การทบทวนกรณีการแฮ็ก 20 อันดับแรกในอุตสาหกรรมการเข้ารหัสในช่วงสองปีที่ผ่านมา

จบ: คุกกี้ Chain Catchers

ณ สิ้นเดือนมีนาคม Ronin Network ซึ่งเป็นเครือข่าย sidechain ของเกมลูกโซ่ชื่อดัง Axie Infinity สูญเสียทรัพย์สินไปประมาณ 620 ล้านดอลลาร์ในเหตุการณ์การแฮ็ก ซึ่งกลายเป็นการโจมตีการแฮ็ก DeFi ที่ร้ายแรงที่สุดจนถึงตอนนี้ ยิ่งทำให้ความกังวลของสาธารณชนเกี่ยวกับความปลอดภัยของ โลกที่ถูกเข้ารหัส

ในช่วง 2 ปีที่ผ่านมา เงินทุนจำนวนมหาศาลไหลเข้าสู่อุตสาหกรรมการเข้ารหัสอย่างต่อเนื่องแต่ความปลอดภัยยังเปราะบางมาก ช่องโหว่ของ Code จำนวนมากจากการแลกเปลี่ยนแบบรวมศูนย์และโครงการ DeFi ถูกโจมตีซ้ำแล้วซ้ำอีกโดยแฮ็กเกอร์ จำนวน ความถี่ และขนาด ของเหตุการณ์ด้านความปลอดภัยต่างๆ เป็นต้น มีการเติบโตอย่างรวดเร็ว

ตามสถิติของ SlowMist เหตุการณ์ด้านความปลอดภัยบนบล็อกเชนในปี 2564 ส่งผลให้เกิดการสูญเสียสะสมมากกว่า 9.8 พันล้านดอลลาร์สหรัฐซึ่งเกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัย 231 ครั้ง แม้ว่าความสูญเสียส่วนใหญ่จะได้รับการกู้คืนหรือชดเชยโดยฝ่ายโครงการ ยังได้รับบาดเจ็บสาหัส

ชื่อเรื่องรอง

1. โรนิน เน็ตเวิร์ค 624 ​​ล้านดอลลาร์

เมื่อวันที่ 29 มีนาคม 2022 Ronin แถลงอย่างเป็นทางการว่าสะพานข้ามโซ่ถูกแฮ็ก และขโมยเงิน ETH 173,600 ETH และ 25.5 ล้าน USDC โดยมีมูลค่าสะสมประมาณ 620 ล้านดอลลาร์สหรัฐ

เจ้าหน้าที่ระบุว่าสาเหตุของการขโมยโครงการคือคีย์ส่วนตัวของผู้ตรวจสอบห้าคนถูกขโมย ในเดือนพฤศจิกายนปีที่แล้ว Sky Mavis และ Axie DAO ได้สร้างโหนด RPC ที่ปราศจากก๊าซโดยมีจุดประสงค์ดั้งเดิมในการลดค่าใช้จ่ายของผู้ใช้ ซึ่งกำหนดให้ Axie DAO กลายเป็นตัวตรวจสอบความถูกต้องของ Sky Mavis แม้ว่าโหนด RPC จะใช้เวลาเพียงหนึ่งเดือน ไม่เคยได้รับอนุญาต ดังนั้น ผู้โจมตีมีโอกาสที่จะขโมยลายเซ็น Axie DAO รวบรวมฉันทามติของผู้ตรวจสอบ 5 คนและแทนที่ด้วยรหัสส่วนตัวเพื่อปลอมแปลงการถอนปลอม

ชื่อเรื่องรอง

2. โพลีเน็ตเวิร์ก 611 ล้านเหรียญสหรัฐ

เมื่อวันที่ 10 สิงหาคม 2021 สัญญาอัจฉริยะที่ใช้งานโดยโปรโตคอลการทำงานร่วมกันข้ามสายโซ่ Poly Network บน Ethereum, BSC และ Polygon ถูกแฮ็กพร้อมๆ กัน และทรัพย์สินมูลค่ามากกว่า 610 ล้านดอลลาร์ถูกขโมยไป

จากการวิเคราะห์ของทีม SlowMist ผู้โจมตีใช้ฟังก์ชันเฉพาะเพื่อส่งผ่านข้อมูลที่สร้างขึ้นอย่างระมัดระวังเพื่อปรับเปลี่ยน Keeper ของสัญญา EthCrossChainData หลังจากเปลี่ยนที่อยู่ของ Keeper แล้ว ผู้โจมตีสามารถสร้างธุรกรรมได้ตามต้องการและถอนเงินจำนวนเท่าใดก็ได้ ของเงินทุนจากสัญญา

ชื่อเรื่องรอง

3. รูหนอน 326 ล้านเหรียญ

เมื่อวันที่ 3 กุมภาพันธ์ปีนี้ Wormhole โปรโตคอลข้ามเชนถูกแฮ็ก และเจ้าหน้าที่ยืนยันว่า 120,000 ETH (ประมาณ 326 ล้านดอลลาร์) หายไปจากการโจมตี

จากการสืบสวนพบว่าช่องโหว่ของเหตุการณ์นี้คือมีข้อผิดพลาดในรหัสยืนยันลายเซ็นของสัญญา Wormhole หลักในฝั่ง Solana ทำให้ผู้โจมตีสามารถปลอมแปลงข้อความจาก "ผู้พิทักษ์" เพื่อแลกเปลี่ยน whETH ผู้โจมตีโอน ETH จริง 120,000 ETH ไปยัง Ethereum ผ่าน Wormhole ผ่านการสร้าง ETH (Wormhole ETH) ที่เทียบเท่ากับ Solana อย่างไม่สิ้นสุด

ชื่อเรื่องรอง

4. BitMart 196 ล้านดอลลาร์

เมื่อวันที่ 5 ธันวาคม 2021 ประมาณ 196 ล้านเหรียญสหรัฐถูกขโมยจาก Ethereum และ BSC hot wallet ของแพลตฟอร์มซื้อขายเข้ารหัส BitMart ซึ่งประมาณ 100 ล้านเหรียญสหรัฐถูกขโมยบน Ethereum และประมาณ 96 ล้านเหรียญสหรัฐถูกขโมยบน BSC

เป็นที่เข้าใจกันว่าผู้โจมตีโอนเงิน BitMart จาก hot wallet ไปยังกระเป๋าเงินของเขาเอง และแลกเปลี่ยนสกุลเงินส่วนใหญ่เป็น ETH และ BNB ผ่าน 1 นิ้ว จากนั้นผสมสกุลเงินผ่าน TornadoCash และในที่สุดก็หนีไปได้

ชื่อเรื่องรอง

5. วัลแคนฟอร์จ 140 ล้านเหรียญ

ชื่อเรื่องรอง

6. ครีม ไฟแนนซ์ 130 ล้านดอลลาร์

เมื่อวันที่ 27 ตุลาคม 2021 Cream Finance แพลตฟอร์มสินเชื่อเพื่อที่อยู่อาศัยประสบกับการโจมตีของสินเชื่อแฟลช ส่งผลให้สูญเสียเงินประมาณ 130 ล้านดอลลาร์สหรัฐ

เป็นที่เข้าใจกันว่าการโจมตีนี้เป็นส่วนผสมของการโจมตีทางเศรษฐกิจและการโจมตีด้วยเครื่องของ oracle ผู้โจมตีได้ยืม DAI จาก MakerDAO อย่างรวดเร็วเพื่อสร้างโทเค็น yUSD จำนวนมาก หลังจากที่สูง ตำแหน่ง yUSD ของผู้โจมตีก็เพิ่มขึ้นทำให้วงเงินยืมเพียงพอที่จะชดเชย สภาพคล่องของตลาด Cream Ethereum v1

ชื่อเรื่องรอง

7. แบดเจอร์ 120 ล้านเหรียญ

เมื่อวันที่ 2 ธันวาคม 2021 อินเทอร์เฟซผู้ใช้ Badger ถูกแฮ็กและมีการฝังคำขอกระเป๋าเงินที่เป็นอันตราย โดยสูญเสียทั้งหมดประมาณ 2,100 BTC และ 151 ETH หรือประมาณ 120 ล้านดอลลาร์

เหตุการณ์ดังกล่าวเป็นการโจมตีแบบฟิชชิ่งที่เกิดจาก "การแทรกส่วนที่เป็นอันตราย" ของ Cloudflare ซึ่งเป็นแพลตฟอร์มแอปพลิเคชันที่ทำงานบนเครือข่ายคลาวด์ของ Badger แฮ็กเกอร์ใช้คีย์ API ที่เสียหายซึ่งสร้างโดยวิศวกรของ Badger โดยปราศจากความรู้หรือการอนุญาตเพื่อแทรกโค้ดที่เป็นอันตรายเป็นประจำและรับคำอธิบายประกอบของการอนุญาตแบบไม่จำกัดจากกระเป๋าเงินของผู้ใช้

ชื่อเรื่องรอง

8. Qubit Finance 80 ล้านเหรียญ

เมื่อวันที่ 28 มกราคม 2022 Qubit ซึ่งเป็นโครงการให้กู้ยืม BSC ถูกสงสัยว่าถูกแฮ็ก แฮ็กเกอร์สร้างหลักประกัน xETH จำนวนมากและขโมยทรัพย์สินประมาณ 80 ล้านดอลลาร์จากกองทุนรวม

สาเหตุหลักสำหรับการโจมตีนี้คือเมื่อมีการเติมโทเค็นธรรมดาและโทเค็นเนทีฟแยกจากกัน เมื่อโอนโทเค็นในรายการที่อนุญาต พวกเขาไม่ได้ตรวจสอบว่าเป็นที่อยู่ 0 อีกหรือไม่ ส่งผลให้มีการชาร์จซ้ำซึ่งควรทำผ่านเนทีฟ การดำเนินการเติมเงิน ของฟังก์ชันสามารถผ่านตรรกะการเติมโทเค็นธรรมดาได้อย่างราบรื่น

ชื่อเรื่องรอง

9. AscendEX 77 ล้านดอลลาร์

เมื่อวันที่ 12 ธันวาคม 2021 กระเป๋า Hot Wallet ของ Ethereum, BSC และ Polygon ของการแลกเปลี่ยนสกุลเงินดิจิตอล AscendEX ถูกขโมยหรือมีทรัพย์สินมากกว่า 77 ล้านดอลลาร์สหรัฐ

ชื่อเรื่องรอง

10. EasyFi 59 ล้านเหรียญ

เมื่อวันที่ 20 เมษายน 2021 Ankitt Gaur ผู้ก่อตั้งข้อตกลงการให้ยืม Layer 2 DeFi EasyFi กล่าวว่ากลุ่มสภาพคล่องของโปรโตคอลได้รับการโอน 6 ล้านดอลลาร์ใน Stablecoins และ 2.98 ล้านโทเค็น EASY โดยขาดทุนทั้งหมดประมาณ 59 ล้านดอลลาร์

เป็นที่เข้าใจกันว่าโปรเจ็กต์ถูกขโมยเนื่องจากคีย์วลีช่วยจำ MetaMask ของผู้ดูแลระบบถูกโจมตีจากระยะไกล และสัญญาอัจฉริยะ EasyFi ไม่ได้ถูกแฮ็ก EasyFi ได้ติดต่อทีม Binance และ AscendEx แล้ว แฮ็กเกอร์ไม่ได้โอนโทเค็นจากกระเป๋าเงิน และไม่สามารถขายใน DEX ได้เนื่องจากข้อจำกัดด้านสภาพคล่อง

ชื่อเรื่องรอง

11. ยูเรเนียม ไฟแนนซ์ 57 ล้านเหรียญ

เมื่อวันที่ 28 เมษายน 2021 Uranium Finance ซึ่งเป็นโปรโตคอล AMM บน Binance Smart Chain ทวีตว่า Uranium ถูกโจมตีในระหว่างกระบวนการโยกย้าย และสูญเสียไปประมาณ 57 ล้านดอลลาร์สหรัฐ

เป็นที่เข้าใจว่าปัญหานี้เกิดขึ้นในสัญญาคู่ของโครงการ Uranium ส่วนฟังก์ชัน swap ของตรรกะของสัญญาอ้างอิงถึงตรรกะของ PancakeSwap ทำให้ผู้ใช้สามารถยืมเงินผ่านสินเชื่อแฟลช อย่างไรก็ตาม เมื่อฟังก์ชันตรวจสอบยอดคงเหลือตามสัญญาตามสูตรผลิตภัณฑ์คงที่ จะเกิดปัญหา ข้อผิดพลาดในการประมวลผลที่แม่นยำ ส่งผลให้ยอดคงเหลือสุดท้ายที่คำนวณในสัญญามีขนาดใหญ่กว่ายอดคงเหลือจริงของสัญญาถึง 100 เท่า ในกรณีนี้ หากผู้โจมตีใช้ flash loan เพื่อยืม จะต้องคืนเพียง 1% ของจำนวนเงินกู้เพื่อให้ผ่านการตรวจสอบ และขโมยส่วนที่เหลืออีก 99% ของยอดคงเหลือ ส่งผลให้โครงการขาดทุน

ชื่อเรื่องรอง

12. bZx 55 ล้านเหรียญ

เมื่อวันที่ 6 พฤศจิกายน 2021 โปรโตคอลการให้ยืมแบบกระจายศูนย์ bZx บนเครือข่าย Polygon และ BSC ส่งผลให้มีการขโมยทรัพย์สินมากกว่า 55 ล้านดอลลาร์เนื่องจากการรั่วไหลของคีย์ส่วนตัว

ชื่อเรื่องรอง

13. แคชชิโอ 48 ล้านเหรียญ

เมื่อวันที่ 23 มีนาคม 2022 Cashio ซึ่งเป็นเหรียญ Stablecoin อัลกอริธึมเชิงนิเวศของ Solana ได้ทวีตเตือนผู้ใช้ว่าอย่าสร้างโทเค็นใดๆ และถอนเงินออกจากกลุ่มโดยเร็วที่สุด มีข้อบกพร่องของเหรียญกษาปณ์ที่ไม่สิ้นสุดในโปรโตคอล ซึ่งทำให้สูญเสียเงินประมาณ 48 ล้านดอลลาร์

Cashio Dollar เป็นเหรียญ Stablecoin แบบอัลกอริธึมที่สนับสนุนโดยโทเค็น USDT-USDC LP โดยการข้ามบัญชีที่ไม่ผ่านการยืนยัน แฮ็กเกอร์ออกโทเค็น CASH 2 พันล้านอย่างผิดกฎหมาย และแปลงโทเค็น CASH เป็น UST, USDC และ USDT-USDC LP มูลค่ารวมของผลกำไรอยู่ที่ประมาณ 48 ล้านดอลลาร์สหรัฐ

ชื่อเรื่องรอง

14. แพนเค้ก บันนี่ 46 ล้านเหรียญ

เมื่อวันที่ 20 พฤษภาคม 2021 PancakeBunny ผู้รวบรวมรายได้บน Binance Smart Chain BSC ถูกสงสัยว่าถูกโจมตีและสูญเสียไปประมาณ 46 ล้านดอลลาร์

นี่เป็นการโจมตีแบบสายฟ้าแลบทั่วไป ประเด็นสำคัญ คือการคำนวณราคาของ WBNB-BUNNY LP มีข้อบกพร่อง และจำนวนของ BUNNY ที่สร้างโดยสัญญา BunnyMinterV2 ขึ้นอยู่กับวิธีการคำนวณราคาของ LP ที่มีข้อบกพร่องนี้ ซึ่งในที่สุดจะทำให้ผู้โจมตีใช้ เงินกู้ด่วนเพื่อจัดการ WBNB - พูล BUNNY จึงขึ้นราคาของ LP ทำให้สัญญา BunnyMinterV2 สร้างโทเค็น BUNNY จำนวนมากให้กับผู้โจมตี

ชื่อเรื่องรอง

15. Kucoin 45 ล้านเหรียญ

เมื่อวันที่ 20 กันยายน 2020 กระเป๋าเงินร้อน Kucoin ถูกโจมตี ทำให้สูญเสียเงินกว่า 280 ล้านดอลลาร์สหรัฐ

ชื่อเรื่องรอง

16. Secretswap มากกว่า 40 ล้านเหรียญ

เมื่อวันที่ 14 กันยายน 2564 โครงการ Secretswap ซึ่งเป็นโครงการ DEX ที่ใช้เครือข่ายส่วนตัวสาธารณะอย่าง Secret Network ถูกแฮ็ก และแฮ็กเกอร์ถอนเงินในสภาพคล่องไปมากกว่า 40 ล้านดอลลาร์ หลังจากเหตุการณ์ดังกล่าว โครงการได้ระงับการใช้ข้าม สะพานลูกโซ่ระหว่าง Secretswap และ Secret Network เพื่อป้องกันไม่ให้แฮ็กเกอร์ถ่ายโอนทรัพย์สินจากสะพานข้ามลูกโซ่ไปยังเครือข่าย Ethereum

การสืบสวนหลังชันสูตรเปิดเผยว่าการละเมิดเกี่ยวข้องกับสัญญา LP เดียวที่เกี่ยวข้องกับการเดิมพันรางวัล SecretSwap ไม่มีเงินที่ถูกขโมยออกจากเครือข่าย ไม่มีสัญญาบริดจ์/โทเค็นถูกโจมตี และเครือข่ายเองก็ไม่ถูกโจมตี

ชื่อเรื่องรอง

17. Alpha Finance 37 ล้านเหรียญ

เมื่อวันที่ 13 กุมภาพันธ์ 2021 Alpha Finance Lab ระบุใน Twitter อย่างเป็นทางการว่าแฮ็กเกอร์ใช้ช่องโหว่ Alpha Homora V2 เพื่อให้ยืม ETH, DAI, USDC และสินทรัพย์อื่น ๆ จาก Iron Bank (Cream V2) ส่งผลให้เกิดหนี้สินระหว่าง Alpha Homora v2 และ Cream v2 สัมพันธ์ โดยขาดทุนประมาณ 37 ล้านเหรียญสหรัฐ

ชื่อเรื่องรอง

18. วี ไฟแนนซ์ 37 ล้านเหรียญ

เมื่อวันที่ 21 กันยายน 2021 สัญญาอัจฉริยะของ Vee Finance ของแพลตฟอร์มการให้กู้ยืมเพื่อสิ่งแวดล้อมของ Avalanche ถูกโจมตี ส่งผลให้สูญเสียเงินไปประมาณ 37 ล้านดอลลาร์สหรัฐ

เป็นที่เข้าใจกันว่าสาเหตุหลักของช่องโหว่นี้คือเมื่อผู้ใช้สร้างคำสั่งซื้อขายที่มีเลเวอเรจ Oracle จะใช้ราคาของกลุ่ม Pangolin เป็นแหล่งป้อนราคาเท่านั้น และราคาของกลุ่มนี้จะผันผวนมากกว่า 3% ออราเคิลจะรีเฟรชราคา ทำให้ผู้โจมตีควบคุมราคาของกลุ่มตัวลิ่น อย่างไรก็ตาม ราคาของเครื่อง oracle ของ Vee Finance ถูกบิดเบือน และราคาของเครื่อง oracle ที่ได้มาไม่ได้รับการประมวลผลเป็นทศนิยม ซึ่งส่งผลให้มีการตรวจสอบการเลื่อนหลุดที่คาดไว้ก่อนที่การแลกเปลี่ยนจะไม่ทำงาน

ชื่อเรื่องรอง

19. Crypto.com 33 ล้านเหรียญ

เมื่อวันที่ 18 มกราคม 2022 บางบัญชีของ Crypto.com การแลกเปลี่ยนสกุลเงินดิจิทัลถูกสงสัยว่าถูกแฮ็ก ส่งผลให้สูญเสียเงินไปประมาณ 33 ล้านเหรียญสหรัฐ

เป็นที่เข้าใจว่าแฮ็กเกอร์ข้ามการตรวจสอบ 2FA ที่มีอยู่และกลายเป็นรายการที่อนุญาตการถอนเงิน บัญชีทั้งหมด 483 บัญชีถูกแฮ็ก 4836 ETH และ 444 Bitcoin ถูกขโมย และ ETH ถูกส่งไปยัง Tornado Cash เพื่อผสมสกุลเงิน

ชื่อเรื่องรอง

20. MonoX Finance 31 ล้านเหรียญ

เมื่อวันที่ 30 พฤศจิกายน 2021 โปรโตคอลผู้สร้างตลาดอัตโนมัติ MonoX ถูกโจมตีโดยเงินกู้แบบแฟลช และมูลค่าประมาณ 31 ล้านดอลลาร์ของสกุลเงินดิจิทัลบน Ethereum และ Polygon ถูกแฮ็กเกอร์ขโมยไป

เป็นที่เข้าใจกันว่าผู้โจมตีใช้สัญญาแลกเปลี่ยนเพื่อดำเนินการ ดันราคาของ MONO ให้สูงขึ้นเป็นราคาที่สูง จากนั้นจึงใช้ MONO เพื่อซื้อสินทรัพย์อื่น ๆ ทั้งหมดในกลุ่ม

หลังจากนั้น ทีมงานโครงการระบุว่าจะออกโทเค็นหนี้ dMONO สำหรับทรัพย์สินที่ถูกขโมยทั้งหมดและใช้งาน dMONO vault จะใช้รายได้ของเราเพื่อซื้อ MONO คืนและส่ง MONO ไปยัง vault นี้ และผู้ถือ dMONO สามารถทำลายมันได้ทุกเมื่อโดย dMONO เข้ามาและเข้าซื้อกิจการ MONO เพื่อออกจาก vault แต่ถ้าผู้ใช้เลือกที่จะถอน dMONO ก่อนที่จะถึงมูลค่าที่เป็นหนี้ หมายความว่าหนี้ที่เหลืออยู่จะได้รับการยกโทษ

สถิติเพิ่มเติมแสดงให้เห็นว่าแม้ว่าการสูญเสียสะสมของเหตุการณ์ด้านความปลอดภัยเหล่านี้จะสูงถึงหลายพันล้านดอลลาร์ แต่ผู้ใช้ส่วนใหญ่ของโครงการที่ถูกขโมยได้รับการชดเชยอย่างเต็มที่สำหรับการสูญเสียของพวกเขา ในหมู่พวกเขา ทรัพย์สินที่ถูกขโมยของ Poly Network และ Secretswap ได้รับการกู้คืนทั้งหมด และ Wormhole และอีก 8 รายการ โครงการ การชดเชยในสกุลเงินเดิมได้รับการชำระโดยฝ่ายโครงการและโครงการที่เหลือส่วนใหญ่ได้รับการชำระโดยโครงการในรูปแบบของโทเค็นของตัวเอง อย่างไรก็ตาม เนื่องจากการลดลงของราคาโทเค็นจำนวนเงินชดเชยจริงจึงต่ำกว่าการสูญเสีย จำนวนเงิน มีเพียง Uranium Finance เท่านั้นที่ไม่ได้ชดเชยให้กับผู้ใช้

จากนี้จะเห็นได้ว่าการโจมตีของแฮ็กเกอร์ไม่ได้น่ากลัวอย่างที่คิดสิ่งสำคัญคือภูมิหลังของทรัพยากรของโครงการและความรับผิดชอบต่อผู้ใช้ ผู้ใช้ Crypto ควรให้ความสำคัญกับการเข้าร่วมในโครงการด้วยความแข็งแกร่งในขณะที่ยังคงระมัดระวัง เกี่ยวกับการดำเนินการด้านทุนใด ๆ ด้วยแพลตฟอร์มนี้กิจกรรมการลงทุนและการขุดที่เกี่ยวข้องจะดำเนินการภายในขอบเขตที่ยอมรับได้เองเพื่อความปลอดภัยของเงินทุน