น้อยกว่าสามสัปดาห์หลังจากแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือใช้วิศวกรรมสังคมโจมตีบริษัทเทรดคริปโต Drift แฮกเกอร์ที่เกี่ยวข้องกับประเทศดังกล่าวดูเหมือนจะประสบความสำเร็จในการโจมตีครั้งใหญ่อีกครั้งกับ Kelp
การโจมตี Kelp ซึ่งเป็นโปรโตคอล restaking ที่เชื่อมต่อกับโครงสร้างพื้นฐาน cross-chain ของ LayerZero บ่งชี้ถึงวิวัฒนาการในการดำเนินงานของแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือ ไม่ใช่แค่มองหาบั๊กหรือข้อมูลรับรองที่ถูกขะโมยเท่านั้น แต่ยังใช้ประโยชน์จากสมมติฐานพื้นฐานที่สร้างขึ้นในระบบแบบกระจายอำนาจ
เมื่อรวมกัน เหตุการณ์ทั้งสองชี้ไปที่บางสิ่งที่มีการจัดระเบียบมากกว่าการแฮ็กแบบครั้งเดียวหลายครั้ง ในขณะที่เกาหลีเหนือยังคงเพิ่มความพยายามในการแย่งชิงเงินทุนจากภาคคริปโต
"นี่ไม่ใช่ชุดเหตุการณ์ มันคือจังหวะ" Alexander Urbelis หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยสารสนเทศและที่ปรึกษากฎหมายทั่วไปของ ENS Labs กล่าว "คุณไม่สามารถแก้ไขปัญหาออกจากตารางการจัดหาได้"
มีเงินมากกว่า 500 ล้านดอลลาร์ถูกดูดออกจากการโจมตี Drift และ Kelp ในเวลาเพียงกว่าสองสัปดาห์
Kelp ถูกเจาะอย่างไร
โดยพื้นฐานแล้ว การโจมตี Kelp ไม่ได้เกี่ยวข้องกับการทำลายการเข้ารหัสหรือการถอดรหัสคีย์ ระบบทำงานตามที่ออกแบบไว้จริงๆ แต่ผู้โจมตีจัดการข้อมูลที่ป้อนเข้าสู่ระบบและบังคับให้ระบบต้องพึ่งพาข้อมูลที่ถูกทำให้เสียหายเหล่านั้น ทำให้ระบบอนุมัติธุรกรรมที่ไม่เคยเกิดขึ้นจริง
"ความล้มเหลวด้านความปลอดภัยนั้นง่ายดาย ความเท็จที่มีลายเซ็นก็ยังคงเป็นความเท็จ" Urbelis กล่าว "ลายเซ็นรับประกันผู้เขียน แต่ไม่ได้รับประกันความจริง"
กล่าวอย่างง่ายๆ ระบบตรวจสอบว่าใครส่งข้อความ ไม่ใช่ว่าข้อความนั้นถูกต้องหรือไม่ สำหรับผู้เชี่ยวชาญด้านความปลอดภัย สิ่งนี้ทำให้เรื่องนี้เกี่ยวกับการแฮ็กใหม่ที่ชาญฉลาดน้อยลง และเกี่ยวกับการใช้ประโยชน์จากวิธีการตั้งค่าระบบมากขึ้น
"การโจมตีนี้ไม่ได้เกี่ยวกับการทำลายการเข้ารหัส" David Schwed ผู้อำนวยการฝ่ายปฏิบัติการของบริษัทรักษาความปลอดภัยบล็อกเชน SVRN กล่าว "มันเกี่ยวกับการใช้ประโยชน์จากวิธีการตั้งค่าระบบ"
ปัญหาสำคัญประการหนึ่งคือการเลือกการกำหนดค่า Kelp พึ่งพาตัวตรวจสอบเพียงตัวเดียว ซึ่งโดยพื้นฐานแล้วคือตัวตรวจสอบหนึ่งตัว เพื่ออนุมัติข้อความข้าม chain นั่นเป็นเพราะมันเร็วและง่ายกว่าในการตั้งค่า แต่มันขจัดชั้นความปลอดภัยที่สำคัญออกไป
LayerZero ได้แนะนำให้ใช้ตัวตรวจสอบอิสระหลายตัวเพื่ออนุมัติธุรกรรมหลังเหตุการณ์ คล้ายกับการต้องการลายเซ็นหลายรายการในการโอนเงินธนาคาร บางคนในระบบนิเวศได้ต่อต้านกรอบแนวคิดนั้น โดยกล่าวว่าการตั้งค่าเริ่มต้นของ LayerZero คือการมีตัวตรวจสอบเพียงตัวเดียว
"ถ้าคุณระบุว่าการกำหนดค่านั้นไม่ปลอดภัย อย่าส่งมอบมันเป็นตัวเลือก" Schwed กล่าว "ความปลอดภัยที่ขึ้นอยู่กับการที่ทุกคนอ่านเอกสารและทำให้ถูกต้องนั้นไม่สมจริง"
ผลกระทบไม่ได้จำกัดอยู่แค่ Kelp เช่นเดียวกับระบบ DeFi หลายระบบ สินทรัพย์ของมันถูกใช้งานในหลายแพลตฟอร์ม หมายความว่าปัญหาสามารถแพร่กระจายได้
"สินทรัพย์เหล่านี้คือห่วงโซ่ของตั๋วสัญญาใช้เงิน" Schwed กล่าว "และห่วงโซ่นั้นแข็งแกร่งเพียงเท่าการควบคุมในแต่ละข้อเชื่อมโยงเท่านั้น"
เมื่อข้อเชื่อมโยงหนึ่งแตก ข้อเชื่อมโยงอื่นๆ จะได้รับผลกระทบ ในกรณีนี้ แพลตฟอร์มให้กู้เช่น Aave ที่ยอมรับสินทรัพย์ที่ได้รับผลกระทบเป็นหลักประกันกำลังเผชิญกับความสูญเสีย เปลี่ยนการโจมตีครั้งเดียวให้เป็นเหตุการณ์ความเครียดที่กว้างขึ้น
การตลาดแบบกระจายอำนาจ
การโจมตียังเปิดเผยช่องว่างระหว่างวิธีที่การกระจายอำนาจถูกทำการตลาดและวิธีที่มันทำงานจริง
"ตัวตรวจสอบเดียวไม่ใช่แบบกระจายอำนาจ" Schwed กล่าว "มันคือตัวตรวจสอบแบบกระจายอำนาจที่รวมศูนย์"
Urbelis กล่าวอย่างกว้างขึ้น
"การกระจายอำนาจไม่ใช่คุณสมบัติที่ระบบมี มันคือชุดของทางเลือก" เขากล่าว "และสแต็กนั้นแข็งแกร่งเพียงเท่าชั้นที่รวมศูนย์ที่สุดของมันเท่านั้น"
ในทางปฏิบัติ นั่นหมายความว่าแม้แต่ระบบที่ดูเหมือนจะกระจายอำนาจก็สามารถมีจุดอ่อนได้ โดยเฉพาะในชั้นที่มองเห็นได้น้อยกว่าเช่นผู้ให้บริการข้อมูลหรือโครงสร้างพื้นฐาน สิ่งเหล่านี้เป็นที่ที่ผู้โจมตีกำลังมุ่งเน้นมากขึ้น
การเปลี่ยนแปลงนั้นอาจอธิบายการกำหนดเป้าหมายล่าสุดของ Lazarus
กลุ่มได้เริ่มมุ่งเป้าไปที่โครงสร้างพื้นฐาน cross-chain และ restaking Urbelis กล่าว ส่วนของคริปโตที่ย้ายสินทรัพย์ระหว่างระบบหรืออนุญาตให้สามารถนำกลับมาใช้ใหม่ได้
ชั้นเหล่านี้มีความสำคัญแต่ซับซ้อน มักจะอยู่ใต้แอปพลิเคชันที่มองเห็นได้ชัดเจนกว่า พวกเขายังมีแนวโน้มที่จะถือมูลค่าจำนวนมาก ทำให้เป็นเป้าหมายที่น่าสนใจ
หากคลื่นแรกของการแฮ็กคริปโตมุ่งเน้นไปที่แลกเปลี่ยนหรือข้อบกพร่องของโค้ดที่ชัดเจน กิจกรรมล่าสุดบ่งบอกถึงการเคลื่อนไหวไปสู่สิ่งที่อาจเรียกได้ว่าระบบท่ออุตสาหกรรม ระบบที่เชื่อมต่อทุกอย่างเข้าด้วยกัน แต่ยากต่อการตรวจสอบและง่ายต่อการกำหนดค่าผิด
ขณะที่ Lazarus ยังคงปรับตัว ความเสี่ยงที่ใหญ่ที่สุดอาจไม่ใช่ช่องโหว่ที่ไม่รู้จัก แต่เป็นช่องโหว่ที่รู้จักซึ่งไม่ได้รับการแก้ไขอย่างเต็มที่
การโจมตี Kelp ไม่ได้แนะนำจุดอ่อนประเภทใหม่ มันแสดงให้เห็นว่าระบบนิเวศยังคงเปิดเผยต่อจุดอ่อนที่คุ้นเคยเพียงใด โดยเฉพาะเมื่อความปลอดภัยถูกปฏิบัติเป็นคำแนะนำมากกว่าข้อกำหนด
และขณะที่ผู้โจมตีเคลื่อนไหวเร็วขึ้น ช่องว่างนั้นกำลังกลายเป็นทั้งง่ายต่อการใช้ประโยชน์และแพงมากขึ้นที่จะเพิกเฉย
อ่านเพิ่มเติม: แฮกเกอร์เกาหลีเหนือกำลังดำเนินการปล้นขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐเพื่อดำเนินเศรษฐกิจและโครงการนิวเคลียร์
แหล่งที่มา: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
