Skip to main content
ข่าวสาร

$285 ล้านหายใน 12 นาที — Drift Protocol Hack ปล้นครั้งใหญ่สุดของ 2026 ที่เกาหลีเหนืออยู่เบื้องหลัง

แฮกเกอร์เกาหลีเหนือสร้างเหรียญปลอม CarbonVote Token หลอก Oracle ของ Drift Protocol บน Solana ดูดเงินจริง $285M ใน 12 นาที — TVL ร่วง 55% โทเค็น DRIFT ดิ่ง 40%

4 เม.ย. 202611 นาทีTRM Labs
CybersecurityDeFiBlockchainHackOracle ManipulationSolana

1 เมษายน 2026 — วันโกหก ที่ไม่มีใครอยากเชื่อว่าเป็นเรื่องจริง

วันที่ 1 เมษายน 2026 — April Fools' Day

เมื่อข้อความเตือนปรากฏบน X (Twitter) ว่า Drift Protocol กำลังถูกโจมตี คนส่วนใหญ่คิดว่าเป็นมุขวันโกหก ใครจะไปคิดว่าแพลตฟอร์ม DeFi ที่ใหญ่ที่สุดบน Solana จะถูกเจาะได้จริงในวันที่ไม่มีใครเชื่ออะไรทั้งนั้น

แต่ภายใน 12 นาที — เงิน $285 ล้านดอลลาร์ หายไปจากระบบ

ไม่ใช่ภาพยนตร์ ไม่ใช่มุข ไม่ใช่ Simulation — นี่คือการปล้น DeFi ครั้งใหญ่ที่สุดของปี 2026 และเป็นเหตุการณ์ที่ใหญ่เป็นอันดับ 2 ในประวัติศาสตร์ของ Solana รองจาก Wormhole Bridge Hack มูลค่า $326 ล้านในปี 2022

และเบื้องหลัง? แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ — กลุ่มเดียวกับที่ปล้น Bybit ไป $1.5 พันล้านเมื่อต้นปี 2025

Drift Protocol คือใคร?

ก่อนจะไปเรื่องการปล้น เรามาทำความรู้จัก Drift กันก่อน

Drift Protocol ก่อตั้งในปี 2021 โดย Cindy Leow และ David Lu เป็นตลาดซื้อขาย Perpetual Futures แบบกระจายศูนย์ (Decentralized) ที่ใหญ่ที่สุดบน Solana ก่อนเกิดเหตุ Drift มีเงินฝากรวม (Total Value Locked) กว่า $550 ล้าน และมีปริมาณการซื้อขายมากกว่า $19 ล้านต่อวัน

พูดง่ายๆ คือ Drift เป็นเหมือน "ตลาดหุ้น" ของโลก DeFi บน Solana — ที่คนฝากเงิน คนเทรด และคนให้ยืมมาเจอกันโดยไม่ต้องมีตัวกลาง

Anatomy of the Hack — แผนที่วางมานานเป็นสัปดาห์

สิ่งที่ทำให้การโจมตี Drift แตกต่างจาก Hack ทั่วไปคือ — มันไม่ได้ใช้ช่องโหว่ในโค้ด ผู้ตรวจสอบความปลอดภัยจาก Trail of Bits และ ClawSecure เคย Audit โค้ดของ Drift แล้วไม่พบปัญหา

ปัญหาอยู่ที่ คน และ กระบวนการ — ไม่ใช่ซอฟต์แวร์

ขั้นที่ 1 — วางแผนล่วงหน้า 3 สัปดาห์ (11 มีนาคม)

ทุกอย่างเริ่มต้นวันที่ 11 มีนาคม 2026 เมื่อผู้โจมตีถอน 10 ETH จาก Tornado Cash — เครื่องมือปกปิดร่องรอยบนบล็อกเชน เงินจำนวนนี้เริ่มเคลื่อนไหวในวันที่ 12 มีนาคม ราวเที่ยงคืน GMT — หรือประมาณ 9 โมงเช้าตามเวลาเปียงยาง

รายละเอียดเล็กๆ นี้เองที่กลายเป็นหลักฐานสำคัญในการชี้ตัวผู้กระทำผิด

ขั้นที่ 2 — สร้างเหรียญปลอมที่ดูเหมือนจริง

ผู้โจมตีสร้างเหรียญที่เรียกว่า CarbonVote Token (CVT) — Mint ออกมา 750 ล้านหน่วย ควบคุม 80% ของอุปทาน จากนั้นใส่สภาพคล่องจำนวนน้อยมาก (แค่ประมาณ $500) บน Raydium — ตลาดแลกเปลี่ยนบน Solana

ต่อมาก็เริ่ม Wash Trading — ซื้อขายไปมาระหว่างกระเป๋าเงินของตัวเอง เพื่อสร้างประวัติราคาให้ CVT ดูเหมือนเหรียญจริงที่มีมูลค่าประมาณ $1 ต่อเหรียญ

ทำแบบนี้ต่อเนื่องเป็น สัปดาห์ จนระบบ Oracle ของ Drift — ซึ่งใช้ Switchboard ในการดึงข้อมูลราคาสินทรัพย์ — ยอมรับ CVT ว่าเป็นสินทรัพย์จริง

นี่คือหัวใจของการโจมตี: หลอก Oracle ให้เชื่อว่าของปลอมเป็นของจริง

ขั้นที่ 3 — ยึดกุญแจระบบบริหาร

ระหว่างวันที่ 23-30 มีนาคม ผู้โจมตีสร้าง Durable Nonce Accounts — ฟีเจอร์ปกติของ Solana ที่อนุญาตให้ลงนามธุรกรรมล่วงหน้าแล้วเก็บไว้ใช้ทีหลังโดยไม่หมดอายุ

จากนั้นใช้ Social Engineering — หลอกล่อสมาชิก Security Council ของ Drift ให้ลงนามอนุมัติธุรกรรมที่ดูเหมือนเป็นการอัปเดตปกติ แต่จริงๆ แล้วเป็นการ มอบอำนาจควบคุมระบบ ให้ผู้โจมตี

วันที่ 27 มีนาคม เกิดเหตุการณ์สำคัญ: Security Council ถูกย้ายไปใช้ระบบ 2/5 Multisig แบบ Zero Timelock — หมายความว่าแค่ 2 ใน 5 คนอนุมัติก็พอ และ ไม่มีระยะเวลาหน่วง ให้ตรวจสอบก่อนดำเนินการ

นั่นเท่ากับ ถอดเบรกออกจากรถ ก่อนขับลงเขา

ขั้นที่ 4 — 12 นาทีนรก (1 เมษายน)

เมื่อทุกอย่างพร้อม ผู้โจมตีเริ่มลงมือ:

  1. ลิสต์ CVT เป็นหลักประกันที่ถูกต้อง บน Drift
  2. เพิ่มวงเงินถอนเป็นจำนวนมหาศาล
  3. ฝาก CVT มูลค่า 785 ล้านโทเค็น เข้าระบบ — Oracle บอกว่ามันมีค่าหลายร้อยล้านดอลลาร์
  4. ถอนสินทรัพย์จริง — USDC, SOL, JLP, Bitcoin — ออกจากระบบด้วย 31 ธุรกรรมใน 12 นาที

สินทรัพย์ที่ถูกขโมย:

  • JLP (Jupiter Perps): ~42.7 ล้านหน่วย (มูลค่า ~$159 ล้าน)
  • Bitcoin assets (cbBTC, wBTC): มากกว่า $16 ล้าน
  • SOL, USDC, USDT: หลายสิบล้านดอลลาร์
  • รวม 15 ประเภทโทเค็น จากหลาย Vault

ทั้งหมดนี้จบภายใน 12 นาที — เร็วกว่าเวลาที่คุณใช้สั่งกาแฟและรอรับตอนเช้า

ฟอกเงินข้ามเชน — ภายในไม่กี่ชั่วโมง

หลังดูดเงินออกจาก Drift สำเร็จ ผู้โจมตีไม่ได้รอช้า:

  1. แปลงสินทรัพย์ทั้งหมดเป็น USDC ผ่านตลาดแลกเปลี่ยนบน Solana
  2. Bridge ข้ามไปยัง Ethereum ผ่าน Circle CCTP Protocol — โอน USDC มูลค่ากว่า $230 ล้านภายในไม่กี่ชั่วโมง
  3. แปลง USDC เป็น ETH บน Ethereum เพื่อเพิ่มความยากในการติดตาม

ประเด็นที่น่าตกใจคือ Circle ใช้เวลากว่า 6 ชั่วโมง ในการ Freeze USDC ที่ถูกขโมย — ช่วงเวลาที่เพียงพอให้ผู้โจมตีฟอกเงินส่วนใหญ่ข้ามเชนไปเรียบร้อยแล้ว

ผลกระทบ — แรงสั่นสะเทือนทั่ว Solana DeFi

TVL ร่วงแบบอิสระ

Total Value Locked ของ Drift ร่วงจาก $550 ล้าน → ต่ำกว่า $250 ล้าน ภายในเช้าวันเดียว — ลดลง 55% ทั้งจากเงินที่ถูกขโมยและจากนักลงทุนที่แห่ถอนเงินออกด้วยความตกใจ

โทเค็น DRIFT ดิ่ง 40%

โทเค็น $DRIFT ร่วงจาก $0.07 ลงมาเหลือ $0.044 — ร่วงกว่า 40% ภายใน 24 ชั่วโมง หลังจากที่ทีมประกาศระงับการฝากและถอนทั้งหมด

ผลกระทบลูกโซ่

มากกว่า 12 Protocol บน Solana ที่มีความเกี่ยวข้องกับ Drift ต้องหยุดดำเนินการชั่วคราว บางรายประกาศชดเชยความเสียหายให้ผู้ใช้ บางรายระงับการฝาก ถอน และยืมเงินเป็นการชั่วคราว

เกาหลีเหนือ — จาก Bybit สู่ Drift

หลักฐานที่ชี้ไปทางเปียงยาง

ทั้ง TRM Labs และ Elliptic — สองบริษัทวิเคราะห์บล็อกเชนชั้นนำของโลก — ชี้ตรงกันว่าการโจมตี Drift มีลักษณะตรงกับปฏิบัติการของแฮกเกอร์เกาหลีเหนือ:

  • เวลาปฏิบัติการ: เงินเริ่มเคลื่อนไหวเวลา 09:00 ตามเวลาเปียงยาง — ตรงกับเวลาทำงานราชการ
  • แพทเทิร์นบนเชน: พฤติกรรมการโอนเงินตรงกับปฏิบัติการ DPRK ครั้งก่อนๆ
  • วิธีการฟอกเงิน: สอดคล้องกับเทคนิคที่เกาหลีเหนือใช้มาตลอด
  • ความกล้าในการปฏิบัติการ: การ Bridge เงินจำนวนมหาศาลอย่างรวดเร็วบ่งชี้ว่าเป็นหน่วยงานรัฐที่มีทรัพยากรสนับสนุน

Elliptic ระบุว่านี่เป็น ปฏิบัติการ DPRK ครั้งที่ 18 ในปี 2026 เพียงปีเดียว — ขโมยไปแล้วมากกว่า $300 ล้าน

ภาพรวมที่ใหญ่กว่า — อุตสาหกรรมการปล้นคริปโต

ตัวเลขที่น่าสะพรึง:

  • ปี 2025: แฮกเกอร์เกาหลีเหนือขโมยคริปโตไปรวม $2 พันล้าน — คิดเป็น 59% ของคริปโตทั้งหมดที่ถูกขโมยทั่วโลก ($3.4 พันล้าน)
  • ยอดรวมตลอดกาล: มากกว่า $6.5 พันล้านดอลลาร์
  • Bybit Hack (ก.พ. 2025): $1.5 พันล้าน — ใหญ่ที่สุดในประวัติศาสตร์คริปโต
  • Drift Hack (เม.ย. 2026): $285 ล้าน — ใหญ่ที่สุดของปี 2026

เงินเหล่านี้ถูกนำไปใช้อะไร? คำตอบจากสหประชาชาติชัดเจน: โครงการอาวุธนิวเคลียร์และขีปนาวุธของเกาหลีเหนือ ภายใต้มาตรการคว่ำบาตรที่ปิดทุกช่องทางการเงินปกติ คริปโตคือ "ช่องทางหนึ่งเดียว" ที่ยังเปิดอยู่

จาก Bybit สู่ Drift — Pattern ที่ซ้ำแต่ไม่มีใครเรียนรู้

ถ้าคุณอ่านบทความ Bybit Heist ของเรา จะเห็นความคล้ายคลึงที่น่าขนลุก:

Bybit (ก.พ. 2025) Drift (เม.ย. 2026)
มูลค่า $1.5 พันล้าน $285 ล้าน
วิธีการ Supply Chain Attack ผ่าน Safe{Wallet} Oracle Manipulation + Admin Key Compromise
จุดอ่อน คนลงนามอนุมัติโดยไม่ตรวจสอบ คนลงนามล่วงหน้าโดยไม่เข้าใจสิ่งที่เซ็น
ช่องโหว่โค้ด? ไม่มี — โค้ดผ่าน Audit ไม่มี — โค้ดผ่าน Audit จาก Trail of Bits
ผู้กระทำ เกาหลีเหนือ (Lazarus Group) เกาหลีเหนือ (DPRK-linked)
หัวใจของปัญหา คน คน

สังเกตเห็นไหม? ทั้งสองครั้ง โค้ดไม่ผิด — คนผิด

ระบบ Audit ผ่านหมด ไม่มี Bug ไม่มีช่องโหว่ในซอฟต์แวร์ แต่ผู้โจมตีเลือกโจมตี ชั้นที่อ่อนแอที่สุด นั่นคือ กระบวนการอนุมัติโดยคนที่ไม่ได้ตรวจสอบสิ่งที่ตัวเองลงนาม

"Code is Law" ล้มเหลวเมื่อคนถือกุญแจกลายเป็นจุดโจมตี

5 บทเรียนสำคัญ — สำหรับทุกองค์กร ไม่ใช่แค่ DeFi

1. Timelock คือเบรกฉุกเฉินที่ห้ามถอด

Drift ลบ Timelock ออกจากระบบ Governance ก่อนเกิดเหตุ — ทำให้การเปลี่ยนแปลงสำคัญเกิดขึ้นทันทีโดยไม่มีระยะเวลาให้ตรวจสอบ

บทเรียน: ทุกระบบที่มีการอนุมัติสำคัญ (ไม่ว่าจะเป็น Smart Contract, ระบบ ERP, หรือแม้แต่การโอนเงิน) ต้องมี ระยะเวลาหน่วง ให้คนมีเวลาตรวจสอบ อย่างน้อย 24-48 ชั่วโมงสำหรับการเปลี่ยนแปลงระดับ Admin

2. Oracle ไม่ใช่พระเจ้า — ต้องมี Defense-in-Depth

Drift เชื่อราคาจาก Oracle โดยไม่มีกลไกป้องกัน ผู้โจมตีจึงสร้างเหรียญปลอมที่มีประวัติราคา "ดูดี" แล้วหลอก Oracle สำเร็จ

บทเรียน: ระบบที่พึ่งพาข้อมูลจากภายนอกต้องมี ชั้นป้องกันซ้อน — เกณฑ์สภาพคล่องขั้นต่ำ, การตรวจสอบราคาแบบถ่วงน้ำหนักตามเวลา, และ Circuit Breaker ที่หยุดระบบอัตโนมัติเมื่อตรวจพบความผิดปกติ สิ่งนี้ใช้ได้กับทุกระบบที่ดึงข้อมูลจากแหล่งภายนอก ไม่ว่าจะเป็น API ราคา, ข้อมูลตลาด, หรือแม้แต่ข้อมูลจาก Vendor

3. Multi-Sig ไม่ได้ปลอดภัยถ้าคนเซ็นไม่ตรวจสอบ

ระบบ Multisig ออกแบบมาให้ต้องมีหลายคนอนุมัติ แต่ถ้าคนเซ็นถูกหลอกให้ลงนามล่วงหน้าโดยไม่เข้าใจเนื้อหาจริง มันก็ไม่ต่างจากระบบที่มีคนเซ็นคนเดียว

บทเรียน: ทุกคนที่มีสิทธิ์อนุมัติต้อง ตรวจสอบเนื้อหาทุกครั้ง ก่อนลงนาม โดยเฉพาะธุรกรรมที่เกี่ยวกับฟังก์ชัน Admin หรือการเปลี่ยนแปลงระดับระบบ อย่าเซ็นเอกสารที่ไม่เข้าใจ — ไม่ว่าจะเป็นบนบล็อกเชนหรือในออฟฟิศ

4. Social Engineering ยังคงเป็นอาวุธที่ทรงพลังที่สุด

ทั้ง Bybit และ Drift — ไม่มี Bug ในโค้ด มีแต่ Bug ใน กระบวนการ และ คน ผู้โจมตีไม่จำเป็นต้องเก่งเขียนโปรแกรมที่สุดในโลก แค่เก่งหลอกคนก็พอ

บทเรียน: ลงทุนใน Security Awareness Training อย่างจริงจัง ไม่ใช่แค่ส่งอีเมลเตือนปีละครั้ง แต่ต้องมีการฝึกซ้อมสม่ำเสมอ มี Phishing Simulation และสร้าง Culture ที่คนกล้าตั้งคำถามเมื่อเห็นสิ่งผิดปกติ

5. ความเร็วในการตอบสนองคือทุกอย่าง

Circle ใช้เวลา 6 ชั่วโมงในการ Freeze USDC ที่ถูกขโมย — นั่นมากเกินไป ผู้โจมตีใช้เวลาน้อยกว่านั้นมากในการฟอกเงินข้ามเชน

บทเรียน: องค์กรต้องมี Incident Response Plan ที่ทดสอบแล้ว ทุกคนต้องรู้ว่าเมื่อเกิดเหตุต้องทำอะไร โทรหาใคร และมีอำนาจตัดสินใจได้เร็วแค่ไหน ทุก "นาที" ที่ช้าไปคือเงินที่หายไป

สิ่งที่ธุรกิจไทยและนักลงทุนควรรู้

สำหรับนักลงทุนคริปโต

  • อย่าฝากเงินทั้งหมดไว้ใน Protocol เดียว — Diversify ทั้งแพลตฟอร์มและเชน
  • ตรวจสอบ Governance Model ก่อนลงทุน — Protocol ที่ใช้ Zero Timelock กำลังบอกว่า "เราไม่มีเบรก"
  • ติดตามข่าว On-chain Security อย่างสม่ำเสมอ เหตุการณ์แบบนี้จะเกิดขึ้นอีก

สำหรับธุรกิจที่ใช้ระบบดิจิทัล

การโจมตี Drift ไม่ใช่เรื่องเฉพาะโลกคริปโต — หลักการเดียวกันใช้ได้กับทุกองค์กร:

  • Oracle Manipulation = ข้อมูลจาก Vendor/API ที่คุณเชื่อโดยไม่ตรวจสอบ
  • Admin Key Compromise = บัญชี Admin ที่ถูก Phishing
  • Zero Timelock = ระบบอนุมัติที่ไม่มีขั้นตอน Review
  • Social Engineering = อีเมลหลอกที่ดูเหมือนมาจาก CEO

ถ้าองค์กรของคุณมีระบบ ERP, ระบบ Cloud, หรือแม้แต่ระบบอนุมัติงบประมาณ — คุณก็เป็นเป้าหมายได้เช่นกัน

DeFi Security ในปี 2026 — สถานการณ์ที่น่าห่วง

แม้สถิติ Q1 2026 จะดูดีขึ้น — แฮกเกอร์ขโมยจาก DeFi Protocol ไป $168.6 ล้าน จาก 34 Protocol (ลดลง 89% จากช่วงเดียวกันของปีก่อน) — แต่เหตุการณ์ Drift ในเดือนเมษายนเพียงครั้งเดียวก็ ทำลายตัวเลขทั้ง Quarter ทันที

สิ่งที่เปลี่ยนไปคือ ขนาดของการโจมตี — แฮกเกอร์ไม่ต้องการโจมตีหลายครั้ง แค่ครั้งเดียวที่ใหญ่พอก็เพียงพอ

และเกาหลีเหนือกำลังพิสูจน์ว่า พวกเขาทำได้ซ้ำแล้วซ้ำเล่า — Bybit, Drift, และอีกหลายเป้าหมายที่ยังไม่ได้เปิดเผย

สรุป

$285 ล้านหายไปใน 12 นาที — ไม่ใช่เพราะโค้ดมี Bug แต่เพราะ กระบวนการ มีช่องโหว่

Drift Protocol Hack สอนเราว่า:

  • Security Audit ไม่เพียงพอ ถ้ากระบวนการอนุมัติยังอ่อนแอ
  • Timelock ไม่ใช่ Option แต่เป็น Requirement
  • คนคือจุดอ่อนที่ใหญ่ที่สุด — และการ Training คือการลงทุนที่คุ้มค่าที่สุด
  • แฮกเกอร์ระดับรัฐ ไม่ได้โจมตีแค่บริษัทใหญ่ Protocol ขนาดกลางก็ตกเป็นเป้าหมายได้

คำถามเดิมที่เราเคยถามตอน Bybit ยังคงใช้ได้: "เมื่อถูกโจมตี องค์กรของคุณพร้อมแค่ไหน?"

ทีม Enersys มีประสบการณ์ในการออกแบบระบบรักษาความปลอดภัย ตั้งแต่การประเมินความเสี่ยง การวาง Architecture ที่มีชั้นป้องกันซ้อน ไปจนถึงการสร้างแผนรับมือเหตุการณ์วิกฤต ถ้าคุณยังไม่มั่นใจว่าระบบของคุณปลอดภัยพอ — คุยกับเราก่อนที่จะสาย

ติดต่อทีม Enersys

แหล่งข้อมูล

ลิงก์ที่เกี่ยวข้อง

Genesis AI Platform

ลองใช้ AI Platform สำหรับองค์กร

AI Readiness Assessment

องค์กรคุณพร้อมสำหรับ AI แค่ไหน?

อ่านบทความเพิ่มเติม

ติดตามข่าวสาร AI และ Tech

กลับไปหน้า Insights

บทความที่เกี่ยวข้อง

Microsoft เปิดตัว MAI Models — สร้าง AI Stack ของตัวเอง ลดการพึ่งพา OpenAI

Microsoft ปล่อย 3 โมเดล AI ที่พัฒนาเอง — MAI-Transcribe-1, MAI-Voice-1 และ MAI-Image-2 ผ่านทีม MAI Superintelligence ของ Mustafa Suleyman พร้อมลงทุน $10B ในญี่ปุ่น สัญญาณชัดว่ากำลังสร้าง AI stack ครบวงจร

Google เปิดตัว Gemma 4 — โมเดล AI เปิดระดับ Frontier รัน On-Device ได้ ภายใต้ Apache 2.0

Google ปล่อย Gemma 4 ตระกูลโมเดลเปิด 4 ขนาด (E2B–31B) รองรับ 140+ ภาษา multimodal ครบ text/image/audio — 31B ติด #3 โลกบน Arena AI, เปลี่ยนไลเซนส์เป็น Apache 2.0 พร้อม AICore Developer Preview สำหรับ Android

กฎหมาย AI และกฎแพลตฟอร์มดิจิทัลของไทย — บังคับใช้แล้ว มีนาคม 2026 สิ่งที่ธุรกิจต้องทำ "ตอนนี้"

พ.ร.บ. ปัญญาประดิษฐ์มีผลบังคับใช้ 1 มี.ค. 2026 ร่างพระราชกฤษฎีกา AI ความเสี่ยงสูงเปิดรับฟังความคิดเห็นแล้ว TCCT ออกแนวปฏิบัติกำกับแพลตฟอร์ม 25 มี.ค. 2026 — รวมทุกสิ่งที่องค์กรไทยต้องรู้และต้องทำทันที

"Empowering Innovation,
Transforming Futures."

ติดต่อเราเพื่อทำให้โปรเจกต์ของคุณเป็นจริง