ประเด็นที่สำคัญ:
- ปัจจุบันกลุ่มผู้ก่อการร้ายในเกาหลีเหนือนิยมใช้การโจมตีแบบเจาะจงเป้าหมายที่มีผลกระทบสูง เช่น การโจมตีสะพานและศูนย์กลางการปกครอง ซึ่งส่งผลให้เกิดความเสียหายจากการแฮ็กคริปโตทั่วโลกถึง 76% ในช่วงต้นปี 2026
- กลุ่มย่อยอย่าง TraderTraitor กำลังผสานกลอุบายทางสังคมเข้ากับการก่อวินาศกรรมโครงสร้างพื้นฐาน ดังที่เห็นได้จากเหตุการณ์โจมตี Drift และ KelpDAO มูลค่า 577 ล้านดอลลาร์สหรัฐ
- การรับมือกับภัยคุกคามที่มีความแม่นยำสูงเหล่านี้ จำเป็นต้องเปลี่ยนจากการใช้บัญชีดำแบบคงที่ ไปสู่ระบบ KYT และการวิเคราะห์ข้อมูลแบบเรียลไทม์ เพื่อตรวจจับจุดเตรียมการและระงับการโอนเงินก่อนที่เงินจะหายไป
อุตสาหกรรมสินทรัพย์ดิจิทัลได้ตระหนักถึงความจริงอันน่าหวาดหวั่นในปี 2026 สงครามไซเบอร์ที่ได้รับการสนับสนุนจากรัฐได้เปลี่ยนจากเสียงรบกวนที่เกิดขึ้นเป็นระยะๆ มาเป็นปัจจัยหลักที่ก่อให้เกิดความสูญเสียในตลาดคริปโตทั่วโลก
ผลการวิจัยล่าสุดจาก ทีอาร์เอ็ม แล็บส์ เผยให้เห็นแนวโน้มที่น่าตกใจ ในช่วงสี่เดือนแรกของปี 2026 เพียงอย่างเดียว กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือได้ก่อเหตุโจมตีเป็นจำนวนมาก 76% ของทั้งหมด แฮ็คสกุลเงินดิจิตอล ความสูญเสียทั่วโลกแม้จำนวนเหตุการณ์โดยรวมจะยังอยู่ในระดับต่ำ แต่ความแม่นยำและขนาดของเหตุการณ์นั้นไม่เคยเกิดขึ้นมาก่อน โดยยอดรวมการโจรกรรมตั้งแต่ปี 2017 เป็นต้นมาได้แซงหน้า... $ 6 พันล้าน เครื่องหมาย.
คู่มือฉบับใหม่: ความแม่นยำเหนือความถี่
เป็นเวลาหลายปีที่เรื่องราวเกี่ยวกับการแฮ็กของเกาหลีเหนือมุ่งเน้นไปที่ปริมาณ แต่ในปัจจุบัน ข้อมูลเผยให้เห็นถึงวิวัฒนาการทางยุทธวิธี แทนที่จะใช้วิธีการแบบวงกว้าง กลุ่มผู้เชี่ยวชาญกำลังดำเนินการปฏิบัติการที่มีผลกระทบสูงและแม่นยำเพียงไม่กี่ครั้ง
ในเดือนเมษายน ปี 2026 มีเหตุการณ์เกิดขึ้นเพียงสองเหตุการณ์เท่านั้น— พิธีสารดริฟท์ การโจมตีและ สาหร่ายทะเลDAO การใช้ประโยชน์—ที่บันทึกไว้ $ 577 ล้าน ในแง่ของความเสียหาย เหตุการณ์ทั้งสองนี้คิดเป็นเพียง 3% ของเหตุการณ์แฮ็กทั้งหมดในปีนั้น แต่กลับก่อให้เกิดมูลค่าความเสียหายรวมมากกว่าสามในสี่ การเปลี่ยนแปลงนี้บ่งชี้ถึงการมุ่งไปสู่เป้าหมายที่มีความซับซ้อนสูง ได้แก่ สะพานเชื่อมระหว่างเชน และระบบการกำกับดูแลแบบมัลติซิก
การปล้น Drift Protocol: บทเรียนขั้นสูงด้านวิศวกรรมสังคม
การฉ้อโกงเงิน 285 ล้านดอลลาร์สหรัฐจาก Drift Protocol เป็นบทเรียนชั้นยอดในด้านนี้ การแทรกซึมในระดับองค์กร.
การแทรกซึม: องค์ประกอบของมนุษย์
เป็นเวลาหลายเดือนที่บุคคลที่แอบอ้างเป็นนักพัฒนาและพันธมิตรจากสถาบันต่างๆ ได้สร้างความสัมพันธ์กับทีม Drift ตัวแทนเหล่านี้มีความเชี่ยวชาญด้านเทคนิคและมีความเป็นมืออาชีพสูง ทำให้พวกเขาสามารถแทรกซึมเข้าไปในโครงสร้างพื้นฐานของโปรโตคอลได้ เมื่อการโจมตีทางเทคนิคเริ่มต้นขึ้น ผู้โจมตีก็ได้รับความไว้วางใจจากบุคคลที่ควรจะทำหน้าที่ปกป้องระบบรักษาความปลอดภัยแล้ว
ขั้นตอนที่ 1: การสร้างสินทรัพย์เสมือน (11 มีนาคม)
การเตรียมการโจมตีทางดิจิทัลเริ่มต้นอย่างเป็นทางการในวันที่ 11 มีนาคม เวลา 9:00 น. ตามเวลาเปียงยาง ผู้โจมตีได้โอน ETH จำนวน 10 ETH จาก Tornado Cash เพื่อเป็นทุนในการสร้างโครงสร้างพื้นฐาน การเคลื่อนไหวครั้งแรกของพวกเขาคือการ "สร้าง" สินทรัพย์ปลอมขึ้นมาชื่อว่า โทเค็นคาร์บอนโหวต (CVT).
สำหรับคนภายนอก CVT ดูเหมือนจะเป็นโครงการที่กำลังเติบโต ผู้โจมตีได้อัดฉีดเงินหลายพันดอลลาร์เข้าไปในกลุ่มสภาพคล่องบน Raydium และใช้บอทซื้อขายแบบปั่นราคาเพื่อสร้างประวัติปริมาณการซื้อขายปลอม พวกเขาใช้เวลาหลายสัปดาห์ในการสร้าง "ราคาตลาด" ที่ประมาณ 1.00 ดอลลาร์ ระบบพยากรณ์ราคาของ Drift ซึ่งไม่พร้อมรับมือกับสินทรัพย์ที่ถูกปั่นราคาโดยไม่มีประโยชน์ใช้สอยจริง ได้รับสัญญาณนี้และเริ่มปฏิบัติต่อ CVT ในฐานะหลักประกันที่ถูกต้องตามกฎหมาย
ระยะที่ 2: กับดัก “คนขายบริการทางเพศชั่วคราวที่ยั่งยืน” (23–30 มีนาคม)
ผู้โจมตีมุ่งเป้าไปที่ฟีเจอร์หนึ่งของ Solana ที่เรียกว่า ทนทานมาก ๆโดยปกติแล้ว ธุรกรรมของ Solana จะหมดอายุภายในเวลาประมาณ 90 วินาที nonce ที่ทนทานช่วยให้สามารถลงนามล่วงหน้าและเก็บรักษาธุรกรรมไว้ได้โดยไม่มีกำหนด เพื่อนำไปใช้ในภายหลัง โดยใช้สถานะทางสังคมของตน ผู้โจมตีได้ชักจูงสมาชิกสภาความปลอดภัยของ Drift ให้ลงนามล่วงหน้าในสิ่งที่ดูเหมือนจะเป็นธุรกรรมการบริหารทั่วไป แต่ในความเป็นจริงแล้ว สิ่งเหล่านี้คือ “เช็คเปล่า” เนื่องจากมีการลงนามโดยใช้ nonce ที่ทนทาน ผู้โจมตีจึงสามารถเก็บรักษาการอนุญาตเหล่านี้ไว้ได้ราวกับสปริงที่บรรจุกระสุนไว้
ขั้นตอนที่ 3: การเปลี่ยนแปลงการกำหนดค่าที่ร้ายแรง (27 มีนาคม)
เมื่อวันที่ 27 มีนาคม Drift ได้ทำการเคลื่อนไหวเชิงกลยุทธ์ที่เปลี่ยนความเสี่ยงให้กลายเป็นหายนะ โปรโตคอลได้ย้ายคณะมนตรีความปลอดภัยไปสู่การกำหนดค่าเกณฑ์ใหม่ 2/5 และกำหนด... ตั้งเวลาเป็นศูนย์ในโปรโตคอล DeFi ส่วนใหญ่ "ไทม์ล็อก" ทำหน้าที่เป็นช่วงเวลาพักฟื้น ช่วยให้ชุมชนสามารถตรวจสอบและ "หยุด" การกระทำได้ การลบไทม์ล็อกออกไปทำให้ Drift สูญเสียช่วงเวลาเดียวที่พวกเขามีในการตรวจจับธุรกรรมฉ้อโกงก่อนที่จะเสร็จสมบูรณ์
ขั้นตอนที่ 4: การประหารชีวิตภายใน 12 นาที (1 เมษายน)
เมื่อวันที่ 1 เมษายน ผู้โจมตีเคลื่อนไหวด้วยความเร็วที่น่าหวาดกลัว:
- เงินฝาก: พวกเขานำโทเค็น CVT "ที่ไร้ค่า" หลายร้อยล้านโทเค็นไปฝากไว้ใน Drift
- การบิดเบือนข้อมูล: เนื่องจากผู้พยากรณ์เชื่อว่า CVT มีมูลค่า 1.00 ดอลลาร์ ระบบจึงเห็นการไหลเข้าของหลักประกันจำนวนมหาศาล
- ท่อระบายน้ำ: ด้วยการใช้ "เช็คเปล่า" ที่ได้รับอนุญาตล่วงหน้าจากเดือนมีนาคม พวกเขาสามารถเพิ่มวงเงินถอนได้ทันที
ในเวลาเพียง 12 นาทีพวกเขาดำเนินการถอนเงินที่ลงนามล่วงหน้าไว้ 31 รายการ โดยยืมสินทรัพย์จริง เช่น USDC และ JLP โดยใช้หลักทรัพย์ปลอมเป็นหลักประกัน เงินเหล่านั้นถูกโอนไปยัง Ethereum ก่อนที่ทีม Drift จะทันได้ตอบโต้
ช่องโหว่ KelpDAO: การก่อวินาศกรรมโครงสร้างพื้นฐานของสะพาน
ในขณะที่การแฮ็ก Drift อาศัยเทคนิคทางสังคม แต่... $ 292 ล้าน การโจมตีช่องโหว่ KelpDAO เป็นการโจมตีทางเทคนิคต่อระบบ โครงสร้างพื้นฐานของระบบท่อประปาข้ามห่วงโซ่.
จุดอ่อน: จุดอ่อนของระบบตรวจสอบยืนยันเพียงระบบเดียว
KelpDAO ใช้บริดจ์ LayerZero สำหรับโทเค็น rsETH ของตน เพื่อประหยัดค่าใช้จ่ายหรือความซับซ้อน บริดจ์จึงถูกกำหนดค่าด้วยการออกแบบ "ผู้ตรวจสอบรายเดียว" ซึ่งหมายความว่าระบบทั้งหมดอาศัยแหล่งข้อมูลที่เชื่อถือได้เพียงแหล่งเดียว นั่นคือ เครือข่ายผู้ตรวจสอบแบบกระจายศูนย์ (DVN) ของ LayerZero Labs เพื่อยืนยันว่าสินทรัพย์ได้ถูกย้ายหรือเผาทำลายไปแล้ว โดยไม่มีการตรวจสอบจากแหล่งอื่นเพิ่มเติม
สถานการณ์: การวางยาพิษในบ่อน้ำ
ผู้โจมตีระบุและเจาะระบบโหนด RPC ภายในสองโหนดของ KelpDAO โหนด RPC เปรียบเสมือน "หู" ของแอปพลิเคชันบล็อกเชน ทำหน้าที่บอกซอฟต์แวร์ว่าเกิดอะไรขึ้นบนเครือข่าย เมื่อเข้าไปได้แล้ว แฮ็กเกอร์ได้เปลี่ยนซอฟต์แวร์ของโหนดเป็นเวอร์ชัน "ปนเปื้อน" เวอร์ชันนี้ถูกตั้งโปรแกรมให้โกหก โดยรายงานว่า rsETH ถูกเผาบนเชนต้นทาง แม้ว่าจะไม่มีธุรกรรมดังกล่าวเกิดขึ้นจริงก็ตาม
การลงมือปฏิบัติ: การโจมตี DDoS และระบบสำรอง (18 เมษายน)
เมื่อวันที่ 18 เมษายน ผู้โจมตีได้ทำการโจมตีแบบ Distributed Denial of Service (DDoS) ครั้งใหญ่ต่อโหนด RPC ภายนอกที่ใช้งานได้ปกติ ซึ่งบริดจ์มักจะรับฟังอยู่ เมื่อโหนดที่ใช้งานได้ปกติหยุดทำงาน ตัวตรวจสอบของบริดจ์จึงปฏิบัติตามโปรโตคอลความปลอดภัย โดย "สลับไปใช้" โหนดเดียวที่ยังคงตอบสนองอยู่ ซึ่งก็คือโหนดภายในที่ถูกโจมตีนั่นเอง
โหนดที่ถูกโจมตีได้ส่งข้อมูลเท็จให้กับผู้ตรวจสอบ ผู้ตรวจสอบเห็น "หลักฐาน" จากแหล่งข้อมูลเดียวที่มีอยู่ จึงยืนยันข้อความข้ามเชนที่เป็นเท็จนั้น ทำให้ผู้โจมตีสามารถขโมยข้อมูลไปได้ 116,500 rsETH จากสัญญาบริดจ์ Ethereum
การตะลุมบอน: การหลบหนีที่ยุ่งเหยิง
แตกต่างจากผู้โจมตี Drift ที่มีท่าทีสงบ กลุ่ม KelpDAO ซึ่งระบุว่าเป็นกลุ่มดังกล่าว เทรดเดอร์ผู้ทรยศ กลุ่มย่อยดังกล่าวทำผิดพลาด พวกเขาปล่อยเงิน ETH จำนวน 75 ล้านดอลลาร์ไว้ใน Arbitrum ซึ่งเป็นแพลตฟอร์ม Layer 2 แบบรวมศูนย์ ทำให้คณะมนตรีความปลอดภัยของ Arbitrum มีเวลามากพอที่จะใช้มาตรการฉุกเฉินและอายัดเงินทุนดังกล่าว
การอายัดทรัพย์สินทำให้เกิด "การแย่งชิงอย่างบ้าคลั่ง" แฮกเกอร์รีบเคลื่อนย้ายเงินที่เหลืออีก 175 ล้านดอลลาร์อย่างเร่งรีบ THORChainโดยทำการแลกเปลี่ยน ETH เป็น Bitcoin ให้เร็วที่สุดเท่าที่จะเป็นไปได้ ขั้นตอนนี้ส่วนใหญ่ดำเนินการโดยตัวกลางชาวจีน ซึ่งแสดงให้เห็นถึงเครือข่ายการฟอกเงินที่กระจัดกระจายแต่มีประสิทธิภาพ
บทบาทสำคัญของ KYT และการวิเคราะห์ข้อมูลด้วยบล็อกเชน
การโจมตีเหล่านี้แสดงถึงความท้าทายพื้นฐานต่อความสมบูรณ์ของระบบนิเวศคริปโตในปี 2026 บัญชีดำแบบคงที่นั้นไม่เพียงพออีกต่อไปแล้ว เมื่อผู้กระทำการจากภาครัฐสามารถรอเป็นเดือนๆ เพื่อเคลื่อนย้ายสินทรัพย์ที่ถูกขโมยไป นี่คือจุดที่... รู้ธุรกรรมของคุณ (KYT) และ สูง การวิเคราะห์บล็อกเชน กลายเป็นกลไกป้องกันที่จำเป็น
- การแจ้งเตือนแบบเรียลไทม์: เครือข่ายแจ้งเตือนช่วยให้สามารถแจ้งเตือนข้ามแพลตฟอร์มได้ทันที เมื่อตรวจพบที่อยู่ที่มีความเชื่อมโยงกับเกาหลีเหนือ สถาบันต่างๆ จะได้รับการแจ้งเตือนภายในไม่กี่นาที ไม่ใช่หลายวัน ซึ่งอาจช่วยหยุดการถอนเงินก่อนที่จะดำเนินการเสร็จสิ้น
- การระบุแหล่งที่มาแบบหลายขั้นตอน: การคัดกรองเบื้องต้นแบบง่ายๆ นั้นสามารถหลีกเลี่ยงได้ง่าย ระบบวิเคราะห์ข้อมูลสมัยใหม่สามารถติดตามเงินทุนผ่านกระเป๋าเงินตัวกลางหลายสิบใบและผ่านสะพานเชื่อมหลายชั้น ทำให้สามารถระบุแหล่งที่มาของความมั่งคั่งที่ "แท้จริง" ได้
- การตรวจสอบสุขอนามัยของสะพาน: ดังที่เห็นได้จากการโจมตี Drift จุดอ่อนอยู่ที่การกำกับดูแลและการกำหนดค่ามัลติซิก เครื่องมือวิเคราะห์ในปัจจุบันช่วยให้บริษัทต่างๆ สามารถตรวจสอบสถานะและพฤติกรรมของโปรโตคอลที่พวกเขาใช้งาน โดยจะแจ้งเตือนธุรกรรมที่ลงนามล่วงหน้าที่น่าสงสัยหรือการเปลี่ยนแปลงในการตั้งค่าไทม์ล็อก
ปกป้องโครงสร้างพื้นฐานของคุณด้วย ChainUp KYT
อุตสาหกรรมไม่สามารถพึ่งพาความปลอดภัยของบล็อกเชนเพียงอย่างเดียวได้ เนื่องจากแฮกเกอร์มีความอดทนและซับซ้อนมากขึ้น เครื่องมือป้องกันจึงต้องมีความเชิงรุกมากขึ้นเช่นกัน
เชนอัพ KYT โซลูชันของเรามอบการตรวจสอบระดับสถาบันที่จำเป็นต่อการรับมือกับภัยคุกคามในปี 2026 โซลูชันของเราก้าวไปไกลกว่าการขึ้นบัญชีดำขั้นพื้นฐาน โดยมีคุณสมบัติเพิ่มเติมดังนี้:
- การตรวจสอบธุรกรรมแบบเรียลไทม์: ตรวจจับและระบุการไหลเวียนของธุรกรรมที่น่าสงสัยทันทีที่เกิดขึ้นบนบล็อกเชน ช่วยให้สามารถเข้าแทรกแซงได้ทันท่วงที ก่อนที่การถอนเงินจะเสร็จสมบูรณ์
- การติดตามแบบหลายขั้นตอนขั้นสูง: มองให้ทะลุผ่าน "ขั้นตอน" และกระเป๋าเงินตัวกลาง เพื่อระบุแหล่งที่มาของเงินทุนจากกลุ่มเครือข่ายในเกาหลีเหนือ และเชื่อมโยงช่องโหว่ต่างๆ เข้าด้วยกัน
- การแจ้งเตือนเกี่ยวกับการกำกับดูแลโปรโตคอล: ตรวจสอบสถานะของโปรโตคอลและบริดจ์ DeFi ที่คุณใช้งานอย่างสม่ำเสมอ พร้อมรับการแจ้งเตือนเมื่อมีการเปลี่ยนแปลงการกำหนดค่าที่มีความเสี่ยง หรือกิจกรรมมัลติซิกที่ผิดปกติ
- การบูรณาการการปฏิบัติตามข้อกำหนดที่ราบรื่น: สร้างขึ้นสำหรับผู้ประกอบการตลาดหลักทรัพย์และผู้เล่นระดับสถาบันที่ต้องการข้อมูลเชิงลึกที่แม่นยำเพื่อตอบสนองมาตรฐานด้านกฎระเบียบระดับโลก
อย่ารอจนเกิดอาการง่วงซึมนาน 12 นาที แล้วค่อยมารู้ตัวว่าระบบป้องกันของคุณล้าสมัยแล้ว จองการสาธิตการใช้งาน ChainUp ได้แล้ววันนี้ เพื่อดูว่าโซลูชัน KYT ของเราสามารถเสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานของคุณเพื่อป้องกันภัยคุกคามที่ซับซ้อนที่สุดในอุตสาหกรรมได้อย่างไร
