แฮกเกอร์เกาหลีเหนือแฝงตัวในโปรเจกต์ DeFi กว่า 40 แห่งนาน 7 ปี

เมื่อวันที่ 5 เมษายน 2569 ตามรายงานจาก Cointelegraph Taylor Monahan ผู้อำนวยการด้านความปลอดภัยของ MetaMask และนักวิจัยที่เกี่ยวข้องกับ TRM Labs ได้เปิดเผยว่า แรงงานไอทีที่มีความเชื่อมโยงกับเกาหลีเหนือ (DPRK) ได้แฝงตัวเข้าไปมีส่วนร่วมในการพัฒนาโปรเจกต์ DeFi อย่างน้อย 40 แห่ง ตลอดช่วงเวลากว่า 7 ปีที่ผ่านมา นับตั้งแต่ยุค DeFi Summer เป็นต้นมา Monahan ได้ระบุรายชื่อโปรเจกต์ที่ถูกแทรกซึมอย่างละเอียด ครอบคลุมทั้งโปรเจกต์ขนาดใหญ่และขนาดเล็กในระบบนิเวศคริปโต โดยผู้แทรกซึมเหล่านี้มักนำเสนอตัวเองในฐานะนักพัฒนาฟรีแลนซ์ที่มีทักษะสูง บางรายอ้างว่ามีประสบการณ์ด้านการพัฒนาบล็อกเชนมากกว่า 7 ปี

โปรเจกต์ไหนบ้างที่ถูกระบุชื่อ

รายชื่อโปรเจกต์ที่ Monahan ระบุว่าถูกแทรกซึมโดยนักพัฒนาที่เชื่อมโยงกับเกาหลีเหนือนั้นครอบคลุมโปรโตคอลชื่อดังหลายแห่ง ได้แก่ SushiSwap, THORChain, Yam, Pickle, Harvest, Beanstalk, DeltaPrime, Fantom, Ankr, Shiba Inu, Floki, Yearn และอีกกว่า 30 โปรเจกต์ การเปิดเผยครั้งนี้ไม่ได้หมายความว่าโปรเจกต์เหล่านี้ทั้งหมดถูกโจมตีหรือเสียหายโดยตรง แต่ชี้ให้เห็นว่ามีบุคคลที่มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือเคยเข้าไปมีบทบาทในกระบวนการพัฒนาของโปรเจกต์เหล่านั้น ซึ่งอาจเปิดช่องให้เข้าถึงโค้ดสำคัญ กุญแจส่วนตัว หรือข้อมูลภายในที่มีความละเอียดอ่อนได้

รูปแบบที่ใช้คือการสร้างตัวตนปลอมบนแพลตฟอร์มอย่าง GitHub และเว็บฟรีแลนซ์ต่างๆ โดยอ้างสัญชาติโปแลนด์หรืออเมริกัน มีผลงานพอร์ตโฟลิโอที่ดูน่าเชื่อถือ และเสนอตัวรับงานพัฒนาบล็อกเชนและ full-stack ในรูปแบบการทำงานระยะไกล ซึ่งเป็นรูปแบบที่แพร่หลายมากในวงการ DeFi

ปัญหานี้ใหญ่แค่ไหนและรัฐบาลสหรัฐฯ ตอบสนองอย่างไร

ก่อนหน้านี้ Siam Blockchain ได้รายงานเรื่อง แฮกเกอร์เกาหลีเหนือแฝงตัว 6 เดือนก่อนขโมย $285 ล้านจาก Drift Protocol ซึ่งสะท้อนให้เห็นว่าการแทรกซึมในลักษณะนี้ไม่ใช่เรื่องใหม่ รายงานจากสหประชาชาติเคยระบุว่ามีชาวเกาหลีเหนือกว่า 4,000 คนถูกส่งไปทำงานในอุตสาหกรรมเทคโนโลยีตะวันตก รวมถึงคริปโต เพื่อหาเงินให้รัฐบาล ขณะที่แฮกเกอร์เกาหลีเหนือขโมยสินทรัพย์คริปโตรวมกว่า 3 พันล้านดอลลาร์ใน 58 ปฏิบัติการตลอด 7 ปีที่ผ่านมา โดยรูปแบบการจ้างงานปลอมเพียงอย่างเดียวสร้างรายได้ให้เกาหลีเหนือสูงถึง 600 ล้านดอลลาร์ต่อปี

กระทรวงยุติธรรมสหรัฐฯ เคยดำเนินการเชิงประสานงานในเดือนมิถุนายน 2568 ทั้งการฟ้องร้อง จับกุม และอายัดบัญชีการเงินที่เกี่ยวข้องกับแผนการจ้างงานปลอมของเกาหลีเหนือ ขณะที่สำนักงานควบคุมทรัพย์สินต่างประเทศสหรัฐฯ (OFAC) ยังได้คว่ำบาตร Song Kum Hyok นักปฏิบัติการไซเบอร์ที่เชื่อมโยงกับหน่วยแฮก Andariel ของเกาหลีเหนือ ซึ่งเป็นผู้จัดการแผนการส่งแรงงานไอทีปลอมเหล่านี้ นักพัฒนากลุ่มนี้มักรับค่าจ้างผ่านสเตเบิลคอยน์อย่าง USDC หรือ USDT และฟอกเงินผ่านโครงสร้างกระเป๋าเงินที่ซับซ้อนเพื่อส่งรายได้กลับไปยังหน่วยงานที่รัฐบาลเกาหลีเหนือควบคุม

บทเรียนสำคัญสำหรับวงการ DeFi

การเปิดเผยครั้งนี้ตั้งคำถามสำคัญเกี่ยวกับกระบวนการตรวจสอบคัดกรองนักพัฒนาในโลก DeFi ซึ่งโดยธรรมชาติเอื้อต่อการทำงานระยะไกลแบบไม่เปิดเผยตัวตน บริษัท Nisos ซึ่งเป็นผู้เชี่ยวชาญด้านการจัดการความเสี่ยงด้านบุคคล ได้เผยแพร่รายงานในปี 2568 ระบุว่าแรงงานไอทีที่เชื่อมโยงกับเกาหลีเหนือตั้งบริษัทรับทำซอฟต์แวร์ฟรีแลนซ์ปลอมและสร้างโปรไฟล์ GitHub ปลอมจำนวนมากเพื่อใช้สมัครงานในบริษัทเทคโนโลยีสหรัฐฯ และญี่ปุ่น โปรเจกต์ DeFi ที่ไม่มีระบบยืนยันตัวตนที่เข้มแข็งและพึ่งพาการทำงานระยะไกลอย่างสูงจึงเป็นเป้าหมายที่เหมาะสมอย่างยิ่ง

ส่วนตัวผู้เขียนมองว่าเรื่องนี้น่ากังวลกว่าที่หลายคนคิด เพราะมันไม่ใช่แค่ความเสี่ยงด้านความปลอดภัยธรรมดา แต่เป็นปฏิบัติการระดับรัฐที่วางแผนระยะยาวอย่างเป็นระบบ การที่นักพัฒนาเหล่านี้เข้าไปอยู่ในโค้ดเบสของโปรเจกต์ต่างๆ เป็นเวลาหลายปีโดยไม่ถูกจับได้ แสดงให้เห็นว่าวงการ DeFi ยังขาดกระบวนการตรวจสอบที่เข้มแข็งจริงๆ สิ่งที่ต้องจับตาดูต่อไปคือว่าโปรเจกต์ที่ถูกระบุชื่อจะออกมาชี้แจงอย่างไร และหน่วยงานกำกับดูแลจะใช้เรื่องนี้เป็นข้ออ้างในการผลักดันกฎ Know Your Developer (KYD) สำหรับโปรเจกต์คริปโตหรือเปล่า ซึ่งถ้าเกิดขึ้นจริงก็จะเปลี่ยนวัฒนธรรมการพัฒนา DeFi แบบไม่เปิดเผยตัวตนไปอย่างมีนัยสำคัญ

ที่มา: Cointelegraph

ภาพจาก AI