หน่วยงานทางการของเกาหลีใต้กำลังสอบสวนว่ากลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนืออยู่เบื้องหลังการเจาะระบบมูลค่า 36 ล้านดอลลาร์ที่กระดานเทรดคริปโตรายใหญ่ที่สุดของประเทศหรือไม่ โดยการโจมตีนี้เกิดขึ้นตรงกับวาระครบรอบหกปีของเหตุโจมตีด้านความปลอดภัยครั้งใหญ่ครั้งก่อนซึ่งถูกระบุว่าเป็นฝีมือของกลุ่มรัฐหนุนหลังกลุ่มเดียวกัน
Upbit ระงับการฝากและถอนในวันพฤหัสบดีหลังตรวจพบการโอนสินทรัพย์บนเครือข่าย Solana จากฮอตวอลเล็ตไปยังกระเป๋าภายนอกที่ไม่ทราบตัวตนเป็นมูลค่าประมาณ 44.5 พันล้านวอน (36 ล้านดอลลาร์)
เหตุละเมิดเกิดขึ้นเวลา 4:42 น. ตามเวลาท้องถิ่นของวันที่ 27 พฤศจิกายน ส่งผลให้ต้องประกาศภาวะฉุกเฉินและสั่ง freeze การทำธุรกรรมทุกประเภทบนแพลตฟอร์มในทันที
แหล่งข่าวจากภาครัฐและอุตสาหกรรมให้ข้อมูลกับสำนักข่าวยอนฮัปว่า จากการวิเคราะห์เส้นทางกระเป๋าเงินและเวกเตอร์การเจาะระบบ ขณะนี้มีข้อสงสัยว่าผู้โจมตีอาจเจาะบัญชีผู้ดูแลระบบได้สำเร็จ หรือสวมรอยเป็นเจ้าหน้าที่ภายในเพื่อสั่งโอนเงิน ซึ่งเป็นยุทธวิธีที่คล้ายคลึงกับเหตุการณ์ปี 2019 ที่มีการขโมย ETH จำนวน 342,000 เหรียญ มูลค่า 50 ล้านดอลลาร์ โดยภายหลังถูกโยงกับกลุ่ม Lazarus และกลุ่มในเครือของเกาหลีเหนือ Andariel
เกิดอะไรขึ้น
การโจมตีครั้งนี้ส่งผลกระทบต่อโทเคนในระบบนิเวศ Solana กว่า 20 รายการ รวมถึง SOL, USDC, BONK, Jupiter, Raydium, Render, Orca และ Pyth Network ผู้ให้บริการกระดานเทรด Dunamu ซึ่งเป็นผู้ดำเนินงาน Upbit ยืนยันการถอนเงินที่ไม่ได้รับอนุญาต และให้คำมั่นว่าจะชดใช้ความเสียหายให้ลูกค้าทั้งหมดจาก reserves ของบริษัทเอง ตามกฎหมายคุ้มครองผู้ใช้คริปโตของเกาหลีใต้ บริษัทระบุว่ามีเงินสำรองสำหรับกรณีถูกแฮ็กหรือระบบล้มเหลวอยู่ 67 พันล้านวอน ณ เดือนกันยายน
“เราได้ระบุจำนวนทรัพย์สินดิจิทัลที่รั่วไหลออกไปอย่างชัดเจนแล้ว และเราจะชดเชยความเสียหายทั้งหมดด้วยทรัพย์สินของ Upbit เอง เพื่อไม่ให้ลูกค้าได้รับผลกระทบใด ๆ” โอ คยองซอก ซีอีโอของ Dunamu กล่าวในแถลงการณ์ กระดานเทรดย้ายทรัพย์สินที่เหลือไปเก็บไว้ในคอลด์วอลเล็ตเพื่อป้องกันการถอน เพิ่มเติมระหว่างที่ทีมตรวจพิสูจน์หลักฐานเข้าตรวจสอบ
Upbit สามารถแช่แข็งโทเคน Solayer มูล่าประมาณ 2.3 พันล้านวอน (1.6 ล้านดอลลาร์) ผ่านมาตรการบนเชน และกำลังประสานงานกับผู้ออกโทเคนเพื่อแช่แข็งทรัพย์สินที่ตรวจสอบย้อนรอยได้เพิ่มเติม บริษัทวิเคราะห์บล็อกเชนพบการโอนเงินอย่างรวดเร็วข้ามหลายกระเป๋าและกิจกรรมการผสมเหรียญที่มีลักษณะสอดคล้องกับรูปแบบการฟอกเงินของ Lazarus ในอดีต ตามข้อมูลของเจ้าหน้าที่ด้านความปลอดภัย
“แทนที่จะโจมตีเซิร์ฟเวอร์โดยตรง เป็นไปได้ว่าฮากเกอร์ได้เจาะบัญชีของผู้ดูแลระบบ หรือสวมรอยเป็นผู้ดูแลระบบเพื่อสั่งโอนเงิน” เจ้าหน้าที่รัฐบาลรายหนึ่งให้สัมภาษณ์กับยอนฮัป แนวทางดังกล่าวชี้ให้เห็นถึงการเจาะและควบคุมบัญชีเป้าหมาย มากกว่าการโจมตีโครงสร้างพื้นฐานของ Upbit โดยตรง ซึ่งยิ่งทำให้เหตุการณ์นี้ถูกเปรียบเทียบกับปฏิบัติการของ Lazarus ครั้งก่อน ๆ
หน่วยงานกำกับดูแลจากกระทรวงวิทยาศาสตร์และไอซีที คณะกรรมการบริการการเงิน และหน่วยงานกำกับอื่น ๆ ได้เข้าตรวจสอบระบบของ Upbit ณ สถานที่จริง โดยมุ่งเน้นไปที่การจัดการกุญแจของฮอตวอลเล็ตและsecurity ของระบบเครือข่ายภายใน กระดานเทรดระบุว่ากำลังทบทวนระบบฝากถอนสินทรัพย์ดิจิทัลทั้งหมดอย่างละเอียด และจะทยอยกลับมาให้บริการเมื่อยืนยันมาตรการความปลอดภัยแล้ว
บริษัทด้านความปลอดภัยบล็อกเชน CertiK ระบุว่า ความเร็วและขนาดของการถอนมีลักษณะคล้ายกับการโจมตีที่เกี่ยวข้องกับ Lazarus ก่อนหน้านี้ แม้ว่าขณะนี้จะยังไม่พบหลักฐานบนเชนที่ชัดเจน บริษัทติดตามเส้นทางเงินจากที่อยู่ผู้โจมตีกว่า 100 แอดเดรสบนเครือข่าย Solana และยังคงเฝ้าดูความเคลื่อนไหวเพื่อเชื่อมโยงไปยังเครือข่ายฟอกเงินที่เกี่ยวโยงกับ Lazarus
จังหวะเวลาของการโจมตีทำให้เกิดการคาดเดาเกี่ยวกับแรงจูงใจของแฮ็กเกอร์ การเจาะระบบเกิดในวันเดียวกับที่ Naver Financial บริษัทลูกของยักษ์ใหญ่อินเทอร์เน็ต Naver ประกาศดีลสวอปหุ้นมูลค่า 10.3 พันล้านดอลลาร์เพื่อซื้อหุ้นทั้งหมดของ Dunamu ดีลดังกล่าวจะทำให้ Dunamu กลายเป็นบริษัทย่อยที่ Naver ถือหุ้นทั้งหมด และเป็นหนึ่งในดีลใหญ่ที่สุดในอุตสาหกรรมคริปโตของเกาหลีใต้
“แฮ็กเกอร์มักมีความต้องการโชว์ผลงานอย่างแรงกล้า” ผู้เชี่ยวชาญด้านความปลอดภัยคนหนึ่งกล่าวกับยอนฮัป โดยประเมินว่าผู้โจมตีอาจจงใจเลือกวันที่ 27 พฤศจิกายนเพื่อดึงความสนใจในช่วงที่มีการประกาศดีลควบรวมครั้งใหญ่ดังกล่าว วันที่นี้ยังตรงกับวาระครบรอบหกปีของเหตุแฮ็ก Upbit ปี 2019 แบบวันต่อวันอีกด้วย day
Also read: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
ทำไมเรื่องนี้จึงสำคัญ
การโจมตี Upbit กลายเป็นอีกหนึ่งเหตุการณ์ใหญ่ในปีที่สถิติการเจาะระบบคริปโตทำสถิติสูงสุด ความเสียหายจากการแฮ็กและช่องโหว่ต่าง ๆ ทะลุ 2.4 พันล้านดอลลาร์ในปี 2025 โดยเหตุโจมตีมูลค่า 1.5 พันล้านดอลลาร์ที่กระดานเทรด Bybit ในเดือนกุมภาพันธ์เป็นเหตุหลักที่ดันตัวเลขรวม Bybit ยังถูกระบุว่าเป็นอีกหนึ่งการโจมตีครั้งใหญ่ที่เชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ
ตามข้อมูลของบริษัทด้านความปลอดภัยบล็อกเชน CertiK ช่วงครึ่งแรกของปี 2025 มีความเสียหายจากการแฮ็ก กลโกง และการโจมตีช่องโหว่รวม 2.47 พันล้านดอลลาร์ เพิ่มขึ้นราว 3% จากยอดเงินที่ถูกขโมยตลอดทั้งปี 2024 ที่ 2.4 พันล้านดอลลาร์ การเจาะกระเป๋าเงินกลายเป็นเวกเตอร์การโจมตีที่มีต้นทุนแพงที่สุด โดยมีเม็ดเงินสูญหายกว่า 1.7 พันล้านดอลลาร์จาก 34 เหตุการณ์ ขณะที่การโจมตีด้วยฟิชชิงคิดเป็นจำนวนเหตุละเมิดมากที่สุด 132 ครั้ง และสร้างความเสียหาย 410 ล้านดอลลาร์
กลุ่ม Lazarus ใช้ยุทธวิธีหลากหลายรูปแบบ ตั้งแต่การเจาะกระดานเทรด ไปจนถึงการโจมตีซัพพลายเชนและสภาพแวดล้อมของนักพัฒนา กลุ่มดังกล่าวใช้มัลแวร์เฉพาะกิจ การล่อเหยื่อด้วยโซเชียลเอนจิเนียร์ และโครงสร้างพื้นฐานสำหรับฟอกเงินขนาดใหญ่ โดยส่งเงินคริปโตที่ขโมยมาเข้าสู่มิกเซอร์และสะพานข้ามเชนต่าง ๆ ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่า เกาหลีเหนือซึ่งเผชิญปัญหาขาดแคลนเงินตราต่างประเทศ ใช้คริปโตที่ขโมยมาสนับสนุนกิจกรรมของรัฐบาล
ในเหตุโจมตี Upbit ปี 2019 ผู้สอบสวนสรุปว่า กว่า 절ครึ่งหนึ่งของ ETH ที่ถูกขโมยถูกฟอกผ่านบัญชีกระดานเทรดซึ่งเปิดด้วยตัวตนปลอม โดยใช้วิธีที่เป็นแบบฉบับของ Lazarus เช่น การเด้งกระเป๋าเงิน (wallet hopping) และการผสมเหรียญ กลุ่มนี้เคยโจมตีแพลตฟอร์มคริปโตเพื่อสร้างผลกระทบและกระแสให้ได้มากที่สุด บ่งชี้ว่าแต่ละปฏิบัติการอาจถูกวางแผนให้ตรงกับช่วงเวลาที่สังคมจับตามองมากเป็นพิเศษ
“เป็นวิธีมาตรฐานของพวกเขาที่จะแยกเหรียญออกไปหลายเครือข่ายเพื่อทำให้การติดตามเป็นเรื่องยากขึ้น” เจ้าหน้าที่ความปลอดภัยรายหนึ่งกล่าว ผู้ให้บริการวิเคราะห์บล็อกเชน Dethective รายงานว่ากระเป๋าเงินที่เชื่อมโยงกับผู้โจมตีที่สงสัยว่าเกี่ยวข้องได้เริ่มเคลื่อนย้ายเงินแล้ว แสดงให้เห็นว่ากระบวนการฟอกเงินเริ่มต้นขึ้นแล้ว
เหตุเจาะระบบที่ Upbit ยังสะท้อนให้เห็นถึงจุดอ่อนเรื้อรังของโครงสร้างพื้นฐานฮอตวอลเล็ตที่ต้องเชื่อมต่อออนไลน์เพื่อวัตถุประสงค์เชิงปฏิบัติการ แม้ว่าคอลด์วอลเล็ตที่เก็บสินทรัพย์ส่วนใหญ่ของกระดานเทรดจะปลอดภัย แต่ฮอตวอลเล็ตซึ่งใช้สำหรับการเทรดและถอนแบบเรียลไทม์ยังคงเป็นเป้าหมายที่ดึงดูดสำหรับผู้โจมตีระดับสูง แม้แต่แพลตฟอร์มที่เปิดให้บริการมานานและผ่านการตรวจสอบความปลอดภัยหลายครั้งก็ยังไม่รอด เช่น เหตุแฮ็กโปรโตคอล Balancer มูลค่า 128 ล้านดอลลาร์ในเดือนพฤศจิกายน ที่ชี้ให้เห็นถึงความกว้างขวางของภูมิทัศน์ภัยคุกคาม
ความสามารถของ Upbit ในการชดใช้ความเสียหายให้ลูกค้าจากเงินสำรองปฏิบัติการช่วยสร้างความอุ่นใจได้ระดับหนึ่ง แต่เหตุการณ์นี้ถือเป็นความเสียหายทางการเงินโดยตรงที่มีนัยสำคัญต่อ Upbit และ Dunamu ในช่วงที่กำลังเดินหน้าการควบรวมกับ Naver Financial ดีลนี้ถูกวางให้เป็นกลยุทธ์ระยะยาวในการลงทุน 10 ล้านล้านวอนในช่วงห้าปี เพื่อพัฒนาโครงสร้างพื้นฐานด้านเอไอและเทคโนโลยี Web3 ในเกาหลีใต้ การถูกแฮ็กเพียงไม่กี่ชั่วโมงหลังการประกาศดีลสร้างภาพลักษณ์ที่น่าอึดอัดให้กับองค์กรใหม่
หน่วยงานทางการยังคงติดตามเส้นทางทรัพย์สินที่ถูกขโมยผ่านการวิเคราะห์บล็อกเชน ควบคู่กับการตรวจสอบเชิงนิติวิทยาศาสตร์ต่อโครงสร้างความปลอดภัยของ Upbit กระดานเทรดยังไม่ได้ระบุกรอบเวลาชัดเจนสำหรับการกลับมาเปิดให้บริการฝากถอนอีกครั้ง แม้ว่าการตรวจสอบความปลอดภัยหลังเหตุการณ์ใหญ่ระดับนี้มักใช้เวลาหลายวันหรือมากกว่านั้น ขึ้นอยู่กับผลการตรวจ
Read next: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users