มีรัฐชาติหนึ่งที่กวาดเอาเงินที่ถูกขโมยจากระบบนิเวศคริปโตทั่วโลกในครึ่งแรกของปี 2026 ไปถึงสองในสามของทุก ๆ ดอลลาร์
นี่ไม่ใช่ความคลาดเคลื่อนระดับปัดตัวเลข และก็ไม่ใช่ผลจากการปล้นครั้งใหญ่ครั้งเดียว
แต่มันคือผลลัพธ์ของปฏิบัติการแฮ็กเชิงอุตสาหกรรมที่ต่อเนื่องยาวนาน — ที่ใช้เวลาปรับแต่งวิธีการมาราวหนึ่งทศวรรษ และตอนนี้เหนือกว่าภัยคุกคามทุกรายอื่นรวมกันในระบบนิเวศนี้
ขนาดของมันน่าตกตะลึง แม้เทียบกับมาตรฐานอาชญากรรมในโลกคริปโต ซึ่งไม่เคยขาดตัวเลขที่น่าตกใจอยู่แล้ว
กลุ่มที่เชื่อมโยงกับเกาหลีเหนือ มีสัดส่วน 66.2% ของความสูญเสียจากการแฮ็กสินทรัพย์ดิจิทัลทั่วโลกใน H1 2026 ตามตัวเลขที่นักวิจัยด้านความปลอดภัยบล็อกเชนเผยแพร่ในสัปดาห์นี้
การที่ความสูญเสียกระจุกตัวในคลัสเตอร์ภัยคุกคามเดียวเช่นนี้ สะท้อนการเปลี่ยนเชิงคุณภาพของโปรไฟล์ความเสี่ยงของทั้งอุตสาหกรรม และมันเกิดขึ้นในจังหวะที่เงินทุนสถาบันกำลังไหลเข้าสู่คริปโตด้วยอัตราเร็วที่สุดนับจากปี 2021
TL;DR
- แฮ็กเกอร์ที่เชื่อมโยงกับเกาหลีเหนือกวาด 66.2% ของความสูญเสียจากการแฮ็กคริปโตทั้งหมดในครึ่งแรกของปี 2026 ถือเป็นจุดสูงสุดใหม่ของการกระจุกตัวของการขโมยคริปโตที่รัฐหนุนหลัง
- กลุ่ม Lazarus และหน่วยงาน DPRK ที่เกี่ยวข้องพัฒนาจากการแฮ็กเว็บเทรดแบบฉวยโอกาส สู่ปฏิบัติการที่มีโครงสร้างสูง เจาะโปรโตคอล DeFi บริดจ์ข้ามเชน และหลอกวิศวกร/นักพัฒนาด้วย social engineering
- เงินเหล่านี้ถูกใช้สนับสนุนโครงการอาวุธของเกาหลีเหนือโดยตรง ทำให้ความปลอดภัยของคริปโตกลายเป็นประเด็นภูมิรัฐศาสตร์ที่หน่วยงานกำกับในวอชิงตัน บรัสเซลส์ และโซลเร่งให้ความสำคัญ
ตัวเลข 66% และสิ่งที่มันวัดจริง ๆ
ก่อนจะไปถึงภาพเชิงยุทธศาสตร์ วิธีการคำนวณตัวเลขนี้ควรถูกพิจารณาอย่างละเอียด
ตัวเลข 66.2% หมายถึงสัดส่วนของความสูญเสียจากการแฮ็กคริปโตที่ได้รับการยืนยันทั้งหมด ซึ่งถูกโยงกลับไปยังกระเป๋าเงินที่เชื่อมโยงกับ DPRK ใน H1 2026 — จากการวิเคราะห์ on-chain ที่ไล่เส้นทางเงินตั้งแต่จุดที่ถูกขโมย ผ่านการใช้มิกเซอร์ ไปจนถึงขั้นตอน cash out สุดท้าย
Chainalysis ซึ่งเผยแพร่ข้อมูลเชิงเวลาที่ยาวต่อเนื่องเกี่ยวกับอาชญากรรมคริปโตอย่างครอบคลุมที่สุด รายงาน ในรายงานอาชญากรรมปี 2024 ว่ากลุ่มที่เชื่อมโยงกับเกาหลีเหนือขโมยไปประมาณ 1.34 พันล้านดอลลาร์ จาก 47 เหตุการณ์ในปี 2023 หรือคิดเป็น 61% ของมูลค่าการขโมยทั้งหมดในปีนั้น
ตัวเลข H1 2026 สะท้อนการกระจุกตัวที่มากขึ้นอีก แปลว่าช่องว่างระหว่างศักยภาพของ DPRK กับผู้ก่อภัยคุกคามรายอื่นกำลังถ่างออก ไม่ใช่แคบลง
สัดส่วน 66.2% นี้คือระดับการกระจุกตัวของการขโมยสินทรัพย์ดิจิทัลโดยรัฐที่สูงที่สุดเท่าที่เคยบันทึกได้ในช่วงเวลา 6 เดือนเดียว
สิ่งสำคัญคือ ต้องเข้าใจด้วยว่าตัวเลข 66% นี้ “ไม่” ได้นับอะไรบ้าง
มันไม่รวม exit scam, rug pull และการฉ้อโกงทั่วไป — ซึ่ง Chainalysis มักจัดกลุ่มแยกออกจากการแฮ็ก ตัวส่วนของการคำนวณคือ “เฉพาะ” ความสูญเสียจากการแฮ็กที่ได้รับการยืนยันเท่านั้น
ถ้ารวมอาชญากรรมคริปโตทุกประเภท สัดส่วนของ DPRK จะลดลง แต่ตัวเลขมูลค่าเงินดอลลาร์ที่ถูกขโมยจริงจะไม่ลดลง
อ่านเพิ่มเติม: XRP Spot Demand Rises While Binance Perps Flash A $783M Warning
กลุ่ม Lazarus กลายเป็นมหาอำนาจด้านคริปโตได้อย่างไร
Lazarus Group — ชื่อรวมที่หน่วยข่าวกรองสหรัฐและนักวิจัยเอกชนใช้เรียกหน่วยไซเบอร์ DPRK ที่มีขีดความสามารถสูงสุด — ไม่ได้เริ่มต้นจากการโฟกัสคริปโต
โปรไฟล์ช่วงแรกคือการโจมตีทำลายล้าง การปล้นธนาคารผ่านการเจาะเครือข่าย SWIFT และแรนซัมแวร์
การหันมาจับคริปโตเกิดขึ้นอย่างค่อยเป็นค่อยไป เริ่มจริงจังราวปี 2017 เมื่อกลุ่มนี้ โจมตี เว็บเทรดในเกาหลีใต้ — แล้วเร่งระดับอย่างรุนแรงหลังการเจาะเครือข่าย Ronin Network ในปี 2022
การแฮ็ก Ronin ที่ Lazarus Group ขโมย เงินราว 625 ล้านดอลลาร์จากไซด์เชนของ Axie Infinity คือจุดเปลี่ยนเชิงยุทธศาสตร์
เหตุการณ์นั้นแสดงให้เห็นว่าโครงสร้างพื้นฐาน DeFi — ด้วยความซับซ้อนของสมาร์ตคอนแทรกต์ การพึ่งพาบริดจ์ข้ามเชน และช่องโหว่จากการหลอกวิศวกร/นักพัฒนาผ่าน social engineering — ให้พื้นผิวการโจมตีที่ทำกำไรได้มากกว่ามากเมื่อเทียบกับเว็บเทรดรวมศูนย์ซึ่งแข็งแกร่งขึ้นมากหลังทศวรรษของการถูกแฮ็ก
การขโมย 625 ล้านดอลลาร์ในเดือนมีนาคม 2022 ยังคงเป็นการแฮ็ก DeFi ครั้งใหญ่ที่สุดที่เคยมี และมันกลายเป็นต้นแบบเชิงปฏิบัติการให้กับแคมเปญคริปโตของ DPRK ถัดมา
นับจาก 2022 กลุ่มนี้ค่อย ๆ ขัดเกลาเวกเตอร์การโจมตีหลักสามแบบอย่างเป็นระบบ
แบบแรกคือการขโมยข้อมูลยืนยันตัวตนของนักพัฒนา — มักใช้ข้อเสนอสมัครงานปลอมบน LinkedIn เป็นเหยื่อ ซึ่งเมื่อลงไฟล์หรือรัน repo แล้วจะติดตั้งมัลแวร์
แบบที่สองคือการโจมตีบริดจ์ข้ามเชน โดยเจาะตรรกะของสมาร์ตคอนแทรกต์ที่ใช้ตรวจสอบการโอนสินทรัพย์ข้ามเครือข่าย
แบบที่สามคือการโจมตีห่วงโซ่อุปทาน (supply chain) กับ dependency ซอฟต์แวร์ที่โปรโตคอลคริปโตใช้ — เทคนิคที่เริ่มใช้กันมานานในไซเบอร์ซีเคียวริตี้สายดั้งเดิม และตอนนี้ถูกดัดแปลงมาใช้กับเป้าหมายบนบล็อกเชน
อ่านเพิ่มเติม: Eng Vs Ind Is No Longer Just Cricket For Prediction Market Traders
โปรไฟล์เป้าหมายขยับจากเว็บเทรดสู่ DeFi
ประวัติช่วงแรกของการแฮ็กคริปโตครั้งใหญ่ถูกเขียนขึ้นจากการเจาะเว็บเทรดรวมศูนย์ เช่น Mt. Gox ในปี 2014, Bitfinex ในปี 2016, Coincheck ในปี 2018 การโจมตีเหล่านี้อาศัยการเจาะโครงสร้าง hot wallet ช่องโหว่ API หรือการซื้อตัวคนใน ผู้ลงมือมักเป็นกลุ่มอาชญากรเชิงฉวยโอกาส ไม่ใช่รัฐที่มีทรัพยากรหนุนหลัง
คู่มือปฏิบัติของ DPRK ในปัจจุบันแตกต่างจากนั้นโดยสิ้นเชิง TRM Labs ในรายงาน 2024 Crypto Threat Intelligence พบว่าสัดส่วนการขโมยคริปโตของ DPRK ที่มาจากการเจาะโปรโตคอล DeFi (แทนที่จะเป็นเว็บเทรดรวมศูนย์) เพิ่มจากราว 30% ในปี 2021 เป็นมากกว่า 70% ภายในปี 2024 การเปลี่ยนแปลงนี้เคลื่อนไปในทิศทางเดียวกับการเติบโตของสภาพคล่องบนเชน
มูลค่ารวมที่ถูกล็อก (TVL) ในโปรโตคอล DeFi ทั่วโลกเคยพุ่งเกิน 180 พันล้านดอลลาร์ในปลายปี 2021 จากนั้นร่วงแรงตามตลาดหมีปี 2022 และตั้งแต่นั้นมาก็ค่อย ๆ ฟื้นตัวสู่ระดับที่กลับมาดึงดูดผู้โจมตีอีกครั้ง ข้อมูลจาก DefiLlama (https://defillama.com/) ณ กลางปี 2026 แสดงให้เห็นว่า TVL ของ DeFi รวมทุกเชนอยู่เหนือ 110 พันล้านดอลลาร์ โดยบริดจ์ข้ามเชนควบคุมส่วนแบ่งมูลค่าที่กระจุกตัวในพูลขนาดใหญ่เกินสัดส่วน
สัญญาบริดจ์ DeFi คือเป้าหมายเชิงโครงสร้างที่ดึงดูดผู้โจมตีที่มีความสามารถสูง เพราะมันรวบรวมสภาพคล่องจำนวนมากไว้ในสมาร์ตคอนแทรกต์เดียว ขณะเดียวกันต้องพึ่งตรรกะการตรวจสอบข้อความข้ามเชนที่ซับซ้อนและตรวจสอบให้รอบด้านได้ยาก
บริดจ์ข้ามเชนกลายเป็นหมกมุ่นเฉพาะทางของหน่วย DPRK เพราะภูมิทัศน์ความเสี่ยงที่ไม่เหมือนใคร สัญญาบริดจ์ต้องเชื่อคำยืนยันจากเชนปลายทางที่มันตรวจสอบโดยตรงไม่ได้ ตรรกะการตรวจสอบจึงซับซ้อน มักใช้คณะ multi-signature หรือ light client proof ซึ่งทั้งสองแนวทางสร้างสมมติฐานที่เจาะได้ สะพาน Ronin ใช้ multisig 9 จาก 9 ที่ถูกลดประสิทธิภาพลงเหลือเกณฑ์ 5 จาก 9 ผ่าน social engineering และเมื่อผู้โจมตีได้ 5 ลายเซ็น ก็สามารถอนุมัติธุรกรรมถอนเงินที่ดูดเงินออกจากบริดจ์ได้
อ่านเพิ่มเติม: Is Fable 5 Worth Double The Price When Opus 4.8 Still Delivers?
เวกเตอร์ข้อเสนอรับเข้าทำงานปลอม และการเจาะนักพัฒนา
องค์ประกอบที่สม่ำเสมอและถูกประเมินค่าต่ำที่สุดของแคมเปญ DPRK ใน H1 2026 คือโครงสร้าง social engineering ที่เจาะเป้าหมายเป็นนักพัฒนาและทีมงานโปรโตคอลรายบุคคล นี่ไม่ใช่ “แฮ็กเชิงเทคนิค” ในความหมายดั้งเดิม แต่คือปฏิบัติการข่าวกรองที่ใช้ความสัมพันธ์ระยะยาว ซึ่งลงเอยด้วยการรันโค้ดที่ผู้โจมตีเตรียมไว้
คู่มือพื้นฐานซึ่งมีการบันทึกอย่างละเอียดโดย Mandiant ในรายงาน APT38 financial threat analysis และโดย Cybersecurity and Infrastructure Security Agency ของสหรัฐใน CISA Alert AA22-108A คือ ให้ปฏิบัติการ DPRK สร้างโปรไฟล์อาชีพที่น่าเชื่อถือบน LinkedIn โดยมักใช้รูปโปรไฟล์ที่สร้างด้วย AI จากนั้นทักนักพัฒนาที่ทำงานกับโปรโตคอลคริปโต เสนอทั้งงานสัญญาจ้าง สัมภาษณ์งาน หรือโอกาสรีวิวโค้ด
ในบางกรณีที่ถูกบันทึกไว้ ปฏิบัติการ DPRK รักษาความสัมพันธ์บน LinkedIn กับเป้าหมายนักพัฒนาคริปโตยาวนานหลายสัปดาห์หรือหลายเดือน ก่อนจะส่งเพย์โหลดมัลแวร์ พร้อมสร้างความไว้วางใจด้วยการสนทนาทางเทคนิคที่น่าเชื่อเกี่ยวกับโค้ดเบสของเป้าหมายโดยเฉพาะ
เมื่อเหย้ื่เริ่มตอบรับ ผู้โจมตีก็จะส่งไฟล์ที่ต้องถูกเปิดหรือรันในที่สุด อาจเป็น PDF ที่ฝังเพย์โหลด repo บน GitHub ที่มี dependency อันตราย หรือแบบทดสอบเชิงเทคนิคปลอมที่ติดตั้ง backdoor เมื่อได้ foothold บนเครื่องของนักพัฒนาแล้ว ผู้โจมตีสามารถดึง private key โทเคนเซสชันสำหรับระบบภายใน และข้อมูลยืนยันตัวตนสำหรับโครงสร้างคลาวด์ที่ใช้ดีพลอยโปรโตคอลได้
ความซับซ้อนของ tradecraft แบบนี้สะท้อนการลงทุนเชิงสถาบันในการพัฒนาขีดความสามารถที่กลุ่มอาชญากรเอกชนทั่วไปไม่อาจเทียบได้ หน่วยไซเบอร์ DPRK คือพนักงานของรัฐที่ฝึกเต็มเวลา ทำงานภายใต้วินัยด้าน operational security และมีองค์ความรู้สั่งสมมาหลายปีว่าโปรโตคอลใดเปราะบางที่สุด และนักพัฒนากลุ่มไหนเข้าถึงง่ายที่สุด
อ่านเพิ่มเติม: TeraWulf Stock Jumps As Anthropic Deal Recasts Bitcoin Miner In $19B AI Pivot
โครงสร้างฟอกเงินที่อยู่เบื้องหลังตัวเลขการขโมย
การขโมยคริปโตเป็นเพียงก้าวแรก การเปลี่ยนให้เป็นรายได้ที่ระบอบสามารถใช้จริงต้องอาศัยห่วงโซ่การฟอกเงินที่ซับซ้อน ซึ่งตัวมันเองกลายเป็นหัวข้อวิจัยบนเชนอย่างเข้มข้น การเคลื่อนย้ายเงินหลังการขโมยนี่เองที่นักสืบสามารถเชื่อมโยงการโจมตีกลับไปยัง DPRK ได้อย่างน่าเชื่อถือที่สุด เพราะกลุ่มนี้มีรูปแบบพฤติกรรมที่ระบุตัวได้ รูปแบบของรูปแบบในการเคลื่อนย้ายและปกปิดแหล่งที่มาของเงิน
Chainalysis ได้บันทึก รูปแบบการฟอกเงินมาตรฐานของ DPRK ไว้ว่าเป็นกระบวนการหลายขั้นตอน ทรัพย์สินที่ถูกขโมยจะถูกสwap เป็น Ethereum (ETH) หรือ Bitcoin (BTC) ก่อน โดยใช้กระดานเทรดแบบกระจายศูนย์บนเชน เพื่อแปลงโทเคนเฉพาะโปรโตคอลที่สภาพคล่องต่ำให้กลายเป็นสินทรัพย์ที่มีสภาพคล่องสูงกว่า จากนั้นสินทรัพย์เหล่านั้นจะถูกส่งผ่านบริการมิกเซอร์ โดยกลุ่มนี้เคยใช้ Tornado Cash เป็นหลัก ก่อนที่การถูก OFAC คว่ำบาตรในเดือนสิงหาคม 2022 จะบังคับให้ต้องปรับตัวไปใช้เครื่องมือปกปิดตัวตนทางเลือกอื่น เช่น Sinbad และ Yomix ซึ่งทั้งสองก็ถูกสหรัฐคว่ำบาตรในเวลาต่อมาเช่นกัน
OFAC ขึ้นบัญชีมิกเซอร์ Sinbad ในเดือนพฤศจิกายน 2023 และมิกเซอร์ Yomix ในเดือนเมษายน 2025 แสดงให้เห็นถึงเกมแมวจับหนู ที่ซึ่งเครื่องมือฟอกเงินแต่ละตัวของ DPRK ต้องเผชิญการคว่ำบาตรในที่สุด จนทำให้กลุ่มต้องย้ายไปใช้โครงสร้างพื้นฐานใหม่
หลังจากผ่านมิกเซอร์แล้ว เงินจะถูกส่งต่อผ่านเครือข่ายบัญชีในกระดานเทรดแบบซ้อนชั้น (nested exchange accounts) โบรกเกอร์ OTC ที่ดำเนินงานในเขตอำนาจศาลที่ไม่มีการบังคับใช้กฎหมาย AML อย่างมีประสิทธิภาพ และแพลตฟอร์มแบบ peer-to-peer ช่องทางออกเงิน (off-ramp) ปลายทางที่ใช้บ่อยที่สุดในอดีตคือกระดานเทรดในเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ที่มีการบังคับใช้ KYC จำกัด รายงานของ คณะผู้เชี่ยวชาญแห่งสหประชาชาติ ปี 2024 เกี่ยวกับเกาหลีเหนือได้ระบุโดยเฉพาะว่ารายได้จากการขโมยคริปโตเป็นแหล่งเงินทุนหลักของโครงการขีปนาวุธของ DPRK โดยประเมินว่ารายได้จากคริปโตครอบคลุมราว 40% ของความต้องการเงินตราต่างประเทศสำหรับการพัฒนาอาวุธทำลายล้างสูง
อ่านเพิ่มเติม: Ethereum อาจเข้าสู่สถานะ Near-Zero ภายใต้แผน Lean Chain ที่สุดโต่งของ Buterin
การตอบสนองด้านกฎระเบียบและข้อจำกัด
รัฐบาลสหรัฐได้ใช้เครื่องมือจำนวนมากเพื่อตอบโต้ปฏิบัติการคริปโตของ DPRK รวมถึงการขึ้นบัญชี OFAC สำหรับวอลเล็ตและบริการมิกเซอร์ การออกประกาศระบุผู้อยู่เบื้องหลังการแฮ็กโดย FBI และคำแนะนำร่วมกับหน่วยข่าวกรองพันธมิตร กระทรวงยุติธรรมสหรัฐ ได้ตั้งข้อหา ชาว DPRK หลายคนที่ระบุชื่อชัดเจน แต่การดำเนินคดีแทบเป็นไปไม่ได้เนื่องจากไม่มีช่องทางส่งตัวผู้ร้ายข้ามแดน
ข้อจำกัดของการตอบสนองของสหรัฐมีลักษณะเชิงโครงสร้าง การคว่ำบาตรวอลเล็ตมีประสิทธิภาพเฉพาะต่อผู้ที่ใช้โครงสร้างพื้นฐานการเงินที่อยู่ภายใต้การกำกับดูแลเป็นช่องทางออกเงินเท่านั้น แทบไม่มีผลกระทบต่อผู้เล่นที่มีความซับซ้อนซึ่งใช้เส้นทางผ่านเขตอำนาจศาลที่อยู่นอกเหนือขอบเขต AML ของสหรัฐ การดำเนินการของ OFAC ต่อ Tornado Cash มีความสำคัญและถูกโต้แย้งอย่างมาก แต่ DPRK ก็ปรับตัวภายในไม่กี่เดือนด้วยการย้ายไปใช้โครงสร้างพื้นฐานทางเลือก
กระทรวงยุติธรรมได้ตั้งข้อหานักแฮ็กทหาร DPRK ที่ระบุตัวได้เจ็ดคนในความเชื่อมโยงกับปฏิบัติการขโมยคริปโต แต่ไม่มีใครถูกนำขึ้นสู่การพิจารณาคดี การตั้งข้อหาทำหน้าที่หลักเป็นเครื่องมือระบุผู้อยู่เบื้องหลังและเป็นตัวขู่ยับยั้งบริการของบุคคลที่สามที่อาจช่วยเคลื่อนย้ายเงินได้
คณะทำงานปฏิบัติการทางการเงิน (FATF) ซึ่งเป็นองค์กรกำหนดมาตรฐาน AML ระหว่างรัฐบาล ได้ยกระดับ เกาหลีเหนือไปสู่หมวดความเสี่ยงสูงสุด และรักษาคำเรียกร้องถาวรให้เขตอำนาจศาลสมาชิกใช้มาตรการตรวจสอบเพิ่มขึ้นกับธุรกรรมใด ๆ ที่เชื่อมโยงกับ DPRK แต่ข้อแนะนำของ FATF ไม่มีผลผูกพัน และเขตอำนาจศาลที่เป็นประโยชน์ต่อ DPRK มากที่สุดสำหรับการถอนออกสู่ระบบเงินเฟียตมักไม่ใช่สมาชิก FATF หรือเป็นสมาชิกที่มีสถิติการบังคับใช้ที่อ่อนแอ
กฎระเบียบ Markets in Crypto-Assets (MiCA) ของสหภาพยุโรป ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบในช่วงปลายปี 2024 ได้รวมข้อกำหนด travel rule ที่บังคับให้ต้องระบุตัวตนคู่สัญญาสำหรับธุรกรรมคริปโตที่เกินเกณฑ์ที่กำหนด ผู้สนับสนุนมองว่ามาตรการนี้ปิดกั้นช่องทาง off-ramp บางส่วนของ OTC ขณะที่นักวิจารณ์ชี้ว่า ปฏิบัติการของ DPRK มีความซับซ้อนเพียงพอที่จะเลี่ยงข้อกำหนด KYC โดยใช้วอลเล็ตที่ไม่โฮสต์ (unhosted wallets) และเขตอำนาจศาลที่อยู่นอกเหนือการเข้าถึงของสหภาพยุโรป
อ่านเพิ่มเติม: Meta’s Muse Image เปลี่ยน Instagram ให้เป็นวัตถุดิบดิบสำหรับศิลปะ AI
สิ่งที่หลักฐาน On-Chain แสดงให้เห็นจริง ๆ
การระบุว่าเกาหลีเหนือเป็นผู้อยู่เบื้องหลังการขโมยคริปโตไม่ใช่การกล่าวอ้างทางการเมือง แต่ตั้งอยู่บนข้อมูล on-chain ที่ตรวจสอบได้ ซึ่งนักวิจัยคนใดก็สามารถทำซ้ำได้อย่างอิสระ หากเข้าถึงข้อมูลบล็อกเชนสาธารณะและเครื่องมือจัดกลุ่มวอลเล็ต การเข้าใจว่ากระบวนการระบุผู้อยู่เบื้องหลังนี้ทำงานอย่างไรเป็นสิ่งสำคัญในการประเมินความน่าเชื่อถือ
เมื่อ DPRK ขโมยเงินจากโปรโตคอล ธุรกรรมเริ่มต้นจะมองเห็นได้ทันทีบนเชน เงินที่ถูกขโมยจะถูกย้ายไปยังวอลเล็ตที่ผู้โจมตีควบคุม ซึ่งจากนั้นจะดำเนินการชุดของการสwap การบริดจ์ข้ามเชน และการผสมเหรียญ Elliptic บริษัทวิเคราะห์บล็อกเชนอีกแห่งหนึ่งได้เผยแพร่ ระเบียบวิธีอย่างละเอียดที่แสดงให้เห็นว่าวอลเล็ตของ DPRK ถูกจัดกลุ่มรอบลายเซ็นเชิงพฤติกรรม รวมถึงรูปแบบเวลาเฉพาะ เส้นทางการสwap ที่นิยมใช้ ปริมาณ “ฝุ่น” ที่หลงเหลืออยู่ในวอลเล็ตชั่วคราว และแนวโน้มการถือครองเงินที่ถูกขโมยไว้ในกลุ่มวอลเล็ตเป็นเวลานานก่อนจะเคลื่อนย้าย
การวิเคราะห์การจัดกลุ่มวอลเล็ตของ Elliptic ได้ระบุที่อยู่มากกว่า 15,000 แห่งที่เชื่อมโยงกับปฏิบัติการขโมยของ DPRK สร้างกราฟของวอลเล็ตที่เชื่อมโยงกัน ซึ่งนักนิติวิทยาบล็อกเชนใช้เพื่อติดตามเส้นทางเงิน แม้หลังจากผ่านมิกเซอร์แล้วก็ตาม
ประกาศของ FBI ที่ระบุผู้อยู่เบื้องหลังการแฮ็กเฉพาะราย รวมถึงเหตุการณ์เจาะระบบ Alphapo และการโจมตี Atomic Wallet ในปี 2023 อ้างอิงตามระเบียบวิธีนิติวิทยาบล็อกเชนนี้ ผนวกรวมกับข่าวกรองสัญญาณที่เป็นความลับ
การผสมผสานระหว่างข้อมูล on-chain สาธารณะและข่าวกรองของรัฐทำให้ระดับความเชื่อมั่นในการระบุตัวผู้โจมตีสูงกว่าปกติเมื่อเทียบกับการสืบสวนอาชญากรรมไซเบอร์แบบดั้งเดิม ที่ไม่มีหลักฐานบนเชนให้ใช้งาน
อ่านเพิ่มเติม: Saylor ระบุว่าอัตราเติบโต Bitcoin 3.3% สามารถคงกลยุทธ์ปันผลไว้ได้
โครงการพนักงานไอที: ช่องทางรายได้คู่ขนาน
แยกจากปฏิบัติการแฮ็ก DPRK ยังดำเนินโครงการสร้างรายได้จากคริปโตแบบคู่ขนานที่ได้รับความสนใจจากการบังคับใช้กฎหมายอย่างมากในปี 2024 และ 2025 ชาวเกาหลีเหนือหลายพันคนใช้ตัวตนปลอมที่สร้างด้วยเอกสารที่สร้างโดย AI และเทคโนโลยีวิดีโอดีฟเฟก ได้งานระยะไกลในบริษัทคริปโตและสตาร์ทอัพ Web3 ทั่วอเมริกาเหนือและยุโรป
กระทรวงยุติธรรมสหรัฐ ได้ตั้งข้อหา บุคคล 14 คนในเดือนพฤษภาคม 2024 ในข้อหาดำเนินโครงการที่จัดหาพนักงานไอทีชาวเกาหลีเหนือให้ทำงานในบริษัทสหรัฐกว่า 300 แห่ง โดยรายได้ถูกส่งกลับไปยัง DPRK
คำฟ้องระบุว่าพนักงานแต่ละคนมีรายได้ระหว่าง 250,000 ถึง 300,000 ดอลลาร์ต่อปี โดยโครงการโดยรวมสร้างรายได้หลายสิบล้านดอลลาร์ตลอดหลายปี
คำฟ้องของ DOJ ในเดือนพฤษภาคม 2024 ได้บันทึกว่าพนักงานไอทีชาวเกาหลีเหนือบางรายมีรายได้สูงถึง 300,000 ดอลลาร์ต่อปีจากบริษัทคริปโตและเทคในสหรัฐ โดยเงินถูกส่งกลับ DPRK ผ่านเครือข่ายผู้อำนวยความสะดวกในสหรัฐ สหราชอาณาจักร และจีน
โครงการพนักงานไอทีนี้สร้างความอันตรายเป็นพิเศษต่ออุตสาหกรรมคริปโต เพราะเป็นการฝัง “คนนอกที่เป็นคนใน” เข้าไปในทีมพัฒนา พนักงานไอทีที่มีข้อมูลประจำตัวถูกต้องและสิทธิ์เข้าถึง repository อย่างถูกต้องตามระบบ มีความอันตรายมากกว่าผู้โจมตีภายนอกที่พยายามเจาะแนวป้องกันจากภายนอก
นักวิจัยด้านความปลอดภัยหลายรายได้ระบุ ว่ารูปแบบน่าสงสัยใน commit โค้ด การเข้าถึง repository โดยไม่มีคำอธิบาย และชั่วโมงการทำงานที่ผิดปกติ กำลังถูกพิจารณาเป็นตัวบ่งชี้ที่เป็นไปได้ของพนักงานไอที DPRK โดยบริษัทคริปโตที่ให้ความสำคัญกับความปลอดภัย
จุดตัดกันระหว่างโครงการพนักงานไอทีและแคมเปญ social engineering กับนักพัฒนา หมายความว่าพื้นที่การโจมตีของ DPRK ต่ออุตสาหกรรมคริปโตมีหลายมิติ แฮ็กเกอร์ภายนอก นักพัฒนาที่ถูกประนีประนอมผ่านข้อเสนองานปลอม และสายลับภายในที่ถูกฝังตัว ล้วนเป็นเวกเตอร์ภัยคุกคามที่ทำงานอยู่พร้อมกัน
อ่านเพิ่มเติม: OpenAI คว้าการอนุมัติ GPT-5.6 เมื่อ Trump เปิดทางการขยายตัว AI ที่กว้างขึ้น
การตอบสนองด้านความปลอดภัยของอุตสาหกรรมในภาพรวม
การตอบสนองของอุตสาหกรรมต่อภัยคุกคามจาก DPRK มีสาระสำคัญแต่ไม่สม่ำเสมอ
โปรโตคอลที่มีทรัพยากรหนาแน่นที่สุดในปัจจุบันดำเนินการตรวจสอบความปลอดภัยก่อนดีพลอยอย่างครอบคลุม จัดโปรแกรมบั๊กบาวน์ตี้ที่จ่ายรางวัลหกหลัก และมีทีมรักษาความปลอดภัยภายในที่มีพื้นเพจากสายงานโจมตี (offensive research)
การกระจุกตัวของการลงทุนด้านความปลอดภัยในโปรโตคอลระดับบนสะท้อนกฎกำลังสองแบบเดียวกับที่กำกับดูแลคริปโตโดยทั่วไป
Immunefi แพลตฟอร์มบั๊กบาวน์ตี้ Web3 ชั้นนำ ได้รายงาน ยอดจ่ายรางวัลรวมมากกว่า 100 ล้านดอลลาร์ภายในกลางปี 2025 โดยช่วยให้ค้นพบช่องโหว่ที่อาจนำไปสู่ความเสียหายมูลค่าหลายพันล้านดอลลาร์
การจ่ายรางวัลครั้งเดียวที่ใหญ่ที่สุดในประวัติศาสตร์ของแพลตฟอร์มคือ 10 ล้านดอลลาร์ ให้กับนักวิจัย white-hat ที่ค้นพบช่องโหว่ร้ายแรงในโปรโตคอล DeFi รายใหญ่ก่อนที่จะถูกโจมตี
แต่การกระจุกตัวของงบความปลอดภัยไว้ที่โปรโตคอลระดับท็อปยังทำให้โปรเจ็กต์ DeFi ขนาดเล็กกว่า — ซึ่งโดยรวมแล้วยังคงถือครองมูลค่า TVL ระดับพันล้านดอลลาร์ — อยู่ในภาวะที่ได้รับการปกป้องต่ำกว่ามาก
ปัญหาสะพานข้ามเชน (cross-chain bridge) ซึ่งอยู่ศูนย์กลางของการแฮ็กครั้งใหญ่จำนวนมาก ได้ก่อให้เกิดการตอบสนองด้านสถาปัตยกรรมของตัวเอง
หัวใจสำคัญคือการขยับไปสู่การบริดจ์ที่ไว้วางใจได้ขั้นต่ำ (trust-minimized bridging) โดยใช้ zero-knowledge proofs เพื่อตรวจสอบสถานะของเชนต้นทางโดยไม่ต้องพึ่งคณะผู้ตรวจสอบ (validator committees)
โปรเจ็กต์อย่าง Succinct Labs และ Polyhedra Network ได้สร้างโครงสร้างพื้นฐาน ZK light client ที่ออกแบบมาโดยเฉพาะเพื่อล้มเลิกข้อสมมติของคณะกรรมการที่เชื่อถือได้ ซึ่งทำให้สะพานอย่าง Ronin ถูกโจมตีได้
ไม่ว่าการ…โครงสร้างด้านความมั่นคงกำลังพัฒนาเร็วพอที่จะนำหน้าการพัฒนาขีดความสามารถของเกาหลีเหนือหรือไม่นั้น ยังไม่แน่ชัดอย่างแท้จริง
สัดส่วน 66% ในครึ่งแรกของปี 2026 บ่งชี้ว่า แม้อุตสาหกรรมจะลงทุนอย่างมาก ผู้โจมตีก็ยังคงไล่ทันได้
อ่านเพิ่มเติม: SpaceXAI ต้องการสร้างตัวฆ่า Claude ที่ขับเคลื่อนด้วย Cursor ให้เสร็จก่อนดีล 60 พันล้านดอลลาร์จะปิดลง
เดิมพันทางภูมิรัฐศาสตร์และสิ่งที่จะตามมา
การขโมยคริปโตคือแหล่งเงินตราต่างประเทศที่สำคัญที่สุดของเกาหลีเหนือ
นี่ไม่ใช่คำพูดสำนวนเกินจริง แต่สะท้อนความเป็นจริงเชิงปฏิบัติการที่มีหลักฐานรองรับ — ซึ่งกระทรวงการคลังสหรัฐฯ สหประชาชาติ และหน่วยข่าวกรองของชาติพันธมิตรยอมรับตรงกัน
คณะผู้เชี่ยวชาญของสหประชาชาติ ประเมิน ว่ารายได้จากการขโมยคริปโตของเกาหลีเหนืออยู่ที่ราว 3 พันล้านดอลลาร์ระหว่างปี 2017 ถึง 2023 โดยมีอัตราเร่งตัวขึ้นในช่วงหลายปีหลังจากนั้น
เงินเหล่านี้ไม่ได้ถูกส่งเข้า “คลังของระบอบการปกครอง” ตามความหมายแบบดั้งเดิม
มันถูกนำไปใช้ในโครงการอาวุธโดยตรง — โดยเฉพาะความพยายามด้านขีปนาวุธพิสัยไกลและการย่อส่วนหัวรบนิวเคลียร์ ซึ่งเป็นความสำคัญเชิงยุทธศาสตร์สูงสุดของเปียงยาง
เงินทุกดอลลาร์ที่ถูกขโมยจากโปรโตคอล DeFi มีศักยภาพจะแปรเปลี่ยนเป็นศักยภาพด้านวัสดุและเทคโนโลยีสำหรับระบบอาวุธ ที่นักวางแผนกลาโหมของสหรัฐฯ เกาหลีใต้ และญี่ปุ่น นำไปใส่ในแบบจำลองการประเมินภัยคุกคามอย่างจริงจัง
คณะผู้เชี่ยวชาญของสหประชาชาติได้เชื่อมโยงการขโมยคริปโต 3 พันล้านดอลลาร์ระหว่างปี 2017 ถึง 2023 เข้ากับการเงินของโครงการอาวุธโดยตรง — ทำให้ความมั่นคงของบล็อกเชนกลายเป็นองค์ประกอบที่มีผลจริงต่อการคำนวณด้านความมั่นคงของภูมิภาคเอเชียตะวันออกเฉียงเหนือ
อ่านต่อ: คู่แข่ง Fable 5 ที่ถูกกว่า 5 ตัวเลือก: อย่าจ่ายแพงเกินไปเพื่อการทำงาน AI รายวัน
บทสรุปท้ายเรื่อง
ตัวเลขสัดส่วน 66.2% จากครึ่งแรกของปี 2026 ไม่ใช่เพียงข้อมูลน่าสนใจเชิงสถิติ
มันคือสัญญาณสะท้อนสถานะปัจจุบันของการแข่งขันระหว่างหนึ่งในโครงการไซเบอร์ภาครัฐที่มีขีดความสามารถสูงที่สุดในโลก กับอุตสาหกรรมที่ในเชิงประวัติศาสตร์มักให้ความสำคัญกับการออกสู่ตลาดให้เร็ว มากกว่าความมั่นคงในการปฏิบัติงาน
เส้นทางของการแข่งขันนี้ — ตั้งแต่การแฮ็กเว็บเทรดแบบฉวยโอกาสในปี 2017 ผ่านการเจาะสะพาน Ronin ในปี 2022 มาจนถึงปฏิบัติการหลายมิติในปัจจุบันที่โจมตีนักพัฒนา สะพานข้ามเชน และคนวงในพร้อมกัน — แสดงให้เห็นผู้โจมตีที่เรียนรู้ ปรับตัว และขยายขนาดได้เร็วกว่าเม็ดเงินลงทุนด้านการป้องกันของอุตสาหกรรมจะรับมือได้ทัน
ปัจจัยเชิงโครงสร้างที่เอื้อประโยชน์ต่อเกาหลีเหนือจะไม่หายไปในระยะสั้น
เกาหลีเหนือมีบุคลากรด้านไซเบอร์ในระดับสถาบัน ที่ไม่มีแรงดึงดูดจากภาคเอกชน ไม่มีความรับผิดชอบต่อสาธารณะ และได้รับมอบหมายจากรัฐให้หารายได้ด้วยทุกวิถีทางที่เป็นไปได้
ในทางกลับกัน อุตสาหกรรมคริปโตมีภูมิทัศน์ด้านความมั่นคงที่กระจัดกระจาย โปรโตคอลที่มีมูลค่าสูงที่สุดมีการป้องกันที่แข็งแกร่งขึ้นเรื่อย ๆ — แต่โปรเจ็กต์ DeFi ขนาดเล็กจำนวนมากที่อยู่ปลายหางยาวยังคงขาดทรัพยากรอย่างเป็นระบบ
และสะพานข้ามเชน ซึ่งเป็นโครงสร้างพื้นฐานที่เชื่อม “เกาะสภาพคล่อง” ในระบบนิเวศเข้าด้วยกัน ยังคงมีความซับซ้อนด้านสถาปัตยกรรมในระดับที่ก่อให้เกิดสมมติฐานที่ถูกใช้ประโยชน์โจมตีได้อย่างต่อเนื่อง





