รายงานประจำปีของ Beosin: สถานการณ์ความปลอดภัยของ Web3 Blockchain และนโยบายการกำกับดูแลอุตสาหกรรมการเข้ารหัสในปี 2023
ผู้เขียนต้นฉบับ: ทีมวิจัย Beosin Mario, Tian Daxia Donny
แหล่งที่มาดั้งเดิม:Beosin
คำนำ
รายงานการวิจัยนี้จัดทำโดยริเริ่มโดย Blockchain Security Alliance และร่วมสร้างโดยสมาชิกพันธมิตร Beosin, Web3 Xiaolu และ Elven โดยมีเป้าหมายที่จะสำรวจสถานการณ์ความปลอดภัยของบล็อกเชนทั่วโลกในปี 2566 และนโยบายการกำกับดูแลที่สำคัญในอุตสาหกรรมการเข้ารหัสอย่างครอบคลุมรายงานจะเปิดเผยความท้าทายและภัยคุกคามด้านความปลอดภัยในปัจจุบัน ตลอดจนมอบแนวทางแก้ไขและแนวปฏิบัติที่ดีที่สุดผ่านการวิเคราะห์และการประเมินสถานะปัจจุบันของการรักษาความปลอดภัยบล็อกเชนทั่วโลก ในเวลาเดียวกัน รายงานจะตรวจสอบจุดยืนและทิศทางนโยบายของรัฐบาลและหน่วยงานกำกับดูแลในประเทศต่างๆ เกี่ยวกับกฎระเบียบของอุตสาหกรรมการเข้ารหัส เพื่อช่วยให้ผู้อ่านเข้าใจถึงการเปลี่ยนแปลงแบบไดนามิกและผลกระทบที่อาจเกิดขึ้นจากสภาพแวดล้อมด้านกฎระเบียบ
จากรายงานนี้ ผู้อ่านจะสามารถเข้าใจวิวัฒนาการแบบไดนามิกของสถานการณ์ความปลอดภัยของบล็อกเชน Web3 และประเด็นหลักของนโยบายด้านกฎระเบียบได้อย่างครอบคลุมมากขึ้น สิ่งนี้จะช่วยให้ผู้อ่านประเมินและตอบสนองต่อความท้าทายด้านความปลอดภัยที่บล็อกเชนต้องเผชิญ และส่งเสริมการพัฒนาที่ยั่งยืนของอุตสาหกรรมในขณะเดียวกันก็ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ นอกจากนี้ ผู้อ่านยังสามารถรับคำแนะนำที่เป็นประโยชน์จากรายงานเกี่ยวกับมาตรการรักษาความปลอดภัย ข้อกำหนดด้านการปฏิบัติตามข้อกำหนด และทิศทางการพัฒนาอุตสาหกรรม เพื่อช่วยพวกเขาในการตัดสินใจอย่างมีข้อมูลและการดำเนินการในสาขาที่กำลังเกิดขึ้นนี้ ความปลอดภัยและการกำกับดูแลบล็อคเชนเป็นประเด็นสำคัญสำหรับการพัฒนายุค Web3 ด้วยการวิจัยและการอภิปรายเชิงลึก เราสามารถเข้าใจและตอบสนองต่อความท้าทายเหล่านี้ได้ดีขึ้น และส่งเสริมความปลอดภัยและการพัฒนาที่ยั่งยืนของเทคโนโลยีบล็อกเชน
1. ภาพรวมสถานการณ์ความปลอดภัยของ Web3 Blockchain ในปี 2566
ตามการตรวจสอบโดยแพลตฟอร์ม EagleEye ของบริษัทตรวจสอบความปลอดภัยบล็อกเชน Beosinในปี 2023 ความสูญเสียทั้งหมดที่เกิดจากการโจมตีของแฮ็กเกอร์ การหลอกลวงแบบฟิชชิ่ง และ Rug Pull ของฝ่ายโครงการในฟิลด์ Web3 มีมูลค่าสูงถึง 2.02 พันล้านดอลลาร์สหรัฐในจำนวนนี้มีการโจมตี 191 ครั้ง มูลค่าความเสียหายรวมประมาณ 1.397 พันล้านดอลลาร์สหรัฐ เหตุการณ์ Rug Pull 267 ครั้งที่เกี่ยวข้องกับฝ่ายต่างๆ ของโครงการ มูลค่าการสูญเสียรวมประมาณ 388 ล้านดอลลาร์สหรัฐ และการหลอกลวงแบบฟิชชิ่ง ซึ่งมีมูลค่าการสูญเสียรวมประมาณ 238 ล้านดอลลาร์สหรัฐ
ในปี 2023 การโจมตีของแฮ็กเกอร์ การหลอกลวงแบบฟิชชิ่ง และเหตุการณ์ Rug Pull ของฝ่ายโปรเจ็กต์ ลดลงอย่างมากเมื่อเทียบกับปี 2022 โดยยอดรวมลดลง 53.9%การโจมตีของแฮ็กเกอร์ลดลงมากที่สุดจาก 3.6 พันล้านดอลลาร์สหรัฐในปี 2565 เหลือ 1.397 พันล้านดอลลาร์สหรัฐในปี 2566 ซึ่งลดลงประมาณ 61.2% การสูญเสียการหลอกลวงแบบฟิชชิ่งลดลง 33.2% เมื่อเทียบกับปี 2022 และการสูญเสียการดึงพรมลดลง 8.8% เมื่อเทียบกับปี 2022
ในปี 2023 มีการโจมตี 4 ครั้งซึ่งสร้างความเสียหายเกิน 100 ล้านดอลลาร์สหรัฐ และการโจมตี 17 ครั้งซึ่งสร้างความเสียหายตั้งแต่ 10 ล้านดอลลาร์สหรัฐถึง 100 ล้านดอลลาร์สหรัฐการสูญเสียรวมของเหตุการณ์ด้านความปลอดภัย 10 อันดับแรกมีมูลค่าประมาณ 1 พันล้านดอลลาร์สหรัฐ คิดเป็น 71.5% ของจำนวนเหตุการณ์การโจมตีประจำปีทั้งหมด
ประเภทของโครงการที่ถูกโจมตีในปี 2566 จะครอบคลุมมากกว่าในปี 2565รวมถึง DeFi, CEX, DEX, เชนสาธารณะ, สะพานข้ามเชน, กระเป๋าเงิน, แพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, นายหน้าเข้ารหัส, โครงสร้างพื้นฐาน, ผู้จัดการรหัสผ่าน, เครื่องมือในการพัฒนา, หุ่นยนต์ MEV, หุ่นยนต์ TG และประเภทอื่น ๆ อีกมากมายDeFi เป็นประเภทโปรเจ็กต์ที่มีความถี่ในการโจมตีสูงสุดและมีการสูญเสียมากที่สุด การโจมตี DeFi 130 ครั้งทำให้เกิดการสูญเสียรวมประมาณ 408 ล้านเหรียญสหรัฐ
ประเภทของเครือข่ายสาธารณะที่การโจมตีจะเกิดขึ้นบ่อยขึ้นในปี 2566มีเหตุการณ์ด้านความปลอดภัยหลายครั้งที่เกี่ยวข้องกับการโจรกรรมบนเครือข่ายหลายเครือข่าย Ethereum ยังคงเป็นเครือข่ายสาธารณะที่มีปริมาณการสูญเสียมากที่สุด การโจมตี Ethereum 71 ครั้งทำให้เกิดการสูญเสีย 766 ล้านดอลลาร์สหรัฐ คิดเป็น 54.9% ของการสูญเสียทั้งหมดสำหรับปี
จากมุมมองของวิธีการโจมตีเหตุการณ์คีย์ส่วนตัวรั่ว 30 เหตุการณ์ทำให้เกิดการสูญเสียรวมประมาณ 627 ล้านเหรียญสหรัฐ คิดเป็น 44.9% ของการสูญเสียทั้งหมด เป็นวิธีการโจมตีที่ทำให้เกิดความสูญเสียมากที่สุดการแสวงหาประโยชน์จากช่องโหว่ตามสัญญาเป็นวิธีการโจมตีที่พบบ่อยที่สุด ในบรรดาการโจมตี 191 ครั้ง มี 99 ครั้งมาจากการแสวงหาประโยชน์จากช่องโหว่ตามสัญญา คิดเป็น 51.8%
เงินที่ถูกขโมยประมาณ 295 ล้านดอลลาร์สหรัฐได้รับการกู้คืนตลอดทั้งปี คิดเป็นประมาณ 21.1% เพิ่มขึ้นอย่างมากจากปี 2022เงินที่ถูกขโมยประมาณ 330 ล้านดอลลาร์ถูกโอนไปยังเครื่องผสมเหรียญตลอดทั้งปี คิดเป็น 23.6% ของเงินที่ถูกขโมยทั้งหมด
แตกต่างจากการโจมตีด้วยการแฮ็กแบบออนไลน์ การหลอกลวงแบบฟิชชิ่ง และจำนวนการดึงโปรเจ็กต์ที่ลดลงอย่างมาก ข้อมูลอาชญากรรมในฟิลด์การเข้ารหัสแบบออฟไลน์จะเพิ่มขึ้นอย่างมีนัยสำคัญในปี 2566 ในปี 2566 จำนวนอาชญากรรมในอุตสาหกรรมการเข้ารหัสทั่วโลกสูงถึง 65.688 พันล้านดอลลาร์สหรัฐ เพิ่มขึ้นประมาณ 377% จาก 13.76 พันล้านดอลลาร์สหรัฐในปี 2565อาชญากรรมสามประเภทยอดนิยมที่เกี่ยวข้องกับจำนวนเงิน ได้แก่ การพนันออนไลน์ การฟอกเงิน และการฉ้อโกง
2. เหตุการณ์ความปลอดภัยสิบอันดับแรกในระบบนิเวศ Web3 ในปี 2023
ในปี 2023 มีการโจมตี 4 ครั้งซึ่งสร้างความเสียหายเกิน 100 ล้านดอลลาร์สหรัฐ ได้แก่ Mixin Network (200 ล้านดอลลาร์สหรัฐ), Euler Finance (197 ล้านดอลลาร์สหรัฐ), Poloniex (126 ล้านดอลลาร์สหรัฐ) และ HTX Heco Bridge (110 ล้านดอลลาร์สหรัฐ) การสูญเสียรวมของเหตุการณ์ด้านความปลอดภัย 10 อันดับแรกมีมูลค่าประมาณ 1 พันล้านดอลลาร์สหรัฐ คิดเป็น 71.5% ของจำนวนเหตุการณ์การโจมตีประจำปีทั้งหมด
No.1 Mixin Network
มูลค่าความเสียหาย: 200 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การโจมตีฐานข้อมูลผู้ให้บริการคลาวด์
ในช่วงเช้าตรู่ของวันที่ 23 กันยายน ฐานข้อมูลผู้ให้บริการคลาวด์ Mixin Network ถูกแฮกเกอร์โจมตี ส่งผลให้เกิดการสูญเสียทรัพย์สินบางส่วนบนเครือข่ายหลัก ซึ่งมีมูลค่าประมาณ 200 ล้านดอลลาร์สหรัฐ เมื่อวันที่ 25 กันยายน ผู้ก่อตั้ง Mixin อธิบายเหตุการณ์ดังกล่าวต่อสาธารณะในการถ่ายทอดสดโดยกล่าวว่าทรัพย์สินที่เสียหายส่วนใหญ่เป็นทรัพย์สินหลักของ Bitcoin และทรัพย์สินเช่น BOX และ XIN ไม่ได้ถูกขโมยอย่างจริงจัง สถานการณ์การโจมตีเฉพาะ ยังไม่สามารถเปิดเผยได้
No.2 Euler Finance
มูลค่าความเสียหาย: 197 ล้านเหรียญสหรัฐ
วิธีการโจมตี: ช่องโหว่ของสัญญา - ปัญหาตรรกะทางธุรกิจ
เมื่อวันที่ 13 มีนาคม โปรโตคอลการให้ยืม DeFi Euler Finance ถูกโจมตี ส่งผลให้สูญเสียเงินประมาณ 197 ล้านดอลลาร์สหรัฐ สาเหตุของการโจมตีคือสัญญาไม่ได้ตรวจสอบจำนวนโทเค็นที่ผู้ใช้ถืออยู่จริงและสุขภาพของบัญชีแยกประเภทของผู้ใช้หลังจากการบริจาคไม่ถูกต้อง เงินที่ถูกขโมยทั้งหมดในเหตุการณ์นี้ถูกส่งคืนโดยผู้โจมตี
No.3 Poloniex./a>
มูลค่าความเสียหาย: 126 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว/การโจมตี APT
No.4 HTX & Heco Bridge
มูลค่าความเสียหาย: 110 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว
เมื่อวันที่ 22 พฤศจิกายน ตลาดแลกเปลี่ยน HTX และสะพานข้ามสายโซ่ Heco Bridge ของ Justin Sun ถูกแฮกเกอร์โจมตี ส่งผลให้สูญเสียมูลค่ารวม 110 ล้านเหรียญสหรัฐ โดย Heco Bridge สูญเสียเงิน 86.6 ล้านเหรียญสหรัฐ และ HTX สูญเสียเงินประมาณ 23.4 ล้านเหรียญสหรัฐ
No.5 Curve/ Vyper
มูลค่าความเสียหาย: 73 ล้านเหรียญสหรัฐ
วิธีการโจมตี: ช่องโหว่ของสัญญา - กลับคืนสู่สภาพเดิม
ในช่วงเช้าตรู่ของวันที่ 31 กรกฎาคม ภาษาโปรแกรม Ethereum Vyper ทวีตว่า Vyper เวอร์ชัน 0.2.15, 0.2.16 และ 0.3.0 มีช่องโหว่ในการล็อคการกลับเข้าซ้ำ และ ETH ดั้งเดิมสามารถปรับการโทรกลับระหว่างการถ่ายโอน ส่งผลให้กลุ่ม lp ของ กลุ่ม ETH สามารถถูกโจมตีได้โดยการกลับเข้ามาใหม่ จากนั้น Twitter อย่างเป็นทางการของ Curve ได้โพสต์ว่ากลุ่มเหรียญ stablecoin จำนวนมาก (alETH/msETH/pETH) ที่ใช้ Vyper 0.2.15 ถูกโจมตีเนื่องจากความล้มเหลวในการล็อกการกลับเข้าใหม่ ความสูญเสียในเหตุการณ์นี้มีมูลค่าประมาณ 73 ล้านดอลลาร์สหรัฐ
No.6 CoinEx
มูลค่าความเสียหาย: 70 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว/การโจมตี APT
เมื่อวันที่ 12 กันยายน ตลาดแลกเปลี่ยน crypto CoinEX ออกแถลงการณ์ระบุว่าระบบควบคุมความเสี่ยงตรวจพบกิจกรรมการถอนเงินขนาดใหญ่ที่น่าสงสัยในกระเป๋าเงินร้อนที่ใช้ในการจัดเก็บสินทรัพย์การซื้อขายของแพลตฟอร์มชั่วคราวและมีการจัดตั้งทีมพิเศษขึ้นทันทีเพื่อเข้าไปแทรกแซง ปัญหาหลักในเรื่องนี้ เหตุการณ์ที่เกี่ยวข้องกับสินทรัพย์โทเค็นเช่น ETH, TRON และ Polygon จำนวนเงินที่ถูกขโมยไปอยู่ที่ประมาณ 70 ล้านดอลลาร์สหรัฐ
No.7 Atomic Wallet
มูลค่าความเสียหาย: 67 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว/การโจมตี APT
การตรวจสอบความเสี่ยงด้านความปลอดภัย EagleEye ของ Beosin การเตือนล่วงหน้า และการบล็อกแพลตฟอร์ม พบว่า Atomic Wallet ถูกโจมตีเมื่อต้นเดือนมิถุนายน ตามสถิติของทีม Beosin เมื่อพิจารณาจากข้อมูลรายงานเหยื่อที่ทราบในเครือข่าย พบว่า การสูญเสียที่เกิดจากการโจมตีครั้งนี้มีอย่างน้อย ประมาณ 67 ล้านเหรียญสหรัฐ .
No.8 Alphapo
มูลค่าความเสียหาย: 60 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว/การโจมตี APT
เมื่อวันที่ 23 กรกฎาคม กระเป๋า hot wallet ของผู้ให้บริการชำระเงิน cryptocurrency Alphapo ถูกขโมย ส่งผลให้สูญเสียเงินทั้งหมด 60 ล้านเหรียญสหรัฐ เหตุการณ์นี้ดำเนินการโดยกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ Lazarus
No.9 KyberSwap
มูลค่าความเสียหาย: 54.7 ล้านเหรียญสหรัฐ
วิธีการโจมตี: ช่องโหว่ของสัญญา - ปัญหาตรรกะทางธุรกิจ
เมื่อวันที่ 22 พฤศจิกายน โครงการ DEX KyberSwap ถูกโจมตี ทำให้เกิดการสูญเสียรวมประมาณ 54.7 ล้านเหรียญสหรัฐ Kyber Network ระบุว่าการโจมตีด้วยการแฮ็กนี้เป็นหนึ่งในการโจมตีที่ซับซ้อนที่สุดในประวัติศาสตร์ของ DeFi และผู้โจมตีจำเป็นต้องดำเนินการแบบออนไลน์ที่แม่นยำเพื่อใช้ประโยชน์จากช่องโหว่
No.10 Stake.com
มูลค่าความเสียหาย: 41.3 ล้านดอลลาร์
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว/การโจมตี APT
เมื่อวันที่ 4 กันยายน แพลตฟอร์มการพนัน crypto Stake.com ประสบกับการโจมตีของแฮกเกอร์ หลังจากการโจมตี Stake.com ระบุว่ามีการทำธุรกรรมที่ไม่ได้รับอนุญาตเกิดขึ้นในกระเป๋าเงินร้อนบน ETH และ BSC และกำลังตรวจสอบและจะดำเนินการฝากและถอนเงินต่อทันทีที่กระเป๋าเงินได้รับการรักษาความปลอดภัยอีกครั้งโดยสมบูรณ์ เหตุการณ์นี้ดำเนินการโดยกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ Lazarus
3. ประเภทของโครงการที่ถูกโจมตี
เมื่อเทียบกับปี 2565 ประเภทของโครงการที่ถูกโจมตีในปี 2566 นั้นครอบคลุมมากกว่า และจำนวนความเสียหายไม่ได้มุ่งเน้นไปที่บางประเภทโครงการอีกต่อไป นอกเหนือจากประเภททั่วไป เช่น DeFi, CEX, DEX, เชนสาธารณะ, สะพานข้ามโซ่ และกระเป๋าสตางค์แล้ว การโจมตีของแฮ็กเกอร์ในปี 2566 ยังจะปรากฏบนแพลตฟอร์มการชำระเงิน แพลตฟอร์มการพนัน โบรกเกอร์เข้ารหัสลับ โครงสร้างพื้นฐาน ผู้จัดการรหัสผ่าน เครื่องมือการพัฒนา และ หุ่นยนต์ MEV , หุ่นยนต์ TG และโครงการประเภทอื่นๆ
ในบรรดาการโจมตี 191 ครั้งในปี 2566โปรเจ็กต์ DeFi คิดเป็น 130 เท่า (ประมาณ 68%) ทำให้เป็นโปรเจ็กต์ประเภทที่ถูกโจมตีมากที่สุดการสูญเสียทั้งหมดจากการโจมตี DeFi มีมูลค่าประมาณ 408 ล้านดอลลาร์สหรัฐ คิดเป็น 29.2% ของการสูญเสียทั้งหมด นอกจากนี้ยังเป็นประเภทโครงการที่มีการขาดทุนมากที่สุด
การสูญเสียครั้งใหญ่เป็นอันดับสองคือ CEX (การแลกเปลี่ยนแบบรวมศูนย์) โดยมีการโจมตี 9 ครั้งทำให้เกิดการสูญเสียรวม 275 ล้านดอลลาร์สหรัฐ นอกจากนี้ ยังมีการโจมตี 16 ครั้งในรูปแบบ DEX (การแลกเปลี่ยนแบบกระจายอำนาจ) ส่งผลให้สูญเสียมูลค่ารวมประมาณ 85.68 ล้านดอลลาร์สหรัฐ เมื่อนำมารวมกัน ประเภทการแลกเปลี่ยนจะประสบกับเหตุการณ์ด้านความปลอดภัยบ่อยครั้งในปี 2023 และความปลอดภัยของการแลกเปลี่ยนถือเป็นความท้าทายที่ใหญ่เป็นอันดับสองรองจากความปลอดภัยของ DeFi
จำนวนการสูญเสียที่ใหญ่ที่สุดเป็นอันดับสามคือเครือข่ายสาธารณะจำนวนความเสียหายอยู่ที่ประมาณ 208 ล้านดอลลาร์สหรัฐ สาเหตุหลักมาจากการขโมย Mixin Network มูลค่า 200 ล้านดอลลาร์สหรัฐ
ในปี 2023 การสูญเสียสะพานข้ามสายโซ่อยู่ในอันดับที่สี่ คิดเป็นประมาณ 7% ของการสูญเสียทั้งหมดในปี 2022 เหตุการณ์ด้านความปลอดภัยของสะพานข้ามสายโซ่ 12 ครั้งทำให้เกิดการสูญเสียรวมประมาณ 1.89 พันล้านดอลลาร์สหรัฐ คิดเป็น 52.5% ของการสูญเสียทั้งหมดในปีนั้น การลดลงอย่างมากในเหตุการณ์ด้านความปลอดภัยของสะพานข้ามสายโซ่ในปี 2566
อันดับที่ 5 คือแพลตฟอร์มการชำระเงิน cryptoเหตุการณ์ด้านความปลอดภัยสองครั้ง (Alphapo และ CoinsPaid) ส่งผลให้เกิดการสูญเสียรวมประมาณ 97.3 ล้านเหรียญสหรัฐ แฮกเกอร์ที่อยู่เบื้องหลังเหตุการณ์ทั้งสองชี้ไปที่องค์กร APT ของเกาหลีเหนือ Lazarus
4. จำนวนการสูญเสียในแต่ละห่วงโซ่
เมื่อเทียบกับปี 2022 ประเภทของเครือข่ายสาธารณะที่มีการโจมตีเกิดขึ้นในปี 2023 ก็กว้างขวางกว่าเช่นกัน สาเหตุหลักมาจากข้อเท็จจริงที่ว่าคีย์ส่วนตัว CEX รั่วหลายครั้งในปี 2023 ทำให้เกิดการสูญเสียเครือข่ายหลายเครือข่ายห้าอันดับแรกในแง่ของจำนวนการสูญเสีย ได้แก่ Ethereum, Mixin, HECO, BNB Chain และ TRON ห้าอันดับแรกในแง่ของจำนวนเหตุการณ์การโจมตี ได้แก่ BNB Chain, Ethereum, Arbitrum, Polygon, Optimism และ Avalanche (เสมอกันอันดับที่ห้า) ).
เช่นเดียวกับในปี 2022 Ethereum ยังคงเป็นเครือข่ายสาธารณะที่มีการขาดทุนมากที่สุด การโจมตี 71 ครั้งบน Ethereum ทำให้เกิดการสูญเสียมูลค่า 766 ล้านดอลลาร์ คิดเป็น 54.9% ของการสูญเสียทั้งหมดสำหรับปีนี้
การสูญเสียเครือ Mixin อยู่ในอันดับที่สอง โดยความสูญเสียจากเหตุการณ์ด้านความปลอดภัยเพียงครั้งเดียวมีมูลค่าสูงถึง 200 ล้านดอลลาร์สหรัฐ อันดับที่ 3 ได้แก่ HECO โดยขาดทุนประมาณ 92.6 ล้านดอลลาร์
มีการโจมตี 76 ครั้งบน BNB Chain คิดเป็น 39.8% ของจำนวนการโจมตีทั้งหมด ซึ่งเป็นจำนวนการโจมตีสูงสุดในบรรดาแพลตฟอร์มลูกโซ่ทั้งหมด การสูญเสียรวมของ BNB Chain อยู่ที่ประมาณ 70.81 ล้านดอลลาร์สหรัฐ และเหตุการณ์ส่วนใหญ่ (88%) นั้นกระจุกตัวอยู่ต่ำกว่า 1 ล้านดอลลาร์สหรัฐ
5. การวิเคราะห์เทคนิคการโจมตี
เมื่อเทียบกับปี 2022 วิธีการโจมตีในปี 2023 จะมีความหลากหลายมากขึ้น โดยเฉพาะวิธีการโจมตี Web2 ที่หลากหลายจะเพิ่มเข้ามา ได้แก่:การโจมตีฐานข้อมูล, การโจมตีห่วงโซ่อุปทาน, การโจมตีผู้ให้บริการบุคคลที่สาม, การโจมตีแบบแทรกกลาง, การโจมตี DNS, การโจมตีส่วนหน้า ฯลฯ
ในปี 2023 เหตุการณ์การรั่วไหลของคีย์ส่วนตัว 30 ครั้งทำให้เกิดการสูญเสียรวม 627 ล้านดอลลาร์สหรัฐ คิดเป็น 44.9% ของการสูญเสียทั้งหมด ทำให้เป็นวิธีการโจมตีที่ทำให้เกิดการสูญเสียมากที่สุด การรั่วไหลของคีย์ส่วนตัวที่ทำให้เกิดการสูญเสียครั้งใหญ่ ได้แก่ Poloniex (126 ล้านดอลลาร์สหรัฐ), HTX Heco Bridge (110 ล้านดอลลาร์สหรัฐ), CoinEx (70 ล้านดอลลาร์สหรัฐ), Atomic Wallet (67 ล้านดอลลาร์สหรัฐ) และ Alphapo (60 ล้านดอลลาร์สหรัฐ)เหตุการณ์เหล่านี้ส่วนใหญ่เกี่ยวข้องกับ Lazarus ซึ่งเป็นองค์กร APT ของเกาหลีเหนือ
การแสวงหาประโยชน์จากช่องโหว่ตามสัญญาเป็นวิธีการโจมตีที่พบบ่อยที่สุด ในบรรดาการโจมตี 191 ครั้ง มี 99 ครั้งมาจากการแสวงหาประโยชน์จากช่องโหว่ตามสัญญา คิดเป็น 51.8% ความสูญเสียทั้งหมดที่เกิดจากช่องโหว่ของสัญญาอยู่ที่ 430 ล้านดอลลาร์สหรัฐ ซึ่งอยู่ในอันดับที่สองในแง่ของจำนวนการสูญเสีย
โดยแบ่งตามช่องโหว่ที่เกิดขึ้นบ่อยที่สุดและก่อให้เกิดการสูญเสียมากที่สุดคือช่องโหว่ของตรรกะทางธุรกิจ ประมาณ 72.7% ของการสูญเสียในเหตุการณ์ช่องโหว่ของสัญญามาจากช่องโหว่ของตรรกะทางธุรกิจขาดทุนรวมประมาณ 313 ล้านดอลลาร์สหรัฐ ช่องโหว่ของสัญญาที่มีจำนวนการสูญเสียสูงสุดเป็นอันดับสองคือการกลับเข้าใหม่ โดยมีช่องโหว่ในการกลับเข้าใหม่ 13 รายการ ทำให้เกิดการสูญเสียประมาณ 93.47 ล้านดอลลาร์สหรัฐ
6. การวิเคราะห์เทคนิคการโจมตีในกรณีทั่วไป
6.1 เหตุการณ์ความมั่นคงทางการเงินของออยเลอร์
สรุปเหตุการณ์
เมื่อวันที่ 13 มีนาคม Euler Finance ซึ่งเป็นโครงการให้กู้ยืมบนเครือข่าย Ethereum ถูกโจมตีโดยสินเชื่อแฟลช ทำให้เกิดการสูญเสียมูลค่า 197 ล้านดอลลาร์สหรัฐ
เมื่อวันที่ 16 มีนาคม มูลนิธิออยเลอร์เสนอรางวัล 1 ล้านดอลลาร์สำหรับข้อมูลที่นำไปสู่การจับกุมแฮกเกอร์และการคืนเงินที่ถูกขโมยไป
เมื่อวันที่ 17 มีนาคม Michael Bentley ซีอีโอของ Euler Labs ทวีตว่า Euler “เป็นโครงการที่คำนึงถึงความปลอดภัยมาโดยตลอด” ตั้งแต่เดือนพฤษภาคม 2564 ถึงกันยายน 2565 Euler Finance ได้รับการตรวจสอบ 10 ครั้งโดยบริษัทรักษาความปลอดภัยบล็อกเชน 6 แห่ง รวมถึง Halborn, Solidified, ZK Labs, Certora, Sherlock และ Omnisica
เริ่มตั้งแต่วันที่ 18 มีนาคมถึง 4 เมษายน ผู้โจมตีเริ่มคืนเงินทีละคน ในช่วงเวลานี้ คนร้ายได้ขอโทษผ่านข้อความบนเครือข่าย โดยระบุว่าเขาได้ รบกวนเงินของผู้อื่น งานของผู้อื่น และชีวิตของผู้อื่น และขอการอภัยจากทุกคน
เมื่อวันที่ 4 เมษายน Euler Labs ทวีตว่าคนร้ายได้คืนเงินที่ถูกขโมยทั้งหมดคืนหลังจากการเจรจาประสบความสำเร็จ
การวิเคราะห์ช่องโหว่
ในการโจมตีครั้งนี้ ฟังก์ชัน donateToReserves ของสัญญา Etoken ไม่ได้ตรวจสอบจำนวนโทเค็นที่ผู้ใช้ถืออยู่จริงและสถานะสุขภาพของบัญชีแยกประเภทของผู้ใช้หลังจากการบริจาคไม่ถูกต้อง ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้และบริจาค eDAI จำนวน 100 ล้าน eDAI ในขณะที่ผู้โจมตีวางเดิมพันเพียง 30 ล้าน DAI เท่านั้น
เนื่องจากสถานะความสมบูรณ์ของบัญชีแยกประเภทของผู้ใช้ตรงตามเงื่อนไขการชำระบัญชีหลังจากการบริจาค สัญญาเงินกู้จึงถูกทริกเกอร์สำหรับการชำระบัญชี ในระหว่างกระบวนการชำระบัญชี eDAI และ dDAI จะถูกโอนไปยังสัญญาการชำระบัญชี อย่างไรก็ตาม เนื่องจากจำนวนหนี้เสียมีจำนวนมาก สัญญาการชำระบัญชีจึงจะใช้ส่วนลดสูงสุดสำหรับการชำระบัญชี หลังจากการชำระบัญชี สัญญาการชำระบัญชีจะมี 310.93 M eDAI และ 259.31 M dDAI
ณ จุดนี้ ความสมบูรณ์ของบัญชีแยกประเภทของผู้ใช้ได้รับการกู้คืนแล้ว และผู้ใช้สามารถถอนเงินได้ จำนวนเงินที่สามารถถอนออกได้คือความแตกต่างระหว่าง eDAI และ dDAI แต่จริงๆ แล้วมี DAI อยู่ในพูลเพียง 38.9 ล้านเท่านั้น ดังนั้นผู้ใช้สามารถถอนเงินจำนวนนี้ได้เท่านั้น
6.2 เหตุการณ์ความปลอดภัยของ Vyper/Curve
สรุปเหตุการณ์
เมื่อวันที่ 31 กรกฎาคม ภาษาโปรแกรม Ethereum Vyper ทวีตว่า Vyper เวอร์ชัน 0.2.15, 0.2.16 และ 0.3.0 มีช่องโหว่ในการล็อคการกลับเข้าซ้ำ Curve ระบุว่ากลุ่มเหรียญ stablecoin หลายแห่ง (CRV/alETH/msETH/pETH) ที่ใช้ Vyper 0.2.15 ถูกโจมตี โดยสูญเสียมูลค่ารวม 73 ล้านเหรียญสหรัฐ และแฮกเกอร์ส่งคืนประมาณ 52.3 ล้านเหรียญสหรัฐในภายหลัง
การวิเคราะห์ช่องโหว่
การโจมตีนี้ส่วนใหญ่เกิดจากความล้มเหลวของการล็อคป้องกันการกลับซ้ำของ Vyper 0.2.15 เมื่อผู้โจมตีเรียกใช้ฟังก์ชัน Remove_liquidity ของกลุ่มสภาพคล่องที่เกี่ยวข้องเพื่อลบสภาพคล่องเขาจะเพิ่มสภาพคล่องโดยการกลับเข้าสู่ฟังก์ชัน add_liquidity อีกครั้ง เนื่องจากการอัพเดตสมดุลคือ ไม่ได้ดำเนินการในระหว่างการกลับรายการ ฟังก์ชัน add_liquidity ทำให้เกิดข้อผิดพลาดในการคำนวณราคา
7. การวิเคราะห์และทบทวนเหตุการณ์ต่อต้านการฟอกเงินโดยทั่วไป
7.1 คดีโจรกรรมกระเป๋าสตางค์ Atomic Wallet
ตามการติดตามความเสี่ยงด้านความปลอดภัย EagleEye ของ Beosin แพลตฟอร์มการเตือนล่วงหน้าและการบล็อก Atomic Wallet ถูกโจมตีเมื่อต้นเดือนมิถุนายนปีนี้ ตามสถิติของทีม Beosin เมื่อพิจารณาจากข้อมูลการรายงานเหยื่อที่ทราบบนเครือข่าย การโจมตีดังกล่าวทำให้สูญเสีย ขั้นต่ำประมาณ 6,700 หยวน หนึ่งหมื่นดอลลาร์สหรัฐ
จากการวิเคราะห์ของทีม Beosin พบว่ามีเครือข่ายทั้งหมด 21 เครือข่ายที่เกี่ยวข้องกับเหตุการณ์การโจรกรรมนี้ รวมถึง BTC, ETH และ TRX เงินที่ถูกขโมยส่วนใหญ่กระจุกตัวอยู่ที่เครือข่าย Ethereum ใน:
Ethereum chain ระบุว่าเงินที่ถูกขโมยนั้นเป็นสกุลเงินเสมือนมูลค่า 16,262 ETH หรือประมาณ 30 ล้านดอลลาร์
กองทุนที่ถูกขโมยของ TRON Chain คือ 251335387.3208 TRX มูลค่าของสกุลเงินเสมือน ซึ่งมีมูลค่าประมาณ 17 ล้านเหรียญสหรัฐ
กองทุนที่ถูกขโมยที่ทราบของเครือข่าย BTC มีมูลค่าสกุลเงินเสมือน 420.882 BTC เทียบเท่ากับ 12.6 ล้านดอลลาร์
BSC Chain กองทุนที่ถูกขโมยที่ทราบของ BSC Chain คือมูลค่าสกุลเงินเสมือนมูลค่า 40.206266 BNB
ส่วนที่เหลือของห่วงโซ่
มาดูตัวอย่างการฟอกเงินบนเครือข่าย Ethereum กัน
เมื่อแฮกเกอร์ดำเนินการกับเงินที่ถูกขโมยไป มีสองวิธีหลักที่ Ethereum จะถูกโจมตี:
ใช้ Avalanche เพื่อฟอกเงินข้ามเครือข่ายหลังจากกระจายไปตามสัญญา
ตามการวิเคราะห์ของทีม Beosin แฮกเกอร์จะแลกเปลี่ยนเหรียญอันมีค่าในกระเป๋าเงินเป็นสกุลเงินหลักของเครือข่ายสาธารณะก่อน จากนั้นจึงรวมเข้าด้วยกันผ่านสัญญาสองฉบับ
ที่อยู่สัญญาจะรวม ETH ไว้ใน WETH ผ่านการถ่ายโอนสองชั้น จากนั้นโอน WETH ไปยังสัญญาที่ใช้ในการกระจาย ETH และโอนไปยังที่อยู่กระเป๋าเงินของ Avalanche สำหรับ Cross Bridge ผ่านการถ่ายโอนสูงสุด 5 ชั้นสำหรับการดำเนินการข้ามสายโซ่ ธุรกรรมลูกโซ่ไม่ได้ใช้สัญญาและเป็นของประเภทธุรกรรมการบัญชีภายในของ Avalanche
แผนภาพลิงค์ Ethereum เป็นดังนี้:
การบรรจบกันประมาณ 1:
0xe07e2153542eb4b768b4d73081143c90d25f1d58 เกี่ยวข้องกับทั้งหมด 3357.0201 ETH
เปลี่ยนเป็น WETH และโอนเป็นสัญญา 0x3c3ed2597b140f31241281523952e936037cbed3
แผนที่รายละเอียดเส้นทางการขายของที่ถูกขโมยมีดังนี้
การรวมกลุ่ม 2: 0x7417b428f597648d1472945ff434c395cca73245 เกี่ยวข้องกับทั้งหมด 3,009.8874 ETH
แฮกเกอร์เปลี่ยนเป็น WETH แล้วโอนไปที่สัญญา 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0
แผนที่รายละเอียดเส้นทางการขายของที่ถูกขโมยมีดังนี้
สัญญาการรวมสองฉบับได้รับการยืนยันโดยการยอมรับแหล่งที่มาของค่าธรรมเนียม และไม่มีที่อยู่พฤติกรรมการทำธุรกรรมซ่อนอยู่ เส้นทางค่าธรรมเนียมการจัดการมีดังนี้:
นอกจากนี้ แฮกเกอร์ยังฟอกเงินผ่านโปรโตคอลและการแลกเปลี่ยนข้ามเชนบริดจ์ต่างๆ บนเครือข่าย Ethereum จำนวนเงินปัจจุบันที่เกี่ยวข้องกับส่วนนี้คือ 9896 ETH และส่วนนี้จะถูกรวบรวมผ่านที่อยู่คอลเลกชันหลายแห่ง
ตลอดเหตุการณ์ที่เกิดขึ้น มีหลายช่องทางให้แฮกเกอร์ฟอกเงิน โดยส่วนใหญ่ผ่านบัญชีแลกเปลี่ยนต่าง ๆ ขณะเดียวกัน ฟอกเงินโดยตรงในสัญญาสะพานข้ามเครือข่าย สำหรับการวิเคราะห์การไหลของเงินทุนในเครือข่ายอื่นๆ โปรดคลิกที่นี่:การขโมยกระเป๋าเงินที่เกี่ยวข้องกับเงินอย่างน้อย 60 ล้านเหรียญสหรัฐ BeosinKYT จะนำคุณเข้าสู่กิจวัตรการฟอกเงินของแฮกเกอร์
กรณีศึกษาเกี่ยวกับการต่อต้านการฟอกเงินอื่นๆ:
8. การวิเคราะห์กระแสเงินทุนของทรัพย์สินที่ถูกขโมย
จากเงินที่ถูกขโมยตลอดปี 2566 ประมาณ 723 ล้านดอลลาร์สหรัฐยังคงอยู่ในที่อยู่ของแฮ็กเกอร์ (รวมถึงการโอนผ่านเครือข่ายข้ามและการกระจายไปยังที่อยู่หลายแห่ง) คิดเป็น 51.8% ของเงินที่ถูกขโมยทั้งหมด เมื่อเทียบกับปีที่แล้ว ในปีนี้แฮกเกอร์มีแนวโน้มที่จะใช้ cross-chain หลายอันเพื่อฟอกเงินและกระจายเงินที่ถูกขโมยไปยังที่อยู่หลายแห่ง ที่อยู่ที่เพิ่มขึ้นและความซับซ้อนของเส้นทางการฟอกเงินจะทำให้การสอบสวนยากขึ้นสำหรับฝ่ายโครงการและหน่วยงานกำกับดูแลอย่างไม่ต้องสงสัย
กองทุนที่ถูกขโมยไปประมาณ 295 ล้านดอลลาร์สหรัฐถูกกู้คืนได้ คิดเป็นประมาณ 21.1% ในปี 2565 กองทุนจะได้รับคืนเพียง 8% เท่านั้น การเรียกคืนเงินที่ถูกขโมยในปี 2566 นั้นดีกว่าปี 2565 อย่างมาก โดยส่วนใหญ่มาจากผลตอบแทนที่ได้รับจากการเจรจาออนไลน์
เงินที่ถูกขโมยประมาณ 330 ล้านดอลลาร์สหรัฐถูกโอนไปยังเครื่องมือผสมสกุลเงินตลอดทั้งปี (ประมาณ 71.16 ล้านดอลลาร์สหรัฐถูกโอนไปยัง Tornado Cash และอีก 259 ล้านดอลลาร์สหรัฐถูกโอนไปยังแพลตฟอร์มผสมสกุลเงินอื่น ๆ) คิดเป็น 23.6% ของเงินที่ถูกขโมยทั้งหมด สัดส่วนนี้ลดลงอย่างมากจาก 38.7% ในปีที่แล้ว นับตั้งแต่ OFAC ของสหรัฐอเมริกาคว่ำบาตร Tornado Cash ในเดือนสิงหาคม 2022 จำนวนเงินที่ถูกขโมยที่โอนไปยัง Tornado Cash ได้ลดลงอย่างมาก และถูกแทนที่ด้วยการเพิ่มขึ้นของการใช้แพลตฟอร์มผสมสกุลเงินอื่น ๆ เช่น Sinbad, FixedFloat เป็นต้น ในเดือนพฤศจิกายน 2023 US OFAC ได้เพิ่ม Sinbad เข้าไปในรายการคว่ำบาตร โดยเรียกสิ่งนี้ว่า เครื่องมือหลักในการฟอกเงินขององค์กร Lazarus ของเกาหลีเหนือ
นอกจากนี้ เงินที่ถูกขโมยจำนวนเล็กน้อย ($12.79 ล้าน) ได้ถูกโอนไปยังการแลกเปลี่ยน และเงินที่ถูกขโมยจำนวนเล็กน้อย ($10.9 ล้าน) ถูกแช่แข็ง
9. การวิเคราะห์สถานการณ์การตรวจสอบโครงการ
ในบรรดาเหตุการณ์การโจมตี 191 เหตุการณ์ กลุ่มโครงการของเหตุการณ์ 79 เหตุการณ์ยังไม่ได้รับการตรวจสอบ และกลุ่มโครงการของเหตุการณ์ 101 เหตุการณ์ได้รับการตรวจสอบ สัดส่วนของฝ่ายโครงการที่ได้รับการตรวจสอบในปีนี้สูงกว่าปีที่แล้วเล็กน้อย (สัดส่วนของโครงการที่ได้รับการตรวจสอบ/ยังไม่ได้ตรวจสอบในปีที่แล้วค่อนข้างเท่าเดิม)
ในบรรดาโครงการ 79 โครงการที่ไม่ได้รับการตรวจสอบ เหตุการณ์ช่องโหว่ของสัญญาคิดเป็น 47 กรณี (59.5%) สิ่งนี้ชี้ให้เห็นว่าโปรเจ็กต์ที่ไม่มีการตรวจสอบจะเสี่ยงต่อความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้มากกว่าในการเปรียบเทียบ เหตุการณ์ช่องโหว่ของสัญญาคิดเป็น 51 (50.5%) จากโครงการที่ได้รับการตรวจสอบ 101 โครงการ นี่แสดงให้เห็นว่าการตรวจสอบสามารถปรับปรุงความปลอดภัยของโครงการได้ในระดับหนึ่ง
อย่างไรก็ตาม เนื่องจากขาดมาตรฐานการกำกับดูแลที่สมบูรณ์ในตลาด Web3 คุณภาพการตรวจสอบจึงไม่สมดุล และผลลัพธ์สุดท้ายยังห่างไกลจากที่คาดไว้ เพื่อให้มั่นใจในความปลอดภัยของทรัพย์สินได้อย่างมีประสิทธิภาพ ขอแนะนำให้โครงการต้องหาบริษัทรักษาความปลอดภัยมืออาชีพเพื่อทำการตรวจสอบก่อนที่จะออนไลน์ในฐานะบริษัทรักษาความปลอดภัยบล็อกเชนชั้นนำของโลก Beosin มุ่งมั่นที่จะพัฒนาระบบนิเวศ Web3 อย่างปลอดภัย และได้ตรวจสอบสัญญาอัจฉริยะและเครือข่ายหลักสาธารณะมากกว่า 3,000 รายการ รวมถึง PancakeSwap, Ronin Network, OKCSwap เป็นต้นในฐานะบริษัทรักษาความปลอดภัยบล็อกเชนที่น่าเชื่อถือ Beosin สามารถให้บริการตรวจสอบความปลอดภัยที่ยอดเยี่ยมแก่ฝ่ายโครงการได้
10. การวิเคราะห์การดึงพรม
ในปี 2023 แพลตฟอร์ม EagleEye ของ Beosin ได้ติดตามเหตุการณ์ Rug Pull ในระบบนิเวศ Web3 ทั้งหมด 267 ครั้ง โดยมีมูลค่ารวมประมาณ 388 ล้านดอลลาร์สหรัฐ ลดลงประมาณ 8.7% จากปี 2022
ในแง่ของจำนวนเงิน 233 ครั้ง (87%) จากเหตุการณ์ Rug Pull 267 ครั้งมีมูลค่าน้อยกว่า 1 ล้านเหรียญสหรัฐ ซึ่งเป็นสัดส่วนโดยประมาณกับในปี 2022 มี 4 โครงการที่เกี่ยวข้องกับเงินมากกว่า 10 ล้านเหรียญสหรัฐ รวมถึง Multichain (210 ล้านเหรียญสหรัฐ), Fintoch (31.6 ล้านเหรียญสหรัฐ), BALD (23 ล้านเหรียญสหรัฐ) และ PEPE (15.5 ล้านเหรียญสหรัฐ)
โครงการ Rug Pull บน BNB Chain และ Ethereum คิดเป็น 92.3% ของจำนวนทั้งหมด 159 และ 81 ตามลำดับ เหตุการณ์ Rug Pull จำนวนเล็กน้อยเกิดขึ้นในเครือข่ายสาธารณะอื่น ๆ เช่น: Arbitrum, BASE, Sui, zkSync เป็นต้น
11. ข้อมูลอาชญากรรมอุตสาหกรรม Crypto ทั่วโลกปี 2023
ในปี 2566 จำนวนอาชญากรรมในอุตสาหกรรมการเข้ารหัสทั่วโลกสูงถึง 65.688 พันล้านดอลลาร์สหรัฐ เพิ่มขึ้นประมาณ 377% จาก 13.76 พันล้านดอลลาร์สหรัฐในปี 2565 แม้ว่าจำนวนการโจมตีด้วยการแฮ็กออนไลน์จะลดลงอย่างมาก แต่คดีอาชญากรรมในด้านอื่น ๆ ของสกุลเงินดิจิทัลก็เพิ่มขึ้นอย่างมาก การเพิ่มขึ้นที่ใหญ่ที่สุดคือการพนันออนไลน์ โดยมีมูลค่าสูงถึง 54.9 พันล้านดอลลาร์สหรัฐ สิ่งต่อไปนี้คือการฟอกเงิน (ประมาณ 4 พันล้านดอลลาร์สหรัฐ) การฉ้อโกง (ประมาณ 2.05 พันล้านดอลลาร์สหรัฐ) แผนการปิรามิด (ประมาณ 1.43 พันล้านดอลลาร์สหรัฐ) และการโจมตีของแฮ็กเกอร์ (ประมาณ 1.39 พันล้านดอลลาร์สหรัฐ)
ด้วยการปรับปรุงระบบควบคุมการเข้ารหัสทั่วโลกและการปราบปรามอาชญากรรม cryptocurrency ในเชิงลึกในปี 2023 ตำรวจทั่วโลกได้เปิดเผยคดีสำคัญหลายคดีที่เกี่ยวข้องกับเงินหลายร้อยล้านดอลลาร์ ต่อไปนี้เป็นการทบทวนกรณีทั่วไปบางกรณี:
อันดับ 1 ในเดือนกรกฎาคม พ.ศ. 2566 ตำรวจหูเป่ยในประเทศจีนสามารถปราบปราม คดีสกุลเงินเสมือนครั้งแรก ของประเทศ ซึ่งมีมูลค่าสูงถึง 400 พันล้านหยวน (ประมาณ 54.9 พันล้านดอลลาร์สหรัฐ) มีผู้คนมากกว่า 50,000 คนที่เกี่ยวข้องกับคดีการพนันออนไลน์นี้ เซิร์ฟเวอร์ตั้งอยู่นอกประเทศจีน ผู้กระทำผิดหลัก Qiu Moumou และคนอื่น ๆ ถูกส่งไปทดลองใช้ตามกฎหมาย
อันดับที่ 2 ในเดือนสิงหาคม 2023 ทางการสิงคโปร์ได้สอบสวนคดีฟอกเงินที่ใหญ่ที่สุดในประวัติศาสตร์โดยมีจำนวนเงินที่เกี่ยวข้องถึง 2.8 พันล้านดอลลาร์สิงคโปร์ วิธีการฟอกเงินส่วนใหญ่ผ่านสกุลเงินเสมือน
อันดับที่ 3 ในเดือนมีนาคม พ.ศ. 2566 ตำรวจมณฑลเจียงซูในประเทศจีนได้ดำเนินคดีต่อสาธารณะต่อการหลอกลวง การเก็งกำไรเหรียญ ของ Ubank ซึ่งเกี่ยวข้องกับปริมาณธุรกรรมโครงการพีระมิดที่มีมูลค่ามากกว่า 1 หมื่นล้านหยวน (ประมาณ 1.4 พันล้านดอลลาร์สหรัฐ)
อันดับที่ 4 ในเดือนธันวาคม ปี 2023 ผู้ร่วมก่อตั้งบริษัทแลกเปลี่ยนสกุลเงินเสมือน Bitzlato ได้สารภาพว่ามีความผิดในข้อหาฟอกเงินมูลค่า 700 ล้านดอลลาร์ ตามคำแถลงของสำนักงานอัยการสหรัฐฯ ในเขตตะวันออกของนิวยอร์ก
อันดับที่ 5 ในเดือนกรกฎาคม 2023 ตำรวจสหพันธรัฐบราซิลสามารถจับกุมแก๊งอาชญากรค้ายาสองราย โอนเงินรวมกว่า 417 ล้านดอลลาร์สหรัฐ และให้บริการฟอกเงินผ่านสินทรัพย์ดิจิทัล
อันดับที่ 6 ในเดือนกุมภาพันธ์ 2023 ตามคำฟ้องในรัฐโอเรกอน ผู้ก่อตั้ง Forsage ถูกฟ้องในข้อหาเกี่ยวข้องกับโครงการ DeFi Ponzi มูลค่า 340 ล้านดอลลาร์
อันดับที่ 7 ในเดือนพฤศจิกายน 2023 ตำรวจในรัฐหิมาจัลประเทศ ประเทศอินเดีย ได้จับกุมผู้ต้องสงสัย 18 คนในคดีฉ้อโกงสกุลเงินดิจิทัลมูลค่า 300 ล้านดอลลาร์
อันดับที่ 8 ในเดือนสิงหาคม 2023 ตำรวจอิสราเอลกล่าวหานักธุรกิจ Moshe Hogeg และหุ้นส่วนของเขาว่าฉ้อโกงนักลงทุนมูลค่า 290 ล้านดอลลาร์ในสกุลเงินดิจิทัล
อันดับที่ 9 ในเดือนมิถุนายน พ.ศ. 2566 ตำรวจไทยได้เปิดเผยคดีฉ้อโกงสกุลเงินดิจิทัลที่น่าสงสัย ซึ่งมีมูลค่ารวมกว่า 1 หมื่นล้านบาท (ประมาณ 288 ล้านเหรียญสหรัฐ)
อันดับที่ 10 ในเดือนตุลาคม 2023 JPEX ซึ่งเป็นแพลตฟอร์มการซื้อขายสินทรัพย์เสมือนในฮ่องกงถูกสงสัยว่ามีการฉ้อโกง ตำรวจจับกุมคนได้ทั้งหมด 66 คน มีมูลค่าประมาณ 1.6 พันล้านดอลลาร์ฮ่องกง (ประมาณ 205 ล้านดอลลาร์สหรัฐ)
ปี 2023 เป็นปีแห่งอาชญากรรมเกี่ยวกับสกุลเงินดิจิทัลที่เพิ่มขึ้นอย่างรวดเร็ว การฉ้อโกงและแผนการแชร์ลูกโซ่ที่เกิดขึ้นบ่อยครั้งยังหมายความว่าโอกาสที่ผู้ใช้ทั่วไปจะประสบกับการสูญเสียสินทรัพย์นั้นเพิ่มขึ้นอย่างมากดังนั้นจึงเป็นเรื่องเร่งด่วนที่จะต้องเสริมสร้างการกำกับดูแลอุตสาหกรรมสกุลเงินดิจิทัล เราจะเห็นได้ว่าหน่วยงานกำกับดูแลระดับโลกได้ใช้ความพยายามอย่างมากในการควบคุมสกุลเงินดิจิทัลในปีนี้ แต่ยังคงต้องดำเนินการอีกยาวไกลก่อนที่ระบบนิเวศจะสมบูรณ์ ปลอดภัย และมีการพัฒนาเชิงบวก
12. สรุปสถานการณ์ความปลอดภัย Web3 Blockchain ในปี 2566
ในปี 2023 กิจกรรมการแฮ็กออนไลน์ การหลอกลวงแบบฟิชชิ่ง และเหตุการณ์ Rug Pull ของฝ่ายโปรเจ็กต์ ล้วนลดลงอย่างมีนัยสำคัญเมื่อเทียบกับปี 2022 จำนวนการสูญเสียจากการโจมตีของแฮ็กเกอร์ลดลง 61.3% และวิธีการโจมตีที่มีค่าใช้จ่ายสูงที่สุดก็เปลี่ยนจากการแสวงหาประโยชน์จากช่องโหว่ตามสัญญาในปีที่แล้วเป็นการรั่วไหลของคีย์ส่วนตัวในปีนี้ สาเหตุหลักของการเปลี่ยนแปลงนี้ได้แก่:
1. หลังจากกิจกรรมแฮ็กเกอร์อาละวาดในปีที่แล้ว ระบบนิเวศ Web3 ทั้งหมดได้ให้ความสำคัญกับความปลอดภัยมากขึ้นในปีนี้ ตั้งแต่ฝ่ายโครงการไปจนถึงบริษัทรักษาความปลอดภัย เราได้มีความพยายามในทุกด้านเช่น การตรวจสอบออนไลน์แบบเรียลไทม์ การให้ความสำคัญกับการตรวจสอบความปลอดภัยมากขึ้น และการเรียนรู้อย่างแข็งขันจากเหตุการณ์การหาประโยชน์จากช่องโหว่ของสัญญาในอดีต ทำให้การขโมยเงินผ่านช่องโหว่ของสัญญาทำได้ยากกว่าปีที่แล้ว
2. การเสริมสร้างความเข้มแข็งของการกำกับดูแลระดับโลกและการปรับปรุงเทคโนโลยีต่อต้านการฟอกเงิน จะเห็นได้ว่า 21.1% ของเงินที่ถูกขโมยจะถูกกู้คืนในปี 2566 ซึ่งดีกว่าปี 2565 อย่างเห็นได้ชัดเนื่องจากแพลตฟอร์มผสมสกุลเงิน เช่น Tornado Cash และ Sinbad ถูกคว่ำบาตรโดยสหรัฐอเมริกา เส้นทางการฟอกเงินของแฮ็กเกอร์จึงมีความซับซ้อนมากขึ้น ในเวลาเดียวกัน เรายังได้เห็นข่าวเกี่ยวกับแฮกเกอร์ที่ถูกตำรวจท้องที่จับกุม ซึ่งมีผลในการยับยั้งแฮกเกอร์
3. ผลกระทบของตลาดหมี crypto เมื่อต้นปี ผลตอบแทนที่คาดหวังสำหรับแฮกเกอร์ในการขโมยทรัพย์สินจากโครงการ Web3 ลดลง ส่งผลให้กิจกรรมของแฮ็กเกอร์อ่อนแอลง สิ่งนี้ยังทำให้แฮกเกอร์ไม่ถูกจำกัดอยู่เพียงการโจมตี DeFi, สะพานข้ามสายโซ่, การแลกเปลี่ยน ฯลฯ อีกต่อไป แต่หันไปหาแพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์เข้ารหัสลับ, โครงสร้างพื้นฐาน, ผู้จัดการรหัสผ่าน, เครื่องมือการพัฒนา, หุ่นยนต์ MEV, หุ่นยนต์ TG, ฯลฯ ประเภท
แตกต่างจากการลดลงอย่างมากในกิจกรรมการแฮ็กบนเครือข่าย มีการเพิ่มขึ้นอย่างมากในกิจกรรมทางอาญาที่แอบแฝงนอกเครือข่าย เช่น การพนันออนไลน์ การฟอกเงิน แผนการปิรามิด เป็นต้น เนื่องจากการไม่เปิดเผยตัวตนของสกุลเงินดิจิทัล กิจกรรมทางอาญาต่างๆ จึงมีแนวโน้มที่จะใช้สกุลเงินดิจิทัลในการทำธุรกรรมมากกว่า อย่างไรก็ตาม จะเป็นฝ่ายเดียวที่จะถือว่าการเพิ่มขึ้นของคดีอาชญากรรมสกุลเงินเสมือนนั้นเกิดจากการไม่เปิดเผยตัวตนและขาดการควบคุมดูแลของสกุลเงินดิจิทัลเท่านั้นเหตุผลพื้นฐานอยู่ที่การเพิ่มขึ้นของกิจกรรมทางอาญาทั่วโลก และสกุลเงินเสมือนเป็นช่องทางการระดมทุนที่ค่อนข้างซ่อนเร้นและยากต่อการติดตามสำหรับกิจกรรมทางอาญาเหล่านี้ในปี 2023 การเติบโตทางเศรษฐกิจโลกชะลอตัวลงอย่างมาก และสภาพแวดล้อมทางการเมืองต้องเผชิญกับปัจจัยที่ไม่แน่นอนหลายประการ ซึ่งมีส่วนทำให้เกิดอาชญากรรมทั่วโลกเพิ่มขึ้นในระดับหนึ่งภายใต้การคาดการณ์ทางเศรษฐกิจดังกล่าว กิจกรรมทางอาญาทั่วโลกคาดว่าจะยังคงอยู่ในระดับสูงในปี 2567 ซึ่งเป็นบททดสอบที่รุนแรงต่อหน่วยงานบังคับใช้กฎหมายและหน่วยงานกำกับดูแลทั่วโลก
ในฐานะบริษัทรักษาความปลอดภัยบล็อกเชนชั้นนำระดับโลก Beosin ได้ก่อตั้งสาขาในกว่า 10 ประเทศและภูมิภาคทั่วโลกธุรกิจครอบคลุมผลิตภัณฑ์ + บริการรักษาความปลอดภัยบล็อกเชน ครบวงจร เช่น การตรวจสอบความปลอดภัยของรหัสก่อนที่โครงการจะออนไลน์ การตรวจสอบความเสี่ยงด้านความปลอดภัย การเตือนล่วงหน้าและการบล็อกระหว่างดำเนินโครงการ การกู้คืนสินทรัพย์สกุลเงินเสมือนที่ถูกขโมย การปฏิบัติตามข้อกำหนดด้านความปลอดภัย KYT/AML เป็นต้น . ,บริษัทมุ่งมั่นที่จะพัฒนาระบบนิเวศ Web3 อย่างปลอดภัย และให้บริการเทคโนโลยีรักษาความปลอดภัยบล็อกเชนแก่บริษัทมากกว่า 3,000 แห่งทั่วโลก รวมถึง HashKey Group, Amber Group, BNB Chain เป็นต้น และได้ตรวจสอบสัญญาอัจฉริยะมากกว่า 3,000 รายการและ เครือข่ายหลักสาธารณะ รวมถึง PancakeSwap , Ronin Network, OKCSwap เป็นต้น
