Drift ถูกเกาะกองกำลังเกาหลีเหนือแทรกซึมนานกว่า 6 เดือน โดยใช้วิศวกรรมสังคมและ Durable Nonce เพื่อขโมยสินทรัพย์ไปประมาณ 280 ล้านดอลลาร์ สร้างความเสียหายอย่างหนักต่อความไว้วางใจด้านความปลอดภัยของ DeFi
จัดวางแผนอย่างพิถีพิถันข้ามครึ่งปี: จากบทสนทนาเบื้องต้นกลายเป็นคดีปล้น 280 ล้านดอลลาร์
วันที่ 1 เมษายน ซึ่งเดิมควรเป็นวันเอพริลฟูลที่เต็มไปด้วยเรื่องล้อเล่น แต่ในระบบนิเวศ Solana กลับเกิดเหตุการณ์เลวร้ายกับ Drift Protocol แพลตฟอร์มเทรดสัญญาแบบยั่งยืนชั้นนำ จนต้องเผชิญกับแรงกระแทกอย่างรุนแรง การโจมตีครั้งนี้ทำให้สินทรัพย์ของผู้ใช้งานราว 280 ล้านถึง 286 ล้านดอลลาร์ หายไปอย่างไร้ร่องรอยภายในเวลาเพียง 10 วินาที สร้างสถิติการแฮ็กครั้งใหญ่ที่สุดของอุตสาหกรรม DeFi นับตั้งแต่ปี 2026
- ข่าวที่เกี่ยวข้อง: DeFi platform Drift ถูกแฮ็กในวันเอพริลฟูล! แฮ็กเกอร์กวาดทรัพย์สิน 270 ล้านดอลลาร์ ผู้จัดการคีย์ส่วนตัวเป็นช่องโหว่
ตามรายงานการสอบสวนที่ทีมงาน Drift เผยแพร่หลังเหตุการณ์ เกิดเหตุนี้มาจากปฏิบัติการข่าวกรองเชิง “โครงสร้าง” ที่ใช้เวลารวมมากกว่า 6 เดือน และมีพื้นฐานด้านองค์กรระดับชาติ เบื้องต้นพบว่าปฏิบัติการดังกล่าวมีความเชื่อมโยงอย่างสูงกับกลุ่มภัยคุกคามจากเกาหลีเหนือ UNC4736 (ซึ่งเป็นที่รู้จักอีกชื่อว่า AppleJeus หรือ Citrine Sleet) ซึ่งเคยโจมตี Radiant Capital ด้วยมูลค่า 50 ล้านดอลลาร์ในเดือนตุลาคม 2024 ครั้งนี้ที่มุ่งเจาะ Drift ยังข้ามการค้นหาช่องโหว่จากโค้ดแบบดั้งเดิม เปลี่ยนเป็นการชักนำ/ควบคุมด้วย “การกระทำของมนุษย์” ที่มีความแม่นยำสูงมาก รวมถึงหลีกเลี่ยงการป้องกันหลายชั้น ทั้งการตรวจสอบโค้ดและฮาร์ดแวร์วอลเล็ต
แหล่งที่มา: X/@DriftProtocol รายงานการสอบสวนที่ทีมงาน Drift เผยแพร่หลังเหตุการณ์ เหตุการณ์นี้เกิดจากปฏิบัติการข่าวกรองเชิง “โครงสร้าง” ที่ใช้เวลารวมมากกว่า 6 เดือน และมีพื้นฐานด้านองค์กรระดับชาติ
กลยุทธ์ “ตัวแทนเงา” ของแฮ็กเกอร์จากเกาหลีเหนือ
เกมหลอกลวงระยะยาวเริ่มต้นจากงานประชุมคริปโทขนาดใหญ่ในเดือนตุลาคม 2025 ในตอนนั้น มีบุคคลหลายคนที่แนะนำตัวว่าเป็นตัวแทนจากบริษัทเทรดเชิงปริมาณเข้ามาติดต่อสมาชิกแกนหลักของ Drift อย่างแข็งขัน โดยแสดงความสนใจที่จะร่วมมือในการผสานรวมโปรโตคอลและการจัดหาสภาพคล่อง
ในช่วงครึ่งปีถัดมา กลุ่มแฮ็กเกอร์เหล่านี้แสดงความเป็นมืออาชีพสูงและทักษะทางเทคนิคที่ยอดเยี่ยม พวกเขาพูดคุยกลยุทธ์การเทรดกับทีมพัฒนาอย่างสม่ำเสมอผ่านช่อง Telegram และในช่วงเดือนธันวาคม 2025 ถึงมกราคม 2026 ด้วยซ้ำ พวกเขาได้ลงมือปรับใช้ “Ecosystem Vault” ที่มีฟังก์ชันครบถ้วนบน Drift และนำเงินของตนเองมากกว่า 1 ล้านดอลลาร์มาฝากเพื่อสร้างเครดิต
สิ่งที่ควรสังเกตคือ บุคคลที่ปรากฏตัวในที่ประชุมเพื่อยืนยันตัวตนกับ Drift ไม่ใช่สัญชาติเกาหลีเหนือ ซึ่งสะท้อนให้เห็นว่าแฮ็กเกอร์จากเกาหลีเหนือกำลังจ้างผู้ประสานงาน/ตัวกลางบุคคลที่สาม หรือใช้ตัวแทนที่มีตัวตนสมบูรณ์แบบอยู่บ่อยครั้ง เพื่อทำวิศวกรรมสังคมในโลกจริง รูปแบบการ “ฝังตัวอย่างลึกซึ้ง” นี้ทำให้ทีมงาน Drift ลดความระแวง มองภัยแฝงเป็นคู่ค้าที่ยืนหยัดและเชื่อถือได้ในระยะยาว
Durable Nonce และช่องโหว่เครื่องมือพัฒนา
หลังจากสร้างความไว้วางใจที่แน่นแฟ้นแล้ว แฮ็กเกอร์เริ่มดำเนินแผนการบุกรุกขั้นสุดท้าย โดยติดเชื้อเครื่องทำงานของนักพัฒนาผ่านการแชร์คลังโค้ดที่เป็นอันตราย (Repo) หรือชวนติดตั้งแอปเวอร์ชันเทสต์ (TestFlight) การสอบสวนระบุว่า ผู้โจมตีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยร้ายแรงที่มีอยู่ในเครื่องมือพัฒนา VSCode และ Cursor ในเวลานั้น นักพัฒนาเพียงแค่เปิดโฟลเดอร์ที่กำหนดไว้ในโปรแกรมแก้ไข โค้ดที่เป็นอันตรายก็จะทำงานโดยอัตโนมัติ โดยไม่มีการแจ้งเตือน
เมื่อสามารถควบคุมอุปกรณ์ของสมาชิก 2 คนในคณะกรรมการความปลอดภัย (Security Council) ได้แล้ว แฮ็กเกอร์ก็หลอกล่อให้พวกเขาลงนามในคำสั่งอนุญาตที่มีสิทธิ์ระดับผู้ดูแล หลังจากนั้น พวกเขาใช้คุณลักษณะที่ถูกต้องตามกฎหมายบนเครือข่าย Solana ที่ชื่อว่า “Durable Nonces” เพื่อเก็บคำสั่งการทำธุรกรรมที่ลงนามไว้ล่วงหน้าเหล่านี้บนบล็อกเชนเป็นเวลานานถึงหนึ่งสัปดาห์ เพื่อหลบเลี่ยงการตรวจพบ
จนถึงวันที่ 1 เมษายน กับดักก็ปิดสนิทเต็มรูปแบบ แฮ็กเกอร์ทำรายการถอนเงิน 31 รายการภายในเวลา 10 วินาที สินทรัพย์ที่เสียหายมีวงกว้างมาก รวมถึงโทเค็น $JLP มูลค่า 155 ล้านดอลลาร์ และอีกหลายสินทรัพย์ยอดนิยม เช่น มากกว่า 66.40 ล้านดอลลาร์ของ $USDC, 477k $WETH ฯลฯ ส่งผลให้มูลค่ารวมที่ล็อกไว้ของ Drift (TVL) ลดจาก 550 ล้านดอลลาร์ลงเหลือไม่ถึง 250 ล้านดอลลาร์ ราคาของโทเค็นดั้งเดิม DRIFT ก็ร่วงลงมากกว่า 98% ตามไปด้วย
ข้อถกเถียงด้านความประมาททางแพ่งและภัยคุกคามจาก AI กับการบังคับให้ปรับตัวเป็นแบบอย่างความปลอดภัยของ DeFi
เหตุการณ์นี้ถูกวิพากษ์วิจารณ์อย่างรุนแรงจากทั้งวงการกฎหมายและวงการเทคโนโลยี ทนายคริปโท Ariel Givner ชี้ว่า การกระทำของทีมงาน Drift อาจเข้าข่าย “ความประมาททางแพ่ง” เนื่องจากทีมพัฒนาไม่ได้ปฏิบัติตามขั้นตอนความปลอดภัยในการปฏิบัติการพื้นฐาน เช่น การเก็บคีย์ที่ใช้ลงนามไว้ในอุปกรณ์ที่แยกจากโลกภายนอกอย่างสิ้นเชิง (Air-gapped systems) และการเปิดไฟล์ภายนอกที่มาจากแหล่งไม่ทราบบนอุปกรณ์ที่เชื่อมโยงกับการจัดการสิทธิ์
แหล่งที่มา: X/@GivnerAriel ทนายคริปโท Ariel Givner ชี้ว่า การกระทำของทีมงาน Drift อาจเข้าข่าย “ความประมาททางแพ่ง”
ขณะเดียวกัน Charles Guillemet หัวหน้าฝ่ายเทคโนโลยีของ Ledger ก็เตือนว่า เมื่อเทคโนโลยี AI พัฒนาและแพร่หลาย ค่าใช้จ่ายของวิศวกรรมสังคมที่ซับซ้อนเช่นนี้กำลังใกล้เข้า “ศูนย์” แล้ว AI สามารถสร้างตัวตนปลอมและเอกสารด้านเทคนิคที่น่าเชื่ออย่างยิ่ง ทำให้แนวป้องกันของมนุษย์เปราะบางลงเรื่อย ๆ ปัจจุบัน Drift ได้แช่แข็งฟังก์ชันทั้งหมดของโปรโตคอลแล้ว และพยายามเจรจาในเชิงออนเชนกับวอลเล็ตของแฮ็กเกอร์ แต่หลายฝ่ายยังคงประเมินอย่างค่อนข้างมืดมนต่อโอกาสในการทวงคืนเงินทุน
คดีปล้นครั้งนี้มอบบทเตือนอันหนักหน่วงให้แก่อุตสาหกรรมโดยรวม: เมื่อแฮ็กเกอร์หันไปโจมตี “จิตวิทยาของมนุษย์” ไม่ใช่ “ตรรกะของโค้ด” อีกต่อไป การพึ่งพาการกำกับดูแลด้วยมัลติซิกอย่างเดียวก็ไม่สามารถรับประกันความปลอดภัยของสินทรัพย์ได้ การเสริมวินัยในการปฏิบัติและการแยกฮาร์ดแวร์ต่างหากคือทางออกเดียวในการป้องกันภัยคุกคามระดับชาติ
อ่านเพิ่มเติม
Drift ถูกแฮ็กใครผิด? แฮ็กเกอร์ย้ายสินทรัพย์ข้ามเชนแต่ยังไม่แช่แข็ง ZachXBT วิจารณ์ Circle อย่างหนัก
