นักคริปโต ต้องอ่าน กลุ่มแฮ็กเกอร์ซึ่งเชื่อว่าทำงานให้กับรัฐบาลเกาหลีเหนือ แฮ็กและฟอกเงินคริปโต แล้วการถอนเงินครั้งล่าสุดนี้ (อย่างน้อย 300 ล้านดอลลาร์สหรัฐ ) พวกเขาทำกันอย่างไร

แฮ็กเกอร์เกาหลีเหนือถอนเงินหลายร้อยล้านดอลลาร์จากการแฮ็ก ByBit ได้อย่างไร

10 มีนาคม 2025
บีบีซีไทย

กลุ่มแฮ็กเกอร์ซึ่งเชื่อว่าทำงานให้กับรัฐบาลเกาหลีเหนือ ประสบความสำเร็จในการถอนเงินอย่างน้อย 300 ล้านดอลลาร์สหรัฐ (ประมาณ 1 พันล้านบาท) จากการโจมตีครั้งใหญ่ที่สุดเป็นประวัติการณ์ในวงการคริปโต มูลค่ารวมถึง 1.5 พันล้านดอลลาร์สหรัฐ (ราว 5 หมื่นล้านบาท)

กลุ่มแฮ็กเกอร์นี้คือ "ลาซารัส กรุ๊ป" (Lazarus Group) ซึ่งขโมยสกุลเงินดิจิทัลครั้งใหญ่จากแพลตฟอร์มซื้อขายคริปโตบายบิท (ByBit) เมื่อสองสัปดาห์ที่ผ่านมา

นับตั้งแต่เกิดเหตุการณ์ การติดตามและป้องกันไม่ให้กลุ่มแฮ็กเกอร์กลุ่มสามารถเปลี่ยนเหรียญคริปโตฯ เป็นเงินสดจริงได้กลายเป็นเกมแมวจับหนู

ผู้เชี่ยวชาญชี้ว่าแฮ็กเกอร์กลุ่มนี้ทำงานกันเกือบ 24 ชั่วโมงต่อวัน เพื่อนำเงินที่ขโมยมาไปสนับสนุนการพัฒนาทางทหารของเกาหลีเหนือ

ดร.ทอม โรบินสัน ผู้ร่วมก่อตั้ง Elliptic บริษัทวิเคราะห์ด้านคริปโตฯ กล่าวว่า "ทุกนาทีมีค่าอย่างยิ่งสำหรับแฮ็กเกอร์ที่พยายามสร้างความสับสนให้กับร่องรอยเส้นทางการเงิน พวกเขามีเทคนิคที่ซับซ้อนมากในการดำเนินการนี้"

เขายังเสริมอีกว่า จากกลุ่มอาชญากรทางไซเบอร์ทั้งหมดทั่วโลก เกาหลีเหนือคือประเทศที่มีความเชี่ยวชาญมากที่สุดในการฟอกเงินคริปโต โดยมีการทำงานกันเป็นทีม ใช้เครื่องมืออัตโนมัติ และทำงานเป็นกะตลอด 24 ชั่วโมง

"ผมจินตนาการว่า พวกเขามีคนทั้งห้องเพื่อทำสิ่งนี้โดยใช้เครื่องมืออัตโนมัติและประสบการณ์หลายปี นอกจากนี้ เรายังเห็นจากกิจกรรมของพวกเขาที่ใช้เวลาพักเพียงไม่กี่ชั่วโมงในแต่ละวัน โดยอาจทำงานเป็นกะเพื่อเปลี่ยนสกุลเงินดิจิทัลเป็นเงินสด"

ผลวิเคราะห์จาก Elliptic สอดคล้องกับข้อมูลจาก ByBit ที่ระบุว่าขณะนี้ 20% ของเงินที่ถูกแฮ็กได้ "หายเข้ากลีบเมฆ" ไปแล้ว และอาจไม่สามารถกู้คืนได้

สหรัฐฯ และชาติพันธมิตรกล่าวหาว่า เกาหลีเหนือทำการแฮ็กหลายสิบครั้งในช่วงไม่กี่ปีที่ผ่านมา เพื่อนำเงินมาสนับสนุนโครงการพัฒนานิวเคลียร์และการทหารของรัฐบาล

การแฮ็กครั้งล่าสุดเมื่อวันที่ 21 ก.พ. กลุ่มแฮ็กเกอร์ได้โจมตีซัพพลายเออร์ของ ByBit โดยเปลี่ยนที่อยู่กระเป๋าเงินดิจิทัลอย่างลับ ๆ ทำให้เงินดิจิทัลสกุลอีเธอร์เรียม (Ethereum) จำนวน 401,000 เหรียญ

ByBit มองว่าการโอนคริปโตฯ ครั้งนี้เป็นการโอนเข้ากระเป๋าเงินดิจิทัลของตัวเอง ทว่ามันกลับถูกโอนไปยังกระเป๋าของแฮ็กเกอร์แทน

ซีอีโอของ ByBit อย่าง เบน โจว หวังว่าจะสามารถตามคืนเหรียญส่วนหนึ่งที่ถูกขโมยกลับมาให้ได้

เบน โจว ซีอีโอของ ByBit ยืนยันว่า ลูกค้าจะไม่สูญเสียเงินใด ๆ เนื่องจากบริษัทได้ชดเชยเงินที่ถูกขโมยด้วยการกู้ยืมจากนักลงทุน แต่ประกาศชัดเจนว่าบริษัทกำลัง "ทำสงครามกับกลุ่มลาซารัส"

ByBit ได้ประกาศรางวัลนำจับ โดยเชิญชวนให้คนทั่วไปช่วยติดตามและสกัดกั้นเงินที่ถูกขโมย

เนื่องจากธุรกรรมคริปโตทั้งหมดจะถูกแสดงบนบล็อกเชนสาธารณะ จึงสามารถตรวจสอบการเคลื่อนไหวของเงินได้อย่างต่อเนื่อง

หากแฮ็กเกอร์พยายามเปลี่ยนเหรียญที่ขโมยมาผ่านแพลตฟอร์มคริปโตหลัก ๆ เพื่อนำไปแลกเป็นเงินสด เช่น เงินดอลลาร์สหรัฐ บริษัทคริปโตฯ เหล่านั้นสามารถสั่งอายัดเงินไว้ได้ทันที หากสงสัยว่าเงินมีความเกี่ยวข้องกับอาชญากรรม

จนถึงขณะนี้มีผู้ได้รับรางวัลรวมกันแล้วกว่า 4 ล้านดอลลาร์สหรัฐ จากการที่ช่วยระบุเงินที่ถูกขโมยได้ประมาณ 40 ล้านดอลลาร์สหรัฐ และแจ้งเตือนให้บริษัทคริปโตสกัดกั้นการโอนเงินได้สำเร็จ

อย่างไรก็ตาม ผู้เชี่ยวชาญยังมองว่าความหวังในการกู้เงินที่เหลือคืนนั้นค่อนข้างริบหรี่ เนื่องจากเกาหลีเหนือมีความเชี่ยวชาญสูงมากในการแฮ็กและฟอกเงินคริปโต

ดร.โดริท ดอร์ จากบริษัทความมั่นคงทางไซเบอร์ Check Point กล่าวว่า "เกาหลีเหนือมีระบบเศรษฐกิจและสังคมที่ปิดตัวเองจากภายนอก พวกเขาจึงสามารถสร้างอุตสาหกรรมการแฮ็กและการฟอกเงินขึ้นมาอย่างประสบความสำเร็จ โดยไม่ได้ใส่ใจเลยว่าการก่ออาชญากรรมไซเบอร์จะทำลายภาพลักษณ์ของประเทศแค่ไหน"

อีกปัญหาหนึ่งคือ ไม่ใช่ทุกบริษัทคริปโตฯ จะให้ความร่วมมือในการสกัดกั้นการฟอกเงิน

แพลตฟอร์มแลกเปลี่ยนคริปโต eXch ถูก ByBit และบริษัทอื่น ๆ กล่าวหาว่าไม่ยอมหยุดยั้งแฮ็กเกอร์จากการถอนเงินสดออกไป โดยมีเงินมากกว่า 90 ล้านดอลลาร์สหรัฐ ถูกโอนผ่านแพลตฟอร์มนี้ได้สำเร็จ

อย่างไรก็ตาม โยฮันน์ โรเบิร์ตส์ เจ้าของ eXch ซึ่งหาตัวได้ยากได้ปฏิเสธข้อกล่าวหาดังกล่าวผ่านทางอีเมล

เขายอมรับว่าในช่วงแรกบริษัทของเขาไม่ได้ระงับธุรกรรมที่เกี่ยวข้อง เนื่องจากมีข้อพิพาทกับ ByBit ที่ดำเนินมานาน อีกทั้งทีมงานของเขายังไม่มั่นใจว่าเหรียญคริปโตฯ ดังกล่าวมาจากการแฮ็กจริงหรือไม่

โรเบิร์ตส์กล่าวว่า ขณะนี้บริษัทของเขาให้ความร่วมมือแล้ว แต่ได้ตั้งข้อสังเกตว่า บริษัทคริปโตฯ กระแสหลักที่บังคับให้ลูกค้าต้องเปิดเผยตัวตน กำลังทำลายจุดเด่นของสกุลเงินดิจิทัลที่ควรให้ความสำคัญกับความเป็นส่วนตัวและการไม่ระบุตัวตน

พัค จิน-ฮยอก เป็นหนึ่งในแฮ็กเกอร์ที่ถูกกล่าวหาว่าเป็นสมาชิกของกลุ่มลาซารัส

เกาหลีเหนือไม่เคยยอมรับว่าเกี่ยวข้องกับกลุ่มลาซารัส แต่หลายฝ่ายเชื่อว่าเกาหลีเหนือเป็นประเทศเดียวในโลกที่ใช้ความสามารถด้านการแฮ็กเพื่อหารายได้เข้าสู่ประเทศ

ก่อนหน้านี้กลุ่มแฮ็กเกอร์ลาซารัสจะมีเป้าหมายไปที่ธนาคาร แต่ในช่วง 5 ปีที่ผ่านมา พวกเขากันมาเชี่ยวชาญการแฮ็กบริษัทคริปโตฯ แทน

ส่วนหนึ่งเป็นเพราะอุตสาหกรรมนี้มีกระบวนการป้องกันน้อยกว่า เปิดช่องให้เกิดการฟอกเงินได้ง่ายกว่า

ตัวอย่างการแฮ็กครั้งสำคัญก่อนหน้านี้ของกลุ่มลาซารัส ได้แก่:
ปี 2019 แฮ็กแพลตฟอร์ม UpBit สูญเงินไป 41 ล้านดอลลาร์สหรัฐ
ปี 2020 แฮ็กแพลตฟอร์ม KuCoin สูญเงินไป 275 ล้านดอลลาร์สหรัฐ (สามารถกู้คืนได้ส่วนใหญ่)
ปี 2022 แฮ็ก Ronin Bridge ขโมยเงินไปถึง 600 ล้านดอลลาร์สหรัฐ
ปี 2023 แฮ็ก Atomic Wallet สูญเงินประมาณ 100 ล้านดอลลาร์สหรัฐ

รัฐบาลสหรัฐฯ เคยประกาศรายชื่อบุคคลที่เกี่ยวข้องกับกลุ่มลาซารัสให้อยู่ในรายชื่ออาชญากรไซเบอร์ที่ต้องการตัวมากที่สุด (Cyber Most Wanted) ตั้งแต่ปี 2020 แต่มีโอกาสน้อยมากที่บุคคลเหล่านี้จะถูกจับกุม เว้นแต่พวกเขาจะออกจากเกาหลีเหนือ

https://www.bbc.com/thai/articles/cgkmzep432zo