Drift Protocol (DRIFT) ได้เผยแพร่รายงานเหตุการณ์โดยละเอียดเมื่อวันที่ 5 เมษายน ซึ่งเปิดเผยว่าเหตุการณ์โจรกรรมที่มูลค่า 285 ล้าน USD ในวันที่ 1 เมษายน มีสาเหตุมาจากปฏิบัติการข่าวกรองที่ดำเนินยาวนานถึงหกเดือน โดยได้รับการสนับสนุนจากรัฐเกาหลีเหนือ
การเปิดเผยข้อมูลนี้อธิบายถึงระดับของ social engineering ที่ล้ำลึกยิ่งกว่าการฟิชชิ่งหรือกลโกงจากผู้รับสมัครงานทั่วไป เพราะเกี่ยวข้องกับการพบปะกันจริง การใช้เงินทุนจริง และการสร้างความไว้วางใจนานหลายเดือน
บริษัทเทรดปลอมวางแผนระยะยาว
ตามข้อมูลจาก Drift กลุ่มที่แอบอ้างว่าเป็นบริษัทซื้อขายเชิงปริมาณได้เข้าหาผู้มีส่วนร่วมที่งานประชุมคริปโตสำคัญแห่งหนึ่งในช่วงฤดูใบไม้ร่วงปี 2025
ในช่วงหลายเดือนถัดมา บุคคลเหล่านี้ปรากฏตัวในกิจกรรมหลากหลายที่จัดในหลายประเทศ เข้าร่วมการประชุมเชิงปฏิบัติการ และยังได้พูดคุยผ่าน Telegram อย่างต่อเนื่อง เกี่ยวกับการรวมระบบ vault
ติดตามเราได้ที่ X เพื่อรับข่าวสารล่าสุดแบบเรียลไทม์
ระหว่างเดือนธันวาคม 2025 ถึงมกราคม 2026 กลุ่มดังกล่าวได้เพิ่ม Ecosystem Vault บน Drift ฝากเงินทุนมากกว่า 1 ล้าน USD และยังมีส่วนร่วมในการอภิปรายผลิตภัณฑ์อย่างละเอียด
จนถึงเดือนมีนาคม ผู้มีส่วนร่วมของ Drift ต่างก็ได้พบกับบุคคลเหล่านี้ต่อหน้าหลายครั้ง
…แฮกเกอร์ที่อันตรายที่สุดนั้นไม่ได้มีลักษณะเหมือนแฮกเกอร์เลย นักพัฒนาคริปโต Gautham แสดงความคิดเห็นไว้
แม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บต่างก็รู้สึกกังวล โดยนักวิจัย Tay แชร์ว่าตัวเธอคาดไว้ก่อนว่าจะเป็นเพียงกลโกงแบบผู้รับสมัครงานทั่วไป แต่ท้ายที่สุดกลับพบว่าการดำเนินการครั้งนี้น่าตกใจกว่ามาก
อุปกรณ์ถูกเจาะระบบได้อย่างไร
Drift ได้ระบุช่องทางการโจมตีที่เป็นไปได้ 3 ช่องทางดังนี้
- หนึ่งในผู้ร่วมงานได้โคลน repository โค้ดที่กลุ่มดังกล่าวแชร์มาเพื่อสร้าง vault frontend
- อีกคนหนึ่งดาวน์โหลดแอปพลิเคชัน TestFlight ที่ถูกนำเสนอให้เป็นผลิตภัณฑ์กระเป๋าเงิน
- สำหรับช่องทางผ่าน repository, Drift ชี้ว่ามีช่องโหว่ VSCode และ Cursor ที่นักวิจัยด้านความปลอดภัยเตือนมาตั้งแต่ปลายปี 2025
ช่องโหว่นี้เปิดโอกาสให้มีการรันโค้ดอันตรายได้ทันทีเมื่อเปิดไฟล์หรือโฟลเดอร์ในตัวแก้ไข โดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย
หลังเหตุการณ์ การสูญเสียในวันที่ 1 เมษายน แฮกเกอร์ต่างก็ลบการสนทนาใน Telegram และซอฟต์แวร์อันตรายทั้งหมดออก Drift จึงได้ระงับฟังก์ชันของโปรโตคอลที่เหลือไว้ และนำกระเป๋าเงินที่ถูกเจาะออกจาก multisig
ทีม SEALS 911 ประเมินด้วยความมั่นใจในระดับปานกลางถึงสูงว่า กลุ่มผู้โจมตีเดียวกันเป็นผู้ก่อเหตุแฮกระบบ Radiant Capital ในเดือนตุลาคม 2024 ซึ่ง Mandiant ได้ระบุว่าเป็นฝีมือของ UNC4736
การเคลื่อนไหวของเงินบนเครือข่ายและความเชื่อมโยงด้านการดำเนินงานระหว่างทั้งสองแคมเปญสนับสนุนความเชื่อมโยงนี้
อุตสาหกรรมเรียกร้องรีเซ็ตความปลอดภัย
Armani Ferrante นักพัฒนา Solana ที่มีชื่อเสียงเรียกร้องให้แต่ละทีมในวงการคริปโตหยุดความพยายามในการเติบโตและตรวจสอบระบบความปลอดภัยของตนเองอย่างละเอียด
ทุกทีมในวงการคริปโตควรใช้โอกาสนี้ในการชะลอความเร็วและมุ่งเน้นเรื่องความปลอดภัย หากเป็นไปได้ควรมอบหมายทีมเฉพาะทาง… คุณจะเติบโตต่อไปไม่ได้ถ้าถูกแฮก Ferrante กล่าว
Drift ระบุว่าบุคคลที่ปรากฏตัวด้วยตนเองนั้นไม่ใช่คนสัญชาติเกาหลีเหนือ โดยภัยคุกคามจาก DPRK ในระดับนี้ขึ้นชื่อว่ามักจะส่งตัวแทนบุคคลที่สามมาทำธุรกรรมหรือติดต่อแบบเผชิญหน้า
Mandiant ซึ่งได้รับการว่าจ้างจาก Drift เพื่อวิเคราะห์นิติวิทยาศาสตร์ของอุปกรณ์ยังไม่ได้ระบุผู้อยู่เบื้องหลังการโจมตีครั้งนี้อย่างเป็นทางการ
การเปิดเผยนี้เป็นสัญญาณเตือนให้กับวงการกว้าง Drift ได้กระตุ้นให้หลายทีมตรวจสอบระบบการเข้าถึง ทบทวนว่าอุปกรณ์ทุกชิ้นที่เกี่ยวข้องกับ multisig ควรถูกมองว่าเป็นเป้าหมายที่อาจถูกโจมตี และหากสงสัยว่าถูกโจมตีในรูปแบบเดียวกันควรติดต่อ SEAL 911 ทันที
