บริษัทวิเคราะห์บล็อกเชน Elliptic รายงานเมื่อวันที่ 2 เมษายน 2026 ว่าการแฮ็กมูลค่า $286 ล้านของ Drift Protocol ที่ใช้แพลตฟอร์ม Solana มีหลายสัญญาณบ่งชี้ถึงการมีส่วนเกี่ยวข้องของกลุ่มแฮกเกอร์ DPRK ที่รัฐสนับสนุนโดยเกาหลีเหนือ ซึ่งถือเป็นการโจมตีครั้งที่ 18 ในปีนี้ที่ Elliptic ติดตามได้
เหตุการณ์แฮ็กเมื่อวันที่ 1 เมษายน ซึ่งเป็นการแฮ็กระบบ DeFi ที่ใหญ่ที่สุดของปี 2026 จนถึงปัจจุบัน ทำให้มูลค่ารวมที่ถูกล็อกไว้ (TVL) ของ Drift ลดจากราว $550 ล้าน เหลือต่ำกว่า $250 ล้าน โดยพฤติกรรมบนเชน วิธีการฟอกเงิน และสัญญาณระดับเครือข่ายมีลักษณะคล้ายคลึงกับปฏิบัติการก่อนหน้าที่เชื่อมโยงกับรัฐอย่างมาก
Elliptic ระบุพฤติกรรมบนเชนที่มีการวางแผนไว้ล่วงหน้าและรูปแบบการฟอกข้ามเชน
การวิเคราะห์ของ Elliptic ชี้ไปที่กิจกรรมที่ดูเหมือน “มีการวางแผนไว้ล่วงหน้าและจัดฉากอย่างรอบคอบ” โดยมีธุรกรรมทดสอบในช่วงแรก และมีวอลเล็ตที่เตรียมไว้ล่วงหน้าก่อนเกิดเหตุหลัก วอลเล็ตของผู้โจมถูกสร้างขึ้นประมาณแปดวันก่อนการแฮ็ก และได้รับการโอนทดสอบจำนวนเล็กน้อยจากดราฟต์โซลูชั่นที่เก็บไว้ (vault) ในช่วงเวลาดังกล่าว ซึ่งบ่งชี้ถึงการวางแผนล่วงหน้า
(Source: Elliptic Investigator)
เมื่อดำเนินการแล้ว เงินทุนได้ถูกรวบรวมอย่างรวดเร็ว มีการสลับเปลี่ยน แลกเปลี่ยนผ่านบริดจ์ข้ามเชน และแปลงเป็นสินทรัพย์ที่สภาพคล่องมากขึ้น สะท้อนถึงกระบวนการฟอกเงินที่มีโครงสร้างและทำซ้ำได้ ซึ่งออกแบบมาเพื่อปกปิดแหล่งที่มา ขณะเดียวกันก็ยังคงการควบคุมไว้ ผู้โจมตีระบายออกจากดราฟต์โซลูชั่นหลัก (vault) จำนวน 3 แห่ง ได้แก่ JLP Delta Neutral, SOL Super Staking และ BTC Super Staking โดยการโอนครั้งเดียวที่ใหญ่ที่สุดเกี่ยวข้องกับโทเคน JLP ประมาณ 41.7 ล้านโทเคน ซึ่งมีมูลค่าราว $155 ล้าน ณ ตอนที่ถูกขโมย สินทรัพย์เพิ่มเติมที่ถูกขโมยรวมถึง USDC, SOL, cbBTC, wBTC และโทเคนสเตคที่มีสภาพคล่อง
ภายในเวลาไม่ถึงหนึ่งชั่วโมงนับตั้งแต่การโจมตีเริ่มขึ้น ผู้โจมตีได้ระบายสภาพคล่องส่วนใหญ่ของ Drift อย่างเป็นระบบ โดยถอนสินทรัพย์ออกจาก vault ของโปรโตคอลหลายแห่ง ตามที่บริษัทความปลอดภัยบล็อกเชน PeckShield ระบุ สาเหตุเบื้องต้นดูเหมือนจะเป็นการที่คีย์ส่วนตัวของผู้ดูแลระบบ (administrator) ของโปรโตคอลถูกบุกรุก ซึ่งทำให้ผู้โจมตีได้สิทธิ์พิเศษในการเริ่มการถอนเงินและเปลี่ยนแปลงการควบคุมเชิงบริหาร
โมเดลบัญชีของ Solana ทำให้การสืบสวนการแฮ็กที่มีสินทรัพย์หลายรายการทำได้ยากขึ้น
Elliptic ระบุว่าโมเดลบัญชีของ Solana ถือเป็นความท้าทายหลักสำหรับผู้ตรวจสอบ เนื่องจากสินทรัพย์แต่ละรายการถูกเก็บไว้ในบัญชีโทเคนที่แยกต่างหาก กิจกรรมที่เชื่อมโยงกับผู้กระทำเพียงรายเดียวอาจดูเหมือนกระจัดกระจายไปอยู่ในหลายที่อยู่ (addresses) ผู้โจมตีระบายโทเคนมากกว่า 15 ประเภทผ่าน vault หลายแห่ง นั่นหมายความว่า JLP, USDC, SOL, cbBTC และสินทรัพย์ที่ถูกขโมยอื่น ๆ ของผู้โจมตีแต่ละส่วนต่างก็นั่งอยู่ในที่อยู่บนเชนที่แตกต่างกัน
ผู้ให้บริการด้านแอนะลิติกส์ที่ปฏิบัติต่อที่อยู่เหล่านี้ว่าไม่เกี่ยวข้องกัน จะเห็นเพียงเศษเสี้ยวของกิจกรรมของผู้โจมตี ไม่ใช่ภาพรวมทั้งหมด แนวทางการจัดกลุ่ม (clustering) ของ Elliptic เชื่อมโยงบัญชีโทเคนกลับไปยังเอนทิตีเดียว ทำให้สามารถระบุการเปิดเผย (exposure) ได้ไม่ว่าที่อยู่ใดจะถูกคัดกรอง คดีนี้ยังตอกย้ำด้วยว่าการฟอกเงินได้กลายเป็นเรื่องข้ามเชนโดยธรรมชาติ โดยเงินทุนเคลื่อนจาก Solana ไปยัง Ethereum และอื่น ๆ ซึ่งต้องใช้ความสามารถในการติดตามแบบองค์รวมข้ามเชน
การขโมยคริปโตที่เชื่อมโยง DPRK ทวีความรุนแรงขึ้น ขณะที่ Elliptic ติดตามการขโมย $300 ล้านในปี 2026
หากยืนยันได้ เหตุการณ์นี้จะเป็นการกระทำที่เชื่อมโยง DPRK ครั้งที่ 18 ที่ Elliptic ติดตามในปี 2026 โดยมียอดมูลค่าที่ถูกขโมยไปแล้วมากกว่า $300 ล้าน เชื่อกันว่าเอนทิตีที่เชื่อมโยง DPRK ได้ขโมยสินทรัพย์คริปโตไปแล้วมากกว่า $6.5 พันล้านในช่วงไม่กี่ปีที่ผ่านมา รัฐบาลสหรัฐได้เชื่อมโยงการขโมยเหล่านี้กับการนำไปสนับสนุนโครงการอาวุธอานุภาพทำลายล้างสูงของเกาหลีเหนือ
ในเดือนธันวาคม 2025 รายงานของ Chainalysis เปิดเผยว่าแฮกเกอร์ของ DPRK ขโมยมูลค่าคริปโตเป็นสถิติสูงสุด $2 พันล้านในปี 2025 รวมถึงการถูกเจาะระบบของ Bybit มูลค่า $1.4 พันล้าน ซึ่งคิดเป็นการเพิ่มขึ้น 51% จากปีที่แล้ว กระทรวงการคลังของสหรัฐได้ย้ำอีกครั้งเมื่อเดือนที่แล้วว่าเกาหลีเหนือใช้สินทรัพย์ที่ถูกขโมยมาทำทุนให้กับโครงการอาวุธของตน
การโจมตีของ Drift ยังเกิดขึ้นท่ามกลางการทวีความรุนแรงของกิจกรรมที่เชื่อมโยง DPRK ที่มุ่งโจมตีระบบนิเวศคริปโตอย่างกว้างขึ้น รวมถึงเหตุการประนีประนอมห่วงโซ่อุปทานล่าสุดของแพ็กเกจ axios ใน npm ซึ่ง Google ระบุว่าเกี่ยวข้องกับผู้คุกคามของ DPRK ชื่อ UNC1069
Drift Protocol ยืนยันการโจมตีบน X โดยระบุว่ากำลังเผชิญกับ “การโจมตีแบบกำลังดำเนินอยู่ (active attack)” และได้ระงับการฝากและการถอนทีมงานกำลังประสานงานกับบริษัทความปลอดภัยหลายแห่ง บริดจ์ข้ามเชน และการแลกเปลี่ยน เพื่อควบคุมเหตุการณ์ดังกล่าว โทเคนของ Drift ลดลงมากกว่า 40% เหลือราว $0.06 นับตั้งแต่การแฮ็ก
FAQ
การโจมตีของ Drift Protocol ถูกขโมยมูลค่าเท่าใด และมีใครที่ถูกสงสัย?
ประมาณ $286 ล้านถูกขโมยจาก Drift Protocol เมื่อวันที่ 1 เมษายน 2026 Elliptic ระบุสัญญาณหลายประการที่ชี้ให้เห็นถึงการมีส่วนเกี่ยวข้องของกลุ่มแฮกเกอร์ DPRK ที่รัฐสนับสนุนโดยเกาหลีเหนือ รวมถึงพฤติกรรมบนเชนที่วางแผนไว้ล่วงหน้า และรูปแบบการฟอกเงินที่สอดคล้องกับปฏิบัติการที่เชื่อมโยงกับรัฐก่อนหน้า
อะไรทำให้ การ แฮ็ก ของ Drift ติดตามได้ยากเป็นพิเศษ?
ผู้โจมตีระบายโทเคนมากกว่า 15 ประเภทผ่าน vault หลายแห่ง โมเดลบัญชีของ Solana ทำให้มีบัญชีโทเคนที่แยกต่างหากสำหรับสินทรัพย์ประเภทต่าง ๆ ที่ถือโดยเอนทิตีเดียว หมายความว่าสินทรัพย์ที่ถูกขโมยหลายรายการของผู้โจมตีแต่ละชิ้นต่างอยู่ในที่อยู่บนเชนที่แตกต่างกัน หากไม่มีการจัดกลุ่มที่อยู่เหล่านี้ ผู้ตรวจสอบจะเห็นเพียงเศษเสี้ยว ไม่ใช่ภาพรวมทั้งหมดของการโจมตี
เหตุการณ์นี้เข้ากับแนวโน้มการแฮ็กของ DPRK ในภาพรวมอย่างไร?
หากยืนยันได้ นี่จะเป็นการกระทำที่เชื่อมโยง DPRK ครั้งที่ 18 ที่ Elliptic ติดตามในปี 2026 โดยมียอดมูลค่าที่ถูกขโมยไปแล้วมากกว่า $300 ล้าน เชื่อกันว่าเอนทิตีที่เชื่อมโยง DPRK ได้ขโมยสินทรัพย์คริปโตไปแล้วมากกว่า $6.5 พันล้านในช่วงไม่กี่ปีที่ผ่านมา โดยรัฐบาลสหรัฐเชื่อมโยงการขโมยเหล่านี้กับการนำเงินไปสนับสนุนโครงการอาวุธอานุภาพทำลายล้างสูงของประเทศดังกล่าว
