Elliptic กล่าวเมื่อวันพฤหัสบดีว่า การโจมตีของ Drift Protocol มูลค่า 285 ล้านดอลลาร์ ซึ่งใหญ่ที่สุดในปีนี้ มี “หลายสัญญาณ” ที่บ่งชี้ถึงการมีส่วนเกี่ยวข้องของกลุ่มแฮกเกอร์ DPRK ที่ได้รับการสนับสนุนโดยรัฐของเกาหลีเหนือ
บริษัทวิจัยชี้ให้เห็นโดยเฉพาะถึงพฤติกรรมบนเชน วิธีการฟอกเงิน และสัญญาณระดับเครือข่าย ซึ่งทั้งหมดสอดคล้องกับการโจมตีที่เชื่อมโยงกับรัฐก่อนหน้า
Drift Protocol ซึ่งโทเค็นลดลงมากกว่า 40% เหลือราว $0.06 นับตั้งแต่การแฮก คือการแลกเปลี่ยนสัญญาซื้อขายล่วงหน้าแบบถาวรแบบกระจายอำนาจที่ใหญ่ที่สุดบนบล็อกเชน Solana
“หากได้รับการยืนยัน เหตุการณ์นี้จะถือเป็นการกระทำครั้งที่สิบแปดของ DPRK ที่ Elliptic ติดตามในปีนี้ โดยมียอดเงินที่ถูกขโมยไปแล้วมากกว่า 300 ล้านดอลลาร์” รายงานระบุ
“นี่คือการต่อเนื่องของแคมเปญยืดเยื้อของ DPRK ในการขโมยสินทรัพย์คริปโทในระดับใหญ่ ซึ่งรัฐบาลสหรัฐฯ เชื่อมโยงกับการใช้เงินทุนเพื่อโครงการอาวุธของประเทศ DPRK มีผู้ที่เกี่ยวข้องซึ่งเชื่อว่าเป็นผู้รับผิดชอบต่อการขโมยสินทรัพย์คริปโทมูลค่าหลายพันล้านดอลลาร์ในช่วงไม่กี่ปีที่ผ่านมา” Elliptic กล่าวเพิ่มเติม
ไม่กี่ชั่วโมงก่อนหน้า ข้อมูลของ Arkham แสดงว่าเงินมากกว่า 250 ล้านดอลลาร์ถูกโอนจาก Drift ไปยังวอลเล็ตชั่วคราว จากนั้นไปยังที่อยู่ต่าง ๆ อีกหลายแห่ง
ในเดือนธันวาคม รายงานของ Chainalysis เปิดเผยว่าแฮกเกอร์ของ DPRK ขโมยคริปโตในปี 2025 เป็นสถิติสูงสุดถึง 2 พันล้านดอลลาร์ รวมถึงการถูกโจมตีมูลค่า 1.4 พันล้านดอลลาร์ของ Bybit ซึ่งคิดเป็นการเพิ่มขึ้น 51% จากปีก่อน กระทรวงการคลังสหรัฐฯ กล่าวเมื่อเดือนที่แล้วว่าเกาหลีเหนือใช้สินทรัพย์ที่ถูกขโมยไปเพื่อเป็นทุนสำหรับโครงการอาวุธทำลายล้างสูงของประเทศ
Elliptic ไม่ได้มุ่งเน้นไปที่ตัวการโจมตี (exploit) โดยตรง แต่การวิเคราะห์ของ Elliptic ชี้ให้เห็นถึงรูปแบบการปฏิบัติการที่คุ้นเคย กิจกรรมดังกล่าวดูเหมือน “มีการวางแผนล่วงหน้าและจัดเตรียมอย่างรอบคอบ” โดยมีธุรกรรมทดสอบในช่วงแรก และมีการเตรียมวอลเล็ตไว้ล่วงหน้าก่อนเหตุการณ์หลัก
รายงานอธิบายว่าเมื่อมีการดำเนินการแล้ว เงินจะถูกทำให้รวมศูนย์อย่างรวดเร็วและถูกสลับเปลี่ยน จากนั้นถูกเชื่อมข้ามสาย (bridged) ไปยังหลายเชน และถูกแปลงเป็นสินทรัพย์ที่มีสภาพคล่องมากขึ้น สะท้อนให้เห็นถึงกระบวนการฟอกเงินที่มีโครงสร้างและทำซ้ำได้ ซึ่งออกแบบมาเพื่อปิดบังที่มาของแหล่งเงินในขณะที่ยังคงรักษาการควบคุมไว้
ความท้าทายสำคัญประการหนึ่ง Elliptic ระบุ คือโมเดลบัญชีของ Solana เนื่องจากสินทรัพย์แต่ละชิ้นถูกเก็บไว้ในบัญชีโทเคนแยกต่างหาก กิจกรรมที่เกี่ยวข้องกับผู้กระทำเพียงรายเดียวอาจดูเหมือนแยกส่วนกระจายอยู่หลายที่อยู่ หากไม่เชื่อมโยงสิ่งเหล่านี้ ผู้สืบสวนอาจมองเห็นเพียง “เศษส่วนของกิจกรรมของผู้โจมตี ไม่ใช่ภาพทั้งหมด”
ตรงนี้เองที่รายงานของ Elliptic ชี้ให้เห็นถึงแนวทางการจัดกลุ่ม (clustering) ซึ่งเชื่อมบัญชีโทเคนกลับไปยังเอนทิตีเดียว ทำให้สามารถระบุการเปิดเผยได้ไม่ว่าที่อยู่ใดจะถูกคัดกรอง ในเหตุการณ์ที่เกี่ยวข้องกับประเภทสินทรัพย์มากกว่าหนึ่งโหล มุมมองระดับเอนทิตีจึงกลายเป็นสิ่งสำคัญ
คดีนี้ยังเน้นด้วยว่า Elliptic เพิ่มในรายงานว่า การฟอกเงินได้กลายเป็นการข้ามเชนอย่างเป็นธรรมชาติ กองทุนที่ย้ายจาก Solana ไปยัง Ethereum และอื่น ๆ แสดงให้เห็นถึงความจำเป็นของสิ่งที่ Elliptic อธิบายว่าเป็น “ความสามารถด้านการติดตามข้ามเชนแบบองค์รวม”
