คำถามที่ 4 การสูญเสียมากกว่า 700 ล้านดอลลาร์สหรัฐเนื่องจากอุบัติเหตุด้านความปลอดภัยในการเข

ปี 2021 กำลังจะสิ้นสุดลง เพื่อทบทวนเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นในสาขา blockchain ในปีนี้ สิ่งที่เกี่ยวข้องและมีอิทธิพลมากที่สุดคือโปรโตคอลการทำงานร่วมกันข้ามสายโซ่ Poly Network ถูกแฮ็กในเดือนสิงหาคม และเงินที่ถูกขโมยไปกว่า 610 ล้านดอลลาร์สหรัฐ ซึ่งเป็นการโจมตีที่เกี่ยวข้องกับจำนวนเงินสูงสุดในประวัติศาสตร์ของ DeFi

เดือนที่มีเหตุการณ์ด้านความปลอดภัยมากขึ้นและเงินจำนวนมากคือเดือนพฤษภาคม (ส่วนใหญ่เกิดใน BSC โดยสูญเสียเงินมากกว่า 300 ล้านดอลลาร์สหรัฐ) และเดือนสิงหาคม (ยกเว้นกรณี Poly Network ถูกแฮ็ก การแลกเปลี่ยนสกุลเงินเข้ารหัสในญี่ปุ่น Liquid hot wallet ถูกแฮ็ก ขาดทุน 91.35 ล้านดอลลาร์) และเดือนตุลาคม พฤศจิกายน ธันวาคม

ไตรมาสที่ 4 ได้กลายเป็นไตรมาสที่มีอุบัติการณ์ด้านความปลอดภัยสูงสุดในปีนี้ ตามสถิติที่ไม่สมบูรณ์ มีเหตุการณ์ด้านความปลอดภัยมากกว่า 40 เหตุการณ์ในไตรมาสที่สี่ โดยสูญเสียมากกว่า 700 ล้านดอลลาร์สหรัฐ ซึ่งเกี่ยวข้องกับสาขาและประเภทต่างๆชื่อเรื่องรอง

ตรวจสอบเหตุการณ์ด้านความปลอดภัยเก้าเหตุการณ์ในฟิลด์การเข้ารหัสที่มีการสูญเสียจำนวนมาก

เมื่อวันที่ 5 ธันวาคม Sheldon Xia ผู้ก่อตั้งและ CEO ของ BitMart ได้ทวีตว่าพบช่องโหว่ด้านความปลอดภัยขนาดใหญ่ 2 รายการที่เกี่ยวข้องกับ Hot Wallet และแฮ็กเกอร์ได้สกัดสินทรัพย์มูลค่าประมาณ 150 ล้านดอลลาร์สหรัฐ เมื่อวันที่ 6 Sheldon Xia กล่าวว่าการละเมิดความปลอดภัยส่วนใหญ่เกิดจากการขโมยคีย์ส่วนตัวจากกระเป๋าร้อนสองใบ สินทรัพย์อื่น ๆ ของ BitMart นั้นปลอดภัยและไม่ถูกประนีประนอม BitMart จะใช้เงินทุนของตัวเองเพื่อชดเชยเหตุการณ์นี้และชดเชยผู้ใช้ที่ได้รับผลกระทบ

เมื่อวันที่ 27 ตุลาคม Cream Finance ซึ่งเป็นโปรโตคอลการให้ยืม DeFi ถูกโจมตีอีกครั้งและสูญเสียเงินไปกว่า 130 ล้านดอลลาร์ เงินที่ถูกขโมยส่วนใหญ่เป็นโทเค็น Cream LP และโทเค็น ERC-20 อื่นๆ PeckShield ค้นพบเงินกู้แฟลชขนาดใหญ่ที่ใช้ในการโจมตีครั้งนี้(Cream Finance ถูกแฮก 5 ครั้งในปี 2564 สูญเงินรวมประมาณ 200 ล้านเหรียญสหรัฐ)

เมื่อวันที่ 30 ตุลาคม โปรโตคอลการซื้อขายแบบกระจายอำนาจ BXH ถูกโจมตีบนเครือข่าย BSC และขโมยเงินมากกว่า 130 ล้านดอลลาร์ ที่อยู่กำไรของแฮ็กเกอร์เริ่มต้น (BSC: 0x4...d79) โอน 4,000 ETH จากเชน BSC ไปยังเชน ETH จากนั้นแปลง 300 BTCB เป็น renBTC ข้ามเชนไปยังที่อยู่ (1Jw...Vow)

เมื่อวันที่ 3 ธันวาคม Badger DAO องค์กรกระจายอำนาจยืนยันว่าถูกโจมตี โดยสูญเสียไป 120.3 ล้านดอลลาร์ ซึ่งรวมถึงประมาณ 2,100 BTC และ 151 ETH BadgerDAO กล่าวว่าเหตุการณ์ฟิชชิ่งเมื่อวันที่ 2 ธันวาคมเกิดจาก "การแทรกส่วนที่เป็นอันตราย" ของ Cloudflare ซึ่งเป็นแพลตฟอร์มแอปพลิเคชันที่ทำงานบนเครือข่ายคลาวด์ของ Badger แฮ็กเกอร์กำลังใช้คีย์ API ที่ถูกบุกรุกซึ่งสร้างขึ้นโดยปราศจากความรู้หรือการอนุญาตจากวิศวกรของ Badger เพื่อแทรกโค้ดที่เป็นอันตรายซึ่งส่งผลกระทบต่อลูกค้าบางรายเป็นประจำ

เมื่อวันที่ 26 พฤศจิกายน Compound ถูกโจมตีโดยเครื่อง oracle และทรัพย์สินมูลค่า 90 ล้านดอลลาร์ถูกชำระบัญชี การชำระบัญชีครั้งใหญ่ของ Compound ในครั้งนี้เกิดจากความผันผวนอย่างรุนแรงของราคา DAI ของ Coinbase Pro ซึ่งเป็นแหล่งข้อมูลของเครื่อง oracle เป็นการโจมตีเครื่อง oracle ทั่วไปเพื่อจัดการกับแหล่งข้อมูลที่เครื่อง oracle อาศัยในช่วงเวลาสั้น ๆ ระยะเวลาเพื่อให้ได้ราคาลูกโซ่ที่ทำให้เข้าใจผิด

เมื่อวันที่ 12 ธันวาคม รายงานการตรวจสอบความปลอดภัยภายในของ AscendEX พบว่าโทเค็น ERC-20, BSC และ Polygon บางส่วนถูกโอนออกจาก hot wallet ของการแลกเปลี่ยนอย่างผิดปกติ และ cold wallet ของ AscendEX ไม่ได้รับผลกระทบจากเหตุการณ์นี้ บริษัทรักษาความปลอดภัย PeckShield Inc. ทวีตว่า มีการประเมินว่าการสูญเสียของ AscendEX มีมูลค่ารวม 77.7 ล้านดอลลาร์ (60 ล้านดอลลาร์สำหรับ Ethereum, 9.2 ล้านดอลลาร์สำหรับ BSC และ 8.5 ล้านดอลลาร์สำหรับ Polygon)

เมื่อวันที่ 30 พฤศจิกายน ข้อตกลงผู้ดูแลตลาดอัตโนมัติ MonoX ยืนยันว่าถูกโจมตีโดย flash loan ผู้โจมตีใช้สภาพคล่องใน Polygon และ Ethereum จนหมด และทำกำไรได้ประมาณ 31 ล้านดอลลาร์สหรัฐ

เมื่อวันที่ 11 พฤศจิกายน ทีมงาน USDM ใช้ Convex เพื่อเริ่มการโจมตีด้านธรรมาภิบาลบน Curve ทำให้สูญเสียเงินกว่า 30 ล้านดอลลาร์

เมื่อวันที่ 15 ตุลาคม โปรโตคอล Indexed Finance โปรโตคอลรายได้แฝงถูกโจมตี และกลุ่มกองทุนที่ได้รับผลกระทบรวมถึง DEFI5 และ CC10 เจ้าหน้าที่ระบุใน Discord ว่าความเสียหายที่เกิดจากการโจมตีครั้งนี้ประมาณ 16 ล้านดอลลาร์สหรัฐ

สรุปประสบการณ์หลังจบงาน

ส่วนใหญ่เป็นโปรโตคอล DeFi เช่น การแลกเปลี่ยนแบบรวมศูนย์และ DEX สาเหตุหลักมาจากช่องโหว่ของกระเป๋าเงิน การโจมตีแบบ flash loan และเหตุการณ์ฟิชชิ่ง

ในฐานะภาคีโครงการ นอกเหนือจากการเสริมสร้างงบประมาณและการลงทุนในด้านความปลอดภัย (รวมถึงด้านเทคนิคและกลไกทางการเงิน) และการยอมรับการตรวจสอบจากหลายฝ่าย การตั้งค่าการควบคุมความเสี่ยงหรือแผนการกู้คืนจากภัยพิบัติ (เช่น การจัดตั้งกลุ่มกองทุนประกัน หมวกสีขาว แผนรางวัล ฯลฯ ) สามารถเล่นบทบาทของ "ความน่าเชื่อถือ"

ในฐานะผู้ใช้ อันดับแรก ควรมีความเข้าใจโดยทั่วไปเกี่ยวกับระดับเฉลี่ยของพารามิเตอร์พื้นฐานบางอย่างของตลาด (เช่น ผลตอบแทน) และระมัดระวังให้มากขึ้นและตรวจทานโครงการที่น่าดึงดูดใจเกินไป หากคุณไม่มีความสามารถในการเขียนโค้ด ขอแนะนำให้อ่านรายงานการตรวจสอบโครงการที่เกี่ยวข้องซึ่งออกโดยบริษัทรักษาความปลอดภัยชั้นนำ ซึ่งมักจะแจ้งจุดเสี่ยงที่อาจเกิดขึ้น และตรวจสอบความถูกต้องและความทันเวลาของรายงานระหว่างฝ่ายโครงการ และหน่วยงานตรวจสอบ แบ่งปันเครื่องมือเล็กๆ ที่นี่ด้วย:ฐานข้อมูลการตรวจสอบโครงการ DeFi จาก DeFiYieldคุณสามารถค้นหาและสอบถามรายงานการตรวจสอบตามชื่อโครงการ ชื่อสกุล ที่อยู่ หรือสถาบันการตรวจสอบ

อีกสิ่งหนึ่งคือการรักษาความตระหนักในการป้องกันซึ่งพบได้ทั่วไปในยุคอินเทอร์เน็ต และระวังฟิชชิ่งเว็บไซต์ปลอม การฉ้อโกงทางโทรคมนาคม และความเสี่ยงที่จะหลบหนี ให้ความสำคัญกับความคืบหน้าล่าสุดของโครงการที่คุณเข้าร่วมและตรวจสอบช่องทางการแจ้งเตือนอย่างเป็นทางการ (เว็บไซต์ทางการ, Twitter ฯลฯ) หรือชุมชน (Discord, TG ฯลฯ) ทุกวัน เมื่อมีการอัปเกรดเทคโนโลยี, การอัปเดตผลิตภัณฑ์ , การระงับบริการ , คำเตือนช่องโหว่หรือการเปิดเผยข้อมูลอุบัติเหตุ คุณยังสามารถรับทราบและดำเนินการได้ทันที

แนะนำให้อ่าน

แนะนำให้อ่าน

Chainlink - "นักพัฒนาโครงการต้องอ่าน: วิธีแก้ปัญหาด้านความปลอดภัย DeFi สิบอันดับแรก"

เฉิงตู เหลียนหนาน -"การวิเคราะห์ เมื่อ DeFi ถูกลดขนาดเป็น "เครื่องคิดเงิน" สำหรับแฮ็กเกอร์ เราจะมั่นใจในความปลอดภัยของมันได้อย่างไร? "

Odaily - "คุยกับหัวหน้าบริษัทรักษาความปลอดภัย ทำไมคนเจ็บถึงข้ามสะพานข้ามแยก" "

Odaily - "ด้านมืดของ DeFi - HackFi"