เหตุโจมตีทางแฮ็กต่อ Drift Protocol วันที่ 1 เมษายน บนเครือ Solana ซึ่งเป็นหนึ่งในสัญญาอนุพันธ์ที่เป็นที่รู้จักบนเครือ ขาดทุนราว 285 ล้านดอลลาร์ ปริมาณเงินที่ถูกล็อกในแพลตฟอร์ม (TVL) จากประมาณ 550 ล้านดอลลาร์ก่อนเกิดเหตุ ลดฮวบลงเหลือประมาณ 230 ล้านดอลลาร์หลังเกิดเหตุ ทีมงาน Drift ได้เผยแพร่รายงานการสอบสวนโดยละเอียดในเวลาต่อมา เปิดเผยว่าเป็นการโจมตีวิศวกรรมสังคมที่ใช้เวลานานถึง 6 เดือน และได้รับการสนับสนุนด้านทรัพยากรระดับชาติ
ซุ่มโจมตีนาน 6 เดือน: จากงานประชุมคริปโตสู่คลังโค้ด
จากการสอบสวนของ Drift ผู้โจมตีเริ่มวางแผนและเริ่มลงมือปรับใช้ตั้งแต่ช่วงฤดูใบไม้ร่วงปี 2025 พวกเขาแอบอ้างตัวเป็นบริษัทเทรดเชิงปริมาณที่ถูกต้องตามกฎหมาย ไปพบผู้มีส่วนร่วมของ Drift ในหลายงานประชุมสกุลเงินคริปโต และสร้างความสัมพันธ์ทางอาชีพที่ดูเหมือนจริง ในช่วงเวลาที่เจาะแทรกยาวนาน 6 เดือน ผู้โจมตี:
จัดตั้งกลุ่ม Telegram เพื่อหารือกลยุทธ์การเทรดกับทีมงาน Drift
สร้างความน่าเชื่อถือใน Vault ของระบบนิเวศ ด้วยเงินทุนจริง (มากกว่า 1 ล้านดอลลาร์)
จัดการประชุมงานหลายครั้งในหลายประเทศ
ในที่สุด การบุกรุกที่เป็นไปได้อาจสำเร็จได้ผ่านทางเดิน 2 ช่องทาง: ผู้มีส่วนร่วมคนหนึ่งคัดลอกคลังโค้ดที่อาจใช้ประโยชน์จากช่องโหว่ที่รู้จักบน VSCode/Cursor; อีกผู้มีส่วนร่วมดาวน์โหลด TestFlight App ที่ผู้โจมตีให้ไว้ภายใต้ชื่อ “แอประเป๋าสตางค์”
เทคนิคทางเทคโนโลยี: การหลีกเลี่ยงมัลติซิกด้วยการจองล่วงหน้า (Durable Nonce) สำหรับธุรกรรม
ในมิติทางเทคนิค ผู้โจมตีใช้กลไกบัญชี “Durable Nonce” บน Solana ซึ่งเป็นฟีเจอร์ที่อนุญาตให้ลงลายเซ็นธุรกรรมไว้ล่วงหน้าและเลื่อนการดำเนินการภายหลัง ผู้โจมตีใช้มันเพื่อเตรียมลายเซ็นของธุรกรรมที่เป็นอันตรายทั้งหมดไว้ล่วงหน้า เมื่อได้รับสิทธิ์เพียงพอ ก็สามารถรันคำสั่งแบบทันที ทิ้งให้ฝ่ายป้องกันมีเวลาตอบสนองน้อยมาก
ผู้โจมตีได้สิทธิ์ในการบริหารจัดการคณะกรรมการความปลอดภัยของ Drift อย่างรวดเร็ว จากนั้นก็ล้างสินทรัพย์ที่เกี่ยวข้อง ต่อมา Drift ย้ำว่า สมาชิกมัลติซิกทั้งหมดใช้ cold wallet แต่ก็ยังไม่สามารถหยุดการโจมตีได้ ซึ่งสะท้อนให้เห็นว่า “เมื่อการโจมตีล็อกไปที่ระดับบุคคล แม้จะมีการควบคุมฮาร์ดแวร์อย่างเข้มงวด ก็อาจยังถูกหลีกเลี่ยงได้”
ชี้ไปที่เกาหลีเหนือ UNC4736: กลุ่มคนเดียวกับที่โจมตี Radiant Capital
Drift ระบุว่า โดย “ความเชื่อมั่นระดับสูงมาก” จะโยงการโจมตีครั้งนี้ไปยัง UNC4736 (หรือที่รู้จักในชื่อ Citrine Sleet, AppleJeus) ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือ การสอบสวนชี้ว่า รูปแบบเหตุการณ์สอดคล้องอย่างมากกับการโจมตีที่เกิดขึ้นในเดือนตุลาคม 2024 ซึ่งทำให้ Radiant Capital เสียหาย 58 ล้านดอลลาร์ และเชื่อว่าเป็นฝีมือของกลุ่มผู้กระทำคนชุดเดียวกัน
Circle ถูกวิจารณ์: เหตุใดจึงไม่สามารถแช่แข็ง USDC ที่ถูกขโมยได้ทันที?
หลังเกิดเหตุ จุดโต้แย้งอีกประการคือความเร็วในการตอบสนองของ Circle ตามข้อมูลของ PeckShield ผู้โจมตีขโมย USDC ราว 71 ล้านดอลลาร์จาก Drift และหลังจากแปลงสินทรัพย์อื่นที่ถูกขโมยเป็น USDC แล้ว ก็ใช้โปรโตคอลการโอนข้ามสาย (CCTP) ของ Circle เพื่อเชื่อมโอน USDC ราว 232 ล้านดอลลาร์จาก Solana ไปยัง Ethereum ทำให้ความยากในการติดตามเรียกคืนเพิ่มสูงขึ้นอย่างมาก
ZachXBT นักสืบสวนเชิงออนเชนที่เป็นที่รู้จัก วิจารณ์การกระทำของ Circle ว่าช้าเกินไป และชี้ให้เห็นความเปรียบต่างที่น่าขัน: ในวันเดียวกับที่ผู้โจมตีตั้งค่า Durable Nonce (23 มีนาคม) Circle กลับไปแช่แข็งกระเป๋าเงินร้อนทางการค้า 16 แห่งภายในไม่กี่นาที สาเหตุเป็นคดีฟ้องร้องทางแพ่งของสหรัฐฯ แต่เมื่อเผชิญกับการโจมตี DeFi ที่มีขนาดใหญ่เกินหลักเก้าเลข ทำไมถึงไม่มีการดำเนินการที่รวดเร็วเทียบเท่ากัน
การตอบกลับของ Circle คือ: “Circle เป็นบริษัทที่อยู่ภายใต้การกำกับดูแล ดำเนินงานตามข้อกำหนดการคว่ำบาตร คำสั่งบังคับใช้กฎหมาย และคำสั่งศาล เราแช่แข็งสินทรัพย์เมื่อมีกรณีที่กฎหมายกำหนด เพื่อให้สอดคล้องกับหลักนิติธรรมและเพื่อปกป้องสิทธิและความเป็นส่วนตัวของผู้ใช้” ที่ปรึกษากฎหมายของ Plume ก็เรียกร้องให้สภานิติบัญญัติจัดตั้งกลไก “safe harbor” เพื่อให้ผู้ออกเหรียญสเตเบิลคอยสามารถแช่แข็งสินทรัพย์ได้เมื่อมีเหตุผลอันสมควรที่จะเชื่อว่ากองทุนอาจเกี่ยวข้องกับการกระทำที่ผิดกฎหมาย โดยไม่ต้องรับผิดทางแพ่ง
คำเตือนต่ออุตสาหกรรม DeFi
ประกาศของ Drift ได้รับความสนใจอย่างกว้างขวางในวงการ เหตุโจมตีครั้งนี้ยืนยันอย่างชัดเจนว่า กลุ่มแฮ็กเกอร์ระดับชาติกำลังดำเนินปฏิบัติการด้านข่าวกรองมนุษย์ (HUMINT) ต่อโปรโตคอล DeFi เป็นเวลาหลายเดือน ไม่ใช่แค่พึ่งพาช่องโหว่ทางเทคนิค บทเรียนสำคัญได้แก่: อย่าไปคัดลอกคลังภายนอกบนเครื่องที่ใช้จัดการคีย์การผลิตหรือมัลติซิก ห้ามติดตั้งแอปของบุคคลที่สาม หรือเปิดลิงก์ที่ไม่ทราบที่มา การแยกอุปกรณ์และสิทธิ์การเข้าถึงต้องทำให้ครบถ้วนและเด็ดขาด
บทความนี้ Drift Protocol ถูกขโมย 285 ล้านดอลลาร์: แฮ็กเกอร์จากเกาหลีเหนือเตรียมการ 6 เดือน ใช้ Durable Nonce หลบเลี่ยงมัลติซิก เผยแพร่ครั้งแรกใน 鏈新聞 ABMedia
