ในวันที่ 1 เมษายนที่ผ่านมา ได้เกิดเหตุการณ์แฮ็กในวงการคริปโทขึ้นอีกครั้ง ซึ่งถือว่าเป็นการแฮ็กครั้งใหญ่รับต้นปี 2026 อีกทั้งยังใหญ่เป็นอันดับสองที่เกิดขึ้นบนบล็อกเชน Solana อีกด้วย
แต่ในครั้งนี้ ดูเหมือนว่ามันจะเป็นมากกว่าแค่ “การโจมตี DeFi” ทั่วไป เพราะสิ่งที่เกิดขึ้น ไม่ได้เป็นแค่การเจาะระบบเพียงอย่าง แต่มันอาจเป็นปฏิบัติการที่มีการวางแผนมาแล้ว และใช้เวลานานกว่า 6 เดือน อีกทั้งยังอาจเชื่อมโยงกับกลุ่มแฮ็กเกอร์เกาหลีเหนืออีกด้วย
เหตุการณ์ครั้งนี้เกิดขึ้นกับ Drift Protocol แพลตฟอร์มซื้อขายอนุพันธ์แบบกระจายศูนย์ (DEX) บนเครือข่าย Solana ที่มีมูลค่าสินทรัพย์ที่ล็อคไว้หลายร้อยล้านดอลลาร์ ก่อนถูกโจมตีจนสูญเสียสินทรัพย์ไปราว 270–286 ล้านดอลลาร์ ภายในเวลาไม่ถึง 1 นาที
ซึ่งสิ่งที่ทำให้เหตุการณ์นี้น่ากังวล ไม่ใช่ขนาดของความเสียหาย เพราะถ้าเทียบกับเหตุการณ์ที่ทุกคนรู้จักอย่างการแฮ็ก Bybit มันเทียบเท่าไม่ได้เลย แต่สิ่งที่น่าสนใจคือ “วิธีการ” ที่แฮ็กเกอร์กลุ่มนี้เลือกใช้เสียมากกว่า
Drift Protocol คือ กระดานเทรดซื้อขายแบบกระจายศูนย์ (Decentralized Exchange หรือ DEX) ขนาดใหญ่ที่สร้างขึ้นบนเครือข่าย Solana โดยมุ่งเน้นให้บริการการเทรดสัญญาซื้อขายล่วงหน้าแบบไม่มีวันหมดอายุ (Perpetual Futures) และการเทรดแบบสปอต (Spot Trading)
โดย Drift ถือเป็นหนึ่งในโปรโตคอล DeFi ขนาดใหญ่บน Solana โดยก่อนถูกแฮ็ก มีมูลค่าเงินที่ล็อกอยู่ในระบบ (TVL) สูงกว่า 500 ล้านดอลลาร์
ระบบนิเวศของ Drift ขับเคลื่อนด้วยโทเคนประจำแพลตฟอร์มที่ชื่อว่า DRIFT ซึ่งทำหน้าที่เป็น Governance Token โดยผู้ถือเหรียญสามารถเข้าร่วมโหวตกำหนดทิศทางของโปรโตคอลได้ เช่น การตั้งค่าความเสี่ยง การอัปเกรดระบบ รวมถึงมีส่วนร่วมในกิจกรรมเสริมสภาพคล่องเพื่อรับผลตอบแทนด้วย
ทั้งนี้ Drift ยังมีหน่วยงานที่เรียกว่า “Security Council” ซึ่งเป็นกลุ่มผู้ถือสิทธิ์แบบ Multisig ที่มีอำนาจในการอนุมัติและแก้ไขปัญหาฉุกเฉินได้อย่างรวดเร็ว โดยไม่ต้องรอการโหวตจากผู้ถือเหรียญทั้งหมด
อย่างไรก็ตาม กลไกนี้เองที่กลายเป็น “จุดอ่อนสำคัญ” ในเหตุการณ์ครั้งนี้ เนื่องจากผู้โจมตีใช้เทคนิค Social Engineering เพื่อเข้าถึงผู้ถือสิทธิ์บางราย และสามารถขออนุมัติธุรกรรมได้ตามเงื่อนไขของระบบ
ส่วนใหญ่แล้ว การโจมตีที่เกิดขึ้นในวงการคริปโท จะเริ่มจากการหาช่องโหว่ของโค้ด แต่ในครั้งนี้มันต่างออกไป มันเริ่มจากการ “เข้าหาคน” อย่างเป็นระบบ
ย้อนกลับไปช่วงปลายปี 2025 ผู้โจมตีได้ปลอมตัวเป็นบริษัท quantitative trading และเริ่มติดต่อกับทีมของ Drift Protocol โดยอ้างว่าต้องการเชื่อมต่อและร่วมพัฒนาระบบร่วมกัน ซึ่งเป็นสิ่งที่พบได้ทั่วไปในวงการ DeFi
เพราะในโลกของ DeFi โปรเจกต์ต่าง ๆ มักจะจับมือร่วมกันอยู่แล้ว ไม่ว่าจะเป็นการเชื่อมต่อระบบระหว่างกัน การพัฒนากลยุทธ์ร่วม เพื่อให้ ecosystem เติบโตและมีประสิทธิภาพมากขึ้น รวมถึงเป็นการพัฒนาอุตสาหกรรมไปร่วมกันด้วย
แต่ในขณะเดียวกัน ก็ทำให้การเปิดรับพาร์ทเนอร์ใหม่เป็นเรื่องปกติ จนกลายเป็นช่องทางที่ผู้ไม่หวังดีสามารถแฝงตัวเข้ามาได้โดยไม่เป็นที่สงสัย
ตลอดระยะเวลากว่า 6 เดือน แฮ็กเกอร์ค่อยๆ สร้างความน่าเชื่อถือผ่านการมีส่วนร่วมกับทีมงาน Drift Protocol อย่างต่อเนื่อง ทั้งการพูดคุยเชิงเทคนิคในระดับลึก การเข้าร่วมประชุมกับทีม และการพบปะกันในงานคริปโทระดับนานาชาติในหลายประเทศ
นอกเหนือไปกว่านั้น พวกเขาไม่ได้เพียงแค่ “แสดงตัว” แต่ยังลงมือทำงานจริง ทั้งการทดสอบกลยุทธ์ และสี่งที่ทำให้เจ้าของโปรเจกต์ชะล่าใจจริง ๆ คือการนำเงินมากกว่า 1 ล้านดอลลาร์เข้ามาใช้งานในแพลตฟอร์ม เพื่อให้ดูเหมือนเป็นผู้ใช้งานหรือพาร์ทเนอร์ที่ตั้งใจจริง
เมื่อทีมงาน Drift เริ่มเห็นในสิ่งที่แฮ็กเกอร์ทำ ทั้งเอาเงินมาลงจริง ร่วมพัฒนาระบบจริง ก็ทำให้เกิดความชะล่าใจ ผู้โจมตีจึงเริ่มใช้ช่องทางที่มีอยู่ ส่งลิงก์และเครื่องมือที่ฝังมัลแวร์ไปยังผู้พัฒนา ซึ่งนำไปสู่การเข้าควบคุมอุปกรณ์และสิทธิ์สำคัญของระบบในเวลาต่อมา
จากเหตุการณ์ดังกล่าวสะท้อนให้เห็นว่า ในโลก DeFi ความเสี่ยงไม่ได้อยู่แค่ใน smart contract หรือโค้ด แต่ยังอยู่ใน “ความไว้ใจ” ที่เปิดช่องให้ผู้ไม่หวังดีสามารถแทรกซึมเข้ามาเป็นส่วนหนึ่งของระบบได้โดยไม่มีใครทันสังเกต
หลังจากผู้โจมตีสามารถแฝงตัวเข้ามาในระบบและสร้างความน่าเชื่อถือได้สำเร็จ ขั้นตอนต่อไปจึงไม่ใช่การแฮกจากภายนอกอีกต่อไป แต่คือการ “ยึดสิทธิ์จากคนใน”
วิธีที่แฮ็กเกอร์ใช้คือการส่งลิงก์และเครื่องมือที่ฝังมัลแวร์ไปให้ผู้พัฒนา โดยคาดว่า มีการใช้สองวิธีหลัก ๆ คืออการ หลอกให้โคลนโปรเจกต์ผ่าน VS Code และดาวน์โหลดแอปผ่าน TestFlight ที่แฝงมัลแวร์ไว้
เมื่อผู้พัฒนาดาวน์โหลดไฟล์ที่แฮ็กเกอร์ฝังมัลแวร์เอาไว้ ผู้โจมตีก็สามารถเข้าถึง “สิทธิ์สำคัญ” ของระบบได้ทันที
ในระบบของ Drift Protocol จะมีโครงสร้างที่เรียกว่า Security Council ซึ่งเป็นกลุ่มผู้ถือกุญแจสำคัญของระบบ และใช้การอนุมัติแบบ Multisig (Multi-signature)
พูดง่าย ๆ คือ การทำธุรกรรมสำคัญ เช่น การแก้ไขระบบ หรือการเข้าถึง admin จะต้องมี “หลายคนช่วยกันกดอนุมัติ” ไม่ใช่คนเดียวตัดสินใจ ในกรณีของ Drift จะต้องใช้ 2 จาก 5 คน เพื่ออนุมัติ แปลว่า แค่มี 2 คนอนุมัติ ธุรกรรมก็สามารถเกิดขึ้นได้ทันที
ปกติแล้ว Multisig ถูกออกแบบมาเพื่อเพิ่มความปลอดภัย แต่ในเหตุการณ์นี้ ผู้โจมตีไม่ได้เจาะระบบ Multisig โดยตรง แต่เลือก “ยึดตัวคน” ที่ถือสิทธิ์แทน ทำให้ระบบมองว่า “ทุกอย่างถูกต้อง”
เมื่อมัลแวร์เข้าควบคุมอุปกรณ์ของผู้ถือกุญแจทั้งสองราย ผู้โจมตีก็สามารถเสนอธุรกรรม และกดอนุมัติผ่านบัญชีของผู้ถือสิทธิ์จริงได้ ทั้งที่ความจริงแล้ว คนที่กดอนุมัติ ไม่ใช่เจ้าของตัวจริงอีกต่อไป
แต่สิ่งที่ทำให้เหตุการณ์นี้ซับซ้อนขึ้นคือ ผู้โจมตีไม่ได้รีบขโมยเงินทันที แต่เลือกใช้ฟีเจอร์ของ Solana ที่เรียกว่า Durable Nonce ซึ่งช่วยให้สามารถ “เซ็นธุรกรรมล่วงหน้า” และเก็บไว้รอรันในอนาคตได้โดยไม่มีวันหมดอายุ
หลังจากนั้น ผู้โจมตีหลอกให้สมาชิก Security Council เซ็นอนุมัติธุรกรรมที่ดูเหมือนเป็นการปรับปรุงระบบปกติเอาไว้ก่อน จากนั้นจึง “รอเวลา”
ในวันที่ 27 มีนาคม ระบบ Multisig ถูกปรับให้ใช้เพียง 2 จาก 5 คน และที่สำคัญคือ ไม่มีการหน่วงเวลา (0-second timelock) ซึ่งโดยปกติแล้วการจะทำธุรกรรมจะมีดีเลย์ประมาณ 24-48 ชั่วโมงเพื่อให้สามารถยกเลิกได้ทัน หากมีสิ่งปกติเกิดขึ้น
เมื่อถึงวันที่ 1 เมษายน ผู้โจมตีจึงรันธุรกรรมที่เตรียมไว้ ยึดสิทธิ์แอดมินทั้งหมด, สร้างตลาดเหรียญปลอม, ปั่นราคาให้สูงผิดปกติ และดูดเงินจริงออกจากระบบ ทั้งหมดนี้เกิดขึ้นภายในเวลาไม่ถึง 10–12 นาที สร้างมูลค่าความเสียหายให้แก่โปรเจกต์กว่า 285 ล้านดอลลาร์
ซึ่งทั้งหมดนี้เกิดขึ้นโดยที่ระบบยังทำงาน “ถูกต้องตามกฎทุกอย่าง” เหตุการณ์นี้สะท้อนให้เห็นว่า
แม้ระบบจะมีการป้องกันหลายชั้นอย่าง Multisig แต่ถ้าผู้โจมตีสามารถเข้าถึง “ตัวคน” ที่ถือกุญแจได้
ระบบทั้งหมดก็อาจถูกยึดได้โดยไม่ต้องเจาะโค้ดแม้แต่บรรทัดเดียว
หลังจากผู้โจมตีสามารถดูดเงินออกจากระบบได้สำเร็จ ขั้นตอนถัดไปคือ “การลบร่องรอย” ซึ่งถือเป็นอีกหนึ่งหัวใจสำคัญของปฏิบัติการ
สินทรัพย์ที่ถูกขโมยส่วนใหญ่ถูกแปลงเป็น USDC อย่างรวดเร็ว เพื่อให้สามารถเคลื่อนย้ายได้ง่าย ก่อนจะถูกส่งผ่านระบบ CCTP เพื่อย้ายจากเครือข่าย Solana ไปยัง Ethereum รวมมูลค่ากว่า 232 ล้านดอลลาร์
ธุรกรรมเหล่านี้ไม่ได้ถูกส่งเป็นก้อนเดียว แต่ถูกแบ่งออกเป็นมากกว่า 100 รายการ และทั้งหมดนี้เกิดขึ้นภายในเวลาเพียงไม่กี่ชั่วโมง ส่งผลให้เส้นทางการเงินซับซ้อนขึ้นอย่างมาก และยากต่อการติดตาม
เมื่อเงินไปถึงฝั่ง Ethereum แล้ว แฮ็กเกอร์ได้แปลง USDC เป็น ETH ก่อนจะเริ่ม “กระจายเงิน” ออกไปยังหลายกระเป๋า โดยใช้บอทอัตโนมัติช่วยโอนเงินไปยังกระเป๋าหลัก 27 ใบ และกระจายต่อไปอีกมากกว่า 57,000 กระเป๋า เพื่อทำให้เส้นทางเงินติดตามได้ยากขึ้นไปอีก
ข้อมูลจากบริษัทวิเคราะห์บล็อกเชนอย่าง Elliptic ระบุว่า รูปแบบการเคลื่อนย้ายเงินและวิธีการฟอกเงินในเหตุการณ์นี้ มีความสอดคล้องกับพฤติกรรมของกลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับเกาหลีเหนืออย่าง UNC4736 ด้วย
หากเกี่ยวข้องกับแฮ็กเกอร์เกาหลีเหนือจริง เหตุการณ์ Drift จะไม่ใช่แค่การแฮ็กระดับโปรโตคอล แต่จะเป็นส่วนหนึ่งของปฏิบัติการที่ใหญ่กว่านั้น โดยในช่วงหลายปีที่ผ่านมา กลุ่มที่เกี่ยวข้องกับเกาหลีเหนือถูกเชื่อว่าขโมยคริปโทไปแล้วมากกว่า 6.5 พันล้านดอลลาร์
เมื่อเงินจำนวนมหาศาลถูกเคลื่อนย้ายออกจากระบบได้สำเร็จ ประเด็นถัดมาที่ถูกจับตามองจึงไม่ใช่แค่ตัวผู้โจมตี แต่เป็นบทบาทของผู้ที่ “อาจสามารถหยุดเงินได้” ว่าควรเข้ามาแทรกแซงหรือไม่
เนื่องจากสินทรัพย์ส่วนใหญ่ถูกแปลงเป็น USDC และย้ายข้ามเครือข่ายผ่านระบบ CCTP ทำให้สายตาของชุมชนหันไปยัง Circle ผู้พัฒนาเหรียญ USDC ซึ่งมีอำนาจในการระงับ (freeze) กระเป๋าเงินที่เกี่ยวข้องกับธุรกรรมต้องสงสัย
นักสืบบล็อกเชนอย่าง ZachXBT ออกมาตั้งคำถามว่า ในสถานการณ์ที่เกิดความเสียหายระดับนี้ Circle สามารถดำเนินการได้เร็วกว่านี้หรือไม่ โดยเฉพาะการอายัดเงินเพื่อชะลอการเคลื่อนย้ายของแฮ็กเกอร์
แต่ Circle บริษัทผู้ออกเหรียญ USDC ก็ระบุว่า บริษัทเป็นองค์กรที่อยู่ภายใต้การกำกับดูแล และจะดำเนินการระงับทรัพย์สินเมื่อมีคำสั่งจากหน่วยงานรัฐหรือกระบวนการทางกฎหมายเท่านั้น เพื่อป้องกันความเสี่ยงจากการโดนฟ้องด้วย
อย่างไรก็ตาม เพียง 9 วันก่อนเกิดเหตุ Circle เพิ่งดำเนินการอายัดกระเป๋าเงินธุรกิจ 16 ใบในคดีแพ่งทั่วไป แต่ในกรณีการปล้นครั้งใหญ่นี้กลับยังไม่มีการดำเนินการใด ๆ ทำให้เกิดคำถามถึงมาตรฐานในการตัดสินใจ
ประเด็นนี้จึงกลายเป็น “พื้นที่สีเทา” ของวงการคริปโท เพราะแม้ Stablecoin อย่าง USDC จะถูกออกแบบให้สามารถควบคุมได้ในบางระดับ แต่การตัดสินใจว่าจะใช้สิทธิ์นั้นเมื่อใด กลับไม่ใช่เรื่องง่าย
หากไม่ดำเนินการ อาจถูกมองว่าเปิดทางให้ผู้ไม่หวังดีเคลื่อนย้ายเงินได้อย่างอิสระ แต่หากดำเนินการเร็วเกินไป ก็อาจถูกตั้งคำถามเรื่องอำนาจและการแทรกแซง
ท้ายที่สุด เหตุการณ์นี้จึงไม่ได้สะท้อนแค่ปัญหาด้านความปลอดภัยของโปรโตคอล แต่ยังตั้งคำถามสำคัญต่ออนาคตของระบบการเงินดิจิทัลว่า เงินในโลกคริปโท ควรถูกควบคุมได้แค่ไหน และใครควรเป็นคนมีอำนาจกด “ปุ่มหยุด” นั้น
เหตุการณ์แฮ็ก Drift Protocol ในครั้งนี้ สะท้อนให้เห็นว่า แม้นักพัฒนาจะพยายามยกระดับความปลอดภัยของระบบ ทั้งในด้านโค้ดและโครงสร้างพื้นฐาน แต่ผู้โจมตีก็ยังคงพัฒนาวิธีการใหม่ ๆ เพื่อหาช่องทางเข้าถึงระบบอยู่เสมอ
สิ่งที่แตกต่างในเหตุการณ์นี้ คือการขยายขอบเขตของการโจมตีจากมิติทางเทคนิค ไปสู่ “ปัจจัยด้านมนุษย์” ซึ่งกลายเป็นส่วนหนึ่งของกลยุทธ์สำคัญในการเข้าถึงและยึดระบบในท้ายที่สุด
ผู้โจมตีไม่ได้อาศัยการเจาะช่องโหว่ทางเทคนิคโดยตรง แต่ใช้ระยะเวลาในการสร้างความน่าเชื่อถือ แทรกซึมเข้าสู่ ecosystem และใช้ความสัมพันธ์ที่เกิดขึ้นเป็นจุดเริ่มต้นของการเข้าควบคุมสิทธิ์สำคัญของระบบ
ในขณะเดียวกัน กระบวนการเคลื่อนย้ายและฟอกเงินที่เกิดขึ้นอย่างรวดเร็ว ก็สะท้อนให้เห็นว่า แม้ธุรกรรมบนบล็อกเชนจะสามารถตรวจสอบย้อนหลังได้ แต่ในทางปฏิบัติ การติดตามหรือยับยั้งธุรกรรมแบบทันทียังคงเป็นเรื่องที่ท้าทายอย่างมาก
ส่วนประเด็นที่เกี่ยวข้องกับ Circle และการระงับธุรกรรม ยิ่งตอกย้ำถึงคำถามสำคัญของอุตสาหกรรมว่า ระบบการเงินดิจิทัลควรมีขอบเขตในการควบคุมมากเพียงใด และใครควรเป็นผู้มีอำนาจในการตัดสินใจในสถานการณ์ลักษณะนี้
ท้ายที่สุด เหตุการณ์นี้จึงไม่ได้เป็นเพียงบทเรียนของ Drift เพียงโปรเจกต์เดียว แต่เป็นสัญญาณเตือนต่อทั้งอุตสาหกรรมว่า ในโลกที่ระบบเปิดและการเชื่อมต่อเกิดขึ้นได้ง่ายขึ้น“ความปลอดภัย” ไม่ได้ขึ้นอยู่กับเทคโนโลยีเพียงอย่างเดียว แต่ยังขึ้นอยู่กับการบริหารความไว้ใจภายในระบบอย่างรอบคอบอีกด้วย
อ้างอิง : cointelegraph coindesk coindesk elliptic securityweek
Digital Asset Reporter, efinanceThai
What operational controls can DeFi projects implement to reduce social-engineering risk against multisig signers?What legal or procedural framework should stablecoin issuers follow when deciding whether to freeze suspected stolen funds?Which on-chain indicators would strengthen attribution to DPRK-linked hacking groups and assist law enforcement?
