การแฮ็ก Drift Protocol ปี 2026: เกิดอะไรขึ้น ใครสูญเสียเงิน และอะไรคือขั้นต่อไป

สงสัยกลุ่ม Lazarus ของ DPRK อยู่เบื้องหลังการขโมย 286 ล้านดอลลาร์บน Solana ของ Drift Protocol

Drift Protocol ซึ่งเป็นตลาดแลกเปลี่ยนฟิวเจอร์สแบบเพอร์เพชวลแบบกระจายศูนย์ที่ใหญ่ที่สุดบนเครือข่าย Solana ยืนยันการถูกโจมตีหลังพบว่า Total Value Locked (TVL) ร่วงจากราว 550 ล้านดอลลาร์ลงเหลือต่ำกว่า 250 ล้านดอลลาร์ภายในเช้าวันเดียว ปัจจุบันอยู่ที่ 232 ล้านดอลลาร์ Bitcoin.com News เป็น สำนักแรกที่รายงาน ประเด็นนี้ โทเค็น DRIFT ร่วงสูงสุดราว 37%–42% ในชั่วโมงถัดมา โดยลงไปแตะจุดต่ำสุดใกล้ 0.04 ถึง 0.05 ดอลลาร์

รายงานระบุว่า การโจมตี ไม่ได้เริ่มจากบั๊กของโค้ด แต่เริ่มจากการถอนเงินผ่าน Tornado Cash เมื่อวันที่ 11 มีนาคม ผู้โจมตีถอน ETH จากโปรโตคอลความเป็นส่วนตัวบน Ethereum และนำเงินดังกล่าวไปใช้เพื่อดีพลอยโทเค็น carbonvote หรือ CVT ในวันที่ 12 มีนาคม นักวิเคราะห์บล็อกเชน ระบุ ว่าเวลาที่ดีพลอยสอดคล้องกับประมาณ 09:00 น. ตามเวลาเปียงยาง ซึ่งเป็นรายละเอียดที่ทำให้เกิดข้อสงสัยทันที

รายงานหลายฉบับระบุรายละเอียดว่าในช่วงสามสัปดาห์ถัดมา ผู้โจมตีได้ เติม สภาพคล่องขั้นต่ำให้กับ CVT บนกระดานเทรดแบบกระจายศูนย์ Raydium และใช้วอชเทรดเพื่อคงราคาให้อยู่ใกล้ 1.00 ดอลลาร์ ออราเคิลของ Drift อ่านราคานั้นว่าเป็นราคาที่ถูกต้อง ผู้โจมตีจึงสร้าง “หลักประกันปลอม” ที่ดูเหมือนจริงสำหรับทุกระบบอัตโนมัติที่เฝ้าดูอยู่

“วันนี้ก่อนหน้านี้ ผู้ไม่หวังดีรายหนึ่งได้เข้าถึง Drift Protocol โดยไม่ได้รับอนุญาต ผ่านการโจมตีรูปแบบใหม่ที่เกี่ยวข้องกับ durable nonces ส่งผลให้สามารถยึดอำนาจการดูแลระบบของคณะ Security Council ของ Drift ได้อย่างรวดเร็ว” ทีม Drift เขียนไว้

บัญชี X ของโปรเจกต์เสริมว่า:

“นี่เป็นปฏิบัติการที่ซับซ้อนอย่างยิ่ง ซึ่งดูเหมือนจะมีการเตรียมการหลายสัปดาห์และดำเนินการเป็นขั้นเป็นตอน รวมถึงการใช้บัญชี durable nonce เพื่อพรีเซ็น (pre-sign) ธุรกรรมล่วงหน้า ทำให้สามารถหน่วงเวลาการดำเนินการได้”

โดยพื้นฐานแล้ว ระหว่างวันที่ 23 ถึง 30 มีนาคม ผู้โจมตีของ Drift ได้ขยับไปที่ “ชั้นของมนุษย์” โดยใช้ฟีเจอร์ของ Solana ที่ถูกต้องตามกฎหมายซึ่งเรียกว่า durable nonces ผู้โจมตีถูกกล่าวหาว่าชักจูงให้สมาชิกมัลติซิกของคณะ Security Council ของ Drift พรีเซ็นธุรกรรมที่ดูเหมือนเป็นงานปกติ ลายเซ็นเหล่านั้นจึงกลายเป็นกุญแจการเข้าถึงที่ได้รับการอนุมัติล่วงหน้า เก็บสำรองไว้จนกว่าผู้โจมตีจะพร้อม

จังหวะสำคัญเกิดขึ้นเมื่อวันที่ 27 มีนาคม เมื่อ Drift ย้าย Security Council ไปใช้เกณฑ์ลายเซ็น 2 จาก 5 และยกเลิก timelock ทั้งหมด โดยปกติ timelock จะบังคับให้มีความล่าช้า 24 ถึง 72 ชั่วโมงสำหรับการกระทำด้านการดูแลระบบ เพื่อให้ชุมชนมีเวลาตรวจพบและย้อนกลับสิ่งผิดปกติได้ เมื่อไม่มีมัน ผู้โจมตีจึงมีอำนาจในการดำเนินการแบบไร้ดีเลย์ ธุรกรรมที่พรีเซ็นไว้จึง “พร้อมใช้งาน” ทันทีในวินาทีที่ timelock ถูกนำออก

เมื่อวันที่ 1 เมษายน ผู้โจมตีได้เปิดใช้งานธุรกรรมเหล่านั้น ลิสต์ CVT เป็นหลักประกันที่ใช้ได้ เพิ่มเพดานการถอน และฝาก CVT มูลค่าหลายร้อยล้านดอลลาร์ ซึ่งทำให้เอนจินความเสี่ยงของ Drift ออกสินทรัพย์จริงให้ โปรโตคอลจึงส่งมอบโทเค็น JLP หลายล้าน, USDC หลายล้าน, SOL หลายล้าน และจำนวนที่น้อยกว่าของบิตคอยน์และอีเธอเรียมแบบห่อ (wrapped) มีธุรกรรมถอน 31 รายการที่สำเร็จภายในราว 12 นาที

ผู้โจมตีแปลงโทเค็นที่ขโมยมาเป็น USDC ผ่าน Jupiter บริดจ์ไปยัง Ethereum และสว็อปเป็น ETH หลายหมื่นเหรียญ เงินบางส่วนถูกส่งผ่าน Hyperliquid และบางส่วนถูกย้ายตรงไปยัง Binance เมื่อวันที่ 3 เมษายน Drift ส่งข้อความบนเชนจากที่อยู่ Ethereum ไปยังวอลเล็ต 4 ใบที่ผู้แฮ็กเกอร์ควบคุม โดยสำนัก cryptonomist.ch รายงานว่าข้อความนั้น ระบุ ว่า:

“เราพร้อมที่จะพูดคุย”

บริษัทความปลอดภัย Elliptic และ TRM Labs ได้ ระบุแหล่งที่มา ของการโจมตีว่าเกี่ยวข้องกับผู้ก่อภัยคุกคามที่เชื่อมโยงกับ DPRK โดยอ้างอิงต้นทางจาก Tornado Cash, ลายเซ็นเวลาการดีพลอยตามเวลาเปียงยาง, การเน้นวิศวกรรมสังคม และความเร็วในการฟอกเงินหลังการแฮ็ก กลุ่ม Lazarus เคยใช้ความอดทนและแนวทางเล็งเป้ามนุษย์แบบเดียวกันในเหตุแฮ็ก Ronin bridge ปี 2022 รัฐบาลสหรัฐฯ เชื่อมโยงการขโมยเหล่านี้กับการระดมทุนโครงการอาวุธของ เกาหลีเหนือ และ Elliptic ติดตามพบว่ามีเงินถูกขโมยมากกว่า 300 ล้านดอลลาร์ในไตรมาสแรกของปี 2026 เพียงไตรมาสเดียว

ผลกระทบลุกลามไปมากกว่า 20 โปรโตคอล Prime Numbers Fi รายงานความเสียหายในระดับหลายล้านดอลลาร์ Carrot Protocol หยุดฟังก์ชัน mint และ redeem หลัง TVL ของตนได้รับผลกระทบ 50% Pyra Protocol ปิดการถอนทั้งหมด ทำให้เงินของผู้ใช้ทั้งหมดไม่สามารถเข้าถึงได้ Piggybank สูญเสีย 106,000 ดอลลาร์ และชดเชยผู้ใช้จากคลังของทีมเอง

DeFi Development Corp. บริษัทจดทะเบียนใน Nasdaq ที่มีกลยุทธ์ถือคลังบน Solana ยืนยัน เมื่อวันที่ 1 เมษายนว่าไม่ได้มีความเสี่ยงเกี่ยวข้องกับ Drift กรอบการบริหารความเสี่ยงของบริษัทตัดโปรโตคอลนี้ออกทั้งหมด ข้อเท็จจริงดังกล่าวกลับดึงความสนใจมากกว่าที่บริษัทน่าจะตั้งใจ

เหตุการณ์ของ Drift ให้บทเรียนที่ชัดเจนหนึ่งข้อ ซึ่งคนส่วนใหญ่ในอุตสาหกรรมรู้อยู่แล้วแต่ยังนำไปใช้ไม่เต็มที่: timelock ไม่ใช่สิ่งที่ “เลือกมีได้” การนำมาตรการป้องกันเพียงอย่างเดียวนี้ออกไปเมื่อวันที่ 27 มีนาคม เปลี่ยนการโจมตีที่ซับซ้อนและกินเวลาหลายสัปดาห์ให้กลายเป็นการถอนเงินออกภายใน 12 นาที ธรรมาภิบาลของโปรโตคอลที่ไร้กลไกหน่วงเวลา คือธรรมาภิบาลที่เปิดประตูทิ้งไว้

48 ชั่วโมงถัดจากการโจมตี DeFi ถูกอธิบายว่าเป็นช่วงวิกฤตต่อความสามารถของ Drift ในการรักษาความเชื่อมั่นของผู้ใช้และวางแผนเส้นทางการฟื้นตัว ณ วันที่ 3 เมษายน ยังไม่มีการประกาศแผนชดเชยที่ครอบคลุม

FAQ 🔎

• เกิดอะไรขึ้นกับ Drift Protocol? ผู้โจมตีดูดเงิน 286 ล้านดอลลาร์จาก Drift Protocol เมื่อวันที่ 1 เมษายน 2026 โดยใช้หลักประกันปลอมและธุรกรรมผู้ดูแลระบบที่พรีเซ็นไว้เพื่อระบายห้องนิรภัยหลักของโปรโตคอลให้หมดภายใน 12 นาที
• ใครเป็นผู้รับผิดชอบต่อการแฮ็ก Drift Protocol? บริษัทความปลอดภัย รวมถึง Elliptic และ TRM Labs ได้ระบุว่าการโจมตีเกี่ยวข้องกับผู้ก่อภัยคุกคามที่เชื่อมโยงกับ DPRK โดยอ้างรูปแบบการฟอกเงินและไทม์สแตมป์บนเชนที่สอดคล้องกับวิธีการของกลุ่ม Lazarus
• เงินของฉันปลอดภัยบน Drift Protocol ไหม? Drift ระงับการฝากและการถอนทั้งหมดหลังการโจมตี; ผู้ใช้ในโปรโตคอลที่ได้รับผลกระทบ เช่น Pyra และ Carrot ยังไม่สามารถเข้าถึงเงินได้ ณ วันที่ 3 เมษายน 2026
• การโจมตีแบบ durable nonce ใน Solana DeFi คืออะไร? การโจมตีแบบ durable nonce ใช้ฟีเจอร์ที่ถูกต้องตามกฎหมายของ Solana เพื่อพรีเซ็นธุรกรรมที่ดูเหมือนเป็นงานปกติ แล้วเก็บไว้เป็นกุญแจการอนุญาตที่ยังใช้งานได้ จนกว่าผู้โจมตีจะเลือกนำไปดำเนินการ