เมื่อวันที่ 1 เมษายน 2026 สิ่งต่างๆ ได้พังทลายลงบน Solana (SOL) Drift Protocol โดนโจมตีด้วยการเอ็กซ์พลอยต์มูลค่า 285 ล้านดอลลาร์ และภายในไม่กี่ชั่วโมง โทเค็นของมันก็ร่วงแรงอย่างรวดเร็ว ผลกระทบไม่ได้หยุดแค่นั้น แต่มันลามไปยังโปรโตคอลอื่นๆ ที่เชื่อมต่ออยู่ในทันที
ความเสียหายครั้งนี้อ้างอิงจากการรายงานและการวิเคราะห์ของ Coin Bureau ซึ่งมีผู้ติดตาม 2.73 ล้านคน และได้ครอบคลุมไทม์ไลน์ทั้งหมดของการเอ็กซ์พลอยต์ รวมถึงวิธีที่มันคลี่คลายอยู่เบื้องหลัง
ในตอนแรก ผู้คนสันนิษฐานถึงสาเหตุแบบเดิมๆ เช่น บั๊กของสัญญาอัจฉริยะ หรือความผิดพลาดเชิงเทคนิคบางอย่าง แต่ไม่ใช่กรณีนั้น ที่นี่ไม่มีโค้ดเสียหาย ไม่มีการใช้ประโยชน์จากช่องโหว่
การโจมตีครั้งนี้ถูกสร้างขึ้นจาก “คน” ไม่ใช่จาก “โค้ด”
ปฏิบัติการเริ่มต้นมาตั้งแต่หลายเดือนก่อนหน้านั้น ประมาณช่วงปลายปี 2025 เริ่มอย่างเงียบๆ โดยมีฝ่ายหนึ่งแฝงตัวเข้าไปเป็นกลุ่มที่อ้างตัวว่าเป็นบริษัทเทรดดิ้งมืออาชีพ เพื่อเข้าหาผู้สนับสนุนของ Drift ตามงานประชุม พวกเขาดูมีความน่าเชื่อถือ มีความรู้ และคุ้นเคยอย่างลึกซึ้งทั้งด้านการเทรดและโครงสร้างพื้นฐาน
เมื่อเวลาผ่านไป พวกเขาสร้างความสัมพันธ์ พวกเขาเข้าร่วมการพูดคุยแบบส่วนตัว แบ่งปันไอเดีย และร่วมมือกันวางกลยุทธ์ เพื่อเสริมภาพลักษณ์ พวกเขายังฝากเงินมากกว่า 1 ล้านดอลลาร์ลงบนแพลตฟอร์ม การเคลื่อนไหวครั้งเดียวนี้ทำให้พวกเขาดูจริงจังและน่าเชื่อถืออย่างมาก
ทีละขั้น พวกเขาได้รับสิทธิ์ระดับภายในโดยไม่เคยฝืนดันเข้าไปเอง
- ผู้โจมตีนั้นแทรกเข้าไปได้อย่างไร
- ความผิดพลาดที่สำคัญที่สุดที่ทำให้ทุกอย่างเป็นไปได้
- มูลค่า 285 ล้านดอลลาร์ถูกระบายออกไปในไม่กี่นาทีได้อย่างไร
- เรื่องนี้เปลี่ยนแปลงอะไรสำหรับคริปโต
ผู้โจมตีนั้นแทรกเข้าไปได้อย่างไร
เมื่อความไว้วางใจถูกสร้างขึ้นแล้ว ผู้โจมตีได้แนะนำเครื่องมือที่เป็นอันตรายโดยปลอมตัวให้เหมือนเวิร์กโฟลว์ทั่วไป พวกเขาแชร์ที่เก็บ GitHub ที่ดูเหมือนเป็นการเชื่อมต่อมาตรฐาน แต่ข้างในซ่อนโค้ดไว้สำหรับประนีประนอมระบบของนักพัฒนาอย่างเงียบๆ ทันทีที่มีการเปิดไฟล์
ไม่มีคำเตือนหรือสัญญาณที่ชัดเจน ทุกอย่างดูเหมือนปกติ
อย่างไรก็ตาม มีผู้สนับสนุนคนหนึ่งถูกโน้มน้าวให้ดาวน์โหลดแอปพลิเคชันปลอม โดยเชื่อว่าเป็นการทดสอบวอลเล็ตใหม่ นั่นทำให้ผู้โจมตีเข้าถึงระบบภายในได้ลึกขึ้น
ตอนนี้พวกเขาไม่ได้แค่มองอยู่เฉยๆ แล้ว แต่เข้าไปอยู่ในโครงสร้างพื้นฐานที่สำคัญ รวมถึงระบบที่ใช้สำหรับอนุมัติธุรกรรม
_****นี่คือราคา Bittensor (TAO) ถ้าจับตลาด AI มูลค่า 60B ได้**
ความผิดพลาดที่สำคัญที่สุดที่ทำให้ทุกอย่างเป็นไปได้
แม้จะมีระดับการเข้าถึงขนาดนั้น ผู้โจมตียังต้องมีวิธีเพื่อควบคุมทั้งหมดโดยไม่ถูกหยุดยั้ง โอกาสนั้นมาจากความผิดพลาดธรรมดาแต่ร้ายแรง
Drift ได้ลบ administrative timelock ออกไปในการอัปเดตตามปกติ โดยปกติฟีเจอร์นี้จะสร้างความล่าช้าก่อนที่การกระทำสำคัญจะถูกประมวลผล ทำให้ทีมมีเวลาจับสิ่งที่น่าสงสัยได้
หากไม่มีมัน ธุรกรรมก็สามารถผ่านได้ทันที
ราวๆ ช่วงเวลาเดียวกัน ผู้โจมตียังทำให้สมาชิกทีมเซ็นชื่อในสิ่งที่ดูเหมือนเป็นธุรกรรมเชิงบริหารตามปกติ แต่ในความเป็นจริง ลายเซ็นเหล่านั้นมอบการควบคุมทั้งหมดให้กับโปรโตคอล
ไม่มีการตั้งสัญญาณเตือนใดๆ
มูลค่า 285 ล้านดอลลาร์ถูกระบายออกไปในไม่กี่นาทีได้อย่างไร
เมื่อทุกอย่างถูกจัดเตรียมไว้แล้ว การโจมตีก็เดินหน้าอย่างรวดเร็ว ผู้โจมตีสร้างโทเค็นปลอม และจัดการราคาให้ดูเหมือนว่ามีมูลค่า 1 ดอลลาร์ จากนั้นพวกเขาก็นำมันไปลงเป็นหลักประกันที่ใช้งานได้ภายในโปรโตคอล
บนกระดาษ มันดูเหมือนว่าพวกเขาถือสินทรัพย์มูลค่าเป็นร้อยๆ ล้านดอลลาร์
ด้วยหลักประกันปลอมดังกล่าว พวกเขาจึงเริ่มกู้ยืมสินทรัพย์จริงจากระบบ โดยดึงสภาพคล่องจำนวนมากออกจากพูลหลายแห่ง รวมถึงโทเค็นสำคัญอย่าง Solana (SOL) และ Bitcoin ที่ถูกห่อ (wrapped Bitcoin)
ภายในไม่กี่นาที มากกว่า 150 ล้านดอลลาร์ถูกระบายออกไปแล้ว และส่วนที่เหลือตามมาหลังจากนั้นไม่นาน
เงินที่ถูกขโมยถูกแปลงเป็น stablecoins และย้ายออกจากเครือข่าย จากนั้นจึงถูก bridged ไปยัง Ethereum และกระจายไปยังวอลเล็ตจำนวนมาก ทำให้การกู้คืนทำได้ยากมาก
ต่อมาบริษัทด้านความปลอดภัยได้โยงการโจมตีนี้ไปยังกลุ่มจากเกาหลีเหนือที่ขึ้นชื่อว่าทำปฏิบัติการลักษณะคล้ายกัน นี่ไม่ใช่เหตุการณ์สุ่มหรือทำแบบรีบเร่ง มันถูกวางแผนไว้เป็นเวลาหลายเดือนและลงมืออย่างแม่นยำ
กลุ่มเดียวกันนี้เคยถูกเชื่อมโยงกับการเอ็กซ์พลอยต์ในอดีต แต่ครั้งนี้แสดงให้เห็นถึงระดับของการประสานงานและขนาดที่สูงกว่า
เรื่องนี้เปลี่ยนแปลงอะไรสำหรับคริปโต
เหตุการณ์นี้เปลี่ยนจุดสนใจของเรื่องความปลอดภัยในคริปโต ในช่วงหลายปีที่ผ่านมา ความกังวลหลักคือช่องโหว่ของสัญญาอัจฉริยะ โปรเจกต์ต่างลงทุนอย่างหนักในด้านการตรวจสอบ (audits) และการทบทวนโค้ด และ Drift ก็ไม่ใช่ข้อยกเว้น
แต่การโจมตีครั้งนี้ไม่ได้เจาะจงไปที่โค้ด มันโจมตี “ความไว้วางใจ”
นักพัฒนา ผู้สนับสนุน และกระบวนการภายในกลายเป็นจุดเริ่มต้นของการเข้าถึง ผู้โจมตียไม่ได้ทำลายระบบ พวกเขาหาทางอ้อมโดยใช้ประโยชน์จากปฏิสัมพันธ์ของมนุษย์
นั่นเปลี่ยนวิธีที่ควรเข้าหาความปลอดภัยในอนาคต
การสูญเสีย 285 ล้านดอลลาร์ไม่ใช่แค่การเอ็กซ์พลอยต์อีกครั้งเท่านั้น แต่มันแสดงให้เห็นว่าแม้ระบบที่ตรวจสอบมาอย่างดีแล้วก็ยังล้มเหลวได้ ถ้าชั้นของ “คน” ถูกเปิดให้โจมตี
DeFi ไม่ได้เกี่ยวกับโค้ดที่ปลอดภัยเท่านั้นอีกต่อไปแล้ว ตอนนี้มันคือการทำให้ “คน” และ “กระบวนการ” ที่อยู่เบื้องหลังปลอดภัย และอย่างที่เคสนี้แสดงให้เห็น นั่นอาจเป็นส่วนที่ยากที่สุดในการปกป้อง
