไว้วางใจนานๆ ก่อนตี
โปรเจกต์คริปโตเปิดเผยเกาหลีเหนือแฮก 285 ล้าน ทำให้เห็นว่าความเสี่ยงในวงการยังสูง ทีมพัฒนาควรเสริมความปลอดภัยแบบ multi-layer และตรวจสอบคู่ค้าอย่างเข้มงวด คุณคิดว่าปฏิบัติการแบบนี้จะหยุดได้ไหม? ติดตามข่าวคริปโตและเคล็ดลับป้องกันแฮกกับเราต่อไปเพื่อไม่พลาดอัปเดตล่าสุด!
ที่มา – Crypto Project Details Alleged 6-Month North Korean Intel Op Behind $285 Million Hack