เกาหลีเหนือรับผิดชอบ 76% ของความสูญเสียจากการแฮ็ก Crypto ในปี 2026 ด้วยการโจมตี Drift และ KelpDAO

กลุ่มแฮกเกอร์เกาหลีเหนือรับผิดชอบต่อความสูญเสียจากการแฮกคริปโตทั้งหมด 76% ในปี 2026 จนถึงเดือนเมษายน ตามรายงานที่เผยแพร่โดย TRM Labs โดยเหตุการณ์เดียวกันนี้คิดเป็นเพียง 3% ของการโจมตีทั้งหมด บริษัทระบุว่าเงินที่ถูกขโมยประมาณ 577 ล้านดอลลาร์มาจากสองกรณี ได้แก่ การละเมิด Drift Protocol เมื่อวันที่ 1 เมษายน และการโจมตี KelpDAO เมื่อวันที่ 18 เมษายน

TRM กล่าวว่าเหตุการณ์ทั้งสองนี้คิดเป็นเพียงส่วนเล็กน้อยของการโจมตีทั้งหมดในปีนี้ แต่คิดเป็นสัดส่วนที่ใหญ่ที่สุดของความสูญเสีย รายงานอธิบายรูปแบบที่การปฏิบัติการมูลค่าสูงจำนวนจำกัดเป็นตัวขับเคลื่อนความเสียหายส่วนใหญ่ แทนที่จะเป็นการเพิ่มขึ้นอย่างกว้างขวางของความถี่การโจมตี

การขโมยคริปโตที่เกิดจากเกาหลีเหนือรวมทั้งสิ้นนับตั้งแต่ปี 2017 ขณะนี้เกิน 6 พันล้านดอลลาร์ จากข้อมูลของ TRM

ส่วนแบ่งการขโมยคริปโตของเกาหลีเหนือเพิ่มขึ้นทุกปีตั้งแต่ปี 2020

ข้อมูลของ TRM แสดงให้เห็นว่าส่วนแบ่งของเกาหลีเหนือในความสูญเสียจากการแฮกคริปโตทั้งหมดเพิ่มขึ้นจากต่ำกว่า 10% ในปี 2020 และ 2021 เป็น 22% ในปี 2022, 37% ในปี 2023, 39% ในปี 2024 และ 64% ในปี 2025 ตัวเลข 76% สำหรับปี 2026 นับจนถึงปัจจุบันเป็นส่วนแบ่งที่ยั่งยืนสูงสุดที่ TRM เคยบันทึกไว้

การกระโดดในปี 2025 ถูกขับเคลื่อนเกือบทั้งหมดโดยการละเมิด Bybit ในเดือนกุมภาพันธ์ของปีนั้น ซึ่งมีการขโมย 1.46 พันล้านดอลลาร์จาก cold wallet ผ่านอินเทอร์เฟซลงนามของ Safe{Wallet} ที่ถูกโจมตี TRM กล่าวว่า Bybit ยังคงเป็นการแฮกคริปโตครั้งเดียวที่ใหญ่ที่สุดในประวัติศาสตร์

ลักษณะการโจมตีไม่ได้เปลี่ยนแปลง TRM กล่าวว่าทีมแฮกเกอร์เกาหลีเหนือยังคงดำเนินการจำนวนน้อยที่มุ่งเป้าอย่างแม่นยำในแต่ละปี แทนที่จะเป็นแคมเปญปริมาณสูง

ตามที่นักวิเคราะห์ TRM ระบุ สิ่งที่เปลี่ยนแปลงไปคือความซับซ้อนของปฏิบัติการ รายงานกล่าวว่านักวิเคราะห์เริ่มคาดการณ์ว่าผู้ปฏิบัติการเกาหลีเหนือกำลังนำเครื่องมือ AI มาใช้ในเวิร์กโฟลว์การลาดตระเวนและวิศวกรรมสังคม ซึ่งสอดคล้องกับการโจมตี Drift ที่ต้องใช้เวลาหลายสัปดาห์ในการจัดการกลไก blockchain ที่ซับซ้อนอย่างมีเป้าหมาย แทนที่จะเป็นการโจมตีคีย์ส่วนตัวแบบง่ายๆ ที่เกาหลีเหนือเคยพึ่งพาในอดีต

การแฮก Drift Protocol ดูดเงิน 285 ล้านดอลลาร์หลังจากวิศวกรรมสังคมนานหลายเดือน

TRM ระบุว่าการโจมตี Drift มาจากกลุ่มเกาหลีเหนือที่ประเมินว่าแตกต่างจาก TraderTraitor ซึ่งเป็นผู้คุกคามที่เชื่อมโยงกับรัฐเกาหลีเหนือที่รู้จักกันดีว่ามุ่งเป้าไปที่บริษัทคริปโตผ่านวิศวกรรมสังคม กลุ่มย่อยที่เฉพาะเจาะจงยังอยู่ระหว่างการสอบสวน

แคมเปญเริ่มต้นหลายเดือนก่อนการขโมยและเกี่ยวข้องกับการพบปะแบบตัวต่อตัวระหว่างตัวแทนเกาหลีเหนือกับพนักงาน Drift ซึ่ง TRM กล่าวว่าอาจเป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อนในประวัติศาสตร์การแฮกคริปโตของเกาหลีเหนือ การเตรียมการบน on-chain เริ่มต้นเมื่อวันที่ 11 มีนาคมด้วยการถอน ETH 10 จาก Tornado Cash

การโจมตีใช้ประโยชน์จากฟีเจอร์ Solana ที่เรียกว่า durable nonce ซึ่งขยายหน้าต่างความถูกต้องของธุรกรรมที่ลงนามล่วงหน้าจากประมาณ 90 วินาทีเป็นระยะเวลาไม่จำกัด ระหว่างวันที่ 23 ถึง 30 มีนาคม ผู้โจมตีชักจูงผู้ลงนาม multisig ของ Security Council ของ Drift ให้อนุมัติธุรกรรมล่วงหน้าโดยใช้ durable nonces เมื่อวันที่ 27 มีนาคม Drift ได้ย้าย Security Council ไปใช้การกำหนดค่า threshold 2/5 โดยไม่มี timelock ซึ่งผู้โจมตีใช้ประโยชน์ในภายหลัง

ในขณะเดียวกัน ผู้โจมตีได้สร้างโทเค็นที่เรียกว่า CarbonVote Token (CVT) เติม liquidity และพองราคาผ่าน wash trading Oracle ของ Drift ถือว่า CVT เป็นหลักประกันที่ถูกต้องตามกฎหมาย

เมื่อวันที่ 1 เมษายน ธุรกรรมที่ลงนามล่วงหน้าถูกส่งออกไป TRM กล่าวว่ามีการถอนเงิน 31 ครั้งในเวลาประมาณ 12 นาที โดยดูด USDC, JLP (โทเค็น Jupiter liquidity provider) และสินทรัพย์อื่นๆ ออกไป เงินส่วนใหญ่ถูกบริดจ์ไปยัง Ethereum ภายในไม่กี่ชั่วโมงและไม่มีการเคลื่อนไหวตั้งแต่นั้นเป็นต้นมา

KelpDAO สูญเสีย 292 ล้านดอลลาร์ผ่านช่องโหว่ LayerZero แบบ Single-Verifier

การละเมิด KelpDAO เมื่อวันที่ 18 เมษายนมุ่งเป้าไปที่ rsETH LayerZero bridge ของโปรเจกต์บน Ethereum rsETH คือโทเค็น liquid restaking ของ KelpDAO ซึ่งแทนค่า ETH ที่ถูก restake ข้ามหลาย protocol

ตามที่ TRM ระบุ ผู้โจมตีได้โจมตี RPC node ภายใน 2 โหนดและเปลี่ยนซอฟต์แวร์โหนดเพื่อให้รายงานข้อมูล blockchain ที่เป็นเท็จ จากนั้นพวกเขาเปิดการโจมตี DDoS ต่อ RPC node ภายนอกที่ไม่ถูกโจมตี บังคับให้ verifier ของ bridge ล้มเหลวและเปลี่ยนมาใช้ internal node ที่ถูกวางยาทั้งสองโหนด

โหนดที่ถูกวางยารายงานเท็จว่า rsETH ถูกเบิร์นบน source chain แม้ว่าจะไม่มีการเบิร์นเกิดขึ้นจริง verifier เดี่ยวยืนยันข้อความ cross-chain ที่ฉ้อโกงว่าถูกต้อง และผู้โจมตีดูด rsETH ประมาณ 116,500 มูลค่าประมาณ 292 ล้านดอลลาร์ออกจากสัญญา bridge

TRM กล่าวว่าการกำหนดค่า single-DVN (Decentralized Verifier Network) เป็นช่องโหว่ที่สำคัญ LayerZero รองรับการกำหนดค่า verifier อิสระหลายตัวสำหรับการตรวจสอบ cross-chain แต่การใช้งาน rsETH ของ KelpDAO ใช้เฉพาะ LayerZero Labs DVN เท่านั้น เมื่อไม่มี verifier ตัวที่สองที่จำเป็นต้องตกลง แหล่งข้อมูลที่ถูกวางยาเพียงแหล่งเดียวก็เพียงพอแล้ว

TRM ระบุการโจมตีว่ามาจากเกาหลีเหนือโดยอาศัยการวิเคราะห์ on-chain ทั้งการจัดหาเงินทุนล่วงหน้าและการฟอกเงิน ส่วนหนึ่งของเงินทุนเริ่มต้นสืบย้อนไปถึง Bitcoin wallet ปี 2018 ที่ควบคุมโดย Wu Huihui นายหน้าคริปโตชาวจีนที่ถูกฟ้องในปี 2023 ในข้อหาฟอกเงินที่ขโมยโดย Lazarus Group หน่วยแฮกที่เชื่อมโยงกับรัฐเกาหลีเหนือซึ่งอยู่เบื้องหลังการโจมตีคริปโตที่ใหญ่ที่สุดบางส่วนในประวัติศาสตร์ เงินอื่นๆ มาจากการแฮก BTCTurk ซึ่งเป็นการขโมย TraderTraitor ล่าสุดอีกครั้ง

การแฮก Drift และ KelpDAO เผยกลยุทธ์การฟอกคริปโตที่แตกต่างกัน

Drift และ KelpDAO แสดงให้เห็นแนวทางการฟอกเงินที่แตกต่างกันซึ่งขึ้นอยู่กับเงื่อนไขการปฏิบัติการที่แตกต่างกัน

สำหรับ Drift โทเค็นที่ถูกขโมยถูกแปลงเป็น USDC ผ่าน Jupiter บริดจ์ไปยัง Ethereum แลกเปลี่ยนเป็น ETH และกระจายไปยัง wallet ใหม่ เงินไม่มีการเคลื่อนไหวตั้งแต่วันที่ถูกขโมย กลุ่มที่รับผิดชอบปฏิบัติตามรูปแบบที่บันทึกไว้ของเกาหลีเหนือในการถือเงินที่ได้รับเป็นเวลาหลายเดือนหรือหลายปีก่อนที่จะดำเนินการถอนเงินแบบมีโครงสร้าง

KelpDAO ไปในทิศทางตรงกันข้าม แฮกเกอร์ TraderTraitor ทิ้ง ETH ประมาณ 30,766 ไว้บน Arbitrum และ Arbitrum Security Council ใช้อำนาจฉุกเฉินเพื่อแช่แข็งประมาณ 75 ล้านดอลลาร์ของมัน การแช่แข็งทำให้เกิดการวุ่นวายในการฟอกเงินอย่างรวดเร็ว

ETH ที่ไม่ถูกแช่แข็งประมาณ 175 ล้านดอลลาร์ถูกแลกเปลี่ยนเป็น Bitcoin ส่วนใหญ่ผ่าน THORChain ซึ่งเป็น cross-chain liquidity protocol ที่ไม่มีข้อกำหนด KYC Umbra ซึ่งเป็นเครื่องมือความเป็นส่วนตัวของ Ethereum ถูกใช้เพื่อปกปิดการเชื่อมโยง wallet บางส่วนก่อนการแปลง TRM กล่าวว่าระยะการฟอกเงินที่กำลังดำเนินอยู่กำลังถูกจัดการเกือบทั้งหมดโดยตัวกลางชาวจีนแทนที่จะเป็นชาวเกาหลีเหนือเอง

THORChain ประมวลผลรายได้ส่วนใหญ่จากทั้งการละเมิด Bybit ปี 2025 และการแฮก KelpDAO ปี 2026 โดยแปลง ETH ที่ถูกขโมยหลายร้อยล้านดอลลาร์เป็น Bitcoin โดยไม่มีการแทรกแซงจากผู้ดำเนินการ ในปี 2025 เงินที่ขโมยจาก Bybit ส่วนใหญ่ถูกแปลงจาก ETH เป็น BTC ผ่าน THORChain ระหว่างวันที่ 24 กุมภาพันธ์ถึง 2 มีนาคม KelpDAO ทำตามแนวทางเดียวกันในเดือนเมษายน 2026

นักพัฒนาและ validator ของ THORChain กล่าวว่า protocol นี้มีการกระจายอำนาจโดยไม่มีผู้ดำเนินการส่วนกลางและไม่สามารถปฏิเสธธุรกรรมได้ คำแถลงล่าสุดบน X โดยสมาชิกโปรเจกต์แนะนำว่านี่ไม่ใช่ หรือไม่ได้เป็นเช่นนั้นเสมอไป

สิ่งที่ TRM กล่าวว่าทีมการปฏิบัติตามกฎระเบียบควรติดตาม

รายงานระบุลำดับความสำคัญการติดตาม 4 ประการสำหรับตลาดแลกเปลี่ยนและ DeFi protocol

ตลาดแลกเปลี่ยนที่รับกระแสเงิน BTC จาก THORChain pool ควรตรวจสอบกับกลุ่มที่อยู่ KelpDAO และ Lazarus Group ที่รู้จัก การระบุแหล่งที่มาสำหรับที่อยู่ KelpDAO เฉพาะยังคงดำเนินอยู่ และ TRM แนะนำให้ตรวจสอบการฝากเงินอีกครั้งหลังจาก 30 วัน เนื่องจากการระบุแหล่งที่มาสำหรับที่อยู่ที่เชื่อมโยงกับ KelpDAO ยังคงอยู่ระหว่างการสรุป

Protocol ที่ใช้ Solana Security Council multisig พร้อมการอนุมัติ durable nonce ควรถือว่าเหตุการณ์ Drift เป็นการโจมตีต้นแบบที่จะถูกจำลองแบบ เนื่องจากมุ่งเป้าไปที่โครงสร้างพื้นฐานการกำกับดูแลแทนที่จะเป็น application logic

การตรวจสอบที่อยู่ hop แรกเพียงอย่างเดียวจะไม่สามารถตรวจจับเงินที่ผ่าน wallet ตัวกลางก่อนถึงตลาดแลกเปลี่ยนได้ ทั้ง KelpDAO และ Bybit ต่างเกี่ยวข้องกับโครงสร้างพื้นฐาน bridge หรือ cross-chain และ TRM กล่าวว่าจำเป็นต้องใช้การวิเคราะห์ multi-hop

TRM ยังชี้ไปที่ Beacon Network ของตน ซึ่งมีสมาชิกมากกว่า 30 ราย รวมถึง Coinbase, Binance, Kraken, OKX และ Crypto.com และติดตามที่อยู่ผู้โจมตีที่ถูกตั้งค่าสถานะโดยอัตโนมัติแบบเรียลไทม์เมื่อเงินที่เชื่อมโยงกับเกาหลีเหนือเข้าถึงสถาบันที่เข้าร่วม