กรณีเจาะระบบ Kelp DAO เมื่อ 18 เมษายน 2568 กลายเป็นแผลสดที่สุดของวงการ DeFi ในรอบปี เงินรวม 292 ล้านดอลลาร์ถูกฉกหายจาก rsETH pool ภายในชั่วข้ามคืน ก่อนที่ LayerZero จะออกมาระบุว่ากลุ่ม Lazarus ของเกาหลีเหนือคือผู้อยู่เบื้องหลังการโจมตีครั้งนี้ พร้อมเผยจุดบอดสำคัญที่เปิดช่องให้แฮกเกอร์ฝ่าแนวป้องกันได้อย่างเฉียบขาด นั่นคือการที่ Kelp DAO เลือกใช้ระบบยืนยันธุรกรรมแบบ 1-of-1 DVN ทั้งที่ถูกเตือนซ้ำแล้วซ้ำเล่าว่าอันตราย คำถามคือ ความเสียหายครั้งนี้จะเขียนบทบาทของ Lazarus ในโลก DeFi ใหม่อย่างไร?
ย้อนกลับไปวันที่ 18 เมษายน 2568 ระบบ rsETH pool ของ Kelp DAO บน LayerZero ถูกเจาะเสียหายประมาณ 292 ล้านดอลลาร์ นับเป็นการโจมตี DeFi ที่มีมูลค่าความเสียหายสูงสุดของปี 2568 จนถึงปัจจุบัน และส่งแรงกระเพื่อมต่อทั้งภาคส่วน โดย Total Value Locked (TVL) ใน DeFi ร่วงลง 7% ภายใน 24 ชั่วโมง สู่ระดับ 85,000 ล้านดอลลาร์ ตามข้อมูลจาก DefiLlama
LayerZero ได้ออกรายงานระบุว่า Lazarus Group ขององค์กรข่าวกรองเกาหลีเหนือคือผู้ก่อเหตุ "ที่มีความเป็นไปได้สูง" แม้ยังไม่ใช่ข้อสรุปที่ยืนยันอย่างเป็นทางการ แต่น้ำหนักหลักฐานมากพอที่ LayerZero จะประสานงานกับหน่วยงานบังคับใช้กฎหมายระดับนานาชาติในการตามรอยเงินอย่างจริงจัง
กลไกการโจมตี เขี้ยวเล็บวิศวกรรมแห่งความหายนะ
กระบวนการโจมตีครั้งนี้ไม่ใช่การบุกรุกแบบฉาบฉวย หากแต่เป็นปฏิบัติการหลายขั้นตอนที่ซับซ้อนและแม่นยำอย่างน่าสะพรึง
ผู้โจมตีเริ่มจากการวางยาในระบบโครงสร้างพื้นฐาน RPC (Remote Procedure Call) ที่ทำหน้าที่ป้อนข้อมูลให้กับเครือข่ายผู้ตรวจสอบแบบกระจายศูนย์ (DVN) ของ LayerZero จากนั้นจึงเปิดฉากโจมตีแบบ DDoS เพื่อบังคับให้ระบบ Failover ไปยัง Backup Node ที่ถูกปลอมแปลงเอาไว้ล่วงหน้า
เมื่อเครือข่าย DVN ถูกเบี่ยงทิศทางสำเร็จ ระบบก็ยืนยันธุรกรรม Cross-Chain ที่ปลอมขึ้นมา และเงิน 292 ล้านดอลลาร์ใน rsETH ก็ถูกดูดออกจาก Pool ของ Kelp DAO ก่อนที่ระบบจะตรวจพบความผิดปกติ
จุดล้มเหลวเดียวที่สั่นคลอนทุกอย่าง
สาเหตุที่การโจมตีสำเร็จอย่างราบรื่นเช่นนี้มีคำอธิบายเดียวที่ชัดเจน: Kelp DAO ใช้การตั้งค่า DVN แบบ 1-of-1 หมายความว่า มีโหนดผู้ตรวจสอบเพียงตัวเดียวที่ทำหน้าที่เป็นด่านสุดท้ายปกป้องโปรโตคอลทั้งหมด
LayerZero ระบุในรายงานการสอบสวนว่าได้แจ้งเตือน Kelp DAO หลายครั้งว่าสถาปัตยกรรมเช่นนี้ไม่เพียงพอ และแนะนำให้เปลี่ยนไปใช้ระบบ Multi-DVN ที่สอดคล้องกับมาตรฐานอุตสาหกรรม แต่ Kelp DAO ไม่ได้ดำเนินการใดๆ ตามข้อเสนอแนะเหล่านั้น
หากเป็นระบบ Multi-DVN ผู้โจมตีจะต้องเจาะโหนดผู้ตรวจสอบหลายตัวที่ทำงานอิสระจากกันพร้อมกัน ซึ่งยากกว่าอย่างเทียบไม่ได้ แต่การตั้งค่าแบบ 1-of-1 กลับทลายกำแพงกั้นนั้นลงโดยสิ้นเชิง
เดวิด ชวาร์ตซ์ (David Schwartz) ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Ripple แสดงความเห็นผ่านทาง X ว่า "การโจมตีครั้งนี้ซับซ้อนกว่าที่คาดไว้มาก และมุ่งเป้าที่โครงสร้างพื้นฐาน LayerZero โดยอาศัยความสะเพร่าของ KelpDAO"
ด้าน LayerZero รีบสั่งปลดระวางโหนด RPC ที่ได้รับผลกระทบทั้งหมดทันทีหลังเกิดเหตุ และฟื้นฟูการทำงานของ DVN ได้สำเร็จโดยไม่ลุกลามสู่โปรโตคอลอื่นที่ใช้โครงสร้างพื้นฐานเดียวกัน ไม่มีโค้ดของ LayerZero ถูกแก้ไข ไม่มีคีย์ส่วนตัวรั่วไหล ความล้มเหลวอยู่ที่ระดับสถาปัตยกรรม ไม่ใช่ที่รากฐานของโปรโตคอล ซึ่งเป็นความแตกต่างที่สำคัญอย่างยิ่งต่อความน่าเชื่อถือของ LayerZero แต่ก็ไม่ได้ช่วยดึงเงิน 292 ล้านดอลลาร์กลับคืนมาได้แต่อย่างใด
Lazarus Group องค์กรภัยคุกคามที่มีขนาดใหญ่ที่สุดในโลก
การที่ LayerZero ระบุชื่อ Lazarus Group แม้จะเป็นในเชิงความเป็นไปได้ ไม่ใช่แค่การตั้งสมมติฐาน แต่สอดคล้องกับรูปแบบที่เห็นซ้ำแล้วซ้ำเล่าและกำลังทวีความรุนแรงขึ้นเรื่อยๆ
การวิเคราะห์ทางนิติวิทยาศาสตร์ระยะแรกได้ระบุถึงกลุ่มย่อย TraderTraitor ซึ่งเป็นหน่วยปฏิบัติการที่เชื่อมโยงกับ Lazarus เป็นที่รู้จักกันดี ก่อนหน้านี้ Lazarus ถูกโยงเข้ากับการโจรกรรมคริปโตครั้งใหญ่ที่สุดในประวัติศาสตร์ รวมถึงการเจาะ Ronin Network มูลค่า 625 ล้านดอลลาร์ในปี 2565 และการโจมตีโปรโตคอล DeFi อีกหลายรายการที่สะสมเงินเข้าโครงการอาวุธของเกาหลีเหนือรวมแล้วนับพันล้านดอลลาร์ ตามการประเมินของกระทรวงการคลังสหรัฐอเมริกาและสหประชาชาติ
นอกจากนี้ ปฏิบัติการของเกาหลีเหนือในโลกคริปโตยังไม่ได้จำกัดแค่การเจาะระบบโดยตรง ระบอบดังกล่าวยังส่งเจ้าหน้าที่แฝงตัวเข้าทำงานในบริษัท Web3 ภายใต้ตัวตนปลอม ซึ่งเป็นแนวรบขนานที่ขยายพื้นที่เสี่ยงออกไปไกลกว่าแค่การโจมตีโครงสร้างพื้นฐาน
บทสรุปที่ DeFi ทั้งอุตสาหกรรมต้องฟัง
โปรโตคอล Cross-Chain คือเป้าหมายที่ดึงดูดกลุ่มผู้ก่อภัยคุกคามระดับนี้เป็นพิเศษ เพราะพวกมันนั่งอยู่บนจุดเชื่อมต่อสำคัญระหว่างหลาย Blockchain มักรวมสภาพคล่องมูลค่ามหาศาลที่สูงกว่าแอปพลิเคชันเดี่ยวๆ อย่างเทียบไม่ได้ และความปลอดภัยของพวกมันก็ขึ้นอยู่กับเครือข่าย Verifier ที่อาจกลายเป็นจุดล้มเหลวจุดเดียวเมื่อตั้งค่าผิดพลาด
ยุทธวิธี RPC Poisoning เพื่อโจมตีเครือข่าย Verifier ถือเป็นการยกระดับใหม่ที่ไม่เคยมีการบันทึกในรูปแบบนี้มาก่อน นักวิจัยด้านความปลอดภัยชี้ว่า บัดนี้มันถูกจัดทำเป็นเอกสาร ซึ่งหมายความว่ามันสามารถถูกนำไปใช้ซ้ำได้
อย่างไรก็ตามสำหรับ Kelp DAO บทเรียนมูลค่า 292 ล้านดอลลาร์นี้อาจสายเกินไปแล้ว แต่สำหรับโปรโตคอลอื่นในระบบนิเวศ DeFi คำถามไม่ใช่ว่า "จะเกิดขึ้นอีกหรือไม่" แต่คือ "ใครจะเป็นเป้าหมายถัดไป"
