การโจมตีมูลค่า 285 ล้านดอลลาร์ต่อ Drift ซึ่งเป็นแพลตฟอร์มแลกเปลี่ยนแบบกระจายอำนาจ (DEX) ในเดือนนี้ถือเป็นการแฮ็กคริปโตที่ใหญ่ที่สุดในรอบกว่าหนึ่งปี นับตั้งแต่แพลตฟอร์มแลกเปลี่ยน Bybit สูญเสียเงิน 1.4 พันล้านดอลลาร์ แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือถูกระบุว่าเป็นผู้ต้องสงสัยหลักในการโจมตีทั้งสองครั้ง
เมื่อฤดูใบไม้ร่วงที่ผ่านมา ผู้โจมตีได้ปลอมตัวเป็นบริษัทเทรดเชิงปริมาณและเข้าหาทีมโปรโตคอลของ Drift ด้วยตนเองในงานประชุมคริปโตครั้งสำคัญ Drift กล่าวในโพสต์บน X เมื่อวันอาทิตย์
"ตอนนี้เข้าใจแล้วว่านี่ดูเหมือนจะเป็นการเข้าหาอย่างมีเป้าหมาย โดยบุคคลจากกลุ่มนี้ยังคงแสวงหาและมีส่วนร่วมกับผู้มีส่วนร่วมของ Drift ที่เฉพาเจาะจงอย่างตั้งใจด้วยตนเองในงานประชุมอุตสาหกรรมหลายครั้งในหลายประเทศตลอดระยะเวลาหกเดือนต่อมา" DEX กล่าว
จนถึงตอนนี้ สายลับไซเบอร์ของเกาหลีเหนือได้กำหนดเป้าหมายบริษัทคริปโตออนไลน์ผ่านการโทรเสมือนและการทำงานระยะไกล การเข้าหาด้วยตนเองในงานประชุมมักไม่ก่อให้เกิดความสงสัย แต่การโจมตี Drift ควรเพียงพอที่จะทำให้ผู้เข้าร่วมทบทวนการเชื่อมต่อที่เกิดขึ้นในงานล่าสุด
การแฮ็กทำให้ TVL ของ Drift ลดลงมากกว่าครึ่งหนึ่งในเวลาประมาณ 12 นาที แหล่งที่มา: DefiLlama
เกาหลีเหนือขยายกลยุทธ์คริปโตเกินกว่าการแฮ็ก
บริษัทนิติวิทยาศาสตร์บล็อกเชน TRM Labs อธิบายเหตุการณ์นี้ว่าเป็นการแฮ็ก DeFi ที่ใหญ่ที่สุดของปี 2026 (จนถึงตอนนี้) และเป็นการโจมตีที่ใหญ่เป็นอันดับสองในประวัติศาสตร์ของ Solana รองจากการแฮ็กบริดจ์ Wormhole มูลค่า 326 ล้านดอลลาร์ในปี 2022
การติดต่อครั้งแรกย้อนกลับไปประมาณหกเดือน แต่การโจมตีเองย้อนกลับไปถึงกลางเดือนมีนาคม ตาม TRM ผู้โจมตีเริ่มต้นด้วยการย้ายเงินจาก Tornado Cash และปรับใช้ CarbonVote Token (CVT) ขณะใช้วิศวกรรมสังคมเพื่อโน้มน้าวให้ผู้ลงนาม multisig อนุมัติธุรกรรมที่ให้สิทธิ์ระดับสูง
จากนั้นพวกเขาสร้างความน่าเชื่อถือให้กับ CVT โดยการสร้างอุปทานจำนวนมากและเพิ่มกิจกรรมการซื้อขายเพื่อจำลองอุปสงค์ที่แท้จริง ออราเคิลของ Drift รับสัญญาณและถือว่าโทเค็นเป็นสินทรัพย์ที่ถูกต้อง
เมื่อธุรกรรมที่ได้รับอนุมัติล่วงหน้าถูกดำเนินการในวันที่ 1 เมษายน CVT ถูกยอมรับเป็นหลักประกัน ขีดจำกัดการถอนถูกเพิ่มขึ้น และเงินถูกถอนเป็นสินทรัพย์จริง รวมถึง USDC
TRM สรุปเงินที่เคลื่อนย้ายจาก Tornado Cash ในเดือนมีนาคมที่ใช้เตรียมการสำหรับการโจมตี Drift แหล่งที่มา: TRM Labs
ที่เกี่ยวข้อง: สายลับเกาหลีเหนือพลาดพลั้ง เปิดเผยความเชื่อมโยงในการสัมภาษณ์งานปลอม
ตาม TRM ความเร็วและความก้าวร้าวของการฟอกเงินที่ตามมาเกินกว่าที่เห็นในการแฮ็ก Bybit
เกาหลีเหนือเชื่อกันอย่างกว้างขวางว่ากำลังใช้การขโมยคริปโตขนาดใหญ่เช่นการโจมตี Drift และ Bybit ควบคู่ไปกับกลยุทธ์ระยะยาว รวมถึงการวางสายในบทบาทระยะไกลที่บริษัทเทคโนโลยีและคริปโตเพื่อสร้างรายได้ที่มั่นคง คณะมนตริความมั่นคงแห่งสหประชาชาติกล่าวว่าเงินดังกล่าวถูกใช้เพื่อสนับสนุนโครงการอาวุธของประเทศ
นักวิจัยด้านความปลอดภัย Taylor Monahan กล่าวว่าการแทรกซึมโปรโตคอล DeFi ย้อนกลับไปถึง "DeFi summer" โดยเสริมว่าประมาณ 40 โปรโตคอลได้ติดต่อกับสายลับ DPRK ที่ถูกสงสัย
สื่อของรัฐเกาหลีเหนือรายงานเมื่อวันพฤหัสบดีว่าประเทศได้ทดสอบอาวุธแม่เหล็กไฟฟ้าและขีปนาวุธยิงได้ระยะสั้นที่รู้จักในนาม Hwasong-11 ซึ่งติดตั้งหัวรบระเบิดกระจาย
ขนาดประมาณการสำหรับ KN-23 หรือที่รู้จักในนาม Hwasong-11A แหล่งที่มา: Christian Maire, FRS
เครือข่ายแทรกซึมสร้างรายได้คริปโตอย่างต่อเนื่อง
การสอบสวนแยกต่างหากเปิดเผยว่าเครือข่ายคนงาน IT ที่เชื่อมโยงกับเกาหลีเหนือสร้างรายได้หลายล้านผ่านการแทรกซึมเป็นเวลานาน
ข้อมูลที่ได้จากแหล่งข้อมูลนิรนามที่แชร์โดย ZachXBT แสดงให้เห็นเครือข่ายที่ปลอมตัวเป็นนักพัฒนาและฝังตัวในบริษัทคริปโตและเทคโนโลยี สร้างรายได้ประมาณ 1 ล้านดอลลาร์ต่อเดือนและมากกว่า 3.5 ล้านดอลลาร์ตั้งแต่เดือนพฤศจิกายน
กลุ่มนี้ได้งานโดยใช้ตัวตนปลอม กำหนดเส้นทางการชำระเงินผ่านระบบที่ใช้ร่วมกัน จากนั้นแปลงเงินเป็นเงินเฟียตและส่งไปยังบัญชีธนาคารจีนผ่านแพลตฟอร์มเช่น Payoneer
การติดตามกระเป๋าเงินเชื่อมโยงส่วนหนึ่งของกระแสไปยังที่อยู่ที่เชื่อมโยงกับกิจกรรม DPRK ที่ทราบ นักสืบบล็อกเชนกล่าว แหล่งที่มา: ZachXBT
ที่เกี่ยวข้อง: คุณเป็นฟรีแลนซ์หรือไม่? สายลับเกาหลีเหนืออาจใช้คุณอยู่
การดำเนินการอาศัยโครงสร้างพื้นฐานพื้นฐาน รวมถึงเว็บไซต์ที่ใช้ร่วมกันพร้อมรหัสผ่านทั่วไปและกระดานผู้นำภายในที่ติดตามรายได้
สายลับสมัครงานอย่างเปิดเผยโดยใช้ VPN และเอกสารปลอม ชี้ให้เห็นกลยุทธ์ระยะยาวในการฝังสายลับเพื่อดึงรายได้อย่างต่อเนื่อง
การป้องกันพัฒนาขึ้นเมื่อกลยุทธ์แทรกซึมแพร่กระจาย
Cointelegraph พบแผนการที่คล้ายกันในการสอบสวนปี 2025 ที่นำโดย Heiner García ซึ่งใช้เวลาหลายเดือนในการติดต่อกับสายลับที่ถูกสงสัย
Cointelegraph ภายหลังเข้าร่วมการสัมภาษณ์จำลองของ García กับผู้ต้องสงสัยที่ใช้ชื่อ "Motoki" ซึ่งอ้างว่าเป็นชาวญี่ปุ่น ผู้ต้องสงสัยโกรธจัดและออกจากการโทรหลังจากล้มเหลวในการแนะนำตัวเองในภาษาท้องถิ่นที่อ้างว่าเป็นของตัวเอง
การสอบสวนพบว่าสายลับหลีกเลี่ยงข้อจำกัดทางภูมิศาสตร์โดยใช้การเข้าถึงระยะไกลไปยังอุปกรณ์ที่ตั้งอยู่ทางกายภาพในประเทศเช่นสหรัฐอเมริกา แทนที่จะใช้ VPN พวกเขาควบคุมเครื่องเหล่านั้นโดยตรง ทำให้กิจกรรมของพวกเขาดูเหมือนอยู่ในพื้นที่
ตอนนี้ นักล่าหัวด้านเทคโนโลยีได้ตระหนักว่าบุคคลที่อยู่อีกด้านหนึ่งของการสัมภาษณ์งานเสมือนจริงอาจเป็นสายลับไซเบอร์เกาหลีเหนือจริงๆ กลยุทธ์การป้องกันที่แพร่ระบาดคือการขอให้ผู้ต้องสงสัยด่าคิม จอง อึน จนถึงตอนนี้ กลยุทธ์นี้มีประสิทธิผล
คนงาน IT เกาหลีเหนือที่ถูกสงสัยค้างเมื่อถูกขอให้เรียกคิม จอง อึนว่า "หมูอ้วนน่าเกลียด" แหล่งที่มา: Tanuki42
อย่างไรก็ตาม เนื่องจาก Drift ถูกเข้าหาด้วยตนเองและการค้นพบของ García แสดงให้เห็นสายลับที่หาวิธีสร้างสรรค์เพื่อหลีกเลี่ยงข้อจำกัดทางภูมิศาสตร์ ผู้กระทำการของเกาหลีเหนือยังคงปรับตัวต่อพลวัตแมวจับหนู
การขอให้ผู้สัมภาษณ์เรียกผู้นำสูงสุดของเกาหลีเหนือว่า "หมูอ้วน" เป็นกลยุทธ์ที่มีประสิทธิภาพในขณะนี้ แต่นักวิจัยด้านความปลอดภัยเตือนว่าสิ่งนี้จะไม่ได้ผลตลอดไป
นิตยสาร: เช็ค Bitcoin มายา จีนติดตามภาษีบนบล็อกเชน: Asia Express
- #Cryptocurrencies
- #Cybercrime
- #North Korea
- #DeFi
- #Features
- #Industry
