หมายเหตุบรรณาธิการ: บทความนี้มาจากPeckShield（ID：PeckShield）พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

ตามข้อมูลจากแพลตฟอร์มการรับรู้สถานการณ์ของ PeckShield ในเดือนที่ผ่านมา มีเหตุการณ์ด้านความปลอดภัยที่โดดเด่น 38 เหตุการณ์ในระบบนิเวศบล็อกเชนทั้งหมด มี 21 คดีที่เกี่ยวข้องกับ DeFi, 6 คดีที่เกี่ยวข้องกับความปลอดภัยของการแลกเปลี่ยน, 1 คดีที่เกี่ยวข้องกับการกรรโชก, และการฉ้อโกง 10 คดี

ชื่อเรื่องรอง

ใครเป็นผู้รับผิดชอบต่อนักลงทุนสำหรับ DeFi โซ่สาธารณะ CEX "เหมืองดิน" วิ่งหนีไป?

เนื่องจาก DeFi ได้จุดประกายความเชื่อมั่นของ FOMO ในปี 2020 ข้อได้เปรียบของ CEX (การแลกเปลี่ยนแบบรวมศูนย์) ซึ่งครั้งหนึ่งเคยอยู่บนสุดของห่วงโซ่อาหารจึงค่อย ๆ อ่อนแอลง โดยเฉพาะอย่างยิ่งหลังจากเปลี่ยนจากตลาดส่วนเพิ่มเป็นตลาดหุ้น CEX เริ่มแสวงหาสิ่งใหม่ ความก้าวหน้า ในฐานะที่เป็นรากฐานที่สำคัญของการพัฒนาอุตสาหกรรม blockchain ห่วงโซ่สาธารณะเป็นจุดสำคัญสำหรับการแลกเปลี่ยน ไม่เพียง แต่สามารถเชื่อมต่อเค้าโครงระบบนิเวศต่างๆ ของการแลกเปลี่ยน แต่ยังเป็นจุดนัดพบสำหรับการเชื่อมต่อกับ DeFi

ในช่วงครึ่งหลังของปี 2020 การแลกเปลี่ยนแบบรวมศูนย์ที่สำคัญ เช่น Binance, Huobi และ OKEx ได้เร่งการใช้งานเครือข่ายสาธารณะของตนเองเพื่อสนับสนุนโครงการ DeFi เพื่อแย่งชิงส่วนแบ่งของตลาด DeFi

ตั้งแต่ปี 2564 เป็นต้นมา โครงการ DeFi บนเครือข่ายสาธารณะ CEX ดูเหมือนจะหายไปอย่างต่อเนื่อง ตามสถิติของ PeckShield มีอย่างน้อย 4 กรณีของโครงการ DeFi "การขุดดิน" ที่หลบหนีบนห่วงโซ่สาธารณะ CEX ในเดือนกุมภาพันธ์

เมื่อวันที่ 1 กุมภาพันธ์ สื่อรายงานว่าโครงการ DeFi “การขุดบนดิน” Popcornswap และ Multi Financial บน Binance Smart Chain หนีไป สูญเสียเงินประมาณ 48,000 BNB และ 5,000 BNB ตามลำดับ ก่อนหน้านี้ โครงการ DeFi เช่น Zap Finance, Tin Finance และ SharkYield บน Binance Smart Chain ถูกระเบิดและวิ่งหนีไปทีละโครงการ

เมื่อวันที่ 8 กุมภาพันธ์ ผู้ต้องสงสัย HUST จำนวน 5.8 ล้านคนถูกขโมยจากโครงการให้กู้ยืม Filda บนเครือข่ายสาธารณะ Huobi HECO

เมื่อวันที่ 28 กุมภาพันธ์ สื่อรายงานว่าโครงการโทเค็นลิงค์บนเครือข่ายสาธารณะ Huobi HECO ถูกสงสัยว่าหลบหนีและสูญเสียเงินหลายล้าน USDT

ในเรื่องนี้ ผู้ที่เกี่ยวข้องที่รับผิดชอบ CEX เคยกล่าวไว้ว่าเครือข่ายสาธารณะที่สร้างโดย CEX นั้นเหมือนกับเครือข่ายสาธารณะเช่น Ethereum และไม่ควรรับผิดชอบต่อโครงการที่อาจมีปัญหาที่สร้างขึ้น

ผู้เชี่ยวชาญด้านความปลอดภัยของ PeckShield กล่าวว่า "จากมุมมองของการวางตำแหน่งของเครือข่ายสาธารณะที่เปิดตัวโดย CEX พวกเขามุ่งมั่นที่จะสร้างเครือข่ายสาธารณะ ซึ่งก็คือเครือข่ายที่ไม่ได้รับอนุญาต (Permissionless Blockchain) ตามหลักการแล้ว ทุกคนสามารถมีส่วนร่วมในข้อมูลบล็อกเชนได้ การบำรุงรักษา และการอ่าน ง่ายต่อการปรับใช้แอปพลิเคชัน กระจายอำนาจอย่างสมบูรณ์และไม่ถูกควบคุมโดยองค์กรใด ๆ แต่เป็นที่น่าสังเกตว่าห่วงโซ่สาธารณะที่เปิดตัวโดย CEX ยังอยู่ในช่วงเริ่มต้นของการพัฒนา และอยู่ในขั้นตอนของการสร้างระบบนิเวศ อาจจำเป็นต้องมีกระบวนการเปลี่ยนแปลงแบบ 'การรวมศูนย์ที่อ่อนแอ' จากมุมมองของนักลงทุน เนื่องจากเครือข่ายสาธารณะของ CEX ใช้งานโดย CEX แม้ว่า CEX สามารถปฏิเสธความรับผิดสำหรับโครงการออนไลน์ การกำกับดูแลระบบเป็นปัญหาการเผาไหม้สำหรับ CEXs”

ชื่อเรื่องรอง

การฉ้อฉลแพร่กระจายไปยังช่อง DeFi ช่องโหว่ในการรวม DeFi ยังคงเน้นย้ำ

นอกจากเหตุการณ์ด้านความปลอดภัยของโครงการ DeFi ที่หลบหนีบนเชนสาธารณะ CEX แล้ว ตามสถิติของ PeckShield ยังพบเหตุการณ์ด้านความปลอดภัย DeFi ทั้งหมด 21 ครั้งในเดือนกุมภาพันธ์ เหตุการณ์ฉ้อโกงได้แพร่กระจายไปยังเขตข้อมูล DeFi และช่องโหว่ของ DeFi ยังคงมีอยู่ ถูกเน้น

เมื่อวันที่ 5 กุมภาพันธ์ ห้องนิรภัย Yearn v1 yDAI ถูกโจมตี ห้องนิรภัยสูญเสียเงินไป 11 ล้านดอลลาร์ และผู้โจมตีขโมยเงินไป 2.8 ล้านดอลลาร์

เมื่อวันที่ 5 กุมภาพันธ์ โครงการประกันของ DeFi ArmorFi ได้จ่ายเงินค่าบั๊กมูลค่า 1.5 ล้านดอลลาร์ให้กับแฮ็กเกอร์หมวกขาว เป็นที่เข้าใจกันว่าแฮ็กเกอร์ได้ค้นพบ "ช่องโหว่สำคัญ" ในโปรโตคอลที่อาจทำให้เงินทุนที่รับประกันภัยทั้งหมดของบริษัทหมดไป

เมื่อวันที่ 8 กุมภาพันธ์ Curve โปรโตคอลการซื้อขายแบบกระจายอำนาจระบุว่าพบปัญหากับกลุ่มกองทุน yv2 ใหม่ของโปรโตคอลการรวม Yearn เพื่อปกป้องผู้ให้บริการสภาพคล่องกลุ่มกองทุนจึงถูกปิด

เมื่อวันที่ 9 กุมภาพันธ์ Twitter อย่างเป็นทางการของการแลกเปลี่ยนอนุพันธ์แบบกระจายอำนาจ dYdX ระบุว่ายังไม่ได้ออกเหรียญและยังไม่ได้ดำเนินการขายล่วงหน้าหรือออกอากาศ ผู้ใช้จำเป็นต้องตื่นตัวต่อการหลอกลวงที่เกี่ยวข้อง

เมื่อวันที่ 9 กุมภาพันธ์ BT.Finance ซึ่งเป็นผู้รวบรวมรายได้จาก DeFi อัจฉริยะ ถูกแฮ็กและสูญเสียเงินไปประมาณ 1.5 ล้านดอลลาร์

เมื่อวันที่ 13 กุมภาพันธ์ โปรโตคอล DeFi Cream.Finance และ Alpha Finance ถูกโจมตีโดย Flash Loan และสูญเสียเงินไป 37.5 ล้านดอลลาร์

เมื่อวันที่ 15 กุมภาพันธ์ Primitive Finance ซึ่งเป็นโปรโตคอลทางเลือกบนเครือข่าย Ethereum ได้ทวีตว่า Primitive Finance ไม่มีโปรโตคอลโทเค็น และผู้ใช้ควรแจ้งเตือนเกี่ยวกับการหลอกลวงที่เกี่ยวข้อง

เมื่อวันที่ 20 กุมภาพันธ์ DEX Dexter ที่ใช้ Tezos เผชิญกับช่องโหว่ในสัญญา ซึ่งอนุญาตให้ถอนเงินโดยไม่ได้รับอนุญาต และทีมพัฒนา Nomadic Labs ได้เขียนสัญญาใหม่

เมื่อวันที่ 21 กุมภาพันธ์ DAO Maker ได้ทวีตเพื่อเตือนผู้ใช้ให้ระวังกลโกงที่แอบอ้างเป็น DAO Maker

เมื่อวันที่ 22 กุมภาพันธ์ ช่องโหว่ร้ายแรงถูกค้นพบในสัญญาอัจฉริยะของ Primitive Finance ซึ่งเป็นโปรโตคอลทางเลือกในเครือข่าย Ethereum เนื่องจากไม่สามารถอัปเกรดหรือระงับสัญญาได้ เจ้าหน้าที่จึงแฮ็กด้วยสัญญาอัจฉริยะของตนเองเพื่อปกป้องเงินของผู้ใช้

เมื่อวันที่ 22 กุมภาพันธ์ ForTube โปรโตคอลการให้ยืมแบบกระจายอำนาจได้เปิดเผยการละเมิดความปลอดภัยเมื่อสองสัปดาห์ก่อน และไม่มีผู้ใช้รายใดได้รับความเสียหายเนื่องจากการละเมิด

เมื่อวันที่ 24 กุมภาพันธ์ Matter Labs ทีมพัฒนาโซลูชันการขยายเลเยอร์ที่สองของ Ethereum ได้ทวีตเพื่อตั้งคำถามถึงความปลอดภัยของเงินทุนของผู้ใช้ในการแลกเปลี่ยน ZKSwap แบบกระจายอำนาจ

เมื่อวันที่ 25 กุมภาพันธ์ มีรายงานว่าอาจมีข้อบกพร่องด้านความปลอดภัยในกลไกการอนุมัติที่ใช้โดยผู้ดูแลสภาพคล่องอัตโนมัติก่อนการซื้อขายหรือแลกเปลี่ยนโทเค็น ซึ่งเป็นคุณลักษณะที่รายงานระบุว่าอนุญาตให้บุคคลที่สามส่งโทเค็นจากบัญชีของตนในนามของผู้ใช้ ในขณะเดียวกัน รายงานพบว่ามิจฉาชีพใช้วิธีนี้เพื่อฉ้อโกง LINK ผ่านอีเมลฟิชชิ่ง

เมื่อวันที่ 26 กุมภาพันธ์ DeFiBox ตรวจสอบและพบว่ามีความเสี่ยงก่อนการขุดใน MFD ซึ่งเป็นแพลตฟอร์มการลงทุนกองทุนของ Heco ซึ่งเปิดตัวในห่วงโซ่ระบบนิเวศ Huobiเมื่อวันที่ 27 กุมภาพันธ์ กลุ่ม DAI ของผู้รวบรวมรายได้ DeFi Yeld.Finance ถูกโจมตีโดยเงินกู้ด่วนและสูญเสีย 160,000 DAIวันที่ 28 กุมภาพันธ์

DeFi Aggregator Furucombo ถูกแฮ็ก

โดยขาดทุนกว่า 14 ล้านเหรียญสหรัฐ เนื่องจาก Cream Finance ไม่ได้ยกเลิกการอนุญาตทั้งหมดสำหรับสัญญาภายนอกจากกระเป๋าเงินในเวลาที่เหมาะสม จึงได้รับผลกระทบจากช่องโหว่นี้ ส่งผลให้สูญเสียเงินประมาณ 1.1 ล้านดอลลาร์

PeckShield พบว่าการโจมตีโครงการ DeFi Furucombo และ Primitive Finance ที่เกิดขึ้นในเดือนกุมภาพันธ์ล้วนเกี่ยวข้องกับรูปแบบการให้สิทธิ์แบบไม่จำกัดของ DeFi วิธีการอนุญาตนี้ช่วยให้กระเป๋าเงินสามารถควบคุมทรัพย์สินทั้งหมดโดยไม่ต้องได้รับอนุญาตจากผู้ใช้และไม่ถูกจำกัดโดย การดูแลคีย์ส่วนตัวของผู้ใช้ PeckShield เตือนผู้ใช้ไม่ให้อนุญาตมากเกินไป

สำหรับนักพัฒนาโปรโตคอล บนพื้นฐานของการพยายามสร้างสรรค์สิ่งใหม่ๆ พวกเขาจำเป็นต้องปรับปรุงการรับรู้ด้านความปลอดภัย ค้นหาปัญหาที่เป็นไปได้ในการทำงานร่วมกัน พิจารณาข้อบกพร่องของลอจิกทางธุรกิจที่มีอยู่ในการรวมกันของระบบอย่างครบถ้วนเมื่อทำการตรวจสอบความปลอดภัย จากนั้นทำการป้องกันความปลอดภัยเป็นอันดับแรก ประการที่สอง เนื่องจากโครงการ DeFi เชื่อมโยงอย่างใกล้ชิดกับสินทรัพย์ ดังนั้น จึงกลายเป็นเป้าหมายของการโจมตีได้ง่าย ด้วยเหตุนี้ ผู้พัฒนาโปรโตคอล DeFi จึงจำเป็นต้องปรับปรุงระดับการป้องกันความปลอดภัย รวมถึง การตรวจสอบความปลอดภัยก่อนที่โครงการจะออนไลน์ และการเตือนอย่างทันท่วงทีเมื่อเกิดวิกฤต การรับมือ ฉุกเฉิน และอื่นๆ

ชื่อเรื่องรอง

ตามสถิติของ PeckShield มีเหตุการณ์ด้านความปลอดภัยการแลกเปลี่ยนทั่วไปทั้งหมด 6 เหตุการณ์เกิดขึ้นในเดือนกุมภาพันธ์ รวมถึง Exmo บริษัทแลกเปลี่ยนสกุลเงินดิจิทัลของอังกฤษที่ถูกโจมตีโดย DDoS และเซิร์ฟเวอร์ถูกระงับ

เหตุการณ์ด้านความปลอดภัยที่มีผลกระทบมากขึ้นคือการแลกเปลี่ยน Cryptopia ถูกแฮ็กอีกครั้งในวันที่ 1 กุมภาพันธ์ และเงิน cryptocurrency ประมาณ 62,000 ดอลลาร์นิวซีแลนด์ (สัญญา 45,000 ดอลลาร์สหรัฐฯ) ถูกขโมยไป การสืบสวนพบว่าแฮ็กเกอร์เข้าถึงกระเป๋าเงินที่ไม่ได้ใช้งานเนื่องจากถูกขโมยในปี 2019 และถูกควบคุมโดย Grant Thornton ผู้ชำระบัญชี Cryptopia

ชื่อเรื่องรอง

การฉ้อโกงและการกรรโชก

ตามสถิติของ CoinHolmes ซึ่งเป็นระบบการรับรู้สถานการณ์ต่อต้านการฉ้อโกงภายใต้ PeckShield เหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการฉ้อโกงทั้งหมด 10 เหตุการณ์และเหตุการณ์การกรรโชก 1 ครั้งเกิดขึ้นในเดือนกุมภาพันธ์

เมื่อวันที่ 4 กุมภาพันธ์ การหลอกลวงแจก Bitcoin ปรากฏขึ้นบนแพลตฟอร์มโซเชียล Discord เพื่อรวบรวมข้อมูลผู้ใช้ที่เข้ารหัส

เมื่อวันที่ 5 กุมภาพันธ์ ชายชาวออสเตรเลียที่ถูกกล่าวหาว่าฉ้อโกงกองทุนเฮดจ์ฟันด์ cryptocurrency มูลค่า 90 ล้านดอลลาร์ได้สารภาพผิด

อัยการเยอรมันยึด bitcoin มูลค่ากว่า 50 ล้านยูโร (60 ล้านดอลลาร์) จากนักต้มตุ๋นเมื่อวันที่ 5 กุมภาพันธ์ แต่ประสบปัญหาที่น่าอายที่ไม่สามารถถอดรหัสกุญแจเพื่อปลดล็อกสินทรัพย์ได้

เมื่อวันที่ 6 กุมภาพันธ์ กระทรวงยุติธรรมสหรัฐ (DOJ) ประกาศว่าพลเมืองชาวเซอร์เบีย Antonije Stojilkovic ถูกส่งตัวข้ามแดนไปยังสหรัฐอเมริกาเพื่อเผชิญหน้ากับข้อหาสมรู้ร่วมคิดในการฉ้อโกงและฟอกเงินโดยกล่าวหาว่าฉ้อโกงนักลงทุน cryptocurrency มากกว่า 70 ล้านดอลลาร์ Stojilkovic และผู้ร่วมงานของเขาถูกกล่าวหาว่าก่อตั้งแพลตฟอร์มการซื้อขายปลอมมากกว่า 20 แพลตฟอร์มในเซอร์เบียและที่อื่น ๆ

เมื่อวันที่ 8 กุมภาพันธ์ Stephen Dediore จากบริษัทโทรคมนาคมในฟลอริดาถูกตั้งข้อหาหลอกลวงการแลกเปลี่ยนซิมเพื่อขโมยสกุลเงินดิจิทัล หากถูกตัดสินว่ามีความผิด เดดิโอเรอาจถูกจำคุกสูงสุด 5 ปี และปรับสูงสุด 250,000 ดอลลาร์

เมื่อวันที่ 10 กุมภาพันธ์ บัญชี Twitter ของรัฐมนตรีกระทรวงพลังงานเบลเยียม Tinne Van der Straeten ถูกแฮ็ก บัญชี Twitter ของมันถูกเปลี่ยนชื่อเป็น "Ethereum Foundation" และโพสต์การหลอกลวงแจก Ethereum เพื่อหลอกล่อให้ผู้ติดตามไปยังเว็บไซต์หลอกลวง

เมื่อวันที่ 11 กุมภาพันธ์ หน่วยงานบังคับใช้กฎหมายของสหภาพยุโรปได้จับกุมแฮ็กเกอร์ที่ขโมยสกุลเงินดิจิทัลมูลค่า 100 ล้านดอลลาร์ผ่านการแลกเปลี่ยนซิม Lazarus Group เมื่อวันที่ 11 กุมภาพันธ์ อัยการญี่ปุ่นตั้งข้อหากลุ่มหนึ่งโดยกล่าวหาว่าจัดการกับสกุลเงินเสมือนจริงมูลค่า 180 ล้านดอลลาร์ที่ถูกขโมยมาจากการแลกเปลี่ยน Coincheck

รัฐบาลสหรัฐฯ ฟ้องกลุ่มแฮ็กข้อมูลเกาหลีเหนือเมื่อวันที่ 17 ก.พ

สมาชิกสามคนของกลุ่มถูกสงสัยว่าขโมยเงินและสกุลเงินเสมือนมากกว่า 1.3 พันล้านดอลลาร์