การโจรกรรมคริปโตในเดือนเมษายน 2026
ในเดือนเมษายน 2026 การแฮ็กสองครั้งที่มีมูลค่า 577 ล้านดอลลาร์ คิดเป็น 76% ของการโจรกรรมคริปโตทั้งหมดในปีนี้ ทั้งสองครั้งเป็นผลงานของกลุ่ม Lazarus ของเกาหลีเหนือ โดยไม่มีการใช้การโจมตีที่เป็นการแฮ็กสัญญาอัจฉริยะ ผู้โจมตีใช้เวลาหกเดือนในการปลอมตัวเป็นบริษัทการค้า เข้าร่วมการประชุมคริปโตด้วยตนเอง และสร้างความสัมพันธ์ที่แท้จริงกับวิศวกรที่ Drift Protocol ก่อนที่จะดึงลายเซ็นที่พวกเขาต้องการเพื่อถอนเงิน 285 ล้านดอลลาร์ ในเวลาเพียงสิบสองนาที การโจมตีอีกครั้งได้ถอนเงิน 292 ล้านดอลลาร์ จากโหนดสะพานที่เปราะบางเพียงแห่งเดียว นี่ไม่ใช่ปัญหาด้านความปลอดภัยของคริปโตอีกต่อไป แต่เป็นการดำเนินการข่าวกรองที่ได้รับการสนับสนุนจากรัฐ โดยประเทศที่ใช้ผลกำไรเพื่อสนับสนุนโครงการอาวุธของตน และอุตสาหกรรมเพิ่งเริ่มยอมรับเรื่องนี้
รายละเอียดการโจมตี
ในเวลา 16:06:09 UTC ของวันที่ 1 เมษายน 2026 ผู้โจมตีได้ถอนเงินจากคลังหลักของ Drift Protocol ซึ่งเป็นตลาดฟิวเจอร์สถาวรแบบกระจายศูนย์ที่ใหญ่ที่สุดบน Solana ประมาณ 285 ล้านดอลลาร์ ในสินทรัพย์ของผู้ใช้ การถอนเงินครั้งแรกได้ย้าย 41.72 ล้าน JLP โทเค็น การถอนเงินครั้งสุดท้ายได้ย้าย 2,200 ETH ที่ถูกห่อหุ้ม คลังทั้งหมดถูกทำให้ว่างเปล่าในเวลาเพียงสิบสองนาที ซึ่งเป็นเวลาประมาณที่ใช้ในการเขียนข้อความยาวๆ ทีมงานได้ออกแถลงการณ์สาธารณะครั้งแรกซึ่งโพสต์บน X ภายในไม่กี่ชั่วโมง โดยขอให้ชุมชนยืนยันว่ากิจกรรมที่ผิดปกติที่พวกเขาเห็นไม่ใช่เรื่องตลกวันเมษา มันไม่ใช่ มันเป็นผลสรุปของการเตรียมการอย่างเป็นระบบเป็นเวลาหกเดือนโดยเจ้าหน้าที่ที่ทำงานให้กับรัฐบาลเกาหลีเหนือ
ข่าวด่วน: Drift Protocol ประกาศว่ากระเป๋าเงินทั้งหมดที่ได้รับผลกระทบจากการโจมตีเมื่อวันที่ 1 เมษายนจะได้รับโทเค็นการกู้คืน ซึ่งแต่ละโทเค็นจะแทนการสูญเสียที่ได้รับการตรวจสอบและการเรียกร้องจากกองทุนการกู้คืนตามสัดส่วน
สิบเจ็ดวันต่อมา ในวันที่ 18 เมษายน ผู้โจมตีได้ถอนเงิน 292 ล้านดอลลาร์ จาก KelpDAO ซึ่งเป็นโปรโตคอลการรีสเตค โดยการจัดการการกำหนดค่าผู้ตรวจสอบเพียงหนึ่งเดียวในสะพาน LayerZero ของมัน การโจมตีทั้งสองครั้งรวมกันคิดเป็นประมาณ 95 เปอร์เซ็นต์ ของการโจรกรรมคริปโต 625 ล้านดอลลาร์ ในเดือนเมษายน ซึ่งทำให้เดือนเมษายน 2026 เป็นเดือนที่เลวร้ายที่สุดสำหรับความปลอดภัยของคริปโตในประวัติศาสตร์ที่บันทึกไว้ การโจรกรรมตั้งแต่ต้นปีจนถึงเดือนเมษายนเกิน 1 พันล้านดอลลาร์ TRM Labs ระบุว่า 76 เปอร์เซ็นต์ ของยอดรวมทั้งหมดในปี 2026 มาจากการโจมตีสองครั้งนี้ ทั้งสองครั้งเป็นผลงานของผู้โจมตีคนเดียวกัน
ข่าวใหม่: KelpDAO ย้าย $rsETH ไปยัง Chainlink CCIP โดยอ้างว่าโครงสร้างพื้นฐาน LayerZero เป็นแหล่งการโจมตี DeFi มูลค่า 300 ล้านดอลลาร์ในเดือนเมษายน
กลุ่ม Lazarus
ผู้โจมตีคนนี้คือกลุ่ม Lazarus ซึ่งเป็นชื่อที่หน่วยข่าวกรองตะวันตกใช้สำหรับการดำเนินการแฮ็กที่ได้รับการสนับสนุนจากรัฐซึ่งดำเนินการโดยสำนักงานข่าวกรองทั่วไป ซึ่งเป็นหน่วยข่าวกรองหลักของเกาหลีเหนือ ตั้งแต่ปี 2017 กลุ่ม Lazarus และหน่วยย่อยของมันได้ขโมยเงินคริปโตไปมากกว่า 6 พันล้านดอลลาร์ ตามตัวเลขของ Chainalysis 2.06 พันล้านดอลลาร์ จากจำนวนนี้ถูกขโมยในปี 2025 เพียงปีเดียว โดยได้รับแรงผลักดันจากการแฮ็ก Bybit มูลค่า 1.5 พันล้านดอลลาร์ ในเดือนกุมภาพันธ์ของปีนั้น ซึ่งเป็นการโจรกรรมคริปโตที่ใหญ่ที่สุดในประวัติศาสตร์ อัตราการโจรกรรมในปี 2026 ทำให้กลุ่มนี้มีแนวโน้มที่จะผ่านยอดรวมในปี 2025 ได้อย่างสบายๆ
การโจมตีที่ซับซ้อน
นี่ไม่ใช่เรื่องราวเกี่ยวกับความปลอดภัยของคริปโตในความหมายทั่วไป ข้อกังวลที่โปรโตคอล DeFi เผชิญในวันนี้ไม่ใช่ภัยคุกคามที่พวกเขาถูกออกแบบมาเพื่อป้องกัน ความกังวลในยุค 2020 คือข้อบกพร่องในสัญญาอัจฉริยะและการแฮ็กเงินกู้ด่วน ซึ่งเป็นช่องโหว่ในโค้ด ความเป็นจริงในปี 2026 คือการดำเนินการที่ยั่งยืนจากหลายประเทศเป็นเวลาหลายเดือนที่ดำเนินการโดยมืออาชีพด้านข่าวกรองที่ไม่จำเป็นต้องใช้การแฮ็กโค้ดเพราะพวกเขามีคีย์อยู่แล้ว พวกเขาเพียงแค่ต้องโน้มน้าวให้ใครบางคนส่งมอบมัน นั่นคือสิ่งที่การโจมตี Drift เป็น และการเข้าใจมันคือการศึกษาด้านความปลอดภัยที่สำคัญที่สุดที่ผู้ถือคริปโต ผู้สร้าง หรือผู้บริหารคนใดสามารถได้รับในขณะนี้
การเตรียมการและการดำเนินการ
รายงานหลังการตายของ Drift Protocol เองซึ่งเผยแพร่ในต้นเดือนเมษายน อ่านเหมือนรายงานข่าวกรองมากกว่าการเปิดเผยด้านความปลอดภัย มันเริ่มต้นในเดือนตุลาคม 2025 ที่การประชุมคริปโตครั้งใหญ่ กลุ่มบุคคลที่นำเสนอว่าตนเป็นตัวแทนของบริษัทการค้าปริมาณได้เข้าหาผู้มีส่วนร่วมของ Drift พวกเขามีประวัติการทำงานที่ได้รับการตรวจสอบ แสดงให้เห็นถึงความเชี่ยวชาญทางเทคนิค และถามคำถามที่แน่นอนที่บริษัทการค้าสถาบันจริงจะถามเกี่ยวกับการรวมเข้ากับโปรโตคอลฟิวเจอร์ส ผู้มีส่วนร่วมของ Drift ซึ่งจัดการกับคำขอเช่นนี้เป็นประจำ ได้ปฏิบัติต่อพวกเขาเหมือนกับคู่ค้าสถาบันที่มีศักยภาพอื่นๆ Drift ได้ชี้แจงแล้วว่าบุคคลที่เข้าร่วมการประชุมแบบพบปะนั้นไม่ใช่พลเมืองเกาหลีเหนือ การดำเนินการของ Lazarus มักจะใช้บุคคลกลางที่เป็นบุคคลที่สามสำหรับการติดต่อแบบพบปะ โดยผู้ปฏิบัติงานทางเทคนิคที่แท้จริงจะอยู่ภายในเกาหลีเหนือหรือจีน
นักสืบสอบสวนบล็อกเชน ZachXBT ซึ่งติดตามการดำเนินการคริปโตของ DPRK มาหลายปี ได้สังเกตว่าโครงสร้างอัตลักษณ์ที่ซับซ้อนนี้เป็นหนึ่งในลักษณะเฉพาะของแคมเปญ Lazarus กลุ่มนี้ไม่ได้หยุดหลังจากการประชุมครั้งแรก ในระยะเวลาหกเดือน ผู้ปฏิบัติงานคนเดียวกัน หรือผู้ปฏิบัติงานที่นำเสนออัตลักษณ์เดียวกัน ได้ปรากฏตัวที่หลายงานอุตสาหกรรมระดับโลก สร้างความสัมพันธ์ที่แน่นแฟ้นกับผู้มีส่วนร่วมเฉพาะของ Drift กลุ่ม Telegram ถูกตั้งขึ้นเพื่อหารือเกี่ยวกับกลยุทธ์การค้าและความเป็นไปได้ในการรวมกัน ตั้งแต่เดือนธันวาคม 2025 ถึงมกราคม 2026 บริษัทการค้าปลอมได้ “ลงทะเบียนคลังระบบนิเวศ” กับ Drift โดยส่งรายละเอียดกลยุทธ์และฝากเงินมากกว่า 1 ล้านดอลลาร์ เข้าโปรโตคอลในฐานะพันธมิตร นี่ไม่ใช่การดำเนินการหลอกลวงทั่วไป นี่คือบริการข่าวกรองที่ดำเนินการแคมเปญ HUMINT ด้วยงบประมาณ โดยในเดือนกุมภาพันธ์และมีนาคม 2026 ความสัมพันธ์ได้ลึกซึ้งพอที่ผู้มีส่วนร่วมเชื่อมั่นในคู่ค้าดังกล่าวเพื่อแบ่งปันที่เก็บและแอปพลิเคชัน
การโจมตีด้วยมัลแวร์
ตามข้อมูลของ Drift ผู้โจมตีใช้สองเวกเตอร์มัลแวร์เฉพาะ หนึ่งในนั้นเกี่ยวข้องกับการแชร์ที่เก็บซึ่งมีโค้ดที่เมื่อเปิดใน VSCode หรือ Cursor (โปรแกรมแก้ไขโค้ดที่เสริมด้วย AI) อาจกระตุ้นการดำเนินการโค้ดแบบเงียบผ่านช่องโหว่ที่ยังไม่ได้แพตช์ อีกหนึ่งเกี่ยวข้องกับผู้มีส่วนร่วมที่ดาวน์โหลดสิ่งที่นำเสนอว่าเป็นผลิตภัณฑ์กระเป๋าเงินที่แจกจ่ายผ่าน TestFlight แพลตฟอร์มการทดสอบเบตาของ Apple ซึ่งทำให้เกิดการโจมตีอุปกรณ์ เมื่อผู้โจมตีเข้าถึงเครื่องที่ถูกต้อง พวกเขาก็เข้าถึงกระเป๋าเงินที่ถูกต้อง และเมื่อพวกเขามีกระเป๋าเงินที่ถูกต้อง การดำเนินการที่เหลือก็เป็นเรื่องของการจัดการโลจิสติกส์
ในวันที่ 23 มีนาคม มากกว่าหนึ่งสัปดาห์ก่อนการโจรกรรม ผู้โจมตีได้ตั้งค่ากระเป๋าเงินสี่ใบโดยใช้ฟีเจอร์ “durable nonce” ของ Solana ซึ่งอนุญาตให้ธุรกรรมที่ลงนามล่วงหน้าถูกดำเนินการในอนาคต สองในสี่กระเป๋านั้นเป็นของสมาชิกที่ถูกโจมตีของคณะกรรมการความปลอดภัยของ Drift ซึ่งเป็นกลุ่มผู้ลงนามมัลติซิกที่ควบคุมฟังก์ชันที่ละเอียดอ่อนที่สุดของโปรโตคอล อีกสองกระเป๋าอยู่ภายใต้การควบคุมโดยตรงของผู้โจมตี ผ่านการวิศวกรรมสังคมและอุปกรณ์ที่ถูกโจมตี ผู้โจมตีได้รับการอนุมัติมัลติซิกจากผู้ลงนามในคณะกรรมการความปลอดภัยสองคนจากห้าคนที่จำเป็นต้องดำเนินการธุรกรรมที่ลงนามล่วงหน้า
การดำเนินการโจมตี
ในวันที่ 1 เมษายน ขณะที่ทีม Drift กำลังดำเนินการถอนเงินจากกองทุนประกัน ผู้โจมตีได้ดำเนินการธุรกรรมที่ลงนามล่วงหน้าสองรายการห่างกันสี่บล็อก ธุรกรรมเหล่านี้ได้ยึดการควบคุมผู้ดูแลระบบ แนะนำสินทรัพย์สังเคราะห์ที่เรียกว่า CarbonVote Token (CVT) เข้าสู่ตลาดสปอต ปรับราคาโดยการซื้อขายซ้ำในสองตลาดแลกเปลี่ยนแบบกระจายศูนย์เพื่อให้ดูเหมือนมีมูลค่าที่ถูกต้องตามกฎหมาย และเพิ่มขีดจำกัดการถอน USDC ของโปรโตคอลเป็น 500 ล้านล้าน CVT ถูกฝากเป็นหลักประกันกับคลังทั้งหมด สิบสองนาทีต่อมา 285 ล้านดอลลาร์ หายไป
ผู้โจมตีได้แลกเปลี่ยนสินทรัพย์ที่ถูกขโมยเป็น USDC ผ่าน Jupiter ซึ่งเป็นผู้รวบรวม DEX ที่ใหญ่ที่สุดของ Solana และได้เชื่อมโยงประมาณ 129,000 ETH มูลค่า 270 ล้านดอลลาร์ ไปยัง Ethereum ผ่านโปรโตคอล CCTP ของ Circle พวกเขาถือ USDC ที่ถูกขโมยไว้หลายชั่วโมงก่อนที่จะเสร็จสิ้นการเชื่อมโยง Circle ไม่ได้แช่แข็งเงินในช่วงเวลานั้น นักวิจัยด้านความปลอดภัย Specter ได้สังเกตในขณะนั้นว่าผู้โจมตีได้หลีกเลี่ยงการแปลงเป็น Tether อย่างตั้งใจ ซึ่งแสดงให้เห็นถึงความมั่นใจว่า Circle โดยเฉพาะจะไม่เข้าแทรกแซง พวกเขาถูกต้อง
บทเรียนจากการโจมตี
ความล่อลวงในการอ่านรายงานหลังการตายของ Drift คือการมองว่ามันเป็นเหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียวที่น่าทึ่ง การดำเนินการเป็นเวลาหกเดือน อุปกรณ์ที่ถูกโจมตีหลายรายการ ธุรกรรมที่ลงนามล่วงหน้า หลักประกันปลอมที่ซื้อขายซ้ำ มันอ่านเหมือนบทภาพยนตร์ของฮอลลีวูด แต่ถอยกลับไป และลายนิ้วมือทางสถาปัตยกรรมของการโจมตี DeFi ที่สำคัญทุกครั้งของ Lazarus ในช่วงสามปีที่ผ่านมานั้นเหมือนกัน ผู้ลงนามที่ถูกโจมตี มัลติซิกที่อ่อนแอ การล็อคเวลาที่ล่าชาหรือไม่มีอยู่จริง การส่งมอบที่เป็นอันตรายที่ปลอมตัวเป็นการดำเนินการตามปกติ การแฮ็ก Bybit ในเดือนกุมภาพันธ์ 2025 การโจรกรรม 1.5 พันล้านดอลลาร์ ซึ่งปัจจุบัน FBI ระบุว่าเป็นกลุ่มย่อยของ Lazarus ที่เรียกว่า TraderTraitor ใช้แนวทางเดียวกัน ผู้ลงนามของ Bybit เชื่อว่าพวกเขากำลังอนุมัติการดำเนินการกระเป๋าเงินเย็นตามปกติผ่านโครงสร้างพื้นฐานมัลติซิกของ Safe พวกเขาไม่ใช่ โครงสร้างพื้นฐาน Safe ถูกโจมตีผ่านการโจมตีจากด้านนักพัฒนา และธุรกรรมที่พวกเขาลงนามได้โอนการควบคุมของสัญญากระเป๋าเงินเอง
ย้อนกลับไปอีกและรูปแบบยังคงอยู่ การแฮ็ก Ronin Bridge ในปี 2022 ซึ่งสูญเสียเงิน 625 ล้านดอลลาร์ จากสะพาน Axie Infinity เริ่มต้นด้วยข้อเสนอการจ้างงานปลอมใน LinkedIn ที่มุ่งเป้าไปที่นักพัฒนา ความท้าทายในการสัมภาษณ์ที่เป็นอันตรายได้ดาวน์โหลดมัลแวร์ มัลแวร์ได้โจมตีโหนดผู้ตรวจสอบ ผู้โจมตีได้รับลายเซ็นผู้ตรวจสอบห้าคนที่พวกเขาต้องการและทำให้สะพานว่างเปล่า การแฮ็ก DMM Bitcoin ในปี 2024 ซึ่งสูญเสีย 300 ล้านดอลลาร์ เริ่มต้นในลักษณะเดียวกัน: ผู้สรรหาที่ปลอมติดต่อวิศวกรที่ Ginco ผู้ให้บริการกระเป๋าเงินที่ DMM พึ่งพา การโจมตี CoinsPaid ในปี 2023 ก็ใช้แผนการเดียวกันอีกครั้ง
การป้องกันและการปรับปรุง
แผนการเดียวกันนี้ยังคงใช้ได้ผลเพราะพื้นผิวการโจมตี ความไว้วางใจของมนุษย์ ยังไม่ได้ถูกทำให้แข็งแกร่งขึ้นในลักษณะที่สัญญาอัจฉริยะได้ถูกทำให้แข็งแกร่งขึ้น การทำซ้ำนี้คือสิ่งที่สำคัญที่สุดที่ต้องเข้าใจเกี่ยวกับปัญหา Lazarus การตรวจสอบสัญญาอัจฉริยะได้กลายเป็นวินัยที่เป็นกิจวัตรใน DeFi โปรโตคอลที่จริงจังทุกตัวจะต้องได้รับการตรวจสอบ โดยมักจะมีหลายบริษัท โปรแกรมบั๊กบาวตี้มีอยู่ทั่วไป ไม่มีสิ่งใดที่จับการดำเนินการทางสังคมที่ยาวนานหกเดือนซึ่งมุ่งเป้าไปที่ผู้ลงนามที่เป็นมนุษย์ ความไม่สมดุลระหว่างความก้าวหน้าของความปลอดภัยของโค้ดและความก้าวหน้าของความปลอดภัยในการดำเนินงานคือช่องว่างที่ Lazarus ใช้เวลาห้าปีในการทำให้เป็นอุตสาหกรรม
การพัฒนาในปี 2026 เพิ่มสองแง่มุมใหม่ หนึ่งคือการใช้เครื่องมือการเขียนโค้ดที่เสริมด้วย AI เป็นเวกเตอร์การโจมตี VSCode และ Cursor ทำให้การเปิดและรันโค้ดจากแหล่งภายนอกง่ายขึ้นอย่างมาก ความสะดวกสบายนี้ยังขยายพื้นผิวการโจมตี การโจมตี Drift ใช้ช่องโหว่เฉพาะที่การเปิดที่เก็บในสภาพแวดล้อมการพัฒนาสามารถกระตุ้นการดำเนินการโค้ดแบบเงียบ นี่ไม่ใช่ข้อบกพร่องที่เฉพาะเจาะจงกับ Drift มันเป็นประเภทของช่องโหว่ที่อยู่ใต้ผู้พัฒนาทุกคนในอุตสาหกรรมที่ใช้เครื่องมือเหล่านี้ ซึ่งส่วนใหญ่เป็นเช่นนั้น
แง่มุมที่สองคือ AI เอง นักวิจัยด้านความปลอดภัยไซเบอร์ที่ให้การต่อหน้าคณะอนุกรรมการของสภาผู้แทนราษฎรสหรัฐในฤดูใบไม้ผลินี้ได้สังเกตว่าเจ้าหน้าที่ DPRK กำลังใช้เครื่องมือ AI เพื่อสร้างอัตลักษณ์ปลอมที่น่าเชื่อถือมากขึ้น ร่างการสื่อสารที่น่าเชื่อถือมากขึ้น และเร่งความเร็วในการสืบสวนเป้าหมายในระยะเริ่มต้น เครื่องมือการผลิตเดียวกันที่เปลี่ยนแปลงธุรกิจที่ถูกต้องตามกฎหมายกำลังเปลี่ยนแปลงผู้โจมตีด้วยเช่นกัน
การสนับสนุนทางการเงินของเกาหลีเหนือ
มันคุ้มค่าที่จะระบุอย่างชัดเจนว่าเงินที่ถูกขโมยไปอยู่ที่ไหน เพราะนี่คือจุดที่ความไม่สบายใจของอุตสาหกรรมคริปโตเกี่ยวกับเรื่องนี้กลายเป็นเรื่องที่ชัดเจนที่สุด คณะผู้เชี่ยวชาญของสหประชาชาติว่าด้วยเกาหลีเหนือได้ประเมินว่าการโจรกรรมคริปโตสนับสนุนส่วนสำคัญของงบประมาณการพัฒนาอาวุธขีปนาวุธและนิวเคลียร์ของ DPRK การประเมินนั้นสะท้อนอยู่ในการประเมินอย่างเป็นทางการของกระทรวงการคลังสหรัฐและหน่วยข่าวกรองเกาหลีใต้แล้ว การโจรกรรมคริปโตสะสมของเกาหลีเหนือซึ่งมีมูลค่ามากกว่า 6 พันล้านดอลลาร์ ตั้งแต่ปี 2017 ทำให้กิจกรรมนี้เป็นหนึ่งในแหล่งเงินตราต่างประเทศที่ใหญ่ที่สุดของระบอบการปกครอง นอกเหนือจากการส่งออกถ่านหินไปยังจีนและการส่งแรงงาน IT ไปต่างประเทศ
กลไกในการเปลี่ยนจาก “ETH ที่ถูกขโมย” ไปสู่ “การจัดซื้ออาวุธ” ได้รับการบันทึกไว้อย่างดี หลังจากการโจรกรรมครั้งแรก เงินมักจะถูกแลกเปลี่ยนเป็น Bitcoin หรือ stablecoins จากนั้นจะถูกส่งผ่านสะพานข้ามเชนเพื่อปกปิดร่องรอย THORChain โปรโตคอลการแลกเปลี่ยนข้ามเชนได้กลายเป็นเส้นทางที่ชื่นชอบโดยเฉพาะเพราะผู้ดำเนินการของมันได้ปฏิเสธที่จะพิจารณาการแช่แข็งหรือการตรวจสอบธุรกรรม โดยถือว่าการแทรกแซงใดๆ เป็นการขัดต่อหลักการกระจายอำนาจของโปรโตคอล THORChain ประมวลผลปริมาณการฟอกเงินส่วนใหญ่จากการโจรกรรม Bybit และ KelpDAO จากนั้น เงินจะถูกส่งผ่านการแลกเปลี่ยนคริปโตในรัสเซียและโต๊ะ OTC ในจีนก่อนที่จะถูกแปลงเป็นเงิน fiat และถูกส่งไปยังเครือข่ายการจัดซื้อที่ซื้อส่วนประกอบและวัสดุที่ถูกคว่ำบาตรโดยข้อตกลงระหว่างประเทศ
ข่าวด่วน: แฮ็กเกอร์ KelpDAO ย้าย ETH ทั้งหมด 75,701 มูลค่า 175 ล้านดอลลาร์ ไปยัง BTC ผ่าน THORChain และเส้นทางเพิ่มเติม
บทบาทของอุตสาหกรรมคริปโต
บทบาทของอุตสาหกรรมคริปโตในท่อส่งนี้เป็นเรื่องที่ไม่สบายใจแต่หลีกเลี่ยงไม่ได้ การโจมตีโปรโตคอลโดย Lazarus ทุกครั้ง เป็นการโอนทุนจากผู้ใช้คริปโตไปยังการพัฒนาอาวุธโดยรัฐที่ได้ข่มขู่การโจมตีด้วยอาวุธนิวเคลียร์ต่อเพื่อนบ้าน ทุกมัลติซิกที่ไม่มีการป้องกันคือการสนับสนุนท่อส่งนั้น ทุกนักพัฒนาที่คลิกที่การเชิญปฏิทิน “สัมภาษณ์บริษัทในพอร์ต” โดยไม่มีการตรวจสอบกลายเป็นรายการในงบประมาณขีปนาวุธของ DPRK ในความหมายที่แท้จริง
นี่เป็นประโยคที่ยากสำหรับอุตสาหกรรมที่สร้างขึ้นจากการเข้าถึงที่ไม่มีการอนุญาตและการกระจายอำนาจ สัญชาตญาณในคริปโต ตั้งแต่เริ่มต้น คือการมองว่าโค้ดเป็นจุดศูนย์กลางของความไว้วางใจ และสงสัยเกี่ยวกับการตรวจสอบของคนกลาง รายการบล็อกที่อยู่ และการแทรกแซงจากส่วนกลาง สัญชาตญาณนั้นให้บริการอุตสาหกรรมได้ดีในหลายบริบท แต่ให้บริการได้ไม่ดีในที่นี้ การปฏิเสธของ THORChain ที่จะตรวจสอบธุรกรรมสอดคล้องกับหลักการที่ระบุไว้ และนั่นคือเหตุผลที่เกาหลีเหนือใช้ THORChain
การวิ่งธนาคาร DeFi
ทั้งสองอย่างเป็นจริง การโจมตี KelpDAO เมื่อวันที่ 18 เมษายนมีความแตกต่างทางโครงสร้างจาก Drift ในแง่สำคัญอย่างหนึ่ง: มันผลิตสิ่งที่อุตสาหกรรมคริปโตพูดถึงมาหลายปีแต่ไม่เคยเห็นจริงในระดับใหญ่ นั่นคือการวิ่งธนาคาร DeFi ภายในไม่กี่ชั่วโมงหลังจากสะพาน KelpDAO ถูกทำให้ว่างเปล่า rsETH (โทเค็นใบเสร็จการรีสเตคของ KelpDAO) ถูกฝากเป็นหลักประกันใน Aave และแพลตฟอร์มการให้กู้ยืมอื่นๆ ขณะที่สัญญา KelpDAO ที่อยู่เบื้องหลังถูกหยุดชั่วคราวและมูลค่าที่แท้จริงของโทเค็นลดลง ผู้ใช้ Aave ที่ให้ยืม ETH โดยใช้หลักประกัน rsETH พบว่าการกู้ยืมของพวกเขาถูกสนับสนุนโดยสินทรัพย์ที่ไม่มีค่า
ภายใน 48 ชั่วโมง มากกว่า 8.4 พันล้านดอลลาร์ ในเงินฝากออกจาก Aave มูลค่ารวมของ DeFi TVL ในระบบนิเวศลดลงมากกว่า 13 พันล้านดอลลาร์ ในช่วงเวลาเดียวกัน ขณะที่ผู้ใช้ถอนเงินก่อนและถามคำถามทีหลัง นี่ไม่ใช่ความตื่นตระหนก แต่มันคือการวิ่งธนาคารตามแบบฉบับ ซึ่งเป็นประเภทที่ผู้ควบคุมธนาคารออกแบบประกันเงินฝากและสิ่งอำนวยความสะดวกผู้ให้กู้ในกรณีสุดท้ายเพื่อป้องกันในระบบการเงินแบบดั้งเดิม DeFi ไม่มีสิ่งเหล่านั้น ความจริงที่ว่าสัญญาอัจฉริยะของ Aave ยังคงทำงานอยู่ การถอนเงินยังคงดำเนินการ และระบบยังคงอยู่ด้วยกันนั้นน่าทึ่งจริงๆ และส่วนใหญ่เป็นเครดิตให้กับการออกแบบของโปรโตคอล แต่ผลลัพธ์นั้นใกล้เคียงกับเหตุการณ์การชำระบัญชีที่เกิดขึ้นมากกว่าที่การรายงานส่วนใหญ่ยอมรับ
การป้องกันในอนาคต
ผลที่ตามมานั้นมีโครงสร้าง เมื่อ DeFi ได้พัฒนา มันได้สร้างความสามารถในการรวมกัน ซึ่งเป็นคุณสมบัติที่โทเค็นใดๆ สามารถทำหน้าที่เป็นหลักประกันสำหรับผลิตภัณฑ์อื่นๆ ความสามารถในการรวมกันนี้คือสิ่งที่ทำให้ DeFi มีประโยชน์ และมันยังเป็นสิ่งที่ทำให้สินทรัพย์ที่ถูกโจมตีเพียงหนึ่งเดียวสามารถแพร่กระจายการขาดทุนไปยังโปรโตคอลหลายตัวภายในเวลาไม่กี่ชั่วโมง โมดูลความปลอดภัยของ Aave ไม่เพียงพอที่จะดูดซับหนี้ที่ไม่ดีในที่สุดจากเงินกู้ที่ใช้หลักประกัน rsETH การประมาณการแสดงให้เห็นว่ามีการสูญเสียระหว่าง 100 ถึง 120 ล้านดอลลาร์ ที่เหลืออยู่หลังจากกองทุนประกันหมดลง และการปกครองของ Aave กำลังอภิปรายอย่างเปิดเผยว่าใครจะจ่ายสำหรับสิ่งที่เหลืออยู่ ข้อเสนอที่อยู่ระหว่างการพิจารณาคือการแบ่งการสูญเสียอย่างเท่าเทียมกันระหว่างผู้ให้กู้ที่ถือสถานะที่ได้รับผลกระทบ นี่คือเหตุการณ์การช่วยเหลือผู้ฝากเงินสำหรับหนึ่งในโปรโตคอลการให้กู้ยืมที่ใหญ่ที่สุดใน DeFi มันเป็นความเสี่ยงประเภทหนึ่งที่ไม่เคยมีอยู่จริงในเวอร์ชันคริปโตที่ไม่มีความสามารถในการรวมกัน มันมีอยู่ตอนนี้ และ Lazarus เพิ่งแสดงให้เห็นว่าเกิดขึ้นได้อย่างไร
ข้อเสนอแนะในการปรับปรุง
บทความที่อธิบายปัญหาเพียงอย่างเดียวจะทำให้รู้สึกหดหู่ คำถามที่ยากกว่าคือสิ่งที่ต้องเปลี่ยนแปลงจริงๆ เพื่อให้ปัญหา Lazarus สามารถจัดการได้ สามสิ่ง ตามลำดับของความยากในการดำเนินการ สิ่งแรกคือวัฒนธรรมความปลอดภัยในการดำเนินงานภายในโปรโตคอล DeFi พื้นผิวการโจมตีที่ Lazarus ใช้ประโยชน์ไม่ใช่ทางเทคนิค แต่มันคือมนุษย์ นั่นหมายความว่าการป้องกันต้องเป็นมนุษย์เช่นกัน: การฝึกอบรมผู้มีส่วนร่วมให้รู้จักการวิศวกรรมสังคม การทำให้กระบวนการจ้างงานและการเข้าร่วมแข็งแกร่งขึ้นเพื่อต่อต้านการแทรกซึมของอัตลักษณ์ปลอม การกำหนดให้มีการตรวจสอบหลายช่องทางก่อนที่จะลงนามในธุรกรรมที่สำคัญ และการมองว่า “นี่ดูดีเกินจริง” เป็นสัญญาณด้านความปลอดภัยที่มันเป็นจริง บางส่วนของสิ่งนี้กำลังเกิดขึ้น แต่กำลังเกิดขึ้นในแต่ละโครงการ โดยไม่มีมาตรฐานอุตสาหกรรมที่สอดคล้องกัน โครงสร้างพื้นฐานการตรวจสอบของอุตสาหกรรม DeFi ใช้เวลาห้าปีในการทำให้เป็นมืออาชีพ ความปลอดภัยในการดำเนินงานเทียบเท่ากำลังอยู่ในปีแรก
สิ่งที่สองคือการออกแบบทางสถาปัตยกรรมของระบบการปกครองและระบบมัลติซิก การโจมตีหลายครั้งที่ Lazarus ประสบความสำเร็จขึ้นอยู่กับรูปแบบช่องโหว่เฉพาะ: มัลติซิกที่มีผู้ลงนามค่อนข้างน้อย การล็อคเวลาที่สั้นหรือไม่มีอยู่จริง และไม่มีการควบคุมอัตโนมัติที่จะทำเครื่องหมายธุรกรรมที่ผิดปกติก่อนที่จะดำเนินการ การแก้ไขทางสถาปัตยกรรมไม่ใช่เรื่องแปลกใหม่ การล็อคเวลาที่นานขึ้น ผู้ลงนามมากขึ้น การตรวจสอบอิสระของธุรกรรมที่รอดำเนินการ การแยกที่บังคับด้วยฮาร์ดแวร์ระหว่างคีย์การลงนามและเครื่องของนักพัฒนา โปรโตคอลที่ได้ดำเนินการตามมาตรการเหล่านี้โดยทั่วไปจะไม่ใช่โปรโตคอลที่ถูกทำให้ว่างเปล่า โปรโตคอลที่ไม่ได้ดำเนินการจะเป็นเช่นนั้น
สิ่งที่สามคือชั้นโครงสร้างพื้นฐาน การปฏิเสธของ THORChain ที่จะตรวจสอบธุรกรรมเป็นทางเลือกทางสถาปัตยกรรม และเป็นทางเลือกที่มีการป้องกันที่แท้จริงอยู่เบื้องหลัง แต่ทางเลือกนั้นได้กลายเป็นเสาหลักที่รับน้ำหนักของท่อส่งการฟอกเงินที่ใช้โดยโจรคริปโตที่ได้รับการสนับสนุนจากรัฐที่มีประสิทธิภาพมากที่สุดในโลก ในบางจุด คำถามเกี่ยวกับวิธีจัดการกับความเป็นกลางในระดับโครงสร้างพื้นฐานกับความร่วมมือในระบบจะต้องถูกเผชิญหน้า และมันจะไม่ถูกแก้ไขทั้งหมดภายในคริปโต มันจะเกี่ยวข้องกับการบังคับใช้การคว่ำบาตร การปฏิบัติตามของการแลกเปลี่ยน และการประสานงานระหว่างประเทศ บางส่วนของสิ่งนั้นกำลังเกิดขึ้นอยู่แล้ว เครือข่าย Beacon ของ TRM Labs ซึ่งแจ้งเตือนการแลกเปลี่ยนและโปรโตคอลสมาชิกเมื่อที่อยู่ที่รู้จักว่าไม่ดีได้รับเงิน ขยายตัวอย่างมากในปี 2025 และ 2026 อย่างไรก็ตาม อัตราการตอบสนองของสถาบันเหล่านั้นล่าช้ากว่าการโจมตีที่พวกเขาพยายามจับได้
บทสรุป
สิ่งที่ยากที่สุดเกี่ยวกับเรื่องราว Lazarus คือมันบังคับให้อุตสาหกรรมคริปโตต้องเผชิญกับความจริงที่ไม่เข้ากับการรับรู้ของตนเอง สำหรับประวัติศาสตร์ส่วนใหญ่ของมัน คริปโตได้วางกรอบตัวเองว่าเป็นการต่อสู้ระหว่างนวัตกรและผู้ควบคุมที่ล้าสมัย ระหว่างระบบที่ไม่มีการอนุญาตและผู้รักษาประตู ระหว่างโค้ดและการตัดสินใจของมนุษย์ ในกรอบนั้น ภัยคุกคามต่ออุตสาหกรรมมาจากแรงกดดันภายนอก: รัฐบาลที่พยายามจำกัดมัน ธนาคารที่พยายามแข่งขันกับมัน นักข่าวที่เขียนเรื่องราวของมันออกไป ความเป็นจริงของ Lazarus แตกต่างออกไป ภัยคุกคามไม่ใช่แรงกดดันภายนอก แต่เป็นศัตรูที่ได้รับการสนับสนุนจากรัฐที่ได้ทำให้การใช้ประโยชน์จากคุณลักษณะโครงสร้างเฉพาะของคริปโตเป็นอุตสาหกรรม ความขาดแคลนการตรวจสอบของคนกลาง ความแพร่หลายของการปกครองแบบมัลติซิก ความเร็วของการชำระเงินข้ามเชน ความยากในการกู้คืนเงินที่ฟอกแล้ว ต่อสู้กับอุตสาหกรรมเอง ศัตรูนี้ไม่สนใจเกี่ยวกับความมุ่งมั่นทางอุดมการณ์ที่คริปโตทำกับตัวเอง มันสนใจในการดึงมูลค่า และการออกแบบที่ทำให้คริปโตมีประโยชน์คือการเลือกการออกแบบเดียวกันที่ทำให้มันมีประสิทธิภาพในการขโมยจากมัน
อุตสาหกรรมใช้เวลาหลายปีในการถกเถียงว่าควรจะเหมือนหรือแตกต่างจากระบบการเงินแบบดั้งเดิมมากน้อยเพียงใด ปัญหา Lazarus แนะนำว่าคำถามที่น่าสนใจกว่าอาจเป็นวิธีการสร้างเวอร์ชันที่สามารถป้องกันได้ของระบบที่คริปโตได้กลายเป็น: สามารถรวมกันได้ รวดเร็ว ข้ามเชน และตอนนี้ แสดงให้เห็นอย่างชัดเจนว่าเป็นเป้าหมาย ตัวเลขจากเดือนเมษายน 2026 จะไม่ใช่สิ่งที่เลวร้ายที่สุดที่อุตสาหกรรมจะเห็น นี่ไม่ใช่ความมืดมน แต่มันคือแนวโน้มเดียวกัน การดำเนินการ Lazarus เดียวกันที่ใช้เวลาหกเดือนในการเตรียมการสำหรับ Drift แทบจะเป็นไปได้ว่ากำลังดำเนินการอื่นๆ ขนานกันกับโปรโตคอลอื่นๆ บางส่วนของสิ่งเหล่านั้นจะประสบความสำเร็จ คำถามคือว่าเมื่อการโจรกรรม 300 ล้านดอลลาร์ ครั้งถัดไปเกิดขึ้น อุตสาหกรรมได้ทำงานเพื่อทำให้การดำเนินการมีค่าใช้จ่ายมากกว่าผลตอบแทนหรือไม่ หรือเดือนเมษายน 2026 เป็นการแสดงให้เห็นถึงสิ่งที่จะเกิดขึ้นเมื่อศัตรูที่ได้รับการสนับสนุนจากรัฐพบกับสภาพแวดล้อมที่มีการตั้งราคาอย่างถาวร สำหรับตอนนี้ คำตอบยังไม่ชัดเจน สิ่งที่ชัดเจนคือการสนทนาได้เคลื่อนผ่าน “DeFi มีปัญหาด้านความปลอดภัย” ไปสู่สิ่งที่เฉพาะเจาะจงมากขึ้นและยากกว่ามาก บริการข่าวกรองของรัฐชาติได้ระบุพื้นผิวการโจมตีที่ไม่สมดุลและได้ใช้ประโยชน์จากมันด้วยความซับซ้อนที่เพิ่มขึ้นเป็นเวลาครึ่งทศวรรษ การป้องกันของอุตสาหกรรมยังไม่ทันต่อความเป็นจริงที่นี่คือสิ่งที่มันต้องเผชิญ ช่องว่างนั้นคือเรื่องราว ปีถัดไปของความปลอดภัยของคริปโตจะเกี่ยวกับว่าอุตสาหกรรมจะปิดช่องว่างนี้ได้หรือไม่ หรือช่องว่างจะปิดอุตสาหกรรมแทน
