Elliptic กล่าวเมื่อวันพระหัสบดีว่าการโจมตี Drift Protocol มูลค่า 285 ล้านดอลลาร์ซึ่งเป็นการโจมตีที่ใหญ่ที่สุดในปีนี้ มี "ตัวชี้วัดหลายประการ" ที่บ่งชี้ถึงการมีส่วนเกี่ยวข้องของกลุ่มแฮ็กเกอร์ DPRK ที่ได้รับการสนับสนุนจากรัฐของเกาหลีเหนือ
บริษัทวิจัยชี้เฉพาะไปที่พฤติกรรมออนเชน วิธีการฟอกเงิน และสัญญาณระดับเครือข่าย ซึ่งทั้งหมดสอดคล้องกับการโจมตีที่เชื่อมโยงกับรัฐในครั้งก่อนๆ
Drift Protocol ซึ่งโทเค็นของมันลดลงกว่า 40% เหลือประมาณ $0.06 นับตั้งแต่การแฮ็ก เป็นตลาดซื้อขายฟิวเจอร์สแบบถาวรแบบกระจายอำนาจที่ใหญ่ที่สุดบนบล็อกเชน Solana
"หากได้รับการยืนยัน เหตุการณ์นี้จะเป็นการกระทำของ DPRK ครั้งที่สิบแปดที่ Elliptic ติดตามในปีนี้ โดยมีการขโมยไปแล้วกว่า 300 ล้านดอลลาร์" รายงานระบุ
"นี่เป็นการดำเนินการต่อเนื่องจากแคมเปญการขโมยสินทรัพย์คริปโตขนาดใหญ่ที่ยั่งยืนของ DPRK ซึ่งรัฐบาลสหรัฐฯ ได้เชื่อมโยงกับการระดมทุนสำหรับโครงการอาวุธของประเทศ ผู้กระทำการที่เชื่อมโยงกับ DPRK เชื่อว่ามีส่วนรับผิดชอบต่อการขโมยสินทรัพย์คริปโตมูลค่าหลายพันล้านดอลลาร์ในช่วงไม่กี่ปีที่ผ่านมา" Elliptic กล่าวเสริม
ไม่กี่ชั่วโมงก่อนหน้านั้น ข้อมูลจาก Arkham แสดงให้เห็นว่ามีการโอนเงินกว่า 250 ล้านดอลลาร์จาก Drift ไปยังกระเป๋าเงินชั่วคราว จากนั้นไปยังที่อยู่อื่นๆ หลายแห่ง
ในเดือนธันวาคม รายงานจาก Chainalysis เปิดเผยว่าแฮ็กเกอร์ DPRK ขโมยคริปโตสถิติสูงสุด 2 พันล้านดอลลาร์ในปี 2025 รวมถึงการละเมิด Bybit มูลค่า 1.4 พันล้านดอลลาร์ ซึ่งเป็นการเพิ่มขึ้น 51% จากปีก่อนหน้า กระทรวงการคลังสหรัฐฯ กล่าวเมื่อเดือนที่แล้วว่าเกาหลีเหนือใช้สินทรัพย์ที่ถูกขโมยเพื่อระดมทุนสำหรับโครงการอาวุธทำลายล้างสูงของประเทศ
แทนที่จะมุ่งเน้นไปที่การโจมตีเอง การวิเคราะห์ของ Elliptic เน้นย้ำถึงรูปแบบการดำเนินงานที่คุ้นเคย กิจกรรมดูเหมือน "มีการวางแผนล่วงหน้าและจัดฉากอย่างระมัดระวัง" โดยมีธุรกรรมทดสอบในช่วงแรกและกระเป๋าเงินที่วางไว้ล่วงหน้าก่อนเหตุการณ์หลัก
รายงานอธิบายว่าเมื่อดำเนินการแล้ว เงินทุนจะถูกรวมและแลกเปลี่ยนอย่างรวดเร็ว เชื่อมโยงข้ามเชน และแปลงเป็นสินทรัพย์ที่มีสภาพคล่องมากขึ้น สะท้อนถึงกระแสการฟอกเงินที่มีโครงสร้างและทำซ้ำได้ ออกแบบมาเพื่อปกปิดแหล่งที่มาในขณะที่ยังคงการควบคุม
ความท้าทายสำคัญที่ Elliptic ระบุคือโมเดลบัญชีของ Solana เนื่องจากสินทรัพย์แต่ละรายการถูกเก็บไว้ในบัญชีโทเค็นแยกกัน กิจกรรมที่เชื่อมโยงกับผู้กระทำการคนเดียวอาจดูกระจัดกระจายในหลายที่อยู่ หากไม่เชื่อมโยงเหล่านี้ นักสืบเสี่ยงที่จะเห็น "เศษส่วนของกิจกรรมของผู้โจมตี ไม่ใช่ภาพรวมที่สมบูรณ์"
นี่คือจุดที่รายงานของ Elliptic เน้นย้ำถึงวิธีการคลัสเตอริ่ง ซึ่งเชื่อมต่อบัญชีโทเค็นกลับไปยังเอนทิตีเดียว ทำให้สามารถระบุความเสี่ยงได้โดยไม่คำนึงถึงที่อยู่ใดที่ถูกตรวจสอบ ในเหตุการณ์ที่เกี่ยวข้องกับสินทรัพย์มากกว่าโหลประเภท มุมมองระดับเอนทิตีนั้นกลายเป็นสิ่งสำคัญ
กรณีนี้ยังเน้นย้ำ Elliptic เสริมในรายงานว่า การฟอกเงินได้กลายเป็นข้ามเชนโดยธรรมชาติ เงินทุนเคลื่อนย้ายจาก Solana ไปยัง Ethereum และเกินกว่านั้น แสดงให้เห็นถึงความจำเป็นสำหรับสิ่งที่ Elliptic อธิบายว่า "ความสามารถในการติดตามข้ามเชนแบบองค์รวม"
แหล่งที่มา: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
