บัตรสูงสุดของ DeFi

โดย โคลอี้ ผู้ท้าชิง

 

อาทิตย์ที่แล้ว โซลาน่า ลอน อะไนเต็ดส์ ถูกแฮ็ค และทรัพย์สินผู้ใช้ประมาณ 285 ล้านดอลลาร์ถูกขโมย ตามบันทึกทางการแล้ว นี่ไม่ได้เป็นการรุกล้ําของสัญญาแบบฉลาดๆ แต่เป็นการจู่โจมของนักเจาะระบบสังคมอย่างยาวนาน 6 เดือน。

มี หลัก ฐาน แม้ แต่ ใน การ สอบสวน ว่า จํานวน ของ นัก แสดง ที่ เป็น ภัย คุกคาม เดียว กัน นั้น อาจ อยู่ ที่ จุด สําคัญ ของ การ พัฒนา ข้อ ตก ลง หลาย ข้อ ที่ ดี ไฟ ไม่ ใช่ ใน ฐานะ ผู้ โจมตี แต่ เป็น ผู้ บริจาค。

การแฮ็คเป้าหมายแรกๆ เป็นเรื่องปกติในเกาหลีเหนือ แต่เงินสดน้อยมากที่ลงทุน

ตามคําให้การของการเชื่อมกัน กลยุทธ์หลักของคนร้าย คือให้กลายเป็นส่วนหนึ่งของระบบนิเวศ。

ตั้งแต่ฤดูใบไม้ร่วงปี 2025 พวกเขาปลอมตัวเป็นบริษัทซื้อขายสินค้าเชิงพาณิชย์ และเริ่มติดต่อกับผู้มีส่วนร่วมหลักในการประชุมด้านการเข้ารหัสหลัก การ ติด ต่อ แบบ นี้ ไม่ ได้ จํากัด อยู่ แค่ หนึ่ง คน แต่ มี การ ประชุม หลาย แห่ง ทั่ว ประเทศ ต่าง ๆ ซึ่ง ยัง คง ดําเนิน การ โดย ตั้งใจ เป็น เวลา หก เดือน. คนเหล่านี้มีความเชี่ยวชาญทางด้านเทคนิค ภูมิหลัง และรู้วิธีการเชื่อม。

และ พวก เขา ไม่ จํากัด การ ติด ต่อ กับ สมาชิก ใน แกน กลาง ที่ เชื่อม ต่อ กัน. ทีมนี้ยังได้ใช้ระบบกลไกการเปิดระบบอีโค-สตีมเพื่อสร้างทรัพย์สินของตนเองขึ้นอย่างประสบความสําเร็จ。

ใน การ สัมภาษณ์ กับ ฌ็อง แค็ต เท อร์ ส เต ฟานี ผู้ เชี่ยวชาญ ด้าน เทคนิค ใน โซ่ บล็อก กล่าว ว่า “เป็น กิจ ปฏิบัติ ทั่ว ไป ที่ พวก แฮกเกอร์ ชาว เกาหลี จะ แทรกซึม เข้า ไป ใน เป้า หมาย ตั้ง แต่ อายุ ยัง น้อย ๆ แต่ หา ได้ ยาก ที่ จะ มี การ ลง ทุน เงิน จํานวน มาก เพื่อ ความ ไว้ วางใจ. สําหรับผู้โจมตี อย่างไรก็ตาม เงิน 1 ล้านเหรียญนี้ จริงๆแล้วเป็นการลงทุนที่ปราศจากความเสี่ยง ซึ่งตราบใดที่ยังไม่เปิดตัวการโจมตี

นอกจากนี้ ในการร่วมมืออย่างยาวนานกับการเชื่อมต่อ ทีมได้แบ่งปันรหัสที่เก็บไว้ในกิตฮับ รวมถึงการนําไปใช้ จากสถานการณ์ตอนนั้น มันคงเป็นเรื่องปกติ ที่จะมองหนังสือรหัสระหว่างคู่เต้น อย่างไรก็ตาม การสืบสวนต่อจากนี้โดย Fird ได้พบว่าโครงการ GitHub ซึ่งคัดลอกโดยผู้มีส่วนร่วมคนหนึ่ง มีรหัสที่มุ่งร้ายอยู่ ในขณะที่อีกโปรแกรมถูกกระตุ้นให้ดาวน์โหลดโปรแกรม TestFlight ที่ปลอมเป็นผลิตภัณฑ์ของกระเป๋าคุมข้อมูล。

พาธของโค้ดโปรเจกต์นั้นยากที่จะป้องกัน เนื่องจากมันฝังแน่นอยู่ในงานประจําวันของนักพัฒนา นักพัฒนามักใช้ตัวแก้ไขโค้ด เช่น VSCode หรือ เคอร์เซอร์เพื่อคิดว่ามันเป็นคําของวิศวกร ซึ่งเปิดทุกวัน。

2025. ชุมชนวิจัยความปลอดภัย พบช่องโหว่สําคัญในบรรณาธิการประเภทนี้ เมื่อปลายปี ค.ศ. เมื่อนักพัฒนาใช้มันเพื่อเปิดรายการโค้ดที่ผู้อื่นใช้ร่วมกัน คําสั่งที่ซ่อนไว้ในโครงการจะถูกประมวลผลหลังเวทีโดยอัตโนมัติ โพรเซสได้ถูกซ่อนอย่างสมบูรณ์ และไม่มีการยืนยันหน้าต่างใด ๆ จะผุดขึ้นมาบนหน้าจอ ไม่ได้รับอนุญาตให้คลิกและไม่มีการแจ้งเตือน นักพัฒนาคิดว่าพวกเขาแค่ดูรหัส แต่คอมพิวเตอร์ถูกฝังไว้ที่ประตูหลัง โดย ใช้ ประโยชน์ จาก ช่อง โหว่ นี้ ผู้ จู่ โจม จึง ซ่อน ซอฟท์แวร์ ของ ตน ไว้ ใน การ ดําเนิน งาน ประจํา วัน ซึ่ง นัก พัฒนา ทํา ทุก ๆ วัน。

จนถึงวันที่ 1 เมษายน เมื่อการโจมตีแบบเชื่อมต่อเกิดขึ้น บันทึกการคุยแบบเทเลแกรมของทีม และร่องรอยของซอฟต์แวร์ที่มุ่งร้ายทั้งหมดก็ชัดเจน。

เชื่อมต่อ อาจจะแค่ปลายภูเขาน้ําแข็ง

ตามรายงานของหน่วยซีล 911 องค์กรรักษาความปลอดภัยฉุกเฉินของอุตสาหกรรมการเข้ารหัส การโจมตีเกิดขึ้นในเดือนตุลาคม 2024 โดยกลุ่มภัยคุกคามกลุ่มเดียวกับแฮกเกอร์ของ Radiant Capital Linkage มีพื้นฐานมาจากกระแสลูกโซ่ของกองทุน (เงินสนับสนุนสําหรับการเตรียมการและการทดสอบปฏิบัติการนี้ สามารถติดตามกลับไปยังผู้โจมตีแบบ Radianest) และรูปแบบของปฏิบัติการ (ผู้ที่ดําเนินการในปฏิบัติการนี้ระบุการทับซ้อนเข้ากับกิจกรรมของ DPRK ที่รู้จัก) ขณะที่แมนดิแอนท์ (ปัจจุบันอยู่ภายใต้กูเกิล) บริษัทนิติวิทยาศาสตร์ที่เป็นที่รู้จักดี ที่ได้รับการว่าจ้างจากบริษัทนิติวิทยาศาสตร์ที่เชื่อมต่อมาก่อนหน้านี้ ได้ให้สิทธิในเหตุการณ์ที่เกิดขึ้นแบบ Radianest กับองค์กรของรัฐเกาหลี UNC 4736。

โดยเฉพาะ คนที่ปรากฏตัวในการประชุม ไม่ใช่ชาติเกาหลี สตีเว่นกล่าวว่า "นักแฮกเกอร์ชาวเกาหลีคนที่ 2 ไม่ควรถูกมองว่าเป็นแฮกเกอร์ธรรมดา ๆ แต่เป็นหน่วยสืบราชการลับ เป็นองค์กรขนาดใหญ่ที่มีผู้คนเป็นพันๆ คน และแบ่งออกเป็นหน่วยแรงงานที่ชัดเจน ซึ่งในชื่อแฮกเกอร์ชาวเกาหลีคือ APT38 ในสาขาความมั่นคงระหว่างประเทศ และคิมซูกี (Kimsukiy) องค์กรอื่น ๆ ของเกาหลีมีชื่อว่า APT43

นี่อธิบายว่าทําไมพวกเขาสามารถ นําคนจริงออนไลน์ พวก เขา เปิด บริษัท ต่าง ๆ ใน ต่าง ประเทศ และ สมัคร คน ท้อง ถิ่น ซึ่ง ไม่ รู้ ด้วย ซ้ํา ว่า พวก เขา ทํา งาน เพื่อ ใคร. “ เขา อาจ คิด ว่า เขา ได้ เข้า ร่วม กับ บริษัท โทรศัพท์ ธรรมดา และ เขา ได้ รับ มอบ หมาย ให้ ไป พบ ลูก ค้า หนึ่ง ปี ต่อ มา ทุก สิ่ง ดู เหมือน เป็น เรื่อง ปกติ แต่ เบื้อง หลัง เขา เป็น องค์การ แฮ็ค เกอร์. เมื่อถึงวันที่คณะตุลาการมา ชายผู้นั้นไม่รู้อะไรเลย"

ทุก วัน นี้ การ เชื่อม ต่อ อาจ เป็น เพียง ปลาย ของ ภูเขา น้ํา แข็ง。

การสืบสวนต่อไปจะชี้ไปถึงปัญหาที่ใหญ่กว่า คือวิธีการเดียวกัน ซึ่งอาจจะดําเนินงานตลอดระบบนิเวศวิทยาดีไฟได้หลายปี。

ตาม การ สํารวจ โดย นัก วิจัย ลูก โซ่ คน หนึ่ง ชื่อ เทย์ วา โน เนื่อง จาก การ แผ่ ขยาย อย่าง รวด เร็ว ของ เดไฟ ใน ปี 2020 การ บริจาค รหัส ที่ เกี่ยว ข้อง กับ คน งาน ไอ วี ของ เกาหลี เหนือ ได้ แพร่ กระจาย ไป ยัง โครงการ ที่ รู้ จัก กัน ดี หลาย โครงการ รวม ถึง ซู ชิ สวาป, ทอร์ เชน, มอต ตี, อัน เค อร์ และ อี วอน。

วิธีเดียวกันนี้ถูกนํามาใช้ในเหตุการณ์ที่เชื่อมต่อกัน การใช้อัตลักษณ์ปลอม การได้บทบาทของการพัฒนา เมื่อเข้าไปในโครงการแล้ว พวกเขาให้รหัสต่างๆ เข้าร่วมวงจรการพัฒนา และสร้างความไว้วางใจให้กับทีม จนกระทั่งโครงร่างของข้อตกลงทั้งหมด。

สตีเว่นเชื่อว่า ในหน่วยงานข่าวกรองดั้งเดิม พวกเขาสามารถแม้กระทั่งรอชั่วชีวิต และแม้กระทั่งคนรุ่นต่อไป ระยะเวลาที่สั้นและมีความยืดหยุ่นสูงของโครงการเว็บ3 สําหรับพวกเขา และความจริงที่ว่าธรรมชาติของการโทรคมนาคม ทําให้บุคคลสามารถทํางานได้หลายอย่าง。

“ แฮ็ค เกอร์ คน ที่ สอง ของ เกาหลี จะ รวม โครงการ ทั้ง หมด ที่ Web3 ใน ขอบข่าย ของ การ โจมตี โดย ตรวจ สอบ ทุก โครงการ อย่าง ถี่ถ้วน และ รวบ รวม ข้อมูล เกี่ยว กับ สมาชิก ของ ทีม. พวกเขารู้เรื่องโครงการมากกว่ากลุ่มโครงการ สตีเว่นบอก Web3 เป็นเป้าหมายหลัก เนื่องจากมีรายได้สูงจากงบประมาณด้านนิเวศ การขาดระเบียบการปกครองแบบรวมทั่วโลก การขาดการรับรองที่แพร่หลาย。

พวกแฮ็คเกอร์มักจะชอบ และพวกนักวางแผนรอความตายอยู่

เมื่อ มอง ย้อน ไป ดู เหตุ การณ์ สําคัญ ๆ เมื่อ ไม่ กี่ ปี มา นี้ ทาง สังคม วิศวกรรม เป็น เครื่อง มือ หลัก ของ กลุ่ม แฮกเกอร์ เกาหลี เสมอ มา. 2553 ตรงกับการเปิดตัวของมูลนิธิซีซีซีซีอาร์ของญี่ปุ่น เมื่อเร็ว ๆ นี้ "ชีวิตของไบอัน" ซึ่งระลึกถึงการขโมยเงิน 700 บิตเคนเมื่อ 2019. ตามรายงานของซีซีซี แฮกเกอร์ได้รุกเข้าไปในแลปทอปของพนักงานหลายราย ผ่านไวรัสที่พัฒนาแล้วได้ฝังความมุ่งร้ายในขั้นตอนสุดท้าย ของกระบวนการโอนเหรียญ CZ เขียนไว้ว่า ในแง่ของวิธีการทําร้ายร่างกาย แฮกเกอร์ได้แอบอยู่ในเน็ตมาระยะหนึ่ง ด้วยความสงสัยสูงว่านั่นคือ เกาหลีเหนือ ลาซารัส。

2022 โรนินเน็ตเวิร์คนี้ยังเป็นคดีคลาสสิกอีกด้วย Ronnin เป็นด้านหลังของห่วงโซ่ร้อนประตูของ Axie Infinity ซึ่งจัดการการโอนข้าม-จีนของสินทรัพย์ทั้งหมดในเกมในเวลาที่ล็อคอินมีขนาดใหญ่ การจู่โจมนั้นเนื่องจากได้รับคําเชิญจากนักพัฒนา สําหรับไปรษณีย์ที่จ่ายสูง ที่ปรากฏว่ามาจากบริษัทที่เป็นที่รู้จักดี และเอกสารที่บรรจุขั้นตอนร้าย ๆ。

2023 เหตุการณ์ที่รับเหรียญแดงเกือบจะเหมือนกัน เหรียญเงิน, บริการที่จัดการ การจ่ายเงินที่มีการเข้ารหัส, นอกจากนี้ยังเข้าหาพนักงานของ โดยกระบวนการรับสมัครปลอม วิธี การ ที่ ทัน สมัย กว่า นี้ มี ความ หลาก หลาย มาก กว่า: การ ติด วิดีโอ ที่ ปลอม แปลง, การ ก้าวก่าย บัญชี สังคม, และ โครงการ ร้าย ซึ่ง ปลอม ตัว เป็น ซอฟท์แวร์ สําหรับ การ ประชุม。

เหยื่อได้รับลิงก์นัดปกติ คลิกเข้าไป และนําไปสู่การติดตั้งโปรแกรมปลอม การประชุม ผ่านซึ่งซอฟต์แวร์ร้ายขโมยกระเป๋า พาสเวิร์ด ประมาณ กัน ว่า โดย วิธี นี้ วิธี เดียว กลุ่ม แฮกเกอร์ เกาหลี ได้ ขโมย เงิน ไป มาก กว่า 300 ล้าน ดอลลาร์。

ใน เวลา เดียว กัน ที่ สุด ซึ่ง จะ ได้ เงิน ที่ ขโมย มา ก็ เป็น เรื่อง ที่ น่า เป็น ห่วง. สตีเว่นกล่าวว่า เงินที่ถูกขโมย จะไหลอยู่ภายใต้การควบคุมของรัฐบาลเกาหลี การฟอกเงินนั้นดําเนินการโดยทีมพิเศษภายในองค์กร ผู้ซึ่งเปิดเครื่องเร่งเงินของตนเอง และเปิดบัญชีของตัวเองภายใต้อัตลักษณ์ผิดๆ กองทุนถูกฟอกและแปลงเป็นสกุลเงินเอกชน ในครั้งแรกที่ถูกขโมย ตามด้วยการส่งข้ามจีน ผ่านโครงการเดไฟที่แตกต่างกัน。

"กระบวนการทั้งหมดเสร็จสมบูรณ์ภายในประมาณ 30 วัน และในที่สุดเงินกองทุนก็ถูกปล่อยไปอยู่ในมือของคาสิโนในเอเชียใต้ การแลกเปลี่ยนขนาดเล็กที่ไม่ต้องการ KYC และการค้านอกระบบ (OTC) ในฮ่องกง ประเทศจีนและเอเชียใต้"

ถ้า เช่น นั้น อุตสาหกรรม การ เข้ารหัส ควร มี ปฏิกิริยา อย่าง ไร ต่อ การ คุกคาม แบบ ใหม่ นี้ ซึ่ง ไม่ ใช่ เป็น เพียง ผู้ จู่ โจม แต่ เป็น ผู้ ร่วม ทํา การ ด้วย

สตีเว่นเชื่อว่าผู้จัดการโครงการ ของกองทุนขนาดใหญ่ ควรจ้างทีมรักษาความปลอดภัยมืออาชีพ เป็น เรื่อง สําคัญ โดย เฉพาะ ที่ จะ มี การ แยก เครื่อง มือ ต่าง ๆ เพื่อ พัฒนา อุปกรณ์ และ อุปกรณ์ สําหรับ ลายเซ็น ทาง การ เงิน อย่าง เคร่งครัด. โดยเฉพาะอย่างยิ่งเขาสังเกตเห็นว่าประเด็นสําคัญในกรณีของการเชื่อมเป็นกลไกบัฟเฟอร์ซึ่งมีการเอาล็อคเวลา “นี้ไม่สามารถยกได้ในเวลาใด ๆ"

อย่างไรก็ตาม เขายังได้ระบุด้วยว่า มันคงยากที่จะระบุสายข้อมูล DPRK ของหน่วยสืบราชการลับ หากพวกเขาทําอย่างลึกซึ้ง แต่ การ นํา ทีม รักษา ความ ปลอด ภัย เข้า มา ยัง คง เป็น เรื่อง สําคัญ. เขาเสนอว่าพรรคโครงการ แนะนําทีมสีน้ําเงิน (เช่น ทีมป้องกันในการโจมตีทางไซเบอร์) ซึ่งไม่เพียงช่วยพัฒนาความปลอดภัยของอุปกรณ์และพฤติกรรมเท่านั้น แต่ยังจะติดตามจุดสําคัญอย่างต่อเนื่อง ความปลอดภัยของโครงการเพียงอย่างเดียว ไม่เพียงพอที่จะต้านทานระดับของการโจมตีดังกล่าว."

เขา เสริม ว่า ความสามารถด้านไซเบอร์-สงครามของเกาหลีเหนือ ปัจจุบัน เป็นหนึ่งในห้าอันดับแรกของโลก หลังจากสหรัฐอเมริกา รัสเซีย จีน และอิสราเอล การเผชิญหน้ากับคู่แข่งในระดับนี้ การตรวจสอบเฉพาะรหัสนั้น ไม่เพียงพอ。

การ รวม คํา พูด

เหตุ การณ์ ที่ เกิด ขึ้น ใน ทุก วัน นี้ พิสูจน์ ว่า เดไฟ ไม่ เพียง แต่ เผชิญ กับ ภัย คุกคาม ที่ ร้าย แรง ที่ สุด เท่า นั้น แต่ ยัง เผชิญ การ เคลื่อน ไหว ด้วย และ ไม่ เพียง แต่ ปลอด ภัย ที่ จะ ป้องกัน ไม่ ให้ มี รหัส ที่ ผิด เพราะ คน สอดแนม อาจ ซ่อน ตัว อยู่ รอบ ข้าง。

เมื่อ ผู้ จู่ โจม ยอม ใช้ เงิน หก เดือน และ เงิน หลาย ล้าน ดอลลาร์ ไป กับ สาย สัมพันธ์ การ ตรวจ สอบ ตาม ประเพณี และ สาย การ รักษา ความ ปลอด ภัย ก็ เพียง ไม่ เพียง พอ. ตาม การ สํารวจ ที่ มี อยู่ แล้ว เทคนิค นี้ ดู เหมือน จะ ดําเนิน การ อยู่ หลาย ปี ใน หลาย โครงการ แม้ ว่า ยัง ไม่ มี การ ค้น พบ。

ความสามารถของเดไฟ ที่จะสามารถรักษาความเรียบร้อยและเปิดได้ ไม่เป็นศูนย์กลางอีกต่อไป แต่คําถามที่แท้จริงคือ มันสามารถเปิดได้。