21 กุมภาพันธ์ 2025 — วันที่โลกคริปโตสั่นสะเทือน
ลองจินตนาการ — คุณเข้านอนตอนตี 2 ทุกอย่างปกติดี ยอดเงินในกระเป๋ายังอยู่ครบ ระบบสีเขียวทุกจุด แดชบอร์ดไม่มีอะไรผิดปกติแม้แต่พิกเซลเดียว
พอตื่นขึ้นมาตอนเช้า เงินหายไป 1.5 พันล้านดอลลาร์
ไม่ใช่ภาพยนตร์ Netflix ไม่ใช่สคริปต์ของ Ocean's Eleven ภาค 4 นี่คือเรื่องจริงที่เกิดขึ้นกับ Bybit — ตลาดแลกเปลี่ยนคริปโตรายใหญ่อันดับต้นของโลกที่มีฐานอยู่ในดูไบ เมื่อวันที่ 21 กุมภาพันธ์ 2025
$1,500,000,000 — ตัวเลขที่ทำลายสถิติการโจรกรรมคริปโตครั้งใหญ่ที่สุดในประวัติศาสตร์
และคนที่อยู่เบื้องหลัง? ไม่ใช่กลุ่มแฮกเกอร์วัยรุ่นในห้องใต้ดิน แต่เป็น หน่วยปฏิบัติการไซเบอร์ของรัฐบาลเกาหลีเหนือ
Anatomy of a Heist — ขั้นตอนการปล้นที่ชาญฉลาดที่สุดในประวัติศาสตร์
ลืมภาพโจรสวมหน้ากากเจาะตู้เซฟไปได้เลย การปล้นครั้งนี้ไม่มีใครต้องแตะเงินสดแม้แต่เหรียญเดียว ไม่มีปืน ไม่มีรถหนี ไม่มีแม้แต่เสียงปลุกสัญญาณเตือน
ขั้นที่ 1 — เลือกเหยื่อ (ที่ไม่ใช่เหยื่อจริง)
ผู้โจมตีไม่ได้พุ่งเป้าไปที่ Bybit โดยตรง พวกเขาเลือกโจมตี Safe{Wallet} — แพลตฟอร์มที่ Bybit ใช้ในการจัดการกระเป๋าเงินดิจิทัล นี่คือหัวใจของ Supply Chain Attack — คุณไม่ต้องเจาะประตูหน้าบ้านเป้าหมาย แค่เจาะบริษัทที่ทำกุญแจให้เขาก็พอ
ขั้นที่ 2 — Social Engineering สุดคลาสสิก
แฮกเกอร์ใช้วิธี Social Engineering — ล่อลวง Developer คนหนึ่งของ Safe{Wallet} ให้เปิดช่องทางเข้าถึงอุปกรณ์ทำงานของตัวเอง จากจุดนั้น พวกเขาค่อยๆ ไต่ระดับจากอุปกรณ์ส่วนตัว ไปสู่ระบบเครือข่ายภายใน จนถึงระบบ Deploy โค้ดของบริษัท
ทุกขั้นตอน — เงียบ อดทน และแม่นยำราวกับศัลยแพทย์
ขั้นที่ 3 — ฉีดยาพิษเข้าสู่เส้นเลือดหลัก
เมื่อเข้าถึงระบบ Deploy ได้แล้ว แฮกเกอร์ฝัง JavaScript อันตรายเข้าไปในโค้ดที่ถูกส่งผ่านโดเมนทางการของ Safe{Wallet} เอง — app.safe.global ไม่ใช่เว็บไซต์ปลอม ไม่ใช่ลิงก์แปลกๆ แต่เป็นเว็บไซต์ตัวจริงที่ถูกแทรกแซงจากภายใน
ขั้นที่ 4 — มายากลบนหน้าจอ
นี่คือจุดที่อัจฉริยะที่สุด หน้าจอ UI ของ Bybit แสดงผลการโอนเงินตามปกติทุกประการ — ที่อยู่ผู้รับถูกต้อง จำนวนเงินตรง ทุกอย่างดูดีหมด แต่เบื้องหลัง โค้ดอันตรายได้ สลับที่อยู่ผู้รับจริง ไปเป็นกระเป๋าเงินของผู้โจมตีเรียบร้อยแล้ว
เจ้าหน้าที่ของ Bybit กดอนุมัติธุรกรรมด้วยตาเปล่า ทุกอย่างถูกต้องหมด — ยกเว้นปลายทาง
Ethereum จำนวน 401,347 ETH ไหลออกจาก Bybit ไปสู่กระเป๋าเงินที่ควบคุมโดยเกาหลีเหนือ
ทั้งหมดนี้เกิดขึ้นในวันเดียว
Lazarus Group — หน่วยแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ
ชื่อ Lazarus Group ไม่ใช่ชื่อใหม่ในวงการ Cybersecurity พวกเขาคือหน่วยปฏิบัติการไซเบอร์ภายใต้สำนักข่าวกรองของเกาหลีเหนือ (Reconnaissance General Bureau) ที่ปฏิบัติการมาตั้งแต่ปี 2009
ผลงานชิ้นโบว์แดงของพวกเขา:
- 2014 — เจาะ Sony Pictures จนบริษัทเกือบล่ม ข้อมูลภาพยนตร์ที่ยังไม่ออกฉายรั่วหมด
- 2016 — ปล้นธนาคารกลางบังกลาเทศ 81 ล้านดอลลาร์ ผ่านระบบ SWIFT
- 2017 — ปล่อย WannaCry Ransomware ทำลายระบบโรงพยาบาลและองค์กรทั่วโลก
- 2022 — ปล้น Ronin Bridge (Axie Infinity) มูลค่า 625 ล้านดอลลาร์
- 2025 — Bybit Heist $1.5 พันล้านดอลลาร์ — สถิติใหม่ที่ทำลายทุกสถิติ
ทำไมเกาหลีเหนือต้องปล้นคริปโต? คำตอบง่ายมาก — เงินทุนสำหรับโครงการอาวุธนิวเคลียร์ ภายใต้มาตรการคว่ำบาตรของสหประชาชาติ คริปโตคือช่องทางหาเงินที่ตรวจสอบได้ยากที่สุด
ประเด็นสำคัญคือ Lazarus Group ไม่ได้ใช้เทคนิคที่ซับซ้อนเหนือจินตนาการ พวกเขาใช้ Social Engineering + Supply Chain Attack — สองสิ่งที่ไม่มี Firewall หรือ Antivirus ตัวไหนในโลกป้องกันได้ 100% เพราะจุดอ่อนที่แท้จริงคือ คน ไม่ใช่เครื่อง
Bybit กู้วิกฤต — 447,000 ETH ใน 72 ชั่วโมง
สิ่งที่น่าสนใจไม่แพ้การปล้นเองคือ การกู้คืน
เมื่อ Bybit ตระหนักว่าถูกขโมย ETH ไปจำนวนมหาศาล CEO Ben Zhou ประกาศทันทีว่า Bybit จะไม่ปล่อยให้ลูกค้าเสียหาย บริษัทระดมทุนฉุกเฉินจากพันธมิตรรายใหญ่ในวงการ:
- Galaxy Digital ปล่อยกู้ 100,000 ETH
- FalconX อัดฉีดสภาพคล่องเพิ่มเติม
- Wintermute เป็น OTC partner ช่วยจัดหา ETH ราคาตลาด
ภายใน 72 ชั่วโมง Bybit เติมเต็มสำรอง ETH กลับมาประมาณ 447,000 ETH — เพียงพอที่จะรับประกันว่าลูกค้าทุกคนสามารถถอนเงินได้ตามปกติ ไม่มีใครสูญเสียเงิน
แต่อย่าเข้าใจผิด — $1.5 พันล้าน ที่ถูกขโมยไปยังไม่ได้คืนมา Bybit แค่ใช้เงินของตัวเองและเงินกู้มาเติมช่องว่าง นี่คือต้นทุนที่สูงลิ่วของการที่ระบบซัพพลายเชนถูกเจาะ
