กลุ่มจากเกาหลีเหนือกล่าวโทษว่า การแฮ็กข้อมูลมูลค่า 285 ล้านดอลลาร์ของ Drift Protocol นั้นใช้เวลาเตรียมการถึงหกเดือน
การแฮ็ก Drift Protocol มูลค่า 285 ล้านดอลลาร์ในเดือนเมษายน 2026 เป็นปฏิบัติการวิศวกรรมสังคมของเกาหลีเหนือที่กินเวลานานหกเดือน นี่คือรายละเอียดว่าเหตุการณ์นี้เกิดขึ้นอย่างไรและมีความหมายอย่างไรต่อความปลอดภัยของ DeFi
Soumen Datta
April 6, 2026
(โฆษณา)
สารบัญ
วันที่ 1 เมษายน พ.ศ. 2026 เอาเปรียบ of โซลานาการโจมตี Drift Protocol ซึ่งทำให้แพลตฟอร์มสูญเสียเงินไปประมาณ 285 ล้านดอลลาร์นั้น ไม่ใช่การโจมตีที่เกิดขึ้นโดยฉับพลัน จากการตรวจสอบเบื้องต้นของ Drift การสอบสวนนั่นเป็นผลมาจากการปฏิบัติการข่าวกรองที่มีโครงสร้าง ซึ่งเริ่มต้นอย่างน้อยหกเดือนก่อนหน้านี้ โดยมีความน่าเชื่อถือระดับปานกลางถึงสูงว่าเป็นฝีมือของกลุ่ม UNC4736 ซึ่งเป็นกลุ่มคุกคามที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือ และถูกติดตามในชื่อ AppleJeus หรือ Citrine Sleet ด้วยเช่นกัน
การแฮ็ก Drift Protocol เริ่มต้นขึ้นได้อย่างไร?
จากข้อมูลของทีมงาน Drift Protocol การปฏิบัติการดังกล่าวเริ่มต้นขึ้นในงานประชุมคริปโตเคอร์เรนซีครั้งใหญ่ในฤดูใบไม้ร่วงปี 2025 โดยบุคคลที่แอบอ้างว่าเป็นบริษัทด้านการซื้อขายเชิงปริมาณได้เข้าหาผู้ร่วมพัฒนา Drift สิ่งที่ตามมาไม่ใช่การพยายามหลอกลวงแบบฉับพลัน แต่เป็นการสร้างความสัมพันธ์อย่างตั้งใจและยาวนานหลายเดือน โดยดำเนินการผ่านการพบปะแบบตัวต่อตัวหลายครั้งในงานประชุมอุตสาหกรรมหลายแห่งในหลายประเทศ
กลุ่มดังกล่าวมีความเชี่ยวชาญด้านเทคนิค มีประวัติการทำงานที่ตรวจสอบได้ และแสดงให้เห็นถึงความคุ้นเคยอย่างละเอียดกับวิธีการทำงานของ Drift มีการตั้งกลุ่ม Telegram ขึ้นหลังจากการประชุมครั้งแรก และมีการสนทนาอย่างเป็นสาระสำคัญเกี่ยวกับกลยุทธ์การซื้อขายและการบูรณาการระบบจัดเก็บข้อมูลเป็นเวลาหลายเดือน ทีมงานของ Drift สังเกตว่าการปฏิสัมพันธ์เหล่านี้สอดคล้องกับวิธีการที่บริษัทซื้อขายที่ถูกต้องตามกฎหมายมักใช้กับโปรโตคอลนี้โดยสิ้นเชิง
ระหว่างเดือนธันวาคม 2025 ถึงมกราคม 2026 กลุ่มดังกล่าวได้นำระบบ Ecosystem Vault เข้าสู่ Drift กระบวนการนี้เกี่ยวข้องกับการส่งรายละเอียดกลยุทธ์ผ่านแบบฟอร์มการรับสมัครอย่างเป็นทางการ การเข้าร่วมการประชุมเชิงปฏิบัติการหลายครั้งกับผู้มีส่วนร่วมใน Drift และการฝากเงินทุนของตนเองกว่า 1 ล้านดอลลาร์ พวกเขาสร้างระบบปฏิบัติการที่ใช้งานได้จริงภายในโปรโตคอลอย่างรอบคอบและอดทน
ช่วงเวลาสุดท้ายก่อนการโจมตี
การพูดคุยเพื่อผนวกรวมกิจการยังคงดำเนินต่อไปตลอดเดือนกุมภาพันธ์และมีนาคม 2026 ผู้ร่วมงานของ Drift ได้พบปะกับบุคคลจากกลุ่มดังกล่าวอีกครั้งแบบตัวต่อตัวในงานอีเวนต์สำคัญๆ ของอุตสาหกรรม เมื่อถึงเดือนเมษายน ความสัมพันธ์ดังกล่าวก็ดำเนินมาเกือบหกเดือนแล้ว พวกเขาไม่ใช่คนแปลกหน้า พวกเขาคือคนที่ทีม Drift เคยร่วมงานและพบปะแบบตัวต่อตัวมาแล้วหลายครั้ง
ตลอดช่วงเวลานั้น กลุ่มดังกล่าวได้แบ่งปันลิงก์ไปยังโครงการ เครื่องมือ และแอปพลิเคชันต่างๆ ที่พวกเขาอ้างว่ากำลังพัฒนาอยู่ การแบ่งปันทรัพยากรดังกล่าวเป็นแนวปฏิบัติมาตรฐานในความสัมพันธ์ระหว่างบริษัทการค้า ซึ่งเป็นสิ่งที่ทำให้กลไกการส่งมอบนี้มีประสิทธิภาพ
ช่องทางการโจมตีทางเทคนิคมีอะไรบ้าง?
หลังจากการโจมตีเมื่อวันที่ 1 เมษายน Drift ได้ทำการตรวจสอบทางนิติวิทยาศาสตร์ของอุปกรณ์ บัญชี และประวัติการสื่อสารที่ได้รับผลกระทบ แชท Telegram และซอฟต์แวร์ที่เป็นอันตรายที่กลุ่มดังกล่าวใช้ถูกลบออกไปอย่างสมบูรณ์ทันทีที่เกิดการโจมตี การตรวจสอบของ Drift ระบุช่องทางการบุกรุกที่เป็นไปได้สามช่องทาง:
- ผู้ร่วมให้ข้อมูลรายหนึ่งอาจได้รับผลกระทบหลังจากคัดลอกโค้ดจากคลังเก็บโค้ดที่กลุ่มแชร์ ซึ่งนำเสนอในรูปแบบเครื่องมือสำหรับการใช้งานส่วนหน้าของคลังเก็บข้อมูลของพวกเขา
- ผู้ร่วมพัฒนารายที่สองถูกชักชวนให้ดาวน์โหลดแอปพลิเคชัน TestFlight ซึ่งกลุ่มดังกล่าวอธิบายว่าเป็นผลิตภัณฑ์กระเป๋าเงินดิจิทัลของพวกเขา TestFlight คือแพลตฟอร์มของ Apple สำหรับเผยแพร่แอป iOS เวอร์ชันเบต้าก่อนที่จะเปิดตัวสู่สาธารณะ
- สำหรับช่องโหว่ที่อาศัยการเข้าถึงจากคลังเก็บข้อมูล กลไกที่น่าจะเป็นไปได้คือช่องโหว่ที่รู้จักกันดีในโปรแกรมแก้ไขโค้ด VSCode และ Cursor ซึ่งนักวิจัยด้านความปลอดภัยได้ชี้ให้เห็นอย่างต่อเนื่องระหว่างเดือนธันวาคม 2025 ถึงเดือนกุมภาพันธ์ 2026 การเปิดไฟล์ โฟลเดอร์ หรือคลังเก็บข้อมูลในโปรแกรมแก้ไขที่ได้รับผลกระทบก็เพียงพอที่จะเรียกใช้โค้ดโดยไม่ได้รับอนุญาต โดยไม่มีการแจ้งเตือน คำเตือน กล่องโต้ตอบขออนุญาต หรือสิ่งบ่งชี้ใด ๆ ที่ผู้ใช้มองเห็นได้
ขณะที่เผยแพร่ข่าวนี้ การวิเคราะห์ทางนิติวิทยาศาสตร์อย่างเต็มรูปแบบของฮาร์ดแวร์ที่ได้รับผลกระทบยังคงดำเนินอยู่
การโจมตีเกิดขึ้นเร็วแค่ไหน?
แม้ว่าการเตรียมการอาจใช้เวลาหกเดือน แต่การดำเนินการนั้นรวดเร็วมาก เมื่อการควบคุมของผู้ดูแลระบบถูกยึดครอง เงินทุนของผู้ใช้จริงก็ถูกถอนออกไปภายในเวลาไม่ถึง 12 นาที มูลค่ารวมที่ถูกล็อก (TVL) ของ Drift ลดลงจากประมาณ 550 ล้านดอลลาร์เหลือต่ำกว่า 300 ล้านดอลลาร์ในเวลาไม่ถึงหนึ่งชั่วโมง โทเค็น DRIFT ร่วงลงมากกว่า 40% ในระหว่างเหตุการณ์ดังกล่าว บริษัทรักษาความปลอดภัย PeckShield ยืนยันว่าความเสียหายทั้งหมดเกิน 285 ล้านดอลลาร์ ซึ่งคิดเป็นมากกว่า 50% ของ TVL ของโปรโตคอลในขณะนั้น
ทีมงานของ Drift ได้โพสต์ข้อความบน X ในช่วงที่เกิดความวุ่นวายเพื่อชี้แจงว่าสถานการณ์เป็นเรื่องจริง โดยเขียนว่า "นี่ไม่ใช่เรื่องตลกวันเอพริลฟูลส์ โปรดใช้ความระมัดระวังจนกว่าจะมีประกาศเพิ่มเติม" การฝากและถอนเงินทั้งหมดถูกระงับชั่วคราวในระหว่างการสอบสวน
ค้นพบโครงการอันน่าตื่นเต้น...
โครงการอันน่าสัญญา...
(โฆษณา)
เงิน 285 ล้านดอลลาร์หายไปไหน?
หลังจากเจาะระบบสำเร็จ ผู้โจมตีได้ดำเนินการอย่างรวดเร็วเพื่อปกปิดร่องรอยของเงินทุน สินทรัพย์ที่ถูกขโมยถูกแปลงเป็น USDC และ SOL จากนั้นจึงโอนจาก Solana ไปยัง Ethereum โดยใช้ Cross-Chain Transfer Protocol (CCTP) ของ Circle CCTP เป็นโครงสร้างพื้นฐานการเชื่อมต่อของ Circle ที่อนุญาตให้ USDC เคลื่อนย้ายข้ามบล็อกเชนต่างๆ ได้โดยไม่ต้องทำการ wrap บน Ethereum เงินทุนถูกแปลงเป็น ETH การติดตามบนบล็อกเชนยืนยันว่าผู้โจมตีสะสม ETH ได้ทั้งหมด 129,066 ETH ซึ่งมีมูลค่าประมาณ 273 ล้านดอลลาร์ในขณะนั้น
ผู้โจมตีได้ฝาก SOL เข้าทั้งใน HyperLiquid และ Binance เพื่อกระจายกิจกรรมไปยังหลายแพลตฟอร์ม ทำให้การติดตามทำได้ยากขึ้น
ทาง Circle ตอบสนองเร็วพอหรือไม่?
ZachXBT นักสืบข้อมูลบนบล็อกเชน ได้ออกมาวิพากษ์วิจารณ์ Circle อย่างเปิดเผยหลังจากการโจมตี โดยชี้ให้เห็นว่า USDC จำนวนมากที่ถูกขโมยไปนั้นถูกโอนจาก Solana ไปยัง Ethereum ในช่วงเวลาทำการของสหรัฐฯ โดยไม่ถูกระงับ ZachXBT เปรียบเทียบเรื่องนี้กับกรณีล่าสุดของ Circle ที่ระงับกระเป๋าเงินดิจิทัลแบบออนไลน์ของบริษัท 16 แห่งที่ไม่เกี่ยวข้องกัน ในคดีแพ่งลับในสหรัฐฯ โดยโต้แย้งว่า Circle มีทั้งความสามารถทางเทคนิคและมีแบบอย่างที่ชัดเจนในการเข้าแทรกแซง แต่กลับไม่ดำเนินการอย่างรวดเร็วพอที่จะจำกัดความเสียหายได้
ใครอยู่เบื้องหลังการโจมตีครั้งนี้?
ด้วยความมั่นใจในระดับปานกลางถึงสูง และได้รับการสนับสนุนจากการสืบสวนที่ดำเนินการโดยทีม SEALS 911 การสอบสวนของ Drift ระบุว่าปฏิบัติการนี้เป็นฝีมือของกลุ่มผู้ก่อภัยคุกคามกลุ่มเดียวกันกับที่ก่อเหตุแฮ็ก Radiant Capital ในเดือนตุลาคม 2024 ซึ่ง Mandiant ได้ระบุอย่างเป็นทางการว่าการโจมตีครั้งนั้นเป็นฝีมือของ UNC4736 กลุ่มที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือ
พื้นฐานของการเชื่อมโยงนี้มีทั้งในด้านข้อมูลบนบล็อกเชนและด้านการปฏิบัติงาน กระแสเงินทุนที่ใช้ในการเตรียมการและทดสอบปฏิบัติการ Drift สามารถตรวจสอบย้อนกลับไปยังกระเป๋าเงินที่เชื่อมโยงกับผู้โจมตี Radiant ได้ นอกจากนี้ ตัวตนที่ถูกใช้ในแคมเปญ Drift ยังมีความทับซ้อนที่สามารถระบุได้กับรูปแบบกิจกรรมที่เชื่อมโยงกับเกาหลีเหนือที่รู้จักกันดี
ข้อชี้แจงสำคัญประการหนึ่งจากทีมของดริฟท์คือ บุคคลที่ปรากฏตัวในงานประชุมนั้นไม่ใช่พลเมืองเกาหลีเหนือ ในระดับปฏิบัติการเช่นนี้ กลุ่มผู้ก่อการร้ายที่เชื่อมโยงกับเกาหลีเหนือมักใช้ตัวกลางจากภายนอกในการสร้างความสัมพันธ์แบบพบปะโดยตรง โดยให้ผู้ปฏิบัติการตัวจริงอยู่ห่างออกไป
บริษัท Mandiant ได้รับมอบหมายให้ทำการสืบสวนอย่างเป็นทางการแล้ว แต่ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการว่าใครเป็นผู้ก่อเหตุโจมตีระบบ Drift การระบุตัวตนนั้นต้องอาศัยการตรวจสอบทางนิติวิทยาศาสตร์ของอุปกรณ์ให้เสร็จสมบูรณ์ ซึ่งยังคงดำเนินการอยู่
มาตรการตอบสนองในปัจจุบัน
ณ เวลาที่เผยแพร่บทความนี้ Drift ได้ดำเนินการดังต่อไปนี้:
- ฟังก์ชันโปรโตคอลที่เหลือทั้งหมดถูกระงับแล้ว
- กระเป๋าเงินดิจิทัลที่ถูกบุกรุกได้ถูกลบออกจากระบบมัลติซิกแล้ว
- กระเป๋าเงินของผู้โจมตีถูกตรวจพบในหลายแพลตฟอร์มการแลกเปลี่ยนและผู้ให้บริการเชื่อมต่อ
- บริษัท Mandiant ได้รับการแต่งตั้งให้เป็นพันธมิตรหลักด้านนิติวิทยาศาสตร์
Drift ระบุว่า การเปิดเผยรายละเอียดเหล่านี้ต่อสาธารณะก็เพื่อให้ทีมอื่นๆ ในระบบนิเวศเข้าใจว่าการโจมตีประเภทนี้มีลักษณะอย่างไร และสามารถดำเนินการป้องกันตนเองได้อย่างเหมาะสม
สรุป
การแฮ็ก Drift Protocol ไม่ใช่เรื่องราวของช่องโหว่ในโค้ดที่หลุดรอดการตรวจสอบไป แต่เป็นเรื่องราวของการหลอกลวงอย่างต่อเนื่องโดยมนุษย์ ผู้โจมตีใช้เวลาหกเดือนในการสร้างความน่าเชื่อถือผ่านการพบปะแบบตัวต่อตัว การบูรณาการระบบตู้นิรภัยที่ใช้งานได้ และเงินทุนของตนเองกว่า 1 ล้านดอลลาร์ ก่อนที่จะทำการขโมยเงินจำนวน 285 ล้านดอลลาร์ภายในเวลา 12 นาที
ช่องทางทางเทคนิค ได้แก่ คลังเก็บโค้ดที่เป็นอันตรายและแอป TestFlight ปลอม ได้ผลอย่างมีประสิทธิภาพก็เพราะความไว้วางใจที่จำเป็นในการเปิดใช้งานช่องทางเหล่านั้นได้ถูกสร้างขึ้นอย่างรอบคอบแล้ว
สำหรับโปรโตคอล DeFi บทเรียนที่ได้นั้นชัดเจน: พื้นที่เสี่ยงต่อการโจมตีไม่ได้จำกัดอยู่แค่สัญญาอัจฉริยะเท่านั้น แต่ยังรวมถึงอุปกรณ์ของผู้ร่วมให้ข้อมูลทุกราย ที่เก็บข้อมูลของบุคคลที่สามทุกแห่ง และความสัมพันธ์ทุกอย่างที่สร้างขึ้นในงานประชุมอุตสาหกรรม UNC4736 ได้พิสูจน์เรื่องนี้มาแล้วสองครั้ง ครั้งแรกที่ Radiant Capital ในเดือนตุลาคม 2024 และอีกครั้งที่ Drift ในเดือนเมษายน 2026 ด้วยแนวทางที่อดทนและได้รับการสนับสนุนจากทรัพยากรอย่างดีเยี่ยมในแต่ละครั้ง
แหล่งข้อมูล
โปรโตคอลการดริฟท์บน Xโพสต์เมื่อวันที่ 5 มีนาคม
PeckShield บน X: โพสต์ (1-2 เมษายน)
Lookonchain บน X: โพสต์ (1-2 เมษายน)
คำถามที่พบบ่อย
การแฮ็ก Drift Protocol เกิดขึ้นได้อย่างไร?
การโจมตี Drift เมื่อวันที่ 1 เมษายน 2026 เป็นผลมาจากการปฏิบัติการทางวิศวกรรมสังคมที่กินเวลานานหกเดือน ผู้โจมตีปลอมตัวเป็นบริษัทซื้อขายหลักทรัพย์เชิงปริมาณ สร้างความสัมพันธ์กับผู้ร่วมงานของ Drift ผ่านการพบปะพูดคุยหลายครั้งในงานประชุมอุตสาหกรรม ฝากเงินกว่า 1 ล้านดอลลาร์เพื่อสร้างความน่าเชื่อถือ และในที่สุดก็เจาะระบบอุปกรณ์ของผู้ร่วมงานผ่านคลังเก็บโค้ดที่เป็นอันตรายและแอป TestFlight ปลอม เมื่อเข้าไปได้แล้ว พวกเขาก็สามารถถอนเงิน 285 ล้านดอลลาร์ได้ภายในเวลาไม่ถึง 12 นาที
ใครเป็นผู้รับผิดชอบการแฮ็ก Drift Protocol?
จากการตรวจสอบของ Drift พบว่ากลุ่ม UNC4736 ซึ่งเป็นกลุ่มคุกคามที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือ และถูกติดตามในชื่อ AppleJeus หรือ Citrine Sleet เป็นกลุ่มเดียวกันกับที่ Mandiant ระบุว่าเป็นผู้ก่อเหตุแฮ็ก Radiant Capital ในเดือนตุลาคม 2024 การไหลเวียนของเงินทุนบนบล็อกเชนเชื่อมโยงการปฏิบัติการทั้งสอง และยุทธวิธีในการปฏิบัติการตรงกับรูปแบบกิจกรรมที่เชื่อมโยงกับเกาหลีเหนือที่รู้จักกันดี Mandiant ยังไม่ได้ระบุตัวผู้ก่อเหตุอย่างเป็นทางการสำหรับ Drift เนื่องจากยังอยู่ระหว่างการตรวจสอบทางนิติวิทยาศาสตร์ของอุปกรณ์
เงินที่ถูกขโมยไปจาก Drift Protocol หายไปไหนหมด?
หลังจากเจาะระบบสำเร็จ ผู้โจมตีได้แปลงสินทรัพย์ที่ขโมยมาเป็น USDC และ SOL จากนั้นโอนย้ายจาก Solana ไปยัง Ethereum โดยใช้โครงสร้างพื้นฐาน CCTP ของ Circle บน Ethereum เงินถูกแปลงเป็น ETH ในที่สุดผู้โจมตีได้สะสม ETH จำนวน 129,066 ETH ซึ่งมีมูลค่าประมาณ 273 ล้านดอลลาร์ในขณะนั้น นอกจากนี้ยังมีการฝาก SOL เพิ่มเติมลงใน HyperLiquid และ Binance เพื่อทำให้การติดตามทำได้ยากขึ้น
ข้อจำกัดความรับผิดชอบ
คำเตือน: มุมมองที่แสดงในบทความนี้ไม่จำเป็นต้องแสดงถึงมุมมองของ BSCN ข้อมูลในบทความนี้มีไว้เพื่อวัตถุประสงค์ด้านการศึกษาและความบันเทิงเท่านั้น และไม่ควรตีความว่าเป็นคำแนะนำด้านการลงทุนหรือคำแนะนำใดๆ BSCN จะไม่รับผิดชอบต่อการตัดสินใจลงทุนใดๆ ที่เกิดขึ้นจากข้อมูลในบทความนี้ หากคุณเชื่อว่าควรแก้ไขบทความนี้ โปรดติดต่อทีมงาน BSCN โดยส่งอีเมลไปที่ [ป้องกันอีเมล].
ผู้เขียน
Soumen Dattaโซเมนเป็นนักวิจัยด้านคริปโตตั้งแต่ปี 2020 และสำเร็จการศึกษาระดับปริญญาโทสาขาฟิสิกส์ ผลงานเขียนและงานวิจัยของเขาได้รับการตีพิมพ์ในสื่อสิ่งพิมพ์ต่างๆ เช่น CryptoSlate และ DailyCoin รวมถึง BSCN หัวข้อที่เขาสนใจ ได้แก่ Bitcoin, DeFi และ altcoin ที่มีศักยภาพสูง เช่น Ethereum, Solana, XRP และ Chainlink เขาผสมผสานการวิเคราะห์เชิงลึกเข้ากับความชัดเจนเชิงข่าว เพื่อนำเสนอข้อมูลเชิงลึกสำหรับทั้งผู้อ่านมือใหม่และผู้อ่านคริปโตที่มีประสบการณ์
(โฆษณา)
ข่าวล่าสุด
2ชม. : 22นาทีที่แล้ว
Supra เตรียมเปิดตัว SupraOS พร้อมระบบควบคุมเอเจนต์ AI แบบโฮสต์เอง
3ชม. : 52นาทีที่แล้ว
ราคาโทเค็น RAVE ร่วงลงอย่างหนัก หลัง Binance และ Bitget เริ่มตรวจสอบการปั่นราคาอย่างเปิดเผย
6ชม. : 37นาทีที่แล้ว
ช่องโหว่ด้านความปลอดภัยของ KelpDAO ถูกโจมตีและสร้างรายได้ 292 ล้านดอลลาร์สหรัฐ โดยกลุ่ม Lazarus Group มีส่วนเกี่ยวข้องกับการโจมตีครั้งนี้
April 17, 2026
การเทขายของนักขุดทำให้ปริมาณสำรอง Bitcoin ลดลงอย่างรวดเร็ว
April 17, 2026
เจพีมอร์แกนกล่าวว่ากฎหมาย CLARITY Act ใกล้ความเป็นจริงมากกว่าที่เราคิด
April 17, 2026
Sky เปิดตัว USDS และ sUSDS บนแพลตฟอร์ม Avalanche แล้ว
April 17, 2026
สิ่งที่จะโด่งดังในวงการคริปโตเคอร์เรนซีในอนาคต: อะไรบ้างที่อาจจะเติบโตอย่างรวดเร็วในอีกไม่กี่ปีข้างหน้า
April 16, 2026
บริษัท Circle ถูกฟ้องร้องกรณีแฮ็กข้อมูล Drift: ปล่อยให้เงิน 280 ล้านดอลลาร์ไหลออกไปใช่หรือไม่?
(โฆษณา)
ข่าว Crypto ล่าสุด
รับข้อมูลอัปเดตเกี่ยวกับข่าวสารและกิจกรรมด้านคริปโตล่าสุด
