การแฮ็ก DeFi ที่ใหญ่ที่สุดในปีนี้เกิดขึ้นเมื่อสัปดาห์ที่แล้ว ในวันที่ 1 เมษายน เมื่อ Drift Protocol ซึ่งเป็นหนึ่งใน perp DEXs ที่ใหญ่ที่สุดบนเครือข่าย Solana ประสบกับการโจมตีที่ทำให้เงินประมาณ 286 ล้านดอลลาร์หายไปจากโปรโตคอล การโจมตีครั้งนี้เชื่อมโยงกับแฮ็กเกอร์ที่มีความเกี่ยวข้องกับเกาหลีเหนือ และการแฮ็กทั้งหมดเกิดขึ้นภายในเพียง 10 วินาที สิ่งที่น่าทึ่งเกี่ยวกับการแฮ็กครั้งนี้คือลักษณะที่พิถีพิถันของมัน ไม่มีโค้ดถูกทำลายและไม่มีสัญญาอัจฉริยะที่มีบั๊ก การสอบสวนจากบริษัทนิติวิทยาศาสตร์คริปโตอย่าง Elliptic และ TRM Labs ชี้ไปที่การแฮ็กที่มีการคำนวณมากขึ้น
ผู้โจมตีชาวเกาหลีเหนือใช้เวลาสามสัปดาห์ในการสร้างโทเค็นปลอมชื่อ CarbonVote โดยใส่เงินสองสามพันดอลลาร์เพื่อให้ดูเหมือนของจริง ในขณะเดียวกันก็ใช้วิศวกรรมสังคมกับผู้ลงนามสมาชิกสภาความมั่นคง multisig ทั้งห้าคนของ Drift สองคน ให้ลงนามล่วงหน้าในการอนุญาตที่ซ่อนอยู่ซึ่งพวกเขาไม่เข้าใจอย่างเต็มที่ หลังจากนั้นพวกเขาใช้ฟีเจอร์ของ Solana ที่เรียกว่า "durable nonces" เพื่อเก็บลายเซ็นเหล่านั้นไว้สำรองเป็นเวลากว่าหนึ่งสัปดาห์ รอจังหวะที่เหมาะสม สิ่งที่ต้องใช้คือการทำธุรกรรมเพียงครั้งเดียวในวันที่ 1 เมษายน
ตามที่ Elliptic ระบุ การโจมตีครั้งนี้เป็นการแฮ็กคริปโตครั้งที่ 18 ที่เชื่อมโยงกับเกาหลีเหนือในปีนี้เพียงอย่างเดียว ดึงเงินประมาณ 300 ล้านดอลลาร์ออกจากพื้นที่ สี่วันหลังจากการแฮ็ก CTO ของ Ledger ได้บันทึกไว้เพื่อเน้นถึงลักษณะที่น่าตกใจของการแฮ็กและที่ AI กำลังผลักดันให้ต้นทุนของการโจมตีเช่นนี้ "ลดลงเหลือศูนย์" คำแถลงนั้นมีความสำคัญมากเพราะการแฮ็ก Drift เป็นกรณีศึกษาว่าการดำเนินงานเหล่านี้ทำงานอย่างไรในตอนนี้ ผู้โจมตีไม่จำเป็นต้องมีช่องโหว่แบบ zero-day หรือนักเข้ารหัสลับชั้นยอด สิ่งที่พวกเขาต้องการคือความอดทน โทเค็นปลอมที่น่าเชื่อถือ และมนุษย์สองคนที่พวกเขาสามารถจัดการได้ การแฮ็กนี้เปิดเผยช่องโหว่ทางโครงสร้างใน DeFi ในปัจจุบัน DeFi กำลังสร้างโครงสร้างพื้นฐานมูลค่าหลายพันล้านดอลลาร์ที่ได้รับการรักษาความปลอดภัยโดยกลุ่มคนเล็กๆ ที่สามารถถูกหลอกได้ ในขณะที่ศัตรูกำลังเก่งขึ้นในการทำสิ่งนั้นอย่างแน่นอน
เกาหลีเหนือขโมย 286 ล้านดอลลาร์ใน 10 วินาทีได้อย่างไร
การแฮ็กโปรโตคอล Drift เป็นการโจมตีที่ซับซ้อนซึ่งกินเวลาสามสัปดาห์ในการเตรียมการ Bloomberg รายงานการละเมิดครั้งแรกในวันที่ 1 เมษายน เมื่อโปรโตคอล Drift ยืนยันว่าสินทรัพย์ของผู้ใช้ประมาณ 286 ล้านดอลลาร์ถูกดูดออกไป แผนการทั้งหมดเริ่มต้นตั้งแต่วันที่ 11 มีนาคม เมื่อผู้โจมตีดึง 10 ETH จาก Tornado Cash เวลาประมาณ 9 โมงเช้าตามเวลาเปียงยาง และใช้มันเพื่อปรับใช้โทเค็นปลอม CarbonVote (CVT) สินทรัพย์สมมติโดยสิ้นเชิงที่ใส่สภาพคล่องสองสามพันดอลลาร์และรักษาไว้ด้วยการซื้อขายล้างบัญชี
ในช่วงสองสัปดาห์ถัดไป ระหว่างวันที่ 23 มีนาคมถึง 30 มีนาคม ผู้โจมตีเปิดบัญชี durable nonce ซึ่งเป็นฟีเจอร์ที่ถูกต้องตามกฎหมายบนเครือข่าย Solana ที่ให้ธุรกรรมถูกลงนามล่วงหน้าและเก็บไว้ได้ไม่มีกำหนดโดยไม่หมดอายุ ในช่วงนี้ ผู้โจมตีใช้วิศวกรรมสังคมกับผู้ลงนามสมาชิกสภาความมั่นคง multisig ทั้งห้าคนของ Drift สองคน ให้อนุมัติธุรกรรมที่ดูปกติ แต่ตามที่ TRM Labs ยืนยันในภายหลัง มีการอนุญาตที่ซ่อนอยู่สำหรับการควบคุมผู้ดูแลระบบที่สำคัญ
ชิ้นสุดท้ายตกอยู่ในวันที่ 27 มีนาคม เมื่อ Drift ย้ายสภาความมั่นคงของตนไปยังการกำหนดค่าเกณฑ์ 2/5 ใหม่โดยไม่มี timelock ตามที่ BlockSec รายงาน ซึ่งโดยพื้นฐานแล้วลบความล่าช้าเพียงอย่างเดียวที่จะอนุญาตให้ใครก็ตามจับสิ่งที่กำลังจะเกิดขึ้นได้ เมื่อถึงวันที่ 1 เมษายน กับดักได้ถูกโหลดเต็มที่มาหลายวันแล้ว
ในวันที่ 1 เมษายน ผู้โจมตีใช้การอนุมัติที่ลงนามล่วงหน้าเหล่านั้นเพื่อระบุ CarbonVote เป็นหลักประกันที่ถูกต้อง เพิ่มมูลค่าให้เป็นหลายร้อยล้านผ่านการกำหนดราคา oracle ที่ถูกจัดการและการกำกับดูแลถูกยึด จากนั้น ธุรกรรมการถอน 31 รายการทำให้ห้องนิรภัยของ Drift ว่างเปล่าภายในไม่กี่วินาที ส่วนที่ใหญ่ที่สุดเพียงอย่างเดียวรวมโทเค็น JLP มูลค่ากว่า 155 ล้านดอลลาร์พร้อมกับหลายสิบล้านใน USDC, SOL, ETH และโทเค็น liquid staking อื่นๆ ถูกระบายออกไป และ Total Value Locked บนโปรโตคอลพังทลายทันทีจากประมาณ 550 ล้านดอลลาร์ลงไปต่ำกว่า 250 ล้านดอลลาร์
ความเร็วของการแฮ็กนี้เป็นเพียงส่วนหนึ่งของเรื่องนี้ แผนการรายละเอียดที่ดำเนินไปนานถึงสามสัปดาห์ซึ่งจบลงด้วยการแฮ็ก 10 วินาที แสดงให้เห็นว่าการกำกับดูแล ไม่ใช่โค้ด สามารถกลายเป็นจุดอ่อนที่สุดใน DeFi ได้ง่ายเพียงใด
สงครามคริปโต 300 ล้านดอลลาร์ของเกาหลีเหนือในปี 2026
การแฮ็กครั้งนี้ ซึ่งรายงานว่าถูกกระทำโดยผู้โจมตีที่เชื่อมโยงกับเกาหลีเหนือ ไม่ใช่เหตุการณ์ที่แยกออกจากกันเลย ในความเป็นจริง หากคุณดูการแฮ็กที่มีชื่อเสียงสูงที่สุดในช่วงไม่กี่ปีที่ผ่านมา จะเห็นได้ชัดว่านี่เป็นส่วนหนึ่งของแคมเปญที่ใหญ่กว่ามากซึ่งขับเคลื่อนโดยรัฐ เฉพาะในปีนี้ Elliptic รายงานว่าการโจมตี Drift ทำให้เป็นการขโมยคริปโตที่ระบุว่าเป็นของ DPRK ครั้งที่ 18 ผลักดันจำนวนเงินทั้งหมดที่ถูกดูดออกไปเกิน 300 ล้านดอลลาร์ในปีนี้จนถึงขณะนี้ หากคุณมองไปไกลกว่าปีนี้ ขนาดของการแฮ็กดังกล่าวจากประเทศเดียวจะเป็นเรื่องที่ยากมากที่จะเพิกเฉย ปีที่แล้ว นักแสดงที่เชื่อมโยงกับเกาหลีเหนือขโมยระหว่าง 1.92 พันล้านดอลลาร์ตามข้อมูลของ TRM Labs ในขณะที่ Chainalysis ระบุตัวเลขนี้ที่ 2.02 พันล้านดอลลาร์ในคริปโต นี่แสดงให้เห็นการเพิ่มขึ้น 51% เมื่อเทียบปีต่อปีในการแฮ็กที่ดำเนินการโดยกลุ่มนี้และผลักดันการโจรกรรมตลอดกาลของพวกเขาเป็น 6.75 พันล้านดอลลาร์
เกาหลีเหนือคิดเป็น 76% ของการประนีประนอมบริการทั้งหมดในปี 2025 ซึ่งหมายความว่าประเทศเดียวมีความรับผิดชอบต่อการขโมยส่วนใหญ่ที่เกิดขึ้นในอุตสาหกรรม ต่อพื้นหลังนั้น การแฮ็ก Drift ซึ่งตอนนี้เป็นการโจมตีที่ใหญ่เป็นอันดับสองภายในระบบนิเวศ Solana หลังจากการละเมิด Wormhole ปี 2022 เข้ากับรูปแบบของการโจมตี
สิ่งที่กำหนดรูปแบบนั้นคือความสม่ำเสมอ การแฮ็ก Bybit ในเดือนกุมภาพันธ์ 2025 ซึ่งเป็นการขโมยคริปโตที่ใหญ่ที่สุดในประวัติศาสตร์ มีการตั้งค่าที่เกือบเหมือนกันซึ่งรวมถึงวิศวกรรมสังคม การเข้าถึงที่ถูกบุกรุก และการแลกเปลี่ยนเงินที่ประสานงาน TRM Labs สังเกตว่าผู้ดำเนินการ DPRK พึ่งพาเครือข่าย "Chinese laundromat" มากขึ้นสำหรับเงินที่เชื่อมโยงข้ามเชนต่างๆ ภายในไม่กี่ชั่วโมง
การโจมตี Drift จริงๆ แล้วแสดงระบบของทีมที่ได้รับการสนับสนุนจากรัฐที่ดำเนินการหลายสัปดาห์ด้วยการสอดแนม การจัดการมนุษย์ และโครงสร้างพื้นฐานการฟอกเงินระดับโลกที่มีอยู่แล้ว
AI กำลังผลักดันต้นทุนการโจมตี "ลงสู่ศูนย์": CTO ของ Ledger เตือน
สี่วันหลังจากการระบาย Drift CTO ของ Ledger Charles Guillemet บอกกับ CoinDesk บางสิ่งที่กำหนดกรอบเหตุการณ์ทั้งหมดใหม่ "การค้นหาช่องโหว่และการใช้ประโยชน์จากมันกลายเป็นเรื่องง่ายมากจริงๆ" เขากล่าว "ต้นทุนกำลังลงสู่ศูนย์" Guillemet ไม่ได้ระบุชื่อ Drift แต่เขาอธิบายกลไกที่แน่นอนของมัน AI ไม่เพียงแค่ช่วยผู้โจมตีค้นหาบั๊กโค้ดได้เร็วขึ้น มันทำให้วิศวกรรมสังคมน่าเชื่อถือมากขึ้น ฟิชชิงเป็นส่วนตัวมากขึ้น และงานเตรียมการที่ผู้ดำเนินการชาวเกาหลีเหนือใช้เวลาสามสัปดาห์ทำกับ Drift ถูกลงและปรับขนาดได้มากขึ้นเป็นลำดับขนาด เขายังชี้ไปที่ปัญหาที่ทบต้นในด้านการป้องกัน: เมื่อนักพัฒนามากขึ้นพึ่งพาโค้ดที่สร้างโดย AI ช่องโหว่อาจแพร่กระจายได้เร็วกว่าที่ผู้ตรวจสอบมนุษย์จะจับได้ "ไม่มีปุ่ม 'ทำให้มันปลอดภัย'" เขากล่าว "เรากำลังจะผลิตโค้ดจำนวนมากที่จะไม่ปลอดภัยโดยการออกแบบ" การแฮ็กและการโจมตีทำให้เกิดการสูญเสียคริปโต 1.4 พันล้านดอลลาร์ในปีที่ผ่านมา และการคาดการณ์ของ Guillemet คือว่าเส้นโค้งจะชันขึ้น ไม่ใช่แบนลง
การแฮ็ก Drift เป็นหลักฐานแนวคิดที่ชัดเจนที่สุดสำหรับคำเตือนนั้น ผู้โจมตีไม่เคยแตะโค้ด พวกเขาเล็งไปที่มนุษย์สองคนที่ถือกุญแจ AI ไม่จำเป็นต้องทำลายสัญญาอัจฉริยะหากมันสามารถสร้างข้ออ้างที่น่าเชื่อถือเพียงพอที่จะหลอกผู้ลงนาม multisig ให้อนุมัติธุรกรรมที่พวกเขาไม่เข้าใจอย่างเต็มที่ Guillemet คาดหวังว่าอุตสาหกรรมจะแยก: ระบบที่สำคัญเช่นกระเป๋าเงินและโปรโตคอลหลักจะลงทุนอย่างหนักในความปลอดภัยและปรับตัว แต่ระบบนิเวศซอฟต์แวร์ที่กว้างขึ้นส่วนใหญ่อาจดิ้นรนเพื่อให้ทันกับจังหวะ การแก้ไขที่เขาแนะนำ การตรวจสอบอย่างเป็นทางการโดยใช้หลักฐานทางคณิตศาสตร์ การแยกฮาร์ดแวร์สำหรับคีย์ส่วนตัว มีความถูกต้องเชิงโครงสร้างแต่ต้องการระดับของระเบียบวินัยสถาบันที่โปรโตคอล DeFi ส่วนใหญ่ รวมถึง Drift ยังไม่ได้สร้างขึ้น "เมื่อคุณมีอุปกรณ์เฉพาะที่ไม่เชื่อมต่ออินเทอร์เน็ต มันจะปลอดภัยกว่าโดยการออกแบบ" เขากล่าว สภาความมั่นคง Drift ไม่มีบัฟเฟอร์เช่นนั้น ลายเซ็นสองลายเซ็น timelock ศูนย์ และโทเค็นปลอม นั่นคือทั้งหมดที่ต้องใช้
จะเกิดอะไรต่อไป: การฟื้นตัวของ Drift และการตอบสนองของอุตสาหกรรม
จะเกิดอะไรต่อไปสำหรับ Drift Protocol นั้นยังไม่ชัดเจนและสัญญาณเริ่มต้นกำลังแบ่งแยกอุตสาหกรรมอยู่แล้ว ในทันทีหลังจากนั้น Anatoly Yakovenko แนะนำเส้นทางการฟื้นตัวที่เป็นไปได้: การออก token airdrop แบบ IOU ให้กับผู้ใช้ที่ได้รับผลกระทบ สะท้อนถึงคู่มือการเล่นของ Bitfinex ปี 2016 หลังจากการแฮ็ก 72 ล้านดอลลาร์
ความคิดนั้นง่าย — กระจายการสูญเสียตอนนี้ ชำระคืนผู้ใช้เมื่อเวลาผ่านไปหากโปรโตคอลฟื้นตัว แต่บริบทแตกต่างกันมาก TVL ของ Drift ถูกตัดลงเกือบครึ่งหนึ่ง เงินฝากและการถอนยังคงถูกระงับ และแตกต่างจาก Bitfinex มันขาดเครื่องยนต์รายได้แบบรวมศูนย์เพื่อสำรองหนี้สินเหล่านั้น นั่นทำให้เกิดการผลักดันทันที: โทเค็น IOU ในกรณีนี้ เสี่ยงที่จะกลายเป็นเครื่องมือเก็งกำไรล้วนๆ โดยไม่มีเส้นทางที่ชัดเจนสู่การไถ่ถอน
ในเวลาเดียวกัน กิจกรรม on-chain กำลังก่อให้เกิดความกังวลใหม่ Onchain Lens ทำเครื่องหมายว่ากระเป๋าเงินที่เชื่อมโยงกับทีม Drift ย้ายโทเค็น DRIFT 56.25 ล้าน (≈$2.44 ล้าน) ไปยังตลาดแลกเปลี่ยนแบบรวมศูนย์รวมถึง Bybit และ Gate หลังจากการโจมตีไม่นาน การเคลื่อนไหวที่โดยปกติจะเกิดขึ้นก่อนแรงกดดันการขายและได้กระตุ้นการคาดเดาเกี่ยวกับการวางตำแหน่งภายในระหว่างวิกฤตสภาพคล่อง
ในขณะเดียวกัน เงินของผู้โจมตีถูกเชื่อมโยงข้ามเชนแล้ว โดยเฉพาะอย่างยิ่งไปที่ Ethereum ลดความน่าจะเป็นของการฟื้นตัวที่มีความหมายด้วยแต่ละวันที่ผ่านไป ผลที่กว้างขึ้นคือเหตุการณ์นี้จะไม่จบลงด้วย Drift มันมีแนวโน้มที่จะเร่งการตรวจสอบทั่วอุตสาหกรรมเกี่ยวกับการกำกับดูแล DeFi เอง ตั้งแต่มาตรฐานความปลอดภัย multisig และข้อกำหนด timelock ไปจนถึงการออกแบบ oracle และการควบคุมการดำเนินการ สิ่งที่เกิดขึ้นต่อไปขึ้นอยู่กับตัวแปรสามตัว: ว่า Drift สามารถนำเสนอแผนการฟื้นตัวที่น่าเชื่อถือได้หรือไม่ ว่าเงินส่วนใดสามารถติดตามหรือถูกอายัดได้หรือไม่ และว่านี่จะบังคับให้เกิดการปฏิรูปเชิงโครงสร้างในที่สุดหรือกลายเป็นเพียงบทเรียนที่มีค่าอีกบทหนึ่งที่อุตสาหกรรมผ่านพ้นไป
หากคุณกำลังอ่านสิ่งนี้ คุณอยู่ข้างหน้าแล้ว อยู่ที่นั่นกับจดหมายข่าวของเรา
แหล่งที่มา: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
