เกาหลีเหนือขโมย $577M ในการแฮ็กคริปโตจนถึงเดือนเมษายน 2026: TRM Labs

นักแสดงจากเกาหลีเหนือได้ดึงเงินประมาณ 577 ล้านดอลลาร์สหรัฐออกมาได้ในช่วง 4 เดือนแรกของปี 2026 คิดเป็น 76% ของความสูญเสียจากการแฮ็กคริปโตทั่วโลกทั้งหมดในช่วงเวลาดังกล่าว ตามรายงานของบริษัทวิเคราะห์บล็อกเชน TRM Labs การโจรกรรมดังกล่าวเกิดจากเหตุการณ์สำคัญ 2 เหตุในเดือนเมษายน ได้แก่ การโจมตี KelpDAO มูลค่า 292 ล้านดอลลาร์สหรัฐ และการโจมตี Drift Protocol มูลค่า 285 ล้านดอลลาร์สหรัฐ ซึ่งรวมกันคิดเป็นเพียง 3% ของจำนวนเหตุการณ์แฮ็กทั้งหมดในปี 2026 ตั้งแต่ต้นเดือนเมษายน

รายละเอียดเหตุโจมตีเดือนเมษายน

การโจมตี Drift Protocol ถูกระบุว่าเป็นฝีมือของกลุ่มย่อยจากเกาหลีเหนือที่แยกต่างหากจาก TraderTraitor ซึ่งเป็นปฏิบัติการที่มีการบันทึกไว้อย่างชัดเจนว่าเกี่ยวโยงกับ Lazarus แม้ว่าการระบุตัวตนที่แน่ชัดยังอยู่ระหว่างการสอบสวน TRM ระบุว่าในการโจมตีนั้นมีการประชุมแบบพบปะตัวต่อตัวเป็นเวลาหลายเดือนระหว่างพร็อกซีจากเกาหลีเหนือและพนักงานของ Drift โดยการวางแผนเริ่มต้นได้เร็วถึงวันที่ 11 มีนาคม เมื่อผู้โจมตีได้สร้างบัญชี durable nonce บน Solana และชักจูงผู้ลงนามแบบ multisig ของ Security Council ของ Drift ให้ทำการอนุมัติธุรกรรมล่วงหน้า เมื่อวันที่ 1 เมษายน ไม่กี่วันหลังจากที่ Drift ย้าย Security Council ไปเป็นโครงแบบ threshold 2/5 ใหม่ที่ไม่มี timelock ผู้โจมตีได้ส่งถอนเงินล่วงหน้าแบบที่ลงนามไว้แล้ว 31 รายการ เพื่อระบายเงินออกในช่วงการดำเนินการอย่างรวดเร็วที่กินเวลาประมาณ 12 นาที จากนั้นเงินถูกเชื่อมข้ามไปยัง Ethereum และนับแต่นั้นมาก็ยังคงอยู่ในสภาพค่อนข้างไม่ได้ใช้งานเป็นส่วนใหญ่

การรั่วไหลของ KelpDAO ถูกระบุว่าเกี่ยวข้องกับ TraderTraitor โดยการโจมตีได้ใช้ประโยชน์จากดีไซน์แบบ verifier เดียวในสะพาน LayerZero ด้วยการบุกรับโครงสร้างพื้นฐาน RPC และปรับแต่งตรรกะการตรวจสอบความถูกต้องข้ามเครือข่าย ผู้โจมตีระบาย rsETH ประมาณ 116,500 รายการ หลังจากบังคับให้การยืนยันล้มเหลวไปยังโหนดที่ถูกบุกรุก จากนั้นการฟอกเงินได้ถูกส่งผ่านโครงสร้างพื้นฐานแบบข้ามเครือข่าย รวมถึง THORChain ภายหลังการแช่แข็งสินทรัพย์บางส่วนบน Arbitrum

การเร่งความเร็วของการขโมยในเชิงประวัติศาสตร์

TRM รายงานว่าสัดส่วนของเกาหลีเหนือในความสูญเสียจากการแฮ็กคริปโตทั่วโลกได้ “เร่งขึ้น” มากกว่าที่จะทรงตัว สัดส่วนดังกล่าวเพิ่มจากต่ำกว่า 10% ในปี 2020 และ 2021 มาเป็น 22% ในปี 2022, 37% ในปี 2023, 39% ในปี 2024 และ 64% ในปี 2025 ขณะที่มูลค่าการขโมยที่สามารถระบุผู้รับผิดชอบได้แบบสะสมตอนนี้เกิน 6 พันล้านดอลลาร์สหรัฐนับตั้งแต่ปี 2017

TRM ชี้ให้เห็นถึงการรั่วไหลของ Bybit มูลค่า 1.46 พันล้านดอลลาร์สหรัฐในปี 2025 ว่าเป็นจุดเปลี่ยนสำคัญในรูปแบบกิจกรรมของเกาหลีเหนือในช่วงที่ผ่านมา นับตั้งแต่นั้นจังหวะการปฏิบัติการยังคงสม่ำเสมอ โดยกลุ่มระดับหัวกะทิจะให้ความสำคัญกับการโจมตีน้อยครั้งแต่มีผลกระทบสูง โดยมุ่งเป้าไปที่สะพาน (bridges), ระบบกำกับดูแลแบบ multisig และโครงสร้างพื้นฐานแบบข้ามเครือข่าย

แนวทางฟอกเงินที่แตกต่างกัน

เหตุการณ์ Drift และ KelpDAO สะท้อนกลยุทธ์การฟอกเงินที่แตกต่างกัน กลุ่มที่เกี่ยวข้องกับ Drift ปล่อยให้สินทรัพย์ส่วนใหญ่ไม่เคลื่อนไหวหลังจากเชื่อมข้ามไปยัง Ethereum ในครั้งแรก และมีแนวโน้มว่าจะ “ถือกำไรไว้นานหลายเดือนหรือหลายปี แล้วค่อยดำเนินการถอนเงินแบบมีโครงสร้างเป็นหลายระยะ” ตามที่ TRM ระบุ

ฝ่ายผู้โจมตี KelpDAO เคลื่อนย้ายเงินได้เร็วกว่าโดยใช้การสวอปข้ามเครือข่ายไปยัง Bitcoin ผ่าน THORChain ขณะที่ขั้นตอนการฟอกเงินที่ยังดำเนินอยู่นั้นจัดการโดยคนกลางชาวจีนเป็นส่วนใหญ่ มากกว่าที่จะเป็นชาวเกาหลีเหนือเอง

ลำดับความสำคัญของการติดตามการปฏิบัติตามกฎระเบียบ

TRM ระบุลำดับความสำคัญในการติดตามการปฏิบัติตามกฎระเบียบ ได้แก่ กระแสธุรกรรมที่เชื่อมโยงกับ THORChain จากสภาพแวดล้อมของสะพานที่ถูกบุกรุก การไล่รอยธุรกรรมแบบหลายช่วงข้ามโครงสร้างสะพาน และการคัดกรองเส้นทางฝากที่เกี่ยวข้องกับการกำกับดูแลของ Solana ซึ่งรวมถึงธุรกรรม durable nonce บริษัทฯ ยังชี้ให้เห็นถึงการมีส่วนร่วมของ Beacon Network ในหลายตลาดแลกเปลี่ยนและโปรโตคอล DeFi ว่าเป็นกลไกในการเร่งการแจ้งเตือนข้ามแพลตฟอร์มเมื่อระบุที่อยู่ที่เชื่อมโยงกับเกาหลีเหนือได้แล้ว