สรุปข่าว
- Drift Protocol เปิดเผยเมื่อวันที่ 5 เม.ย. 2569 ว่าการโจรกรรม $285 ล้านเมื่อวันที่ 1 เม.ย. เกิดจากปฏิบัติการของหน่วยข่าวกรองเกาหลีเหนือที่วางแผนนานถึง 6 เดือน
- ผู้โจมตีปลอมตัวเป็นบริษัทเทรดเชิงปริมาณ พบปะทีมงานจริงหลายประเทศ และฝากเงิน $1 ล้านเพื่อสร้างความน่าเชื่อถือก่อนลงมือ
- เหตุการณ์นี้ถือเป็นการโจมตี DeFi ที่ซับซ้อนที่สุดครั้งหนึ่งในประวัติศาสตร์ และจะกระทบความเชื่อมั่นของนักลงทุนต่อ DeFi บน Solana อย่างหนัก
แนวโน้มผลกระทบต่อราคา Bearish
การโจมตีระดับรัฐชาติที่ใช้เวลาเตรียมการถึงครึ่งปีและมีการพบปะกันจริงในหลายประเทศ ทำให้ความเสี่ยงด้านความปลอดภัยของ DeFi ดูน่ากังวลกว่าที่เคย นักลงทุนทั้งรายใหญ่และรายย่อยจะเพิ่มความระมัดระวังในการวาง TVL บน Solana-based protocol และกดดันราคาสินทรัพย์ในระบบนิเวศนี้
Drift Protocol ออกรายงานการสืบสวนฉบับเต็มเมื่อวันที่ 5 เม.ย. 2569 เวลาประมาณ 20:44 น. ตามเวลาไทย เปิดเผยว่าการโจรกรรมสินทรัพย์กว่า $285 ล้านที่เกิดขึ้นในวันที่ 1 เม.ย. ที่ผ่านมานั้น ไม่ใช่การโจมตีธรรมดา แต่เป็นปฏิบัติการข่าวกรองของเกาหลีเหนือที่วางแผนมายาวนานถึง 6 เดือน ตามรายงานจาก CoinDesk ผู้โจมตีซึ่งนักสืบสวนระบุด้วยความมั่นใจระดับปานกลาง-สูงว่าเชื่อมโยงกับกลุ่ม UNC4736 หรือที่รู้จักกันในชื่อ Citrine Sleet และ AppleJeus ได้แฝงตัวเข้ามาตั้งแต่ช่วงปลายปี 2568 โดยปลอมตัวเป็นบริษัทเทรดเชิงปริมาณ (quant trading firm) ที่มีความน่าเชื่อถือ
6 เดือนแห่งการแฝงตัว พบปะจริง ฝากเงินจริง
สิ่งที่ทำให้ปฏิบัติการนี้น่าสะพรึงกว่าการโจมตีทั่วไปคือระดับของการลงทุนในการหลอกลวง กลุ่มผู้โจมตีเริ่มต้นด้วยการเข้าหาทีมงาน Drift ที่งานประชุม crypto แห่งหนึ่งในช่วงปลายปี 2568 จากนั้นใช้เวลาหลายเดือนพัฒนาความสัมพันธ์โดยการพบปะกันจริงในหลายประเทศ จัดประชุมทำงานร่วมกัน และติดต่อสื่อสารอย่างต่อเนื่องผ่าน Telegram เกี่ยวกับการผสานระบบ Vault
ระหว่างเดือน ธ.ค. 2568 ถึง ม.ค. 2569 กลุ่มดังกล่าวได้เปิด Ecosystem Vault บน Drift และฝากเงินกว่า $1 ล้านเป็นทุนจริง พร้อมเข้าร่วมการหารือรายละเอียดผลิตภัณฑ์เพื่อสร้างความน่าเชื่อถือ ก่อนที่จะลงมือโจมตีในวันที่ 1 เม.ย. 2569 ด้วยการใช้ช่องโหว่ทางเทคนิคร่วมกับสิทธิ์เข้าถึงที่ได้มาจากกระบวนการหลอกลวง ทำให้สามารถดูดเงินออกจากโปรโตคอลได้ภายในเวลาไม่ถึง 20 นาที
เทคนิคเจาะระบบที่ไม่เคยเห็นมาก่อน
จากการตรวจสอบทางนิติวิทยาศาสตร์ พบว่าผู้โจมตีใช้วิธีการที่เรียกว่า “durable nonces” ซึ่งเป็นฟีเจอร์ที่ถูกกฎหมายของ Solana ที่อนุญาตให้ธุรกรรมถูกเซ็นล่วงหน้าและรอการส่งในภายหลังโดยไม่มีวันหมดอายุ เมื่อรวมกับการใช้สิทธิ์ multisig ที่ได้มาจากกระบวนการหลอกลวง ทำให้ผู้โจมตีสามารถควบคุมอำนาจการจัดการโปรโตคอลได้อย่างสมบูรณ์
ช่องทางการเจาะระบบที่น่าจะเป็นไปได้มี 2 ทาง ได้แก่ โค้ดอันตรายในระบบจัดการ repository ที่แชร์ภายใต้ข้ออ้างว่าเป็นการติดตั้ง vault frontend และแอปพลิเคชันบน TestFlight ที่นำเสนอเป็นผลิตภัณฑ์กระเป๋าเงินของกลุ่ม โดยมีช่องโหว่ที่รู้จักกันดีในโปรแกรมแก้ไขโค้ด VSCode และ Cursor ซึ่งถูกแจ้งเตือนตั้งแต่เดือน ธ.ค. 2568 ถึง ก.พ. 2569 อาจเปิดทางให้รันโค้ดได้โดยไม่มีใครรู้ตัว หลังจากยึดอำนาจควบคุมได้สำเร็จ ผู้โจมตีเปลี่ยนพารามิเตอร์สำคัญ ยกเลิกขีดจำกัดการถอนเงิน และดูดเงินออกจากกองทุนประกันและกระเป๋าเงินของโปรโตคอลจากเกือบ 20 Vault ซึ่งรวมถึง USDC, USDT, WBTC, WETH และสินทรัพย์อื่น ๆ เงินที่ขโมยไปรวม $270.9 ล้านถูกแปลงเป็น USDC แล้วย้ายข้ามจาก Solana ไปยัง Ethereum ก่อนถูกแบ่งไปยังกระเป๋าเงินหลายใบ
บทเรียนที่วงการ DeFi ต้องรับไปเต็ม ๆ
ปฏิบัติการนี้ถือเป็นสัญญาณเตือนที่ชัดเจนว่าภัยคุกคามต่อ DeFi ไม่ได้จำกัดอยู่แค่บั๊กใน smart contract อีกต่อไป การโจมตีระดับรัฐชาติที่ใช้เทคนิคหลอกลวงเชิงสังคม (social engineering) ผ่านการพบปะจริงในหลายประเทศ แสดงให้เห็นว่าโปรโตคอลที่มีมูลค่าสูงล้วนเป็นเป้าหมายของกลุ่มที่มีทรัพยากรและความอดทนระดับประเทศ ก่อนหน้านี้ Elliptic และ TRM Labs ได้เริ่มชี้ไปที่แฮกเกอร์เกาหลีเหนือตั้งแต่วันที่ 2 เม.ย. โดยอ้างอิงพฤติกรรมบนเชน วิธีการฟอกเงิน และรูปแบบที่สอดคล้องกับปฏิบัติการของเกาหลีเหนือในอดีต
ส่วนตัวผู้เขียนมองว่าเคสนี้น่ากลัวกว่าการโจมตีทาง smart contract ธรรมดาหลายเท่า เพราะมันพิสูจน์ว่าแม้โค้ดจะ audit ดีแค่ไหน แต่ถ้า “คน” ในทีมถูกหลอกให้วางใจผู้โจมตีจนมอบสิทธิ์เข้าถึงให้โดยไม่รู้ตัว ทุกอย่างก็พังได้ภายใน 20 นาที สิ่งที่น่าจับตาต่อจากนี้คือโปรโตคอล DeFi รายใหญ่จะปรับขั้นตอนการ onboard บุคคลภายนอกและจัดการสิทธิ์ multisig อย่างไรให้รัดกุมขึ้น และผู้กำกับดูแลทั่วโลกจะนำคดีนี้ไปใช้เป็นเหตุผลในการออกกฎใหม่สำหรับ DeFi หรือไม่
ที่มา: @CoinDesk
ภาพจาก AI
