CertiK ออกรายงาน Skynet DPRK Crypto Threats Report ว่าด้วยภัยคุกคามคริปโตจากกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ . ตัวเลขที่น่าตกใจคือ ตั้งแต่ปี 2016 ถึงต้นปี 2026 กลุ่ม DPRK-linked actors ถูกประเมินว่าขโมยคริปโตไปแล้วประมาณ 6.75 พันล้านดอลลาร์ จาก 263 เหตุการณ์ . แต่ประเด็นที่น่ากลัวกว่าคือ พวกเขาไม่ได้โจมตีบ่อยที่สุด แต่โจมตีทีเดียวแล้วเสียหายหนักมาก . ปี 2025 กลุ่มเหล่านี้คิดเป็นแค่ 12% ของจำนวนเหตุการณ์ทั้งหมด แต่คิดเป็นประมาณ **60% ของมูลค่าที่ถูกขโมยทั้งหมด** . และปี 2026 แนวโน้มยังไม่หยุด แค่ช่วงต้นปี DPRK-linked activity คิดเป็นราว 55% ของความเสียหายคริปโตทั่วโลก . สิ่งที่รายงานนี้ชี้ชัดคือ การโจมตีส่วนใหญ่ไม่ได้เริ่มจาก smart contract . แต่มักเริ่มจาก “คน” . fake job offer หลอกเป็น VC phishing repo ปลอม สัมภาษณ์งานปลอม หรือแม้แต่แทรกซึมเข้ามาเป็น IT worker ในทีมโปรเจกต์ . เคส Ronin เริ่มจาก fake LinkedIn job offer Bybit ไม่ได้ถูกเจาะ smart contract แต่ถูกโจมตีผ่าน supply chain และ UI ที่คนเซ็นธุรกรรมเชื่อว่าเป็นของจริง ส่วน Drift ถูกอธิบายว่าเป็นปฏิบัติการที่ใช้เวลานานหลายเดือน มีทั้ง physical social engineering และการแทรกซึมเชิงความสัมพันธ์ . นี่ทำให้เห็นว่าเกมของแฮกเกอร์ระดับรัฐไม่ได้เหมือนการโจมตีทั่วไป . พวกเขาไม่ได้แค่หา bug แต่ศึกษาคน ศึกษาทีม ศึกษากระบวนการ และรอจังหวะที่ระบบป้องกันหลวมที่สุด . รายงานยังบอกว่า หลังเหตุ Bybit ภายใน 1 เดือน มี ETH ที่ถูกขโมยกว่า **86%** ถูกแปลงเป็น Bitcoin ผ่าน mixer, bridge, DEX และ OTC broker . แปลว่าไม่ได้มีแค่ “ทีมขโมย” แต่มีทั้งระบบฟอกเงินที่ทำงานเป็นอุตสาหกรรม . สรุปง่าย ๆ คือ ความปลอดภัยในคริปโตวันนี้ไม่ได้จบที่ audit smart contract แล้ว . แต่ต้องป้องกันทั้งคน ทีมงาน ซัพพลายเชน สิทธิ์เข้าถึงระบบ การจ้างงาน และพฤติกรรมการทำงานของทั้งองค์กร . เพราะบางครั้งจุดอ่อนที่แพงที่สุด อาจไม่ใช่โค้ด . แต่อาจเป็นคนที่เผลอกดลิงก์ผิด รับงานปลอม เปิด repo ผิด หรือเชื่อคนผิดคน . และในปี 2026 เรื่องนี้อาจยากขึ้นอีก เพราะรายงานเตือนว่า AI-generated persona, deepfake, IT worker infiltration และการโจมตีผ่าน developer tools อย่าง VSCode / IDE workflow อาจกลายเป็นสนามใหม่ของการโจมตี . โลกคริปโตเลยอาจต้องคิดใหม่ว่า security ไม่ใช่แค่เรื่องเทคนิค . แต่มันคือเรื่องวัฒนธรรมองค์กรด้วย