สิ่งที่ดูเหมือนจะเป็นการโจมตีอย่างกะทันหันในตอนแรก ได้ถูกเปิดเผยแล้วว่าเป็นปฏิบัติการที่มีการประสานงานสูงในระยะยาว Drift Protocol ได้เปิดเผยว่าการแฮ็กมูลค่า 270 ล้านดอลลาร์นั้นเป็นผลมาจากแคมเปญแทรกซึมเป็นเวลาหกเดือน ซึ่งถูกกล่าวหาว่ามีความเชื่อมโยงกับกลุ่มที่สนับสนุนโดยรัฐเกาหลีเหนือ
แทนที่จะใช้ช่องโหว่ง่ายๆ ผู้โจมตีได้สร้างความไว้วางใจอย่างช้าๆ โดยปลอมตัวเป็นบริษัทเทรดเชิงปริมาณที่ถูกต้องตามกฎหมายและฝังตัวเองเข้าไปในระบบนิเวศ แนวทางของพวกเขานั้นเกินกว่าการหลอกลวงทางดิจิทัล พวกเขามีส่วนร่วมกับผู้มีส่วนร่วมโดยตรง เข้าร่วมการประชุมคริปโตและสร้างความสัมพันธ์ที่ดูน่าเชื่อถือในทุกระดับ
นี่ไม่ใช่การโจมตีแบบชิงทรัพย์ มันได้รับการคำนวณ มีความอดทนและถูกออกแบบมาเพื่อหลีกเลี่ยงไม่เพียงแค่การป้องกันทางเทคนิคแต่ยังรวมถึงความไว้วางใจของมนุษย์
การติดต่อครั้งแรกเริ่มต้นที่การประชุมคริปโต
ปฏิบัติการนี้มีรายงานว่าเริ่มต้นในฤดูใบไม้ร่วงปี 2025 เมื่อผู้โจมตีติดต่อครั้งแรกที่การประชุมคริปโตครั้งใหญ่ ในขณะนั้นไม่มีสัญญาณเตือนใดๆ ทันที กลุ่มนี้นำเสนอตัวเองว่าเป็นผู้เชี่ยวชาญทางเทคนิคที่มีประวัติที่สามารถตรวจสอบได้
พวกเขาพูดภาษาของ DeFi ได้อย่างคล่องแคล่ว แสดงให้เห็นถึงความเข้าใจอย่างลึกซึ้งเกี่ยวกับโครงสร้างพื้นฐานและกลไกการเทรดของ Drift ระดับความเชี่ยวชาญนี้ช่วยให้พวกเขาผสมผสานเข้ากับผู้มีส่วนร่วมและพันธมิตรที่ถูกต้องตามกฎหมายได้อย่างไร้รอยต่อ
ไม่นานหลังจากนั้น การสื่อสารได้เคลื่อนไปยัง Telegram ซึ่งการสนทนาดำเนินต่อไปเป็นเวลาหลายเดือน การโต้ตอบเหล่านี้ไม่รีบร้อนหรือน่าสงสัย แต่กลับสะท้อนจังหวะของการทำงานร่วมกันที่แท้จริง พร้อมด้วยการสนทนาทางเทคนิค ข้อมูลเชิงกลยุทธ์และการมีส่วนร่วมอย่างต่อเนื่อง
ด้วยการรักษาความสม่ำเสมอและความน่าเชื่อถือ ผู้โจมตีค่อยๆ สร้างความไว้วางใจภายในชุมชน
การสร้างความไว้วางใจผ่านเงินทุนและความร่วมมือ
ภายในเดือนมกราคม 2026 กลุ่มนี้ได้ขยายการมีส่วนร่วมของพวกเขาไปอีกขั้น พวกเขาได้เข้าร่วม Ecosystem Vault สำเร็จและเริ่มเข้าร่วมในเซสชันการทำงานควบคู่ไปกับผู้มีส่วนร่วมของ Drift
ที่สำคัญคือ พวกเขายังได้มอบเงินทุนจริง โดยฝากเงินทุนของตัวเองกว่า 1 ล้านดอลลาร์เข้าสู่โปรโตคอล การเคลื่อนไหวนี้เสริมสร้างความชอบธรรมของพวกเขา เป็นสัญญาณว่าพวกเขามีส่วนได้เสียในเกม
ตลอดเดือนกุมภาพันธ์และมีนาคม สมาชิกของระบบนิเวศ Drift ได้พบปะบุคคลเหล่านี้แบบพบหน้าในหลายประเทศ การโต้ตอบแบบพบหน้านี้เพิ่มชั้นของความไว้วางใจอีกชั้นหนึ่ง ทำให้มีโอกาสน้อยลงที่เจตนาของพวกเขาจะถูกตั้งคำถาม
เมื่อถึงเวลาที่การโจมตีถูกดำเนินการ ความสัมพันธ์ระหว่างผู้โจมตีและชุมชนได้ถูกสร้างขึ้นมาเกือบหกเดือน มันเป็นระดับของการแทรกซึมที่ไม่ค่อยเห็นในการโจมตี DeFi
การดำเนินการโจมตีใช้ประโยชน์จากจุดเข้าที่ซับซ้อน
เมื่อการบุกรุกเกิดขึ้นในที่สุด มันมาผ่านเวกเตอร์เป้าหมายสูงสองช่องทาง
ช่องทางแรกเกี่ยวข้องกับแอปพลิเคชัน TestFlight ที่เป็นอันตราย ซึ่งนำเสนอว่าเป็นผลิตภัณฑ์กระเป๋าเงินที่ถูกต้องตามกฎหมาย สิ่งนี้ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ของผู้มีส่วนร่วมภายใต้การปลอมตัวเป็นการทดสอบเครื่องมือใหม่
เวกเตอร์ที่สองใช้ช่องโหว่ที่รู้จักในสภาพแวดล้อมการพัฒนาเช่น VSCode และ Cursor ข้อบกพร่องนี้ซึ่งถูกตั้งค่าสถานะโดยชุมชนความปลอดภัยหลายเดือนก่อนหน้านี้ ทำให้สามารถรันโค้ดที่กำหนดเองได้เพียงแค่เปิดไฟล์
วิธีการเหล่านี้รวมกันทำให้ผู้โจมตีสามารถบุกรุกอุปกรณ์สำคัญได้โดยไม่ก่อให้เกิดความสงสัยทันที เมื่ออยู่ภายใน พวกเขาสามารถเข้าถึงเวิร์กโฟลว์ที่ละเอียดอ่อนและกลไกการอนุมัติได้
ขั้นตอนนี้ของปฏิบัติการเน้นถึงการเปลี่ยนแปลงที่สำคัญในกลยุทธ์การโจมตี แทนที่จะกำหนดเป้าหมายสมาร์ทคอนแทรกต์โดยตรง ผู้โจมตีกำลังมุ่งเน้นไปที่ชั้นของมนุษย์และเครื่องมือที่อยู่รอบๆ มากขึ้น
จุดอ่อนของ Multisig ถูกเปิดเผยในการระบายครั้งสุดท้าย
เมื่อมีการเข้าถึงแล้ว ผู้โจมตีก็เคลื่อนไปสู่ขั้นตอนสุดท้าย: การดำเนินการ
พวกเขาได้รับการอนุมัติ multisig สองรายการ ซึ่งถูกใช้เพื่ออนุมัติธุรกรรม โดยเฉพาะอย่างยิ่ง ธุรกรรมเหล่านี้ถูกลงนามล่วงหน้าและปล่อยให้อยู่เฉยๆ เป็นเวลากว่าหนึ่งสัปดาห์ เพื่อหลีกเลี่ยงการตรวจจับทันที
เมื่อวันที่ 1 เมษายน ผู้โจมตีได้ดำเนินการ ในเวลาไม่ถึงหนึ่งนาที มีเงินประมาณ 270 ล้านดอลลาร์ถูกระบายออกจาก vaults ของ Drift
ความเร็วและความแม่นยำของการดำเนินการไม่เหลือที่ว่างสำหรับการแทรกแซง เมื่อถึงเวลาที่ธุรกรรมถูกจดจำ เงินทุนได้ถูกย้ายไปแล้ว
Drift ได้เตือนตั้งแต่นั้นว่าเหตุการณ์นี้เปิดเผยจุดอ่อนพื้นฐานในโมเดลความปลอดภัยที่ใช้ multisig แม้ว่าระบบ multisig ได้รับการออกแบบมาเพื่อกระจายความไว้วางใจ แต่พวกมันยังคงเปราะบางเมื่อผู้ลงนามเองถูกบุกรุก
การเชื่อมโยงกับกลุ่มของรัฐเกาหลีเหนือปรากฏขึ้น
การสอบสวนการโจมตีได้เชื่อมโยงปฏิบัติการนี้กับ UNC4736 กลุ่มที่รู้จักกันในนาม AppleJeus หรือ Citrine Sleet หน่วยงานนี้มีความเกี่ยวข้องอย่างกว้างขวางกับปฏิบัติการไซเบอร์ของเกาหลีเหนือและได้เชื่อมโยงกับการโจมตีที่มีชื่อเสียงก่อนหน้านี้ รวมถึงการโจมตี Radiant Capital
ที่น่าสนใจคือ บุคคลที่มีปฏิสัมพันธ์โดยตรงกับผู้มีส่วนร่วมของ Drift ไม่ได้ถูกระบุว่าเป็นชาวเกาหลีเหนือ แต่พวกเขาดูเหมือนจะเป็นตัวกลางบุคคลที่สาม ติดตั้งตัวตนที่สร้างขึ้นอย่างระมัดระวังซึ่งออกแบบมาเพื่อทนต่อการตรวจสอบ
แนวทางแบบชั้นนี้ทำให้การระบุแหล่งที่มามีความซับซ้อนมากขึ้นในขณะที่เพิ่มประสิทธิภาพของปฏิบัติการ ด้วยการแยกนักแสดงในพื้นที่ออกจากหน่วยงานที่ประสานงาน ผู้โจมตีสามารถรักษาความชอบธรรมที่เป็นไปได้ตลอดการแทรกซึม
สัญญาณเตือนสำหรับโมเดลความปลอดภัย DeFi
การโจมตี Drift กำลังบังคับให้อุตสาหกรรมเผชิญหน้ากับความเป็นจริงที่ไม่สบายใจ โมเดลความปลอดภัยแบบดั้งเดิมที่มุ่งเน้นไปที่การตรวจสอบโค้ด ช่องโหว่ของสมาร์ทคอนแทรกต์และการป้องกัน multisig อาจไม่เพียงพอที่จะป้องกันคู่ต่อสู้ที่เต็มใจลงทุนเวลา เงินและทรัพยากรมนุษย์
หากผู้โจมตีสามารถใช้เวลาหกเดือนในการสร้างความสัมพันธ์ ใช้เงินทุนเพื่อสร้างความไว้วางใจ และพบปะกับทีมแบบพบหน้าได้ พื้นผิวการโจมตีก็ขยายไกลเกินกว่าโค้ด
สิ่งนี้ทำให้เกิดคำถามที่สำคัญสำหรับระบบนิเวศ DeFi: กรอบความปลอดภัยประเภทใดสามารถตรวจจับและป้องกันการแทรกซึมในระดับนี้ได้?
ในตอนนี้ เหตุการณ์นี้ถือเป็นหนึ่งในการโจมตีที่ขับเคลื่อนด้วยวิศวกรรมสังคมที่ซับซ้อนที่สุดในประวัติศาสตร์คริปโต มันเน้นย้ำถึงความจำเป็นในการใช้แนวทางความปลอดภัยแบบองค์รวม ซึ่งคำนึงถึงพฤติกรรมของมนุษย์ กระบวนการดำเนินงาน และเส้นแบ่งที่เลือนรางมากขึ้นระหว่างการโต้ตอบออนไลน์และออฟไลน์
เมื่อโปรโตคอลยังคงเติบโตและดึงดูดเงินทุนมากขึ้น ความเสี่ยงก็จะเพิ่มขึ้นเท่านั้น และอย่างที่กรณีนี้แสดงให้เห็น การโจมตีรุ่นต่อไปอาจไม่ได้มาจากกระเป๋าเงินที่ไม่เปิดเผยชื่อ แต่จากพันธมิตรที่น่าเชื่อถือที่นั่งอยู่ตรงข้ามโต๊ะ
การเปิดเผยข้อมูล: นี่ไม่ใช่คำแนะนำในการเทรดหรือการลงทุน ควรทำการวิจัยของคุณเองเสมอก่อนที่จะซื้อคริปโตเคอร์เรนซีใดๆ หรือลงทุนในบริการใดๆ
ติดตามเราบน Twitter @nulltxnews เพื่อรับข่าวสาร Crypto, NFT, AI, Cybersecurity, Distributed Computing และ Metaverse news ล่าสุด!
แหล่งที่มา: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
