การโจมตี DeFi ครั้งใหญ่ที่สุดของปีเริ่มต้นจากงานเน็ตเวิร์กที่มีเครื่องดื่มฟรี — Drift Protocol เปิดเผยเมื่อวันที่ 5 เม.ย. ว่า การแฮ็กเมื่อ 1 เม.ย. เป็นผลจากปฏิบัติการข่าวกรองยาวนาน 6 เดือน ซึ่งขณะนี้ถูกเชื่อมโยงด้วยระดับความมั่นใจปานกลางถึงสูงกับกลุ่มปฏิบัติการที่เกี่ยวข้องกับรัฐเกาหลีเหนือ
รายละเอียดการโจมตี Drift Protocol
การแทรกซึม เริ่มต้น ในช่วงฤดูใบไม้ร่วงปี 2025 เมื่อกลุ่มหนึ่งปลอมตัวเป็นบริษัทเทรดเชิงปริมาณ เข้ามาติดต่อผู้มีส่วนร่วมของ Drift ที่งานประชุมคริปโตขนาดใหญ่ ตลอดหลายเดือนถัดมา พวกเขาพบปะสมาชิกทีมแบบตัวต่อตัวในงานอุตสาหกรรมหลายงานทั่วหลายประเทศ
พวกเขาฝากเงินทุนของตัวเองมากกว่า 1 ล้านดอลลาร์เข้าไปใน Ecosystem Vault
พวกเขาถามคำถามเชิงลึกเกี่ยวกับตัวผลิตภัณฑ์ในหลายเซสชันการทำงาน สร้างภาพให้เห็นว่าเป็นปฏิบัติการเทรดที่ถูกต้องตามกฎหมายภายในโครงสร้างพื้นฐานของ Drift
ระหว่างเดือนธ.ค. 2025 ถึงมี.ค. 2026 กลุ่มนี้ยิ่งกระชับความสัมพันธ์ผ่านการผสานรวมกับวอลต์ และยังคงพบปะกันแบบตัวต่อตัวตามงานประชุมต่อเนื่อง ผู้ร่วมพัฒนาไม่มีเหตุให้สงสัย — เมื่อถึงเวลาถูกโจมตี ความสัมพันธ์นี้ยืนยาวเกือบครึ่งปีแล้ว รวมถึงมีประวัติการทำงานที่ผ่านการยืนยัน การสนทนาด้านเทคนิคเชิงลึก และสถานะ on-chain ที่ทำงานจริง
เมื่อการโจมตีเกิดขึ้นในวันที่ 1 เม.ย. แชตใน Telegram ของกลุ่มและซอฟต์แวร์อันตรายถูกลบเกลี้ยง การวิเคราะห์ทางนิติดิจิทัลพบเวกเตอร์การเจาะที่เป็นไปได้สองทาง: รีโพสิทอรีโค้ดอันตรายที่แชร์ภายใต้ข้ออ้างว่าจะใช้ดีพลอยหน้าเว็บของวอลต์ และแอป TestFlight ที่เสนอว่าเป็นกระเป๋าเงินของกลุ่ม
ช่องโหว่ที่รู้จักในตัวแก้ไขโค้ด VSCode และ Cursor ซึ่งถูกชุมชนด้านความปลอดภัยเตือนอย่างต่อเนื่องตั้งแต่ธ.ค. 2025 ถึงก.พ. 2026 อาจเปิดทางให้รันโค้ดได้อย่างเงียบๆ เพียงแค่เปิดไฟล์
ฟังก์ชันที่เหลือทั้งหมดของโปรโตคอลถูกระงับ และกระเป๋าเงินที่ถูกเจาะถูกถอดออกจาก multisig แล้ว Mandiant ถูกว่าจ้างให้ดำเนินการสืบสวน และกระเป๋าเงินของผู้โจมตีถูกตั้งธงเตือนในเว็บเทรดและผู้ให้บริการบริดจ์ต่างๆ
อ่านเพิ่มเติม: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
ต้องสงสัยเป็นกลุ่มปฏิบัติการเกาหลีเหนือ
การสืบสวนโดยทีม SEALS 911 ประเมินด้วยระดับความมั่นใจปานกลางถึงสูงว่าปฏิบัติการนี้ดำเนินการโดยกลุ่มผู้โจมตีเดียวกับที่อยู่เบื้องหลังการแฮ็ก Radiant Capital เมื่อเดือนต.ค. 2024
ก่อนหน้านี้ Mandiant ระบุว่าการโจมตีนั้นเป็นฝีมือของ UNC4736 กลุ่มที่เกี่ยวข้องกับรัฐเกาหลีเหนือ ซึ่งยังถูกติดตามในชื่อ AppleJeus หรือ Citrine Sleet
ความเชื่อมโยงอ้างอิงทั้งจากหลักฐานบนเชนและรูปแบบการปฏิบัติการ
การไหลของเงินที่ใช้เตรียมและทดสอบปฏิบัติการโจมตี Drift สามารถย้อนรอยไปถึงผู้โจมตี Radiant และตัวตนที่ถูกใช้ในแคมเปญนี้ซ้อนทับกับกิจกรรมที่เชื่อมโยงกับ DPRK ที่รู้จัก โดยเฉพาะบุคคลที่ปรากฏตัวแบบพบหน้ากันไม่ใช่ชาวเกาหลีเหนือ — กลุ่มปฏิบัติการ DPRK ระดับนี้มักใช้ตัวกลางบุคคลที่สามสำหรับการพบปะตัวต่อตัว
อ่านถัดไป: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline