ฤดูกาล
กระดานผู้นำ
ข่าวสาร
เรียนรู้
การวิจัย
อันดับ
ระบบนิเวศ
กระเป๋าเงิน
yellow banner logo
เทรดดิ้ง
แพลตฟอร์มเปิดใช้งานแล้ว
เริ่มต้นเลย
yellow shooting stars
background stars

Lazarus และการเจาะ Kelp: เครื่องจักรปล้นคริปโตของเกาหลีเหนือยังวิวัฒน์ไม่หยุด

Camille Meulien2 ชั่วโมงที่แล้ว
#แฮกเกอร์ #กลุ่มลาซารัส #Kelp DAO
Lazarus และการเจาะ Kelp: เครื่องจักรปล้นคริปโตของเกาหลีเหนือยังวิวัฒน์ไม่หยุด

เมื่อวันเสาร์ที่ 18 เม.ย. บริดจ์แบบครอสเชนที่ดำเนินการโดย Kelp DAO quietly bled 116,500 rsETH。จนถึงวันจันทร์ LayerZero had a name for the attackers ไม่ใช่ชื่อใหม่

กลุ่ม Lazarus Group ของเกาหลีเหนือไม่ใช่แค่ป้ายชื่อแฮ็กเกอร์ในโลกคริปโตอีกต่อไป แต่มันคือหลักฐานชัดเจนว่าปฏิบัติการไซเบอร์ที่รัฐหนุนหลังได้เปลี่ยนสินทรัพย์ดิจิทัลให้กลายเป็นช่องทางระดมทุนเชิงยุทธศาสตร์ ที่ซึ่งการเจาะครั้งใหญ่ที่สุดของอุตสาหกรรมทุกวันนี้ดูจะไม่ใช่แค่บั๊กโดด ๆ แต่คือความพ่ายแพ้จากปฏิบัติการระยะยาว

  • LayerZero ระบุว่าการเจาะ Kelp DAO วันที่ 18 เม.ย. 2026 มูลค่าราว 292 ล้านดอลลาร์ในโทเคนอนุพันธ์ Ether (eth) เป็นฝีมือกลุ่ม Lazarus ของเกาหลีเหนือและหน่วยย่อย TraderTraitor
  • Chainalysis ระบุว่าผู้เล่นที่เชื่อมโยง DPRK ขโมยคริปโตไป 2.02 พันล้านดอลลาร์ในปี 2025 ดันยอดรวมสะสมเป็น 6.75 พันล้านดอลลาร์
  • รูปแบบชี้ให้เห็นถึงสงครามปฏิบัติการที่รัฐหนุนหลัง มากกว่าบั๊กในสมาร์ตคอนแทรกต์โดด ๆ ในฐานะภัยคุกคามด้านความปลอดภัยหลักของภาคส่วนนี้

การโจมตี Kelp และทำไมการระบุคนร้ายถึงสำคัญ

LayerZero pinned ว่าการดูดเงินจาก Kelp DAO มาจากผู้เล่นระดับรัฐในรายงานสรุปเหตุการณ์วันที่ 20 เม.ย. แถลงการณ์เรียกมันว่าเป็นการเจาะ DeFi ที่ใหญ่ที่สุดของปี 2026 และชี้ว่าเป็น “ผู้เล่นระดับรัฐที่มีความซับซ้อนสูง มีแนวโน้มสูงว่าจะเป็นกลุ่ม Lazarus ของ DPRK โดยเฉพาะ TraderTraitor”

กลไกไม่ได้มาจากบั๊กในสมาร์ตคอนแทรกต์ ผู้โจมตีเจาะเข้ายึดโหนด RPC สองตัวที่ใช้ใน Decentralized Verifier Network ของ LayerZero จากนั้นยิงโจมตีแบบ denial-of-service ใส่โหนดที่สะอาดเพื่อบังคับให้ระบบสลับไปใช้โหนดที่ถูกฝังโค้ด

นั่นทำให้การตั้งค่าตรวจสอบแบบ 1-of-1 ของ Kelp กลายเป็นแค่การประทับตราให้ข้อความครอสเชนปลอม และบริดจ์ก็ปล่อย rsETH จำนวน 116,500 ให้ผู้โจมตี

Kelp paused สัญญาหลักผ่าน emergency multisig ประมาณ 46 นาทีถัดมา สกัดความพยายามดูดเงินอีกสองครั้งรวมมูลค่าอีกราว 100 ล้านดอลลาร์

Kelp ออกมาโต้แย้งการเล่าเรื่องของ LayerZero ต่อสาธารณะ โดยระบุว่าการตั้งค่าเวอริฟายเออร์ตัวเดียวสะท้อนค่าดีฟอลต์ตามเอกสารของ LayerZero เอง ไม่ใช่การฝ่าฝืนคำแนะนำชัดเจน

การ “ระบุคนร้าย” คือสิ่งที่ทำให้เหตุการณ์นี้ไม่ใช่แค่เคส “แพตช์แล้วเดินต่อ” บั๊กเรียกหาการแก้ไข แต่ผู้เล่นระดับรัฐเรียกหาคู่ปรปักษ์ถาวร

Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi

จริง ๆ แล้ว Lazarus คือใคร

FBI placed คลัสเตอร์ TraderTraitor ให้อยู่ในโครงสร้างปฏิบัติการไซเบอร์ของรัฐเกาหลีเหนือในคำเตือนวันที่ 26 ก.พ. 2025 เกี่ยวกับการขโมยจาก Bybit โดยระบุว่าเป็นผู้ลงมือโดยตรงในการปล้นสินทรัพย์เสมือนมูลค่า 1.5 พันล้านดอลลาร์

รายงานของ Reuters ปี 2022 และมาตรการคว่ำบาตรซ้ำ ๆ ของกระทรวงการคลังสหรัฐ tied Lazarus, Bluenoroff และ Andariel เข้ากับ Reconnaissance General Bureau ซึ่งเป็นหน่วยข่าวกรองทางทหารหลักของเปียงยาง

ภายใต้โครงสร้างนั้น นักวิเคราะห์ติดตามชุดนามแฝงหมุนเวียน เช่น APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor ซึ่งมักใช้บุคลากรและโครงสร้างพื้นฐานร่วมกัน

ผลกระทบที่มีต่อโลกคริปโตนั้นตรงไปตรงมา

เมื่อการเจาะถูกระบุว่าเป็นฝีมือ “Lazarus” มันไม่ใช่วัยรุ่นในห้องใต้ดิน และแทบไม่ใช่ฟรีแลนซ์คนเดียว แต่มันคือหน่วยงานของรัฐที่มีงบประมาณ มีพันธกิจ และมองกรอบเวลาความอดทนกันเป็นปี ไม่ใช่สัปดาห์

นั่นเปลี่ยนเกณฑ์ว่าการป้องกันแบบไหนที่น่าเชื่อถือได้ และยังเปลี่ยนด้วยว่าในตอนท้ายของเส้นทางฟอกเงิน ใครคือผู้ได้ประโยชน์ที่แท้จริง

Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label

จาก Sony สู่สมาร์ตคอนแทรกต์

Lazarus ไม่ได้เริ่มจากคริปโต กลุ่มนี้เปิดตัวด้วยมัลแวร์ลบบัญชีของ Sony Pictures ในปี 2014 ตามด้วยการปล้นธนาคารบังกลาเทศผ่าน SWIFT ในปี 2016 และ WannaCry ในปี 2017

คริปโตมาเป็นลำดับถัดมาและมาเร็ว

หน่วยข่าวกรองแห่งชาติของเกาหลีใต้ told กับ Associated Press ในเดือนธ.ค. 2022 ว่าแฮ็กเกอร์เกาหลีเหนือได้ขโมยสินทรัพย์เสมือนไปราว 1.2 พันล้านดอลลาร์ในช่วงห้าปี

รายงานของคณะผู้เชี่ยวชาญสหประชาชาติ revealed การโจมตีไซเบอร์ที่ต้องสงสัยว่าเกี่ยวข้องกับ DPRK จำนวน 58 ครั้งระหว่างปี 2017 ถึง 2023 คิดเป็นมูลค่าราว 3 พันล้านดอลลาร์ และถูกใช้สนับสนุนโครงการอาวุธทำลายล้างสูงของเปียงยาง

ตัวเลขล่าสุดจาก Chainalysis ดันเส้นสะสมให้สูงขึ้น: การขโมยคริปโตเชื่อมโยง DPRK รวม 6.75 พันล้านดอลลาร์ที่ตรวจพบจนถึงปัจจุบัน โดย 2.02 พันล้านดอลลาร์เกิดในปี 2025 ปีเดียว

ทิศทางของตัวเลขคือเรื่องเล่า แต่ละปีมีจำนวนเหตุการณ์น้อยลงแต่ขนาดใหญ่ขึ้น อุตสาหกรรมร่ำรวยขึ้น เป้าหมายใหญ่ขึ้น และ Lazarus ก็ขยายขนาดไปพร้อมกัน

Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January

การปล้นครั้งใหญ่ที่เชื่อมโยง Lazarus

กระทรวงการคลังสหรัฐฯ updated รายชื่อคว่ำบาตร Lazarus ด้วยที่อยู่กระเป๋าที่เชื่อมกับการดูดเงินจาก Ronin Bridge เดือนมี.ค. 2022 โดยระบุความเสียหายประมาณ 625 ล้านดอลลาร์ว่าเป็นฝีมือผู้เล่น DPRK

รายการสั้น ๆ ที่สะท้อนขนาดของปัญหา:

  • Ronin Network มี.ค. 2022: ถูกดูดไปราว 625 ล้านดอลลาร์จากบริดจ์ของไซด์เชน Axie Infinity ถูก OFAC ของกระทรวงการคลังสหรัฐฯ ชี้ว่าเป็นฝีมือ Lazarus ภายในไม่กี่สัปดาห์
  • Harmony Horizon มิ.ย. 2022: ถูกขโมยไปราว 100 ล้านดอลลาร์ FBI ระบุอย่างเป็นทางการในม.ค. 2023 ว่าเป็นฝีมือ Lazarus และ APT38
  • WazirX ก.ค. 2024: ถูกดูดไปราว 235 ล้านดอลลาร์จากตลาดแลกเปลี่ยนอินเดียผ่านการเจาะ multisig ซึ่งวงกว้างเชื่อว่าเป็นฝีมือผู้เล่นที่เชื่อมโยง DPRK

จากนั้นก็มาถึงปีที่เป็นจุดเปลี่ยน

DMM Bitcoin สูญเสีย Bitcoin 4,502.9 เหรียญ (btc) มูลค่าประมาณ 308 ล้านดอลลาร์ในเวลานั้น เมื่อเดือนพ.ค. 2024 FBI กระทรวงกลาโหมสหรัฐฯ และสำนักงานตำรวจแห่งชาติญี่ปุ่น confirmed ความเชื่อมโยงกับ TraderTraitor ในเดือนธ.ค. โดยอธิบายว่าเป็นล่อแบบรับสมัครงานที่เจาะเวนเดอร์ซอฟต์แวร์กระเป๋าสตางค์ และจบลงด้วยการบิดเบือนคำสั่งถอน

Bybit ในเดือนก.พ. 2025 คือจุดสูงสุด

ผู้โจมตีปลอมหน้าจอเซ็นธุรกรรมระหว่างการโอนจาก cold wallet ตามปกติ และเปลี่ยนเส้นทาง Ether ราว 400,000 เหรียญ มูลค่าประมาณ 1.5 พันล้านดอลลาร์ ไปยังกระเป๋าที่ไม่รู้ที่มา

Chainalysis ระบุว่ากรณีเดียวนี้คิดเป็น 1.5 พันล้านดอลลาร์จาก 3.4 พันล้านดอลลาร์ที่ถูกขโมยจากอุตสาหกรรมโดยรวมในปี 2025 ส่วน Kelp มูลค่า 292 ล้านดอลลาร์คือบทล่าสุด ไม่ใช่เสียงดังที่สุด แต่มันคือภาพของปฏิบัติการที่สุกงอมจนไม่ต้องอาศัยความฉูดฉาดอีกต่อไป

Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months

คู่มือการเล่นของ Lazarus เปลี่ยนไปแล้ว

FBI และญี่ปุ่น detailed แม่แบบใหม่ของ Lazarus ในคำเตือนร่วมเกี่ยวกับ DMM Bitcoin ภาพเดิมที่มองว่า Lazarus เป็นร้านขายฟิชชิงนั้นล้าสมัยแล้ว

แฮ็กเกอร์สวมบทเป็นหัวหน้ารับสมัครงานใน LinkedIn แบบทดสอบก่อนเข้าทำงานปลอมได้ฝังสคริปต์ Python มัลแวร์ลงใน GitHub ส่วนตัวของวิศวกรที่ Ginco ผู้พัฒนาซอฟต์แวร์กระเป๋าสตางค์ คุกกี้เซสชันที่ถูกขโมยปลดล็อกแชทภายในของ Ginco และอีกหลายสัปดาห์ถัดมาคำขอธุรกรรมจริงของ DMM ก็ถูกเขียนใหม่อย่างเงียบ ๆ ระหว่างส่งต่อ

ในกรณี Bybit Safe{Wallet} confirmed ว่าแอปพลิเคชันเซ็นธุรกรรมที่ถูกมัลแวร์แก้ไขจะแสดงปลายทางที่ถูกต้องบนหน้าจอ แต่เปลี่ยนตรรกะสมาร์ตคอนแทรกต์ข้างใต้ ขณะที่ในกรณี Kelp, LayerZero ระบุว่าผู้โจมตีสลับไบนารีบนโหนด RPC ที่เวอริฟายเออร์เชื่อถือ ออกแบบให้ทำลายตัวเองและลบล็อกในเครื่องหลังใช้งาน

เส้นเรื่องร่วมกันคือโค้ดมักไม่ใช่จุดอ่อนหลัก แต่เป็นคน เวนเดอร์ สายการ build และโฮสต์โครงสร้างพื้นฐานต่างหาก

Chainalysis ยังชี้ช่องทางขนานอีกอย่าง: การที่คนปฏิบัติการ DPRK แฝงตัวเข้าไปทำงานในบริษัทคริปโตในฐานะพนักงานไอทีรีโมตภายใต้นามแฝง บางครั้งใช้ผู้ร่วมมือที่หาจาก Upwork และ Freelancer เพื่อสเกลงาน

Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients

ทำไม Lazarus ถึงวนกลับมาที่คริปโตซ้ำแล้วซ้ำเล่า

แรงจูงใจของเกาหลีเหนือคือการอยู่รอดทางเศรษฐกิจ ไม่ใช่อุดมการณ์

รายงานของ AP และสหประชาชาติ describe อย่างสม่ำเสมอว่าการขโมยคริปโตเป็นแหล่งรายได้ทดแทนของเศรษฐกิจที่ถูกคว่ำบาตร และเป็นช่องทางทุนตรงสำหรับโครงการขีปนาวุธและนิวเคลียร์

เจ้าหน้าที่สหรัฐฯ ที่ AP อ้างถึงก้าวไปอีกขั้น โดยประเมินว่าอาชญากรรมไซเบอร์คิดเป็นเกือบครึ่งของรายได้สกุลเงินต่างประเทศของเกาหลีเหนือ

คริปโตจึงกลายเป็นเป้าหมายแทบจะสมบูรณ์แบบสำหรับภารกิจแบบนั้น ธุรกรรมถูกเคลียร์ขั้นสุดท้ายในไม่กี่นาที ไม่ใช่วัน จึงไม่มีธนาคารตัวกลางมาคอยย้อนกลับได้ สภาพคล่องลึก ระบุตัวตนแบบนามแฝงได้ง่าย และรางครอสเชนย้ายมูลค่าได้เร็วกว่าที่หน่วยงานบังคับใช้จะอายัดได้ทัน

Yahoo Finance noted โดยอ้างไทม์ไลน์ของ LayerZero เกี่ยวกับ Kelp ว่าผู้โจมตีรวมศูนย์ Ether ราว 74,000 เหรียญหลังการดูดเงิน และได้เติมเงินกระเป๋าผ่าน Tornado Cash ประมาณสิบชั่วโมงก่อนลงมือ

สำหรับรัฐบาลที่ชั่งน้ำหนักระหว่างการปล้นธนาคารกับการปล้นบริดจ์ บริดจ์คือคำตอบที่คุ้มกว่า ทุกครั้ง

Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week

สิ่งที่นักสืบบนเชนค้นพบเพิ่มเข้ามาจริง ๆ

Arkham ได้ให้เครดิต แก่นักสืบปริศนานามแฝง ZachXBT ว่าเป็นผู้ให้ “หลักฐานเด็ดขาด” ที่ผูกการโจมตี Bybit เข้ากับ Lazarus ผ่านธุรกรรมทดสอบ กระเป๋าเงินที่เชื่อมโยงกัน และการวิเคราะห์ด้านเวลา ในโพสต์ประกาศรางวัลเมื่อวันที่ 21 ก.พ. 2025

ห้าวันต่อมา คำประกาศเพื่อสาธารณประโยชน์ของ FBI ก็ออกมาระบุชื่อเกาหลีเหนืออย่างเป็นทางการ โดยใช้แท็ก TraderTraitor และเผยแพร่รายการบล็อกกระเป๋าเงิน

ลำดับเวลาเหล่านี้มีความสำคัญ นักสืบบนเชนอย่าง ZachXBT มักจะเป็นคนกลุ่มแรก ๆ ที่เชื่อมโยงการเจาะระบบครั้งใหญ่เข้ากับกระเป๋าเงินและรูปแบบการฟอกเงินที่โยงกับ Lazarus ในที่สาธารณะ บางครั้งก็เร็วกว่าการยืนยันอย่างเป็นทางการเสียอีก

พวกเขาไม่ใช่ “แหล่งความจริงหลัก” แต่เป็นชั้นการระบุตัวตนสาธารณะระยะต้น ที่ช่วยเร่งให้แพลตฟอร์มแลกเปลี่ยนตอบสนองได้ไวขึ้น ขณะที่หน่วยงานของรัฐยังต้องดำเนินกระบวนการสืบสวนเชิงพยานหลักฐานที่ช้ากว่า

การแบ่งงานกันแบบนี้เป็นของใหม่ และยังเป็น “โครงสร้างรองรับน้ำหนัก” เพราะเมื่อต้นทุนที่ถูกขโมยเริ่มถูกเด้งข้ามเชนไปมา คำถามเดียวคือจะติดธงที่อยู่ได้เร็วแค่ไหน

Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap

ทำไมอุตสาหกรรมยังแพ้การต่อสู้พวกนี้

การถกเถียงเรื่องความปลอดภัยในคริปโตส่วนใหญ่ยังวนอยู่กับการตรวจสอบโค้ด ในขณะที่ Lazarus ไม่ได้สนใจการออดิตโค้ดเลย

พื้นผิวการโจมตีที่สำคัญจริง ๆ เป็นเชิงปฏิบัติการ ประกอบด้วยเครื่องมือเซ็นธุรกรรมของบุคคลที่สาม ผู้ให้บริการวอลเล็ต โครงสร้างพื้นฐานโหนด ช่องทางสรรหาบุคลากร ระบบ build และมนุษย์ไม่กี่คนที่มีสิทธิ์เข้าถึงระดับสูง สิ่งเหล่านี้อย่างน้อยหนึ่งอย่างเคยถูกใช้จริงในเหตุละเมิดที่โยงกับ Lazarus ในช่วงสองปีที่ผ่านมา

Chainalysis ได้รายงาน ถึงปัญหาเชิงโครงสร้างอีกข้อหนึ่ง คือวงจรการฟอกเงินถูกกลั่นให้เหลือแพทเทิร์นสามระลอกในราว 45 วัน ดันเงินที่ขโมยไปผ่านมิกเซอร์ บริดจ์ข้ามเชน และเครือข่าย OTC ภาษาจีน โดยแตกเป็นล็อตย่อยที่มักต่ำกว่า 500,000 ดอลลาร์ เพื่อหลบการมอนิเตอร์

การตอบสนองของอุตสาหกรรมยังแตกเป็นเสี่ยง ๆ แพลตฟอร์มแลกเปลี่ยนแต่ละแห่งบล็อกลิสต์ด้วยความเร็วต่างกัน โปรโตคอล DeFi บางรายกดหยุด บางรายไม่หยุด

การวิเคราะห์บน Dune หลังเหตุการณ์ดังกล่าวพบ ว่า 47% ของ OApp ของ LayerZero ที่ยังแอคทีฟอยู่ ยังคงใช้คอนฟิก DVN แบบ 1-of-1

ฝั่งผู้ป้องกันต้องชนะทุกสัปดาห์ แต่ Lazarus แค่ชนะไตรมาสละครั้งก็พอ

Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight

Kelp บอกอะไรเกี่ยวกับเฟสถัดไป

ข้อสรุปที่น่าหนักใจจากเคส Kelp คือแม้จะผ่านเหตุ Bybit มาแล้ว ช่องว่างระหว่างความปลอดภัยของโค้ดกับความปลอดภัยเชิงปฏิบัติการก็ยังห่างอยู่มาก

Bybit คือการเจาะอินเทอร์เฟซเซ็นธุรกรรม โดยมีงบดุล 20,000 ล้านดอลลาร์เป็นเดิมพัน ส่วน Kelp คือการเจาะที่ชั้นโครงสร้างพื้นฐาน ต่อโปรโตคอล liquid restaking ขนาดกลางแห่งหนึ่ง

เป็นกลุ่มผู้โจมตีชุดเดียวกัน แต่เปลี่ยนเวกเตอร์โจมตี ห่างจากการดูดเงิน Drift Protocol ราว 285 ล้านดอลลาร์ ที่เชื่อมโยงกับปฏิบัติการ DPRK เช่นกันเพียง 18 วัน

จังหวะคือสาระสำคัญ Lazarus กำลัง iterate สมุดแผนโจมตีของตัวเองเร็วกว่า DeFi จะทำให้สายโซ่อ้างอิงของตัวเองแข็งแรงขึ้นในแต่ละรอบ และทุกครั้งที่โจมตีสำเร็จก็จะเป็นเงินทุนให้กับรอบถัดไป ทั้งด้านการรับคน เครื่องมือ และ “ความอดทน”

The Hacker News ได้รายงาน ว่าผู้เชื่อมโยงกับ DPRK มีส่วนรับผิดชอบต่อ 59% ของมูลค่าคริปโตที่ถูกขโมยทั่วโลกในปี 2025 เน้นย้ำว่าคู่แข่งรายนี้อยู่ใจกลางของความสูญเสียทั้งอุตสาหกรรมจริง ๆ

การตั้งค่าคอนฟิกอย่างเช่น ระบบตรวจสอบแบบตัวเดียว (single-verifier), ผู้ให้บริการโหนดที่ไม่เคยออดิต และซอฟต์แวร์วอลเล็ตที่ใช้ร่วมกัน ไม่ใช่ความเสี่ยงเล็ก ๆ อีกต่อไป ในโลกที่คู่แข่งคือ “รัฐชาติ” สิ่งเหล่านี้คือเวทีหลักของเกม

Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months

บทสรุป

Lazarus เป็นหลักฐานยืนยันว่า ความล้มเหลวด้านความปลอดภัยที่ใหญ่ที่สุดของคริปโตทุกวันนี้ เป็นเรื่องภูมิรัฐศาสตร์ การเงิน และโครงสร้างพื้นฐานไปพร้อม ๆ กัน

Ronin, Harmony, WazirX, DMM Bitcoin, Bybit และล่าสุด Kelp ไม่ได้เป็นรายการอุบัติเหตุที่แยกกันอยู่ พวกมันคือ “แคมเปญ” ที่ดำเนินการโดยรัฐบาลที่ถูกคว่ำบาตร ต่ออุตสาหกรรมที่ยังประเมินต่ำไปมากว่าคู่แข่งแบบรัฐชาติที่ดื้อดึงจริง ๆ นั้นมีหน้าตาอย่างไร

Kelp ครั้งถัดไปกำลังถูกวางแผนอยู่แล้ว คำถามคืออุตสาหกรรมจะมองมันเป็นเพียง “บั๊กรีพอร์ต” หรือ “แนวหน้าการรบ”

Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K

คำถามที่พบบ่อย (FAQ)

เกิดอะไรขึ้นในเหตุแฮ็ก Kelp DAO?

เมื่อวันที่ 18 เม.ย. 2026 ผู้โจมตีได้ดูด rsETH จำนวน 116,500 เหรียญ คิดเป็นมูลค่าราว 292 ล้านดอลลาร์ ออกจากบริดจ์ข้ามเชนที่ Kelp DAO เป็นผู้ดำเนินการ การเจาะครั้งนี้ไม่ได้เล่นงานช่องโหว่ของสมาร์ตคอน tract โดยตรง แต่เป็นการยึดโหนด RPC สองตัวที่ใช้ใน Decentralized Verifier Network ของ LayerZero แล้วบังคับให้ระบบ failover เพื่อให้โหนดที่ถูกวางยาทำการอนุมัติข้อความข้ามเชนปลอม Kelp ใช้ multisig ฉุกเฉินหยุดคอนแทรกต์หลักในอีก 46 นาทีต่อมา ปิดกั้นความพยายามดูดเงินอีกสองครั้งรวมมูลค่าราว 100 ล้านดอลลาร์

Lazarus Group คือใคร?

Lazarus เป็นฉลากรวมสำหรับกลุ่มผู้โจมตีไซเบอร์ที่เชื่อมโยงกับรัฐเกาหลีเหนือ ซึ่งกระทรวงการคลังสหรัฐและ FBI ผูกโยงเข้ากับ Reconnaissance General Bureau ซึ่งเป็นหน่วยข่าวกรองทางทหารหลักของเปียงยาง นักวิเคราะห์ติดตามซับคลัสเตอร์และนามแฝงหลายชุดภายใต้ร่มเดียวกันนี้ ได้แก่ TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet และ Slow Pisces โดยคลัสเตอร์เหล่านี้มักแชร์ทั้งโครงสร้างพื้นฐานและบุคลากรกัน

ทำไม LayerZero จึงระบุว่า Kelp ถูกโจมตีโดย Lazarus?

รายงานเหตุการณ์หลังการโจมตีของ LayerZero ชี้ว่าลักษณะฝีมือการโจมตีและพฤติกรรมกระเป๋าเงินของผู้โจมตี มีเครื่องหมายเดียวกับแอ็กเตอร์ระดับรัฐ โดยเฉพาะซับยูนิต TraderTraitor ของ Lazarus การเตรียมเงินล่วงหน้าผ่าน Tornape Cash ราวสิบชั่วโมงก่อนโจมตี การใช้ไบนารีที่ทำลายตัวเองได้บนโครงสร้างพื้นฐานที่ถูกยึด และการรวมเหรียญ Ether ที่ถูกดูดไปประมาณ 74,000 เหรียญหลังจบเหตุการณ์ ล้วนตรงกับแพทเทิร์นที่เคยถูกบันทึกไว้ในเคสที่เชื่อมโยงกับ DPRK ก่อนหน้า

เกาหลีเหนือขโมยคริปโตไปแล้วทั้งหมดเท่าไร?

Chainalysis ระบุยอดการโจรกรรมคริปโตที่เชื่อมโยงกับ DPRK รวม 6.75 พันล้านดอลลาร์ ในจำนวนนั้น 2.02 พันล้านดอลลาร์ถูกขโมยในปี 2025 ปีเดียว ซึ่งคิดเป็นราว 59% ของมูลค่าคริปโตที่ถูกขโมยทั่วโลกในปีนั้น รายงานก่อนหน้านี้ของสำนักงานข่าวกรองแห่งชาติของเกาหลีใต้ประเมินยอดรวมห้าปีจนถึงสิ้นปี 2022 ที่ราว 1.2 พันล้านดอลลาร์ ขณะที่คณะผู้เชี่ยวชาญของสหประชาชาติได้สืบสวนการโจมตีไซเบอร์ที่ต้องสงสัยว่าเกี่ยวข้องกับ DPRK จำนวน 58 เคสระหว่างปี 2017 ถึง 2023 รวมมูลค่าราว 3 พันล้านดอลลาร์

TraderTraitor คืออะไร?

TraderTraitor เป็นซับคลัสเตอร์ของ Lazarus ที่เชี่ยวชาญโจมตีเป้าหมายสายอุตสาหกรรมคริปโตโดยเฉพาะ ลายเซ็นหลักคือการใช้ social engineering เล่นงานทีมเทคนิค มักมาในรูปแบบข้อเสนอรับเข้าทำงานปลอมบน LinkedIn แบบทดสอบก่อนจ้างงานที่ฝังมัลแวร์ และการเจาะผู้ขายซอฟต์แวร์วอลเล็ตหรือโครงสร้างพื้นฐานการเซ็นธุรกรรม FBI, กระทรวงกลาโหมสหรัฐ และสำนักงานตำรวจแห่งชาติญี่ปุ่น ได้ระบุชื่อ TraderTraitor อย่างเป็นทางการในเหตุขโมยคริปโต DMM Bitcoin มูลค่า 308 ล้านดอลลาร์ และต่อมา FBI ยังย้ำชื่ออีกครั้งว่าเป็นผู้อยู่เบื้องหลังการปล้น Bybit มูลค่า 1.5 พันล้านดอลลาร์

เหตุแฮ็กคริปโตที่เชื่อมโยงกับ Lazarus ที่ใหญ่ที่สุดมีอะไรบ้าง?

เหตุการณ์ที่มีการระบุชื่อสาธารณะว่าโยงกับ Lazarus และมีมูลค่าสูงที่สุด ได้แก่ Ronin Network ในเดือนมี.ค. 2022 ราว 625 ล้านดอลลาร์, Harmony Horizon ในเดือนมิ.ย. 2022 ราว 100 ล้านดอลลาร์, WazirX ในเดือนก.ค. 2024 ราว 235 ล้านดอลลาร์, DMM Bitcoin ในเดือนพ.ค. 2024 ราว 308 ล้านดอลลาร์, Bybit ในเดือนก.พ. 2025 ราว 1.5 พันล้านดอลลาร์ และ Kelp DAO ในเดือนเม.ย. 2026 ราว 292 ล้านดอลลาร์

Lazarus ฟอกคริปโตที่ขโมยมายังไง?

Chainalysis อธิบายถึงวงจรฟอกเงินที่ถูกปรับให้เหลือราวสามระลอกในช่วงเวลาประมาณ 45 วัน โดยจะเคลื่อนเงินที่ขโมยมาไปผ่านมิกเซอร์ บริดจ์ข้ามเชน และเครือข่าย OTC ภาษาจีน แบ่งเป็นล็อตย่อย ๆ ที่มักต่ำกว่า 500,000 ดอลลาร์เพื่อหลบเพดานการมอนิเตอร์ จุดมุ่งหมายคือวิ่งหนีบล็อกลิสต์ของแพลตฟอร์มแลกเปลี่ยนและการวิเคราะห์ on-chain ให้ทัน ก่อนเงินจะไปถึงจุดที่แปลงเป็นเงินสดได้

ทำไมเกาหลีเหนือลงมือกับคริปโต?

การขโมยคริปโตทำหน้าที่เป็นทั้งช่องทางรายได้เพื่อหลบเลี่ยงมาตรการคว่ำบาตรสำหรับเศรษฐกิจที่ถูกโดดเดี่ยวของเปียงยาง และเป็นแหล่งทุนตรงสำหรับโครงการมิสไซล์และนิวเคลียร์ ตามรายงานของคณะผู้เชี่ยวชาญ UN และเจ้าหน้าที่สหรัฐที่ AP อ้างถึง การประเมินของสหรัฐชี้ว่าอาชญากรรมไซเบอร์อาจคิดเป็นเกือบครึ่งหนึ่งของรายได้สกุลเงินต่างประเทศทั้งหมดของเกาหลีเหนือ แล้วคริปโตก็ตอบโจทย์ภารกิจนี้ เพราะธุรกรรมถูกเคลียร์ด้วย finality ในระดับนาที และไม่สามารถย้อนกลับได้โดยธนาคารตัวกลาง

ZachXBT คือใคร และเขามีบทบาทอย่างไร?

ZachXBT เป็นนักสืบบนเชนนามแฝง ซึ่งงานระบุความเชื่อมโยงของเขาในที่สาธารณะมักจะออกมาก่อนการยืนยันอย่างเป็นทางการของรัฐบาลหลายครั้ง ในกรณี Bybit โพสต์ประกาศรางวัลของ Arkham เมื่อวันที่ 21 ก.พ. 2025 ได้ให้เครดิตเขาในฐานะผู้ทำการเชื่อมโยงธุรกรรมที่ผูกการโจมตีกลับไปยัง Lazarus ก่อนที่ FBI จะระบุชื่อเกาหลีเหนืออย่างเป็นทางการถึงห้าวัน นักสืบบนเชนอย่าง ZachXBT จึงเป็นชั้นการระบุตัวแบบสาธารณะในระยะต้น ไม่ใช่ตัวแทนหน่วยงานรัฐแต่เร็วกว่าในระดับที่ช่วยให้แพลตฟอร์มแลกเปลี่ยนตอบสนองได้ไวขึ้น

อุตสาหกรรมคริปโตจะหยุด Lazarus ได้ไหม?

ทำได้ยากมากหากมีแค่การออดิตโค้ด พื้นผิวการโจมตีที่สำคัญคือฝั่งปฏิบัติการ ซึ่งรวมถึงเครื่องมือเซ็นของบุคคลที่สาม ผู้ให้บริการวอลเล็ต โครงสร้างพื้นฐานโหนด ช่องทางสรรหาบุคลากรและระบบ build การวิเคราะห์บน Dune หลังเหตุการณ์ Kelp พบว่า 47% ของ OApp บน LayerZero ที่ยังแอคทีฟ ยังใช้คอนฟิกตัวตรวจสอบแบบ 1-of-1 ซึ่งเป็นคอนฟิกรูปแบบเดียวกับที่เปิดทางให้เกิดการโจมตี Kelp การเสริมความแข็งแรงให้เลเยอร์นี้ ทั้งในระดับผู้ขาย โฮสต์โครงสร้างพื้นฐาน และการเข้าถึงของมนุษย์ คือจุดที่ผลลัพธ์ฝั่งรับมือกำลังถูกรวมศูนย์อยู่ตอนนี้

ตอนนี้ใช้ Kelp DAO ปลอดภัยหรือไม่?

Kelp ได้หยุดคอนแทรกต์หลักผ่านระบบฉุกเฉินของตนmultisig ภายใน 46 นาทีหลังจากการตรวจพบ ซึ่งได้บล็อกความพยายามดูดทรัพย์เพิ่มเติมอีกสองครั้ง ผู้ใช้ควรตรวจสอบช่องทางรายงานเหตุการณ์อย่างเป็นทางการของ Kelp และ LayerZero เพื่อดูสถานะสัญญาปัจจุบัน โปรแกรมการกู้คืนหรือการชดเชยใด ๆ และการตั้งค่าตัวตรวจสอบ (verifier) ที่อัปเดต ก่อนกลับมาทำกิจกรรมอีกครั้ง

ความแตกต่างระหว่าง Lazarus และ TraderTraitor คืออะไร?

Lazarus เป็นร่มใหญ่ (umbrella) ส่วน TraderTraitor เป็นคลัสเตอร์ย่อยแบบเฉพาะทางภายใต้ร่มนั้น ที่มุ่งเป้าโจมตีอุตสาหกรรมคริปโตโดยเฉพาะ และมีชื่อเสียงด้านการใช้วิศวกรรมสังคม (social engineering) กับวิศวกรและผู้พัฒนาซอฟต์แวร์กระเป๋าเงินคริปโต เมื่อ FBI ระบุการโจมตีว่าเป็นฝีมือ TraderTraitor โดยเฉพาะ หมายความว่ากำลังระบุ “หน่วยปฏิบัติการ” เฉพาะ ไม่ใช่แค่ระบบนิเวศที่เชื่อมโยงกับรัฐในวงกว้างเท่านั้น

ข้อจำกัดความรับผิดชอบและคำเตือนความเสี่ยง: ข้อมูลที่ให้ไว้ในบทความนี้มีไว้เพื่อการศึกษาและการให้ข้อมูลเท่านั้น และอิงตามความเห็นของผู้เขียน ไม่ถือเป็นคำแนะนำทางการเงิน การลงทุน กฎหมาย หรือภาษี สินทรัพย์คริปโตมีความผันผวนสูงและมีความเสี่ยงสูง รวมถึงความเสี่ยงในการสูญเสียเงินลงทุนทั้งหมดหรือส่วนใหญ่ การซื้อขายหรือการถือครองสินทรัพย์คริปโตอาจไม่เหมาะสมสำหรับนักลงทุนทุกคน ความเห็นที่แสดงในบทความนี้เป็นของผู้เขียนเท่านั้น และไม่ได้แทนนโยบายหรือตำแหน่งอย่างเป็นทางการของ Yellow ผู้ก่อตั้ง หรือผู้บริหาร ควรทำการวิจัยอย่างละเอียดด้วยตนเอง (D.Y.O.R.) และปรึกษาผู้เชี่ยวชาญทางการเงินที่ได้รับใบอนุญาตก่อนตัดสินใจลงทุนใดๆ เสมอ
บทความการวิจัยที่เกี่ยวข้อง
การแฮกระบบคริปโตครั้งใหญ่ที่สุดปี 2025–2026: เบื้องหลังว่าจริง ๆ แล้วพลาดตรงไหน
สรุปการแฮกคริปโตครั้งใหญ่สุดปี 2025–ต้น 2026 เจาะสาเหตุ รูปแบบ และจุดศูนย์กลางความเชื่อใจที่กลายเป็นช่องโหว่
ความจริงที่น่ากระอักกระอ่วนของคริปโต: 16 บล็อกเชนรายใหญ่สามารถอายัดทรัพย์สินผู้ใช้ได้ — การกระจายศูนย์กำลังตกอยู่ในความเสี่ยงหรือไม่?
Nov 15, 2025
รายงานของ Bybit พบว่า 16 จาก 166 บล็อกเชนมีฟังก์ชันอายัดเงินในตัว อีก 19 ปรับเล็กน้อยก็ทำได้ ย้ำปมเสี่ยงรวมศูนย์ของระบบคริปโต
Claude Mythos และคริปโต: ภัยคุกคาม AI รูปแบบใหม่หมายถึงอะไรต่อการเทรด
Claude Mythos พบช่องโหว่ zero-day จำนวนมาก เสี่ยงเร่งการแฮ็กคริปโต อุตสาหกรรมต้องเร่งลงทุนป้องกัน โดยเฉพาะกระดานเทรดและ DeFi ขนาดเล็ก
10 สิ่งที่สตาร์ทอัพคริปโตส่วนใหญ่รู้ตัวช้าเกินไป
10 บทเรียนราคาแพงที่ผู้ก่อตั้งโปรเจกต์คริปโตมักรู้ตัวช้าเกินไป ตั้งแต่การกระจาย การออกโทเคน สภาพคล่อง ความปลอดภัย ไปจนถึงความเชื่อใจ
วิกฤตความปลอดภัยของ Web3 ในปี 2026: ทำไมแฮ็กครั้งใหญ่ที่สุดไม่ใช่แค่บั๊กสมาร์ตคอนแทรกต์อีกต่อไป
ปี 2025–2026 แฮ็กคริปโตส่วนใหญ่ไม่ได้มาจากบั๊กสมาร์ตคอนแทรกต์ แต่จากความล้มเหลวด้านโครงสร้างพื้นฐาน มนุษย์ และคลาวด์ โดยเกาหลีเหนือเป็นผู้เล่นหลัก
Lazarus และการเจาะ Kelp: เครื่องจักรปล้นคริปโตของเกาหลีเหนือยังวิวัฒน์ไม่หยุด | Yellow.com