สงสัยว่ากลุ่ม Lazarus ของ DPRK อยู่เบื้องหลังการโจรกรรม Drift Protocol มูลค่า 286 ล้านดอลลาร์บน Solana
Drift Protocol แพลตฟอร์มซื้อขายฟิวเจอร์สแบบกระจายอำนาจที่ใหญ่ที่สุดบนเครือข่าย Solana ยืนยันการโจมตีหลังจากเห็นมูลค่ารวมที่ล็อกไว้ (TVL) ลดลงจากประมาณ 550 ล้านดอลลาร์เหลือต่ำกว่า 250 ล้านดอลลาร์ในเช้าวันเดียว ปัจจุบันอยู่ที่ 232 ล้านดอลลาร์ Bitcoin.com News เป็นสื่อแรกที่รายงานเรื่องนี้ โทเค็น DRIFT ลดลงมากถึง 37%–42% ในชั่วโมงต่อมา แตะระดับต่ำสุดใกล้ 0.04 ถึง 0.05 ดอลลาร์
รายงานระบุว่าการโจมตีเริ่มต้นไม่ใช่จากข้อผิดพลาดของโค้ด แต่จากการถอน Tornado Cash เมื่อวันที่ 11 มีนาคม ผู้โจมตีดึง ETH จากโปรโตคอลความเป็นส่วนตัวบน Ethereum และใช้เงินเหล่านั้นในการปรับใช้โทเค็น carbonvote หรือ CVT เมื่อวันที่ 12 มีนาคม นักวิเคราะห์บล็อกเชนสังเกตว่าเวลาที่ปรับใช้ตรงกับประมาณ 09:00 น. ตามเวลาเปียงยาง รายละเอียดที่ทำให้เกิดข้อสงสัยทันที
โทเค็น DRIFT เมื่อวันที่ 3 เมษายน 2026รายงานหลายฉบับระบุว่าในสามสัปดาห์ถัดมา ผู้โจมตีได้สร้างสภาพคล่องเพียงเล็กน้อยสำหรับ CVT บนตลาดแลกเปลี่ยนแบบกระจายอำนาจ Raydium และใช้การซื้อขายปลอมเพื่อรักษาราคาใกล้ 1.00 ดอลลาร์ Oracle ของ Drift อ่านราคานั้นว่าถูกต้อง ผู้โจมตีได้สร้างหลักประกันปลอมที่ดูเหมือนจริงต่อทุกระบบอัตโนมัติที่เฝ้าดูอยู่
"เมื่อเช้านี้ ผู้กระทำการที่เป็นอันตรายได้เข้าถึง Drift Protocol โดยไม่ได้รับอนุญาตผ่านการโจมตีรูปแบบใหม่ที่เกี่ยวข้องกับ durable nonces ส่งผลให้ยึดอำนาจบริหารของสภาความปลอดภัยของ Drift ได้อย่างรวดเร็ว" ทีม Drift เขียน
บัญชี X ของโครงการเพิ่มเติมว่า:
เห็นได้ชัดว่าระหว่างวันที่ 23 ถึง 30 มีนาคม ผู้โจมตี Drift ได้เคลื่อนไปยังชั้นมนุษย์ โดยใช้ฟีเจอร์ที่ถูกต้องของ Solana ที่เรียกว่า durable nonces ผู้โจมตีถูกรายงานว่าได้ชักจูงสมาชิกของ Security Council multisig ของ Drift ให้ลงลายมือชื่อธุรกรรมล่วงหน้าที่ดูเหมือนเป็นเรื่องปกติ ลายเซ็นเหล่านั้นกลายเป็นกุญแจเข้าถึงที่ได้รับอนุมัติล่วงหน้า เก็บไว้จนกว่าผู้โจมตีจะพร้อม
ช่องว่างปิดลงเมื่อวันที่ 27 มีนาคม เมื่อ Drift ย้าย Security Council ไปยังเกณฑ์ลายเซ็น 2 จาก 5 และลบ timelock ออกทั้งหมด โดยปกติ timelock จะบังคับให้มีการหน่วงเวลา 24 ถึง 72 ชั่วโมงในการดำเนินการบริหาร ให้เวลาชุมชนในการตรวจจับและย้อนกลับสิ่งที่น่าสงสัย หากไม่มี ผู้โจมตีก็มีอำนาจในการดำเนินการแบบไม่มีการหน่วงเวลา ธุรกรรมที่ลงลายมือชื่อล่วงหน้ามีผลทันทีที่ timelock หายไป
เมื่อวันที่ 1 เมษายน ผู้โจมตีเปิดใช้งานธุรกรรมเหล่านั้น จดทะเบียน CVT เป็นหลักประกันที่ถูกต้อง เพิ่มขีดจำกัดการถอน และฝากโทเค็น CVT หลายร้อยล้านซึ่งเครื่องมือประเมินความเสี่ยงของ Drift ออกสินทรัพย์จริง โปรโตคอลส่งมอบโทเค็น JLP หลายล้าน USDC หลายล้าน SOL หลายล้าน และจำนวนเล็กน้อยของ wrapped bitcoin และ ethereum มีธุรกรรมถอน 31 รายการที่ผ่านในประมาณ 12 นาที
ผู้โจมตีแปลงโทเค็นที่ขโมยไปเป็น USDC โดยใช้ Jupiter เชื่อมต่อไปยัง Ethereum และแลกเปลี่ยนเป็น ETH หลายหมื่น เงินบางส่วนถูกส่งผ่าน Hyperliquid และบางส่วนย้ายตรงไปยัง Binance เมื่อวันที่ 3 เมษายน Drift ส่งข้อความบนเชนจากที่อยู่ Ethereum ไปยังกระเป๋าเงินสี่ใบที่แฮกเกอร์ควบคุม สิ่งพิมพ์ cryptonomist.ch รายงานว่าข้อความระบุว่า:
บริษัทรักษาความปลอดภัย Elliptic และ TRM Labs ระบุว่าการโจมตีเกี่ยวข้องกับผู้คุกคามที่เชื่อมโยงกับ DPRK โดยอ้างถึงต้นกำเนิด Tornado Cash ลายเซ็นการปรับใช้ตามเวลาเปียงยาง การมุ่งเน้นที่วิศวกรรมสังคม และความเร็วในการฟอกเงินหลังการแฮ็ก กลุ่ม Lazarus ใช้แนวทางที่อดทนและกำหนดเป้าหมายที่มนุษย์เหมือนกันในการแฮ็ก Ronin bridge ปี 2022 รัฐบาลสหรัฐฯ ได้เชื่อมโยงการโจรกรรมเหล่านี้กับการระดมทุนโครงการอาวุธของเกาหลีเหนือ และ Elliptic ได้ติดตามเงินที่ถูกขโมยกว่า 300 ล้านดอลลาร์ในไตรมาสแรกของปี 2026 เพียงอย่างเดียว
การแพร่กระจายขยายไปยังมากกว่า 20 โปรโตคอล Prime Numbers Fi รายงานความสูญเสียหลายล้าน Carrot Protocol หยุดการหล่อและการแลกคืนหลังจาก TVL 50% ได้รับผลกระทบ Pyra Protocol ปิดการถอนทั้งหมด ทำให้เงินของผู้ใช้ทั้งหมดไม่สามารถเข้าถึงได้ Piggybank สูญเสีย 106,000 ดอลลาร์และชดเชยผู้ใช้จากคลังทีมของตนเอง
DeFi Development Corp. บริษัทที่จดทะเบียนใน Nasdaq ซึ่งมีกลยุทธ์คลัง Solana ยืนยันเมื่อวันที่ 1 เมษายนว่าไม่มีความเสี่ยงต่อ Drift กรอบความเสี่ยงของบริษัทไม่รวมโปรโตคอลนี้เลย ข้อเท็จจริงนั้นดึงดูดความสนใจมากกว่าที่บริษัทคาดหวังไว้
เหตุการณ์ Drift สร้างบทเรียนที่ชัดเจนหนึ่งข้อที่อุตสาหกรรมส่วนใหญ่รู้อยู่แล้วแต่ยังไม่ได้นำไปใช้อย่างเต็มที่: timelock ไม่ใช่ทางเลือก การลบมาตรการป้องกันเดียวนั้นเมื่อวันที่ 27 มีนาคมเปลี่ยนการโจมตีที่ซับซ้อนหลายสัปดาห์ให้กลายเป็นการเบิกเงินสด 12 นาที การกำกับดูแลโปรโตคอลโดยไม่มีกลไกหน่วงเวลาคือการกำกับดูแลที่เปิดประตูทิ้งไว้
48 ชั่วโมงถัดไปหลังการโจมตี DeFi ถูกอธิบายว่าสำคัญต่อความสามารถของ Drift ในการรักษาความไว้วางใจของผู้ใช้และวางแผนเส้นทางการฟื้นฟู ณ วันที่ 3 เมษายน ยังไม่มีการประกาศแผนชดเชยที่ครอบคลุม
FAQ 🔎
- เกิดอะไรขึ้นกับ Drift Protocol? ผู้โจมตีดูดเงิน 286 ล้านดอลลาร์จาก Drift Protocol เมื่อวันที่ 1 เมษายน 2026 โดยใช้หลักประกันปลอมและธุรกรรมบริหารที่ลงลายมือชื่อล่วงหน้าเพื่อล้างคลังหลักของโปรโตคอลใน 12 นาที
- ใครเป็นผู้รับผิดชอบในการแฮ็ก Drift Protocol? บริษัทรักษาความปลอดภัย รวมถึง Elliptic และ TRM Labs ระบุว่าการโจมตีเกี่ยวข้องกับผู้คุกคามที่เชื่อมโยงกับ DPRK โดยอ้างถึงรูปแบบการฟอกเงินและเวลาบนเชนที่สอดคล้องกับกลยุทธ์ของกลุ่ม Lazarus
- เงินของฉันปลอดภัยบน Drift Protocol หรือไม่? Drift ระงับการฝากและถอนทั้งหมดหลังการโจมตี ผู้ใช้ในโปรโตคอลที่ได้รับผลกระทบเช่น Pyra และ Carrot ยังคงไม่สามารถเข้าถึงเงินได้ ณ วันที่ 3 เมษายน 2026
- การโจมตี durable nonce ใน Solana DeFi คืออะไร? การโจมตี durable nonce ใช้ฟีเจอร์ที่ถูกต้องของ Solana ในการลงลายมือชื่อธุรกรรมล่วงหน้าที่ดูเหมือนเป็นเรื่องปกติ เก็บไว้เป็นกุญแจอนุญาตที่ใช้งานได้จนกว่าผู้โจมตีจะเลือกดำเนินการ
แหล่งที่มา: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
