คุณอาจรู้จักลูกค้ามูลค่าสูงที่คุณพบในการประชุม พวกเขาอาจเป็น "ทหารรับจ้าง" ของแฮ็กเกอร์เกาหลีเหนือ

ผู้เขียนต้นฉบับ: Nicky, Foresight News

เมื่อเร็วๆ นี้ Drift Protocol ได้เผยแพร่ผลการสืบสวนล่าสุดเกี่ยวกับเหตุการณ์ถูกโจมตี โดยชี้ให้เห็นว่าการดำเนินการครั้งนี้ดำเนินการโดยผู้คุกคามรายเดียวกันกับเหตุการณ์แฮ็ก Radiant Capital ในเดือนตุลาคม 2024 โดยมีกระแสเงินทุนบนเชนและวิธีการดำเนินการที่สอดคล้องกันอย่างมาก บริษัทความปลอดภัย Mandiant เคยระบุว่าการโจมตี Radiant Capital มาจาก UNC4736 ซึ่งเป็นองค์กรที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ

หลังจากเกิดเหตุการณ์โจมตี Drift แฮ็กเกอร์สะสมถือ ETH จำนวน 130,293 เหรียญ มูลค่าประมาณ 266 ล้านดอลลาร์ เหตุการณ์นี้ส่งผลกระทบต่อโปรโตคอลมากถึง 20 แห่ง รวมถึง Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0 เป็นต้น โดย Prime Numbers Fi ประเมินความเสียหายกว่า 10 ล้านดอลลาร์, Gauntlet ประมาณ 6.4 ล้านดอลลาร์, Neutral Trade ประมาณ 3.67 ล้านดอลลาร์, Elemental DeFi ประมาณ 2.9 ล้านดอลลาร์ โดย Elemental ระบุว่าหวังว่าจะได้รับการชดเชยบางส่วนจาก Drift

Drift ระบุในแถลงการณ์ว่า การโจมตีครั้งนี้เป็นการวางแผนอย่างประณีตที่ดำเนินมาหกเดือน ในฤดูใบไม้ร่วงปี 2025 กลุ่มบุคคลที่อ้างตัวว่าเป็นบริษัทเทรดเชิงปริมาณได้เข้าหาผู้มีส่วนร่วมของ Drift ในงานประชุมคริปโตขนาดใหญ่หนึ่ง ผู้เขียนสรุปตามช่วงเวลา งานประชุมคริปโตขนาดใหญ่ในช่วงเวลาดังกล่าว ได้แก่ Korea Blockchain Week 2025 (22-28 กันยายน 2025 จัดที่โซล), TOKEN2049 Singapore (1-2 ตุลาคม จัดที่สิงคโปร์), Binance Blockchain Week Dubai 2025 (30-31 ตุลาคม จัดที่ดูไบ), Solana Breakpoint Dubai (20-21 พฤศจิกายน จัดที่ดูไบ) เป็นต้น

Drift ระบุอย่างเป็นทางการว่า พวกเขามีทักษะสูง มีประวัติอาชีพที่สามารถยืนยันได้ และมีความคุ้นเคยกับวิธีการทำงานของ Drift เป็นอย่างดี ทั้งสองฝ่ายได้สร้างกลุ่ม Telegram และมีการสนทนาอย่างเป็นรูปธรรมเกี่ยวกับกลยุทธ์การเทรดและการบูรณาการคลังเงินในช่วงหลายเดือนต่อมา

ตั้งแต่เดือนธันวาคม 2025 ถึงมกราคม 2026 กลุ่มคนเหล่านี้ได้เข้าร่วมคลังเงินระบบนิเวศอย่างเป็นทางการบน Drift กรอกแบบฟอร์มรายละเอียดกลยุทธ์ตามข้อกำหนด พวกเขาได้หารืองานหลายครั้งกับผู้มีส่วนร่วมหลายคน ยื่นคำถามผลิตภัณฑ์อย่างละเอียด และฝากเงินทุนส่วนตัวมากกว่า 1 ล้านดอลลาร์ ผ่านการดำเนินการอย่างอดทนและเป็นระเบียบ พวกเขาสร้างการมีอยู่ทางธุรกิจที่ทำงานได้อย่างสมบูรณ์ภายในระบบนิเวศของ Drift

การอภิปรายบูรณาการดำเนินต่อไปจนถึงเดือนมีนาคมปีนี้ ผู้มีส่วนร่วมหลายคนของ Drift ได้พบปะกับบุคคลเหล่านี้แบบตัวต่อตัวอีกครั้งในงานประชุมระหว่างประเทศหลายแห่ง ณ จุดนี้ ทั้งสองฝ่ายมีความสัมพันธ์การทำงานร่วมกันเกือบหกเดือนแล้ว อีกฝ่ายไม่ใช่คนแปลกหน้าอีกต่อไป แต่เป็นพันธมิตรที่เคยทำงานร่วมกันมา ในช่วงนั้น อีกฝ่ายได้แบ่งปันลิงก์ของโครงการ เครื่องมือ และแอปพลิเคชันที่พวกเขาอ้างว่ากำลังสร้าง ซึ่งเป็นแนวทางปฏิบัติปกติในหมู่บริษัทเทรด

หลังเกิดการโจมตีในวันที่ 2 เมษายน นักสืบสวนได้ตรวจพิสูจน์หลักฐานอุปกรณ์ที่ได้รับผลกระทบที่ทราบ บัญชี และบันทึกการสื่อสารอย่างครอบคลุม การโต้ตอบกับทีมเทรดดังกล่าวกลายเป็นเส้นทางรุกรานที่เป็นไปได้มากที่สุด ในขณะที่เกิดการโจมตี บันทึกแชท Telegram และมัลแวร์ของอีกฝ่ายได้ถูกลบอย่างสมบูรณ์แล้ว

การสืบสวนแสดงให้เห็นว่า ผู้โจมตีอาจแทรกซึมอุปกรณ์ของผู้มีส่วนร่วมของ Drift ผ่านสามวิธี ผู้มีส่วนร่วมหนึ่งรายอาจถูกบุกรุกหลังจากโคลนรีโพสิทอรีโค้ดที่ทีมแบ่งปัน ซึ่งรีโพสิทอรีดังกล่าวถูกปลอมแปลงเป็นส่วนหน้าสำหรับการปรับใช้คลังเงินของพวกเขา ผู้มีส่วนร่วมอีกรายหนึ่งถูกชักชวนให้ดาวน์โหลดแอปพลิเคชัน TestFlight ซึ่งอีกฝ่ายอ้างว่าเป็นผลิตภัณฑ์กระเป๋าเงินของพวกเขา สำหรับเส้นทางแทรกซึมรีโพสิทอรีโค้ด ชุมชนความปลอดภัยเคยเตือนหลายครั้งระหว่างเดือนธันวาคม 2025 ถึงกุมภาพันธ์ 2026 ว่า VSCode และ Cursor มีช่องโหว่ที่ทราบ โดยเพียงแค่เปิดไฟล์ โฟลเดอร์ หรือรีโพสิทอรีในโปรแกรมแก้ไข ก็สามารถดำเนินการโค้ดใดๆ อย่างเงียบๆ ได้ โดยไม่ต้องคลิกผู้ใช้หรือคำเตือนใดๆ การวิเคราะห์พิสูจน์หลักฐานฮาร์ดแวร์ที่ได้รับผลกระทบอย่างสมบูรณ์ยังคงดำเนินอยู่

การดำเนินการครั้งนี้มาจากผู้คุกคามรายเดียวกันกับเหตุการณ์แฮ็ก Radiant Capital ในเดือนตุลาคม 2024 Mandiant ระบุว่า การโจมตี Radiant มาจาก UNC4736 ซึ่งเป็นองค์กรที่สนับสนุนโดยรัฐเกาหลีเหนือ หรือที่รู้จักกันในชื่อ AppleJeus หรือ Citrine Sleet การระบุแหล่งที่มาอาศัยสองด้าน: กระแสเงินทุนบนเชนแสดงว่า เงินทุนที่ใช้ในการวางแผนและทดสอบการดำเนินการครั้งนี้สามารถย้อนกลับไปถึงผู้โจมตี Radiant ได้ ในระดับการดำเนินการ ตัวตนปลอมที่ใช้ในการดำเนินการครั้งนี้มีส่วนทับซ้อนที่สามารถระบุได้กับกิจกรรมที่เชื่อมโยงเกาหลีเหนือที่ทราบ

Drift ชี้ให้เห็นว่า บุคคลที่ปรากฏตัวในงานประชุมแบบออฟไลน์จริงๆ ไม่ใช่ชาวเกาหลีเหนือ ผู้คุกคามระดับสูงของเกาหลีเหนือประเภทนี้มักจะสร้างความสัมพันธ์แบบตัวต่อตัวผ่านบุคคลกลางบุคคลที่สาม

UNC4736 เป็นกลุ่มผู้คุกคามที่ Mandiant ติดตาม ซึ่งได้รับการประเมินด้วยความเชื่อมั่นสูงว่าเป็นส่วนหนึ่งของสำนักข่าวกรองทั่วไปของเกาหลีเหนือ องค์กรนี้มุ่งเป้าไปที่อุตสาหกรรมคริปโตเคอร์เรนซีและฟินเทคอย่างต่อเนื่องตั้งแต่ปี 2018 โดยขโมยสินทรัพย์ดิจิทัลผ่านการโจมตีซัพพลายเชน วิศวกรรมสังคม การส่งมอบมัลแวร์ เป็นต้น

เหตุการณ์โจมตีขนาดใหญ่ที่ทราบของพวกเขา ได้แก่ การโจมตีซัพพลายเชน 3CX ในเดือนมีนาคม 2023, การขโมย Radiant Capital ประมาณ 50 ล้านดอลลาร์ในปี 2024 และการโจมตี Drift ประมาณ 285 ล้านดอลลาร์ในครั้งนี้ จากการคำนวณตามข้อมูลทางสถิติที่หาได้ องค์กรนี้ขโมยเงินทุนรวมประมาณ 335 ล้านดอลลาร์

กลุ่มนี้ได้รับการยอมรับอย่างกว้างขวางว่าเป็นกลุ่มย่อยของ Lazarus Group ซึ่งมุ่งเน้นอาชญากรรมไซเบอร์ที่มีแรงจูงใจทางการเงิน Lazarus Group เคยขโมยสินทรัพย์จาก Bybit ประมาณ 1.5 พันล้านดอลลาร์ในเดือนกุมภาพันธ์ 2025 ซึ่งเป็นการขโมยครั้งเดียวที่ใหญ่ที่สุดในประวัติศาสตร์คริปโตเคอร์เรนซี

ที่มาภาพ: SotaMedia

Lazarus Group เป็นกลุ่มผู้คุกคามทางไซเบอร์ที่สนับสนุนโดยรัฐบาลเกาหลีเหนือ เป็นส่วนหนึ่งของสำนักข่าวกรองทั่วไป ประกอบด้วยกลุ่มย่อยหลายกลุ่ม เช่น UNC4736 (หรือ AppleJeus/Citrine Sleet), TraderTraitor ตามสถิติของ Chainalysis แฮ็กเกอร์เกาหลีเหนือขโมยคริปโตเคอร์เรนซีสะสมประมาณ 6.75 พันล้านดอลลาร์ผ่านกลุ่มต่างๆ เช่น Lazarus โดยในปี 2025 เพียงปีเดียวมีมูลค่ากว่า 2 พันล้านดอลลาร์

องค์กรนี้สร้างเหตุการณ์โจมตีที่สั่นสะเทือนไปทั่วโลกหลายครั้ง: Sony Pictures Entertainment ถูกทำลายในปี 2014, ธนาคารกลางบังกลาเทศถูกขโมย 81 ล้านดอลลาร์ในปี 2016, ไวรัสเรียกค่าไถ่ WannaCry แพร่ระบาดไปทั่วโลกในปี 2017, Ronin Bridge และ Harmony Horizon Bridge ถูกขโมย 620 ล้านดอลลาร์และ 100 ล้านดอลลาร์ตามลำดับในปี 2022, Atomic Wallet และ Stake ถูกโจมตีตามลำดับในปี 2023 ในเดือนตุลาคม 2024, UNC4736 โจมตี Radiant Capital ขโมย 50 ล้านดอลลาร์; ในเดือนกุมภาพันธ์ 2025, TraderTraitor ขโมย 1.5 พันล้านดอลลาร์จาก Bybit ซึ่งเป็นสถิติ; ในเดือนเมษายน 2026, ดำเนินการโจมตี Drift Protocol 285 ล้านดอลลาร์สำเร็จ

Lazarus ผลักดันให้จำนวนเงินขโมยคริปโตของเกาหลีเหนือสะสมอยู่ที่ 6.75 พันล้านดอลลาร์ วิธีการโจมตีเปลี่ยนจากการทำลายในระยะแรกไปสู่การแทรกซึมระยะยาว วิศวกรรมสังคม การโจมตีซัพพลายเชน การแทรกซึมสัญญาอัจฉริยะที่เป็นอันตราย / มัลติซิก เป็นต้น

แถลงการณ์ของ Drift เขียนว่า การสืบสวนแสดงให้เห็นว่าตัวตนที่ใช้ในการดำเนินการกำหนดเป้าหมายบุคคลที่สามมีประวัติส่วนตัวและอาชีพที่สมบูรณ์ รวมถึงประสบการณ์การทำงาน คุณสมบัติสาธารณะ และเครือข่ายมืออาชีพ บุคคลที่ผู้มีส่วนร่วมของ Drift พบเห็นแบบออฟไลน์ ใช้เวลาหลายเดือนสร้างไฟล์ประวัติตัวตนที่สามารถทนต่อการตรวจสอบเบื้องหลังความร่วมมือทางธุรกิจได้

นักวิจัยความปลอดภัย Taylor Monahan เคยระบุก่อนหน้านี้ว่า คนงานไอทีเกาหลีเหนือแทรกซึมบริษัทคริปโตเคอร์เรนซีและโปรเจกต์ DeFi อย่างน้อยเจ็ดปีแล้ว โดยมีแพลตฟอร์ม DeFi มากกว่า 40 แห่งที่มีคนงานไอทีเกาหลีเหนือเกี่ยวข้องในขั้นตอนต่างๆ ส่วนเหตุการณ์ Drift แสดงให้เห็นเพิ่มเติมว่า ผู้โจมตีได้พัฒนาจากการแทรกซึมผ่านการสมัครงานระยะไกล ไปสู่การดำเนินการข่าวกรองกำหนดเป้าหมายแบบตัวต่อตัวออฟไลน์ที่ใช้เวลาหลายเดือน

Drift ระบุว่าจะยังคงทำงานร่วมกับหน่วยงานบังคับใช้กฎหมาย พันธมิตรพิสูจน์หลักฐาน และทีมระบบนิเวศต่อไป โดยจะมีรายละเอียดเพิ่มเติมเผยแพร่หลังการสืบสวนเสร็จสิ้น ฟังก์ชันโปรโตคอลที่เหลือทั้งหมดถูกระงับแล้ว กระเป๋าเงินที่ถูกขโมยได้ถูกนำออกจากมัลติซิกแล้ว และที่อยู่ผู้โจมตีได้ถูกทำเครื่องหมายที่แลกเปลี่ยนต่างๆ และผู้ให้บริการสะพานข้ามเชนแล้ว