Drift Protocol (DRIFT) เผยแพร่รายงานอัปเดตเหตุการณ์โดยละเอียดเมื่อวันที่ 5 เมษายน เปิดเผยว่าการโจมตีมูลค่า 285 ล้านดอลลาร์เมื่อวันที่ 1 เมษายนเป็นผลมาจากการปฏิบัติการข่าวกรองที่ใช้เวลา 6 เดือน ซึ่งมีกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนืออยู่เบื้องหลัง
การเปิดเผยข้อมูลครั้งนี้อธิบายถึงระดับของการโจมตีทางสังคม (social engineering) ที่ซับซ้อนกว่าการหลอกลวงแบบฟิชชิ่งหรือการแอบอ้างเป็นนายจ้างทั่วไป โดยมีการพบปะพูดคุยกันตัวต่อตัว การลงทุนด้วยเงินทุนจริง และการสร้างความไว้วางใจเป็นเวลาหลายเดือน
บริษัทเทรดปลอมที่วางแผนระยะยาว
ตามรายงานของ Drift กลุ่มบุคคลที่แอบอ้างเป็นบริษัทเทรดเชิงปริมาณได้เข้าหาผู้ร่วมพัฒนาครั้งแรกในงานประชุมคริปโตครั้งใหญ่ในช่วงฤดูใบไม้ร่วงปี 2025
ในช่วงหลายเดือนถัดมา บุคคลเหล่านี้ปรากฏตัวในหลายงานอีเว้นท์ในหลายประเทศ จัดการประชุมเชิงปฏิบัติการ และสนทนาผ่าน Telegram อย่างต่อเนื่องเกี่ยวกับการรวมระบบ vault
ติดตามเราบน X เพื่อรับข่าวสารล่าสุดทันที
ระหว่างเดือนธันวาคม 2025 ถึงมกราคม 2026 กลุ่มนี้เริ่มใช้งาน Ecosystem Vault บน Drift ฝากเงินทุนมากกว่า 1 ล้านดอลลาร์ และเข้าร่วมการพูดคุยเกี่ยวกับผลิตภัณฑ์อย่างละเอียด
ในเดือนมีนาคม ผู้ร่วมพัฒนาของ Drift ได้พบปะกับบุคคลเหล่านี้แบบตัวต่อตัวหลายครั้ง
แม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยเว็บก็ยังรู้สึกกังวล โดยนักวิจัย Tay แชร์ว่าเธอคาดว่าจะเป็นการหลอกลวงแบบนายจ้างปลอมทั่วไป แต่กลับพบว่าการปฏิบัติการนี้มีความลึกซึ้งและน่าตกใจมากกว่ามาก
อุปกรณ์ถูกโจมตีอย่างไร
Drift ระบุช่องทางการโจมตีที่เป็นไปได้ 3 ช่องทาง:
- ผู้ร่วมพัฒนาคนหนึ่งโคลน code repository ที่กลุ่มนี้แชร์สำหรับ vault frontend
- คนที่สองดาวน์โหลดแอปพลิเคชัน TestFlight ที่นำเสนอว่าเป็นผลิตภัณฑ์กระเป๋าเงิน
- สำหรับช่องทาง repository นั้น Drift ชี้ไปที่ช่องโหว่ของ VSCode และ Cursor ที่เป็นที่รู้จักซึ่งนักวิจัยด้านความปลอดภัยได้เตือนมาตั้งแต่ปลายปี 2025
ช่องโหว่นี้ทำให้โค้ดสามารถทำงานแบบอัตโนมัติทันทีที่เปิดไฟล์หรือโฟลเดอร์ในโปรแกรมแก้ไขโค้ด โดยไม่ต้องให้ผู้ใช้ทำอะไรเลย
หลังจากการโจมตีเมื่อวันที่ 1 เมษายน ผู้โจมตีได้ลบการสนทนาทั้งหมดบน Telegram และซอฟต์แวร์ที่เป็นอันตราย Drift ได้หยุดการทำงานของโปรโตคอลที่เหลือและลบกระเป๋าเงินที่ถูกบุกรุกออกจาก multisig
ทีม SEALS 911 ประเมินด้วยความมั่นใจระดับปานกลาง-สูงว่าผู้โจมตีกลุ่มเดียวกันเป็นผู้ดำเนินการแฮ็ก Radiant Capital ในเดือนตุลาคม 2024 ซึ่ง Mandiant ระบุว่าเป็นฝีมือของ UNC4736
การไหลของเงินทุนบนเชนและความเหมือนในการปฏิบัติการระหว่างสองแคมเปญนี้สนับสนุนการเชื่อมโยงดังกล่าว
อุตสาหกรรมเรียกร้องให้รีเซ็ตความปลอดภัย
Armani Ferrante นักพัฒนา Solana ที่มีชื่อเสียง เรียกร้องให้ทุกทีมคริปโตหยุดความพยายามในการเติบโตและตรวจสอบระบบความปลอดภัยทั้งหมด
Drift ระบุว่าบุคคลที่ปรากฏตัวตัวต่อตัวไม่ใช่คนสัญชาติเกาหลีเหนือ ผู้โจมตีจากเกาหลีเหนือในระดับนี้เป็นที่รู้จักว่าใช้ตัวกลางบุคคลที่สามในการพบปะตัวต่อตัว
Mandiant ซึ่ง Drift ได้ว่าจ้างให้ตรวจสอบอุปกรณ์ทางนิติวิทยาศาสตร์ ยังไม่ได้ระบุผู้โจมตีอย่างเป็นทางการ
การเปิดเผยข้อมูลครั้งนี้เป็นการเตือนระบบนิเวศในวงกว้าง Drift เรียกร้องให้ทีมต่างๆ ตรวจสอบการควบคุมการเข้าถึง ปฏิบัติต่อทุกอุปกรณ์ที่เชื่อมต่อกับ multisig ว่าเป็นเป้าหมายที่อาจถูกโจมตี และติดต่อ SEAL 911 หากสงสัยว่าตกเป็นเป้าหมายแบบเดียวกัน
บทความ Drift Protocol's $285 Million Heist Started With a Handshake and 6 Months of Trust ปรากฏครั้งแรกบน BeInCrypto
แหล่งที่มา: https://beincrypto.com/drift-north-korea-spy-operation-hack/
