- แฮกเกอร์เกาหลีเหนือขโมยคริปโต 2 พันล้านดอลลาร์ในปี 2025 เพิ่มขึ้น 51% แม้จำนวนการโจมตีจะลดลง
- ผู้โจมตีเปลี่ยนจากการโจมตีในวงกว้างมาเป็นการโจมตีแบบแม่นยำต่อเป้าหมายที่มีมูลค่าสูง
- Ethereum Foundation ระบุตัวบุคคลจาก DPRK 100 รายที่แทรกซึมเข้าสู่กระบวนการจ้างงานในวงการคริปโต
แฮกเกอร์ที่เชื่อมโยงกับรัฐเกาหลีเหนือขโมยสกุลเงินคริปโตไปกว่า 2 พันล้านดอลลาร์ในช่วงปี 2025 เพิ่มขึ้น 51% จากปีก่อนหน้า ตามรายงานภัยคุกคามฉบับใหม่จากบริษัทความปลอดภัยทางไซเบอร์ CrowdStrike รายละเอียดที่น่าสังเกตที่สุดไม่ใช่ตัวเลขดอลลาร์เอง แต่เป็นวิธีที่ตัวเลขนั้นถูกสร้างขึ้น
จำนวนการโจมตีลดลง แต่อัตราความสำเร็จต่อการโจมตีเพิ่มขึ้นอย่างมาก กลุ่มที่เกี่ยวข้องกับ DPRK ได้เปลี่ยนจากการดำเนินแคมเปญในปริมาณสูงมาเป็นการปฏิบัติการที่น้อยลงแต่มีการกำหนดเป้าหมายอย่างระมัดระวังมากขึ้นต่อการแลกเปลี่ยนที่มีมูลค่าสูงและโปรโตคอล Web3
ทำไมคริปโตจึงเป็นเป้าหมาย
การวิเคราะห์ของ CrowdStrike ระบุชัดเจนว่าทำไมภาคคริปโตเคอร์เรนซีจึงดึงดูดผู้กระทำการของรัฐเกาหลีเหนือโดยเฉพาะ เงินที่ถูกขโมยสามารถถอนออกและโอนได้โดยมีความไม่เปิดเผยตัวตนสูงกว่าการขโมยจากระบบธนาคารแบบดั้งเดิมอย่างมีนัยสำคัญ รายได้เหล่านั้นเกือบแน่นอนว่าถูกฟอกเงินเพื่อสนับสนุนโครงการทางทหารของประเทศ
ภาคบริการทางการเงินปัจจุบันเป็นอุตสาหกรรมที่ถูกโจมตีทางไซเบอร์มากเป็นอันดับสี่ของโลก ตามรายงานฉบับเดียวกัน ภายในหมวดหมู่นั้น การแลกเปลี่ยนคริปโตและโครงสร้างพื้นฐาน Web3 มีการรวมกันของสภาพคล่องและสภาพคล่องทางออกสูงที่สุด ทำให้เป็นเป้าหมายที่มีประสิทธิภาพสูงสุดสำหรับผู้กระทำการของรัฐที่ดำเนินการในระดับใหญ่
การแทรกซึมได้เข้าสู่กระบวนการจ้างงาน
วิวัฒนาการที่น่ากังวลที่สุดในรายงานคือวิธีที่ผู้โจมตีได้รับการเข้าถึงโครงการคริปโตตั้งแต่แรก การรักษาความปลอดภัยแบบดั้งเดิมที่ขอบระบบไม่ใช่จุดล้มเหลวอีกต่อไป กระบวนการจ้างงานต่างหากที่เป็นปัญหา
ในเดือนเมษายน 2025 Ethereum Foundation ระบุตัวบุคคลที่ได้รับการสนับสนุนจาก DPRK 100 รายที่แทรกซึมเข้าสู่โครงการคริปโตโดยตรง โดยทั่วไปในฐานะพนักงานทางไกลที่ฝังอยู่ในทีมนักพัฒนา กรณีของ Drift Protocol เป็นตัวอย่างที่น่าตกใจที่สุด พนักงานเทคโนโลยีที่เกี่ยวข้องกับ DPRK พบกับทีม Drift Protocol ในการประชุมอุตสาหกรรมคริปโตเคอร์เรนซีรายใหญ่ และสร้างความสัมพันธ์การทำงานระยะหกเดือนก่อนที่การบุกรุกจะถูกตรวจพบ
นักสืบ Onchain ZachXBT ได้ติดตามรูปแบบการแทรกซึมที่คล้ายคลึงกันในหลายบริษัท ชี้ให้เห็นว่าเหตุการณ์ Drift ไม่ได้เกิดขึ้นโดดเดี่ยวแต่เป็นส่วนหนึ่งของกลยุทธ์ที่ประสานงานกัน
ปฏิบัติการได้พัฒนาอย่างไร
CrowdStrike อธิบายว่าโครงสร้างการปฏิบัติการมีความเป็นผู้ใหญ่อย่างมีนัยสำคัญ กลุ่มที่เชื่อมโยงกับ DPRK ปัจจุบันดำเนินงานผ่านผู้รับเหมาแบบกระจายและเครือข่ายตัวกลางที่เชื่อมโยงกับภาคคริปโตโดยเฉพาะ แนวทางการกระจายอำนาจนี้เพิ่มความยืดหยุ่นและช่วยให้ปรับตัวได้เร็วขึ้นต่อการอัปเกรดความปลอดภัยของแพลตฟอร์ม
การพึ่งพาผู้มีส่วนร่วมทางไกล สภาพแวดล้อมการพัฒนาแบบเปิด และการจ้างงานภายนอกระดับโลกใน Web3 ได้กลายเป็นช่องโหว่เชิงโครงสร้าง นักพัฒนาทางไกลทุกคนคือจุดเข้าถึงที่อาจเกิดขึ้นได้ ผู้รับเหมาทุกรายที่ได้รับการ onboarding คือความเสี่ยงที่อาจเกิดขึ้นได้
อุตสาหกรรมกำลังดำเนินการอะไรกับเรื่องนี้
ทีมรักษาความปลอดภัยของแพลตฟอร์มคริปโตรายใหญ่กำลังเพิ่มมาตรการการตรวจสอบและยืนยันตลอดกระบวนการ onboarding และการมีส่วนร่วมของโค้ด การตรวจสอบประวัติถูกเพิ่มความลึก การยืนยันตัวตนถูกเพิ่มชั้น การ commit โค้ดจากผู้มีส่วนร่วมใหม่ถูกตรวจสอบอย่างเข้มงวดมากขึ้น
ความท้าทายคือผู้กระทำการของ DPRK ยังคงปรับเทคนิคของตนอย่างต่อเนื่อง เมื่อทีมรักษาความปลอดภัยกระชับกระบวนการจ้างงาน ผู้กระทำการภัยคุกคามก็ปรับปรุงเรื่องราวปกปิด เครือข่ายมืออาชีพ และกลยุทธ์การวิศวกรรมสังคมเพื่อหลีกเลี่ยงการควบคุมใหม่
บทความที่เกี่ยวข้อง: รายงาน CertiK เผยแฮกเกอร์เกาหลีเหนือขโมยคริปโต 1.1 พันล้านดอลลาร์ในปี 2026
ข้อจำกัดความรับผิดชอบ: ข้อมูลที่นำเสนอในบทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลและการศึกษาเท่านั้น บทความนี้ไม่ถือเป็นคำแนะนำทางการเงินหรือคำแนะนำใดๆ Coin Edition ไม่รับผิดชอบต่อความสูญเสียใดๆ ที่เกิดขึ้นจากการใช้เนื้อหา ผลิตภัณฑ์ หรือบริการที่กล่าวถึง ผู้อ่านควรใช้ความระมัดระวังก่อนดำเนินการใดๆ ที่เกี่ยวข้องกับบริษัท
Source: https://coinedition.com/north-korean-hackers-stole-2-billion-in-crypto-in-2025/
