แฮกเกอร์เกาหลีเหนือขโมย $6B ตั้งแต่ปี 2017 มูลค่าความสูญเสียในปี 2026 คิดเป็น 76%

แฮกเกอร์เกาหลีเหนือขโมยไปแล้วเกือบสามในสี่ของคริปโทเคอร์เรนซีทั้งหมดที่ถูกขโมยโดยอาชญากรไซเบอร์ในปี 2026 จนถึงขณะนี้ ผ่านการโจมตีที่ดำเนินการอย่างแม่นยำ 2 ครั้งต่อแพลตฟอร์มการเงินแบบกระจายอำนาจในเดือนเมษายน ตามรายงานของบริษัทข่าวกรองบล็อกเชน TRM Labs เหตุการณ์ทั้งสอง—การรั่วไหลมูลค่า $285 ล้านของ Drift Protocol เมื่อวันที่ 1 เมษายน และการเอ็กซ์พลอยต์มูลค่า $292 ล้านของ Kelp DAO เมื่อวันที่ 18 เมษายน—รวมกันคิดเป็น 76% ของความสูญเสียจากการแฮ็กคริปโตทั้งหมดที่ TRM Labs ติดตามได้ตลอดจนถึงเดือนเมษายน ทั้งหมดนี้ TRM Labs คาดว่าแฮกเกอร์ที่เชื่อมโยงเกาหลีเหนือขโมยไปกว่า 6 พันล้านดอลลาร์จากโปรโตคอลและโปรเจกต์คริปโตตั้งแต่ปี 2017

วิธีการโจมตีและความแม่นยำ

การโจมตี Drift Protocol โดดเด่นด้วยแคมเปญวิศวกรรมสังคมที่ยืดเยื้อ การเตรียมการบนเชนเริ่มตั้งแต่วันที่ 11 มีนาคม และแคมเปญดังกล่าวเกี่ยวข้องกับการประชุมแบบพบหน้าระหว่างพร็อกซีของเกาหลีเหนือกับพนักงานของ Drift เป็นระยะเวลาหลายเดือน ผู้โจมตีใช้ฟีเจอร์ของ Solana ที่เรียกว่า durable nonce ซึ่งทำให้สามารถถือธุรกรรมที่เซ็นไว้ล่วงหน้าเพื่อรอการนำไปใช้งานในภายหลัง ในวันที่ 1 เมษายน มีการถอนเงิน 31 รายการที่ดำเนินการภายในเวลาประมาณ 12 นาที ดึงเอาทรัพย์สินจริงออกไป รวมถึง USDC และ JLP เงินที่ถูกขโมยถูกย้ายไปยัง Ethereum อย่างรวดเร็ว และยังคงนิ่งเงียบอยู่ตั้งแต่นั้น

การโจมตี Kelp DAO ใช้วิธีเชิงเทคนิคที่ต่างออกไป ผู้โจมตีเข้าถึงเครือข่าย RPC ภายในได้ 2 โหนด แล้วจึงเปิดฉากการโจมตีแบบปฏิเสธการให้บริการ (denial-of-service) ต่อโหนดภายนอก ทำให้ bridge ที่มีตัวตรวจสอบ (verifier) เพียงรายเดียวต้องอาศัยแหล่งข้อมูลที่ถูกปนเปื้อน โหนดเหล่านั้นรายงานเท็จว่าแอสเซ็ตต้นทางถูกเผา (burned) บนเชนต้นทาง ทั้งที่ไม่มีการกระทำดังกล่าวเกิดขึ้น และประมาณ 116,500 rsETH—มีมูลค่าราว $292 ล้าน—ถูกดึงออกจากสัญญา bridge ของ Ethereum

การเพิ่มระดับการโจรกรรมคริปโตของเกาหลีเหนือในประวัติศาสตร์

ตัวเลขสะท้อนแนวโน้มที่การโจรกรรมคริปโทเคอร์เรนซีถูกกระจุกตัวขึ้นอย่างรวดเร็วในมือของผู้ปฏิบัติการที่เชื่อมโยงกับรัฐของเกาหลีเหนือ สัดส่วนของย่างยาง (Pyongyang) ในความสูญเสียจากการแฮ็กคริปโตทั้งหมดเพิ่มขึ้นจากต่ำกว่า 10% ในปี 2020 และ 2021 เป็น 22% ในปี 2022, 37% ในปี 2023, 39% ในปี 2024 และ 64% ในปี 2025 ตัวเลขปี 2026 ที่ 76% ตั้งแต่ช่วงเดือนมกราคมถึงเมษายนถือเป็นสัดส่วนที่สูงที่สุดเท่าที่มีการบันทึกอย่างต่อเนื่อง แม้ว่ากรณีทั้งสองจะคิดเป็นเพียง 3% ของจำนวนเหตุการณ์ทั้งหมดที่ถูกบันทึกไว้

การเคลื่อนย้ายเงินและการฟอกเงิน

หลังการขโมยของ Kelp DAO Arbitrum Security Council ได้ใช้อำนาจฉุกเฉินเพื่อแช่แข็งเงินที่ถูกขโมยไปประมาณ $75 ล้าน ซึ่งถูกทิ้งไว้บนเครือข่าย—เป็นการแทรกแซงที่พบได้ยากและกระตุ้นให้เกิดการตอบสนองด้านการฟอกเงินอย่างรวดเร็ว จากนั้นราว $175 ล้านใน ETH ถูกสลับเป็น Bitcoin โดยส่วนใหญ่ผ่าน THORChain ซึ่งเป็นโปรโตคอลสภาพคล่องข้ามเชนที่ไม่มีข้อกำหนด know-your-customer

THORChain ประมวลผลส่วนใหญ่ของรายได้จากการโจมตีทั้งสองครั้ง ทั้งการรั่วไหลของ Bybit ในปี 2025—ซึ่งเป็นการขโมยที่หนักที่สุดในประวัติศาสตร์ของอุตสาหกรรม โดยมีคริปโตถูกขโมยมากกว่า $1.4 พันล้าน—และการแฮ็ก Kelp DAO ในปี 2026 โดยแปลง ETH ที่ถูกขโมยมูลค่าหลายร้อยล้านดอลลาร์เป็น Bitcoin ขณะที่ไม่มีผู้ดำเนินการคนใดยินยอมที่จะตรึงหรือปฏิเสธการโอน

ความซับซ้อนของการโจมตีที่กำลังพัฒนา

นักวิเคราะห์ของ TRM ระบุว่ากลุ่มดังกล่าวดูเหมือนกำลังลับเครื่องมือให้คมขึ้น นักวิเคราะห์เริ่มคาดการณ์ว่า ผู้ปฏิบัติการจากเกาหลีเหนือกำลังนำเครื่องมือด้าน AI มาใช้ในกระบวนการลาดตระเวนและวิศวกรรมสังคม ซึ่งเป็นพัฒนาการที่สอดคล้องกับความแม่นยำที่เพิ่มขึ้นของการโจมตีอย่าง Drift ที่ต้องใช้เวลาหลายสัปดาห์ในการจัดการอย่างเจาะจงต่อกลไกบล็อกเชนที่ซับซ้อน