เมื่อการโจรกรรมสินทรัพย์ดิจิทัลไม่ใช่แค่อาชญากรรมไซเบอร์อีกต่อไป แต่กลายเป็นกลไกสร้างรายได้หลักของรัฐเผด็จการที่ถูกคว่ำบาตร รายงานล่าสุดจาก CertiK เปิดเผยว่าแฮกเกอร์ที่เชื่อมโยงกับเปียงยางคร่าเงินจากโลกคริปโตไปกว่า 2.06 พันล้านดอลลาร์ในปี 2568 หรือคิดเป็น 60% ของมูลค่าที่สูญหายทั้งหมด 3.4 พันล้านดอลลาร์ตลอดทั้งปี ขณะที่กลยุทธ์การโจมตีกำลังยกระดับการโจมตีจากฟิชชิงออนไลน์ไปสู่การแทรกซึมทางกายภาพในองค์กรเป้าหมาย ซึ่งนักวิเคราะห์ระบุว่ารายได้เหล่านี้ถูกนำไปหล่อเลี้ยงโครงการอาวุธนิวเคลียร์และขีปนาวุธพิสัยไกลโดยตรง
รายงาน Skynet อ้างอิงถึงข้อมูลฉบับใหม่ของ CertiK ที่เผยแพร่เมื่อวันอังคารและได้รับการเผยแพร่ผ่านทาง Cointelegraph เป็นรายแรก ระบุว่าในปี 2568 มีเหตุการณ์ละเมิดความปลอดภัยในโลกคริปโตทั้งสิ้น 656 ครั้ง โดยกลุ่มแฮกเกอร์ที่ผูกพันกับสาธารณรัฐประชาธิปไตยประชาชนเกาหลี หรือ DPRK อยู่เบื้องหลังเพียง 79 ครั้ง แต่สร้างความเสียหายสูงถึงถึง 2.06 พันล้านดอลลาร์จากยอดรวม 3.4 พันล้านดอลลาร์ สัดส่วนที่น่าตกใจนี้สะท้อนให้เห็นว่าปฏิบัติการของเกาหลีเหนือไม่ได้เน้นปริมาณ แต่เจาะจงเป้าหมายที่มีมูลค่าสูงด้วยความแม่นยำระดับรัฐ
หากย้อนดูภาพรวมในระยะยาว รายงานอ้างอิงข้อมูลของ เทย์เลอร์ โมนาฮาน นักวิจัยอิสระด้าน onchain พบว่าระหว่างปี 2559 ถึงต้นปี 2569 กลุ่มที่เชื่อมโยงกับ DPRK ขโมยสกุลเงินดิจิทัลไปแล้วรวมมูลค่าประมาณ 6.75 พันล้านดอลลาร์ใน 263 เหตุการณ์ที่มีการบันทึก ตัวเลขดังกล่าวสะท้อนถึงการ "ทำให้เป็นอุตสาหกรรม" ของการโจรกรรมคริปโต ซึ่ง CertiK ระบุว่ากลายเป็นกลไกสร้างรายได้หลักของรัฐไปแล้ว โดยเม็ดเงินจากการขโมยสินทรัพย์ดิจิทัลถือเป็นสัดส่วนที่มีนัยสำคัญต่อรายได้ต่างประเทศของระบอบเกาหลีเหนือ
แผนการณ์จาก "ฟิชชิง" สู่ "แทรกซึมเชิงกายภาพ"
CertiK วิเคราะห์ว่าในปี 2568 กลุ่ม DPRK อยู่เบื้องหลังความเสียหายราว 60% ของมูลค่าทั้งหมด แต่รับผิดชอบเพียง 12% ของจำนวนครั้งทั้งหมด ซึ่ง CertiK อธิบายว่าสะท้อนถึง "ความแม่นยำและขนาด" ในการปฏิบัติการ ต่างจากแฮกเกอร์ทั่วไปที่กระจายการโจมตีเป็นจำนวนมากแต่ได้มูลค่าต่อครั้งต่ำกว่า
เหตุการณ์ที่ใหญ่ที่สุดในปีนี้คือการโจมตี Bybit ในเดือนกุมภาพันธ์ 2568 ซึ่งก่อความเสียหายประมาณ 1.5 พันล้านดอลลาร์ โดยรายงานระบุว่าเป็นผลงานของกลุ่ม TraderTraitor ผ่านการเจาะระบบ supply chain ของผู้ให้บริการ signing รายที่สาม จากการวิเคราะห์ onchain ของ CertiK พบว่าภายในหนึ่งเดือนหลังการโจมตี อีเธอร์ที่ถูกขโมยราว 86% ถูกแปลงเป็นบิทคอยน์ผ่านบริการ mixing, cross-chain bridge, decentralized exchange และนายหน้าแบบ over-the-counter เพื่อปกปิดร่องรอยการเคลื่อนย้ายเงิน
ในแง่ของวิธีการโจมตี รายงานเปิดเผยว่า social engineering ยังคงเป็นเวกเตอร์โจมตีเริ่มต้นที่โดดเด่นที่สุด ไม่ว่าจะเป็นการส่งข้อเสนองานปลอม การปลอมตัวเป็นนักลงทุน หรือการฝังโค้ดอันตรายในที่เก็บโค้ด โดย CertiK ยกกรณี Ronin Bridge ปี 2565 เป็นตัวอย่าง ซึ่งเกิดจากการโจมตีแบบ spearphishing ที่แอบอ้างเป็น recruiter บน LinkedIn พร้อมแนบ PDF ที่มีมัลแวร์ฝังอยู่
แต่พัฒนาการล่าสุดที่น่าวิตกกังวลกว่าคือสิ่งที่ CertiK เรียกว่า "การแทรกซึมเชิงกายภาพ" ซึ่งกรณีศึกษาคือเหตุการณ์ Drift Protocol เมื่อเดือนเมษายน 2569 ซึ่งมีเงินรั่วไหลจากแพลตฟอร์มบน Solana ไปกว่า 285 ล้านดอลลาร์ ที่น่าสะพรึงยิ่งกว่าตัวเลขคือวิธีการ เพราะปฏิบัติการนี้ใช้เวลานานถึง 6 เดือน โดยเจ้าหน้าที่ฝ่ายเกาหลีเหนือเข้าร่วมงานประชุมวงการคริปโต สร้างความสัมพันธ์กับบุคคลภายในองค์กร และใช้ช่องทางกลไก governance เพื่อจัดการระบบจากภายใน
ด้าน โจนาธาน ริส นักวิเคราะห์ด้าน blockchain intelligence ของ CertiK กล่าวกับ Cointelegraph ว่าปฏิบัติการที่เชื่อมโยงกับ DPRK ในปัจจุบันผสมผสาน tradecraft ของหน่วยข่าวกรองเข้ากับการเจาะระบบทางเทคนิค พร้อมเตือนว่าแรงงานด้านไอทีและตัวแทนของเกาหลีเหนือสามารถแทรกซึมเข้าทำงานในบริษัทคริปโตและ fintech ของตะวันตกได้ภายใต้ตัวตนปลอม ซึ่งทำให้พวกเขาได้รับความไว้วางใจในระดับที่เพียงพอต่อการปฏิบัติการ
ภัยคุกคามระดับความมั่นคงระหว่างประเทศ
รายงานของ CertiK อ้างอิงการประเมินของคณะผู้ตรวจสอบแห่งสหประชาชาติและหน่วยข่าวกรองสหรัฐฯ ซึ่งยืนยันว่ารายได้จากการโจรกรรมคริปโตถูกนำไปสนับสนุนโครงการนิวเคลียร์และขีปนาวุธพิสัยไกลของเกาหลีเหนือโดยตรง ข้อเท็จจริงนี้ยกระดับปัญหาจากแค่ความท้าทายด้านความปลอดภัยไซเบอร์ ไปสู่ประเด็นความมั่นคงระหว่างประเทศที่ต้องการการรับมือในระดับรัฐบาลและองค์กรระหว่างประเทศอย่างเร่งด่วน
