I. ภาพรวม

ความสูญเสียที่เกิดจากการโจมตีด้วยการแฮ็ก การโจมตีแบบฟิชชิ่ง และการหลอกลวง Rugpull ในช่วงครึ่งแรกของปี 2567 มีมูลค่าประมาณ 1.492 พันล้านดอลลาร์สหรัฐ เพิ่มขึ้น 116.23% เมื่อเทียบเป็นรายปี เมื่อเทียบกับครึ่งแรกของปี 2566 (ประมาณ 690 ล้านดอลลาร์สหรัฐ) รายงานนี้มีวัตถุประสงค์เพื่อจัดระเบียบและวิเคราะห์สถานะความปลอดภัยของอุตสาหกรรม Web3 ทั่วโลก กิจกรรมยอดนิยม และนโยบายกฎระเบียบที่สำคัญในอุตสาหกรรมการเข้ารหัสในช่วงครึ่งแรกของปี 2024 เราหวังว่ารายงานนี้จะให้ข้อมูลและแนวคิดที่เป็นประโยชน์แก่ผู้อ่าน และมีส่วนช่วยในการพัฒนา Web3 อย่างปลอดภัยและดีต่อสุขภาพ

2. การวิเคราะห์แนวโน้ม

จากข้อมูลจาก ChainAegis แพลตฟอร์มระบุความเสี่ยงอัจฉริยะออนไลน์ของ SharkTeam พบว่ามีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นในเขต Web3 ทั้งหมด 551 ครั้งในช่วงครึ่งแรกของปี 2567 (รูปที่ 1) โดยมีการสูญเสียสะสมมากกว่า 1.492 พันล้านดอลลาร์สหรัฐ (รูปที่ 2) ) เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว จำนวนเหตุการณ์ด้านความปลอดภัยเพิ่มขึ้น 25.51% และจำนวนความเสียหายเพิ่มขึ้น 116.23%

รูปที่ 1 จำนวนเหตุการณ์ด้านความปลอดภัยทั้งหมดในปี 2567 H 1

รูปที่ 2 เหตุการณ์การสูญเสียความมั่นคงโดยรวมในปี 2567 H 1

ในช่วงครึ่งแรกของปี 2567 มีเหตุการณ์ด้านความปลอดภัยประเภทการโจมตีของแฮ็กเกอร์เกิดขึ้นทั้งหมด 134 ครั้ง เพิ่มขึ้น 103.03% เมื่อเทียบกับ H 1 ในปี 2566 และการสูญเสียสูงถึง 1.08 พันล้านดอลลาร์สหรัฐ คิดเป็น 73% (รูปที่ 3) โดยมี H 1 ในปี 2566 (436 ล้าน ) เพิ่มขึ้น 147.71% เมื่อเทียบเป็นรายปี

มีกรณี Rug Pull ทั้งหมด 243 กรณีเกิดขึ้นในช่วงครึ่งแรกของปี เพิ่มขึ้น 331.15% เมื่อเทียบกับ 61 กรณีในช่วงครึ่งแรกของปี 2566 และจำนวนการสูญเสียเพิ่มขึ้น 258.82% รวมมูลค่า 122 ล้านดอลลาร์สหรัฐ คิดเป็น 8% ของ จำนวนการสูญเสีย H1 ทั้งหมด

การโจมตีแบบฟิชชิ่งทั้งหมด 174 ครั้งเกิดขึ้นในครึ่งแรกของปี เพิ่มขึ้น 40.32% เมื่อเทียบเป็นรายปี โดยมีการสูญเสียสูงถึง 290 ล้านดอลลาร์สหรัฐ คิดเป็น 19%

รูปที่ 3 จำนวนการสูญเสียแยกตามประเภทการโจมตีในปี 2567 H 1

รูปที่ 4 จำนวนนับตามประเภทการโจมตีในปี 2567 H 1

H 1 เมื่อพิจารณาในแต่ละเดือน (รูปที่ 5 และรูปที่ 6) ความสูญเสียในเดือนพฤษภาคมถือเป็นการสูญเสียที่ร้ายแรงที่สุด ประมาณ 643 ล้านดอลลาร์สหรัฐ และมีเหตุการณ์ด้านความปลอดภัย 92 เหตุการณ์ รวมถึงการโจมตีของแฮ็กเกอร์ 31 ครั้ง เหตุการณ์ Rugpull 34 ครั้ง และการโจมตีแบบฟิชชิ่ง 27 ครั้ง .

รูปที่ 5 ภาพรวมการสูญเสียเหตุการณ์ด้านความปลอดภัยของ Web3 ในปี 2024 H 1

รูปที่ 6 ภาพรวมเหตุการณ์ด้านความปลอดภัยของ Web3 ในปี 2024 H 1

2.1 การโจมตีของแฮ็กเกอร์

ในช่วงครึ่งปีแรกมีการโจมตีของแฮ็กเกอร์รวม 134 ครั้ง สูญเสียมูลค่ารวม 1.08 พันล้านดอลลาร์สหรัฐ (ดูรูปที่ 7 สำหรับข้อมูลเฉพาะ)

เมื่อวันที่ 21 พฤษภาคม 2024 โปรโตคอล Gala Games บน Ethereum ถูกแฮ็ก ส่งผลให้สูญเสียเงินจำนวน 21.8 ล้านดอลลาร์สหรัฐ หลังการโจมตี ทีมงานโครงการได้ดำเนินการทันทีและขึ้นบัญชีดำที่อยู่ของแฮ็กเกอร์และระงับการขายโทเค็นเพิ่มเติม

เมื่อวันที่ 31 พฤษภาคม 2024 มีการรั่วไหลของ Bitcoin จำนวนมากโดยไม่ได้รับอนุญาตเกิดขึ้นที่การแลกเปลี่ยน DMM Bitcoin ซึ่งเป็นบริษัทในเครือของบริษัทหลักทรัพย์ญี่ปุ่น DMM.com จำนวนการไหลออกอยู่ที่ประมาณ 48 พันล้านเยน (ประมาณ 300 ล้านดอลลาร์สหรัฐ) การสูญเสียครั้งใหญ่เป็นอันดับ 7 ในประวัติศาสตร์ ถือเป็นการโจมตีที่มีค่าใช้จ่ายสูงที่สุดนับตั้งแต่เดือนธันวาคม 2022

รูปที่ 7 ภาพรวมของการแฮ็กรายเดือนในปี 2567 H 1

2.2 Rugpull และการหลอกลวง

ดังแสดงในรูปด้านล่าง (รูปที่ 8) ความถี่ของเหตุการณ์ Rugpull & Scam ในเดือนมีนาคมสูงถึง 63 ครั้ง และความถี่ในเดือนมิถุนายนนั้นต่ำที่สุด โดยมีจำนวนการสูญเสียสูงสุด 24 ครั้ง เดือนเมษายน ประมาณ 47.45 ล้านดอลลาร์สหรัฐ ซึ่งฝ่ายโครงการ ZKasino วิ่งหนี เหตุการณ์นี้เป็นสาเหตุหลักของการสูญเสียสูงสุดในเดือนเมษายน

รูปที่ 8 ภาพรวมของ Rugpull&Scam รายเดือนในปี 2024 H 1

2.3 การโจมตีแบบฟิชชิ่ง

ดังแสดงในรูปด้านล่าง (รูปที่ 9) การโจมตีแบบฟิชชิ่งเกิดขึ้นโดยมีความถี่สูงสุดในเดือนมกราคม รวม 39 กรณี ส่งผลให้สูญเสียมูลค่าประมาณ 44.15 ล้านเหรียญสหรัฐ ส่วนเดือนกุมภาพันธ์มีความถี่น้อยที่สุด โดยมีทั้งหมด 21 กรณี ทำให้เกิดความเสียหายประมาณ 28.34 ล้านเหรียญสหรัฐ แม้ว่าจะมีเหตุการณ์ฟิชชิ่งเพียง 27 เหตุการณ์ในเดือนพฤษภาคม แต่ปริมาณความเสียหายที่เกิดขึ้นนั้นสูงที่สุดในครึ่งแรกของเดือนปฏิทิน โดยมีมูลค่าถึง 108 ล้านดอลลาร์สหรัฐ ในจำนวนนี้ เมื่อวันที่ 3 พฤษภาคม 2024 ผู้ใช้รายหนึ่งถูกฟิชชิ่งด้วยมูลค่า 1,155 WBTC มูลค่ากว่า 70 ล้านดอลลาร์สหรัฐ เนื่องจากการจัดการกับเทคนิคฟิชชิ่งที่สร้างมลภาวะ

รูปที่ 9 ภาพรวมของฟิชชิ่งรายเดือนในปี 2024 H 1

3. การวิเคราะห์กรณีทั่วไป

3.1 การวิเคราะห์เหตุการณ์การโจมตีของ Sonne Finance

เมื่อวันที่ 15 พฤษภาคม 2024 Sonne Finance ถูกโจมตี และโครงการนี้สูญเสียเงินไปกว่า 20 ล้านดอลลาร์สหรัฐ

ตัวรุก: 0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

ธุรกรรมการโจมตี:

0x9312ae377d7ebdf3c7c3a86f80514878deb5df51aad38b6191d55db53e42b7f0

กระบวนการโจมตีมีดังนี้:

1. ยืมแฟลช 35, 569, 150 VELO และโอนโทเค็น VELO เหล่านี้ไปยังสัญญา soVELO

เนื่องจากเป็นการโอนเงินโดยตรง (การบริจาค) ดังนั้นโทเค็น soVELO จึงไม่ถูกสร้างขึ้น ดังนั้น ในสัญญา soVELO TotalCash เพิ่มขึ้น 35, 569, 150 VELO และ TotalSupply ของ soVELO ยังคงไม่เปลี่ยนแปลง

2. ผู้โจมตีสร้างสัญญาใหม่ 0xa16388a6210545b27f669d5189648c1722300b8b และเริ่มการโจมตีสัญญาเป้าหมายในสัญญาใหม่ กระบวนการโจมตีมีดังนี้:

(1) โอน 2 soVELO ไปยังสัญญาใหม่

(2) ประกาศ soWETH และ soVELO เป็นหลักประกัน

(3) ยืมจากเลขที่ 265, 842, 857, 910, 985, 546, 929 WETH

จากกระบวนการดำเนินการของฟังก์ชันยืมข้างต้น ตามค่าที่ส่งคืนของฟังก์ชัน getAccountSnapshot เราพบว่า:

สำหรับสัญญา soWETH ยอดคงเหลือของสัญญาใหม่คือ 0 จำนวนเงินกู้คือ 0 และอัตราแลกเปลี่ยน (exchangeRate) คือ 208, 504, 036, 856, 714, 856, 032, 085, 073

สำหรับสัญญา soVELO ยอดคงเหลือของสัญญาใหม่คือ 2 นั่นคือ 2 wei ของ soVELO ถูกจำนอง จำนวนเงินกู้คือ 0 และอัตราแลกเปลี่ยน (exchangeRate) คือ 17, 735, 851, 964, 756, 377, 265, 143, 988, 000, 000 , 000, 000, 000, 000

exchangeRate คำนวณดังนี้:

เมื่อจำนอง soVELO 1 wei คุณสามารถยืมได้ไม่เกิน 17, 735, 851, 964, 756, 377, 265, 143, 988 VELO และยืม 265, 842, 857, 910, 985, 546, 929 WETH, คุณต้องจำนองอย่างน้อย 265 , 842, 857, 910, 985, 546, 929 ดังนั้น

ราคาของ soWETH: ราคาของ soWETH = 2, 892, 868, 789, 980, 000, 000, 000,

ราคาของ soVELO: ราคา soVELO = 124, 601, 260, 000, 000, 000

จำนวน WETH ที่ soVELO สามารถยืมได้โดยมีการจำนอง 1 wei มีดังนี้:

1 * อัตราการแลกเปลี่ยน * soVELOราคา / ดังนั้นราคา = 763, 916, 258, 364, 900, 996, 923

ประมาณ 763 วธ. หลักประกัน soVELO เพียง 1 wei ก็เพียงพอที่จะรองรับเงินกู้นี้

การกู้ยืม 265, 842, 857, 910, 985, 546, 929 WETH (ประมาณ 265 WETH) จะถูกแปลงเป็นหลักประกัน soVELO จำนวนเงินขั้นต่ำที่ต้องเป็นหลักประกันคือ:

265, 842, 857, 910, 985, 546, 929 * ดังนั้นราคา / soVELOราคา / อัตราการแลกเปลี่ยน = 0.348

นั่นคือหลักประกัน soVELO 1 ใบก็เพียงพอแล้ว

ในความเป็นจริง 2 wei ของหลักประกัน soVELO ถูกใช้สำหรับการยืมเพียง 1 wei เท่านั้น

(4) ไถ่ถอนทรัพย์สินอ้างอิง ได้แก่ 35, 471, 603, 929, 512, 754, 530, 287, 976 VELO

อัตราแลกเปลี่ยน = 17, 735, 851, 964, 756, 377, 265, 143, 988, 000, 000, 000, 000, 000, 000

จำนวนหลักประกัน soVELO ที่ต้องใช้ในการแลก 35, 471, 603, 929, 512, 754, 530, 287, 976 VELO คือ

35, 471, 603, 929, 512, 754, 530, 287, 976 * 1 e 18 / อัตราการแลกเปลี่ยน = 1.99999436

เมื่อคำนวณ เนื่องจากการคำนวณใช้การตัดทอนแทนการปัดเศษ หลักประกันที่จำเป็นที่คำนวณได้จริงคือ soVELO เท่ากับ 1 wei

หลักประกันที่แท้จริงคือ 2 wei ของ soVELO โดย 1 wei ใช้สำหรับเงินกู้ข้างต้นจำนวน 265 WETH และที่เหลือ 1 wei ใช้สำหรับไถ่ถอน 35 M VELO

(5) โอน 265 WETH ที่ยืมมาและ VELO 35 M ที่แลกแล้วไปยังสัญญาโจมตี

3. ทำซ้ำ 3 ครั้ง (รวมทั้งหมด 4 ครั้ง) เพื่อสร้างสัญญาใหม่และโจมตีซ้ำ

4. สุดท้าย ชำระคืนเงินกู้แฟลช

5. การวิเคราะห์ช่องโหว่

มีช่องโหว่สองช่องโหว่ในการโจมตีข้างต้น:

(1) การโจมตีด้วยการบริจาค: โอนโดยตรง (บริจาค) โทเค็น VELO ไปยังสัญญา soVELO โดยเปลี่ยนอัตราการแลกเปลี่ยน ทำให้ผู้โจมตีสามารถให้ยืมประมาณ 265 WETH โดยมีเพียง 1 wei soVELO เป็นหลักประกัน

(2) ปัญหาความแม่นยำในการคำนวณ: การใช้การสูญเสียความแม่นยำในระหว่างขั้นตอนการคำนวณและอัตราแลกเปลี่ยนที่แก้ไข ทำให้สามารถแลก 35 M VELO ได้โดยจำนอง 1 wei soVELO เท่านั้น

6.ข้อแนะนำด้านความปลอดภัย

เพื่อตอบสนองต่อการโจมตีนี้ เราควรปฏิบัติตามข้อควรระวังต่อไปนี้ในระหว่างกระบวนการพัฒนา:

(1) ในระหว่างกระบวนการออกแบบและพัฒนาของโครงการ ต้องรักษาความสมบูรณ์และความเข้มงวดของตรรกะ โดยเฉพาะอย่างยิ่งประเด็นเรื่องการฝาก การจำนำ การอัปเดตตัวแปรสถานะ และการแลกเปลี่ยนผลการคำนวณการคูณและการหารในระหว่าง กระบวนการคำนวณ ต้องพิจารณาสถานการณ์ให้ได้มากที่สุดเพื่อให้ตรรกะสมบูรณ์และไม่มีช่องโหว่

(2) ก่อนที่โปรเจ็กต์จะออนไลน์ การตรวจสอบสัญญาอัจฉริยะจะต้องดำเนินการโดยบริษัทตรวจสอบมืออาชีพบุคคลที่สาม

3.2 การวิเคราะห์วิธีการฟิชชิ่งทั่วไปและคำแนะนำด้านความปลอดภัยใน Web3

ฟิชชิ่ง Web3 เป็นวิธีการโจมตีทั่วไปต่อผู้ใช้ Web3 โดยใช้วิธีการต่างๆ เพื่อขโมยการอนุญาตและลายเซ็นของผู้ใช้ หรือชักจูงให้ผู้ใช้ดำเนินการในทางที่ผิด โดยมีวัตถุประสงค์เพื่อขโมยทรัพย์สินที่เข้ารหัสในกระเป๋าเงินของผู้ใช้

ในช่วงไม่กี่ปีที่ผ่านมา เหตุการณ์ฟิชชิ่ง Web3 ยังคงปรากฏอย่างต่อเนื่อง และห่วงโซ่อุตสาหกรรมสีดำของ Drainer as a Service (DaaS) ได้พัฒนาขึ้น ก่อให้เกิดสถานการณ์ด้านความปลอดภัยที่ร้ายแรง

ในบทความนี้ SharkTeam จะทำการวิเคราะห์อย่างเป็นระบบของวิธีการฟิชชิ่ง Web3 ทั่วไป และให้ข้อควรระวังด้านความปลอดภัยสำหรับการอ้างอิงของคุณ โดยหวังว่าจะช่วยให้ผู้ใช้ระบุกลโกงฟิชชิ่งได้ดีขึ้น และปกป้องความปลอดภัยของสินทรัพย์ที่เข้ารหัสของตนเอง

• อนุญาตฟิชชิ่งลายเซ็นนอกเครือข่าย

ใบอนุญาตเป็นฟังก์ชันเพิ่มเติมสำหรับการอนุญาตภายใต้มาตรฐาน ERC-20 พูดง่ายๆ ก็คือ คุณสามารถลงนามเพื่ออนุมัติที่อยู่อื่นเพื่อย้ายโทเค็นของคุณได้ หลักการคือคุณใช้ลายเซ็นเพื่อระบุว่าที่อยู่ที่ได้รับอนุญาตสามารถใช้โทเค็นของคุณผ่านลายเซ็นนี้ จากนั้นที่อยู่ที่ได้รับอนุญาตจะใช้ลายเซ็นของคุณเพื่อดำเนินการโต้ตอบการอนุญาตแบบออนไลน์และรับการอนุญาตการโทรและสามารถโอนสินทรัพย์ของคุณได้ ฟิชชิ่งลายเซ็นนอกเครือข่ายที่ได้รับอนุญาตมักจะแบ่งออกเป็นสามขั้นตอน:

(1) ผู้โจมตีปลอมแปลงลิงก์ฟิชชิ่งหรือเว็บไซต์ฟิชชิ่งเพื่อชักจูงให้ผู้ใช้ลงชื่อเข้าใช้กระเป๋าเงิน (ไม่มีการโต้ตอบตามสัญญา ไม่มีออนไลน์)

(2) ผู้โจมตีเรียกใช้ฟังก์ชันอนุญาตเพื่อทำการอนุญาตให้เสร็จสิ้น

(3) ผู้โจมตีเรียกใช้ฟังก์ชัน TransferFrom เพื่อโอนทรัพย์สินของเหยื่อและทำการโจมตีให้เสร็จสิ้น

ก่อนอื่นให้ฉันอธิบายความแตกต่างระหว่างการโอนและ TransferFrom เมื่อเราโอน ERC 20 โดยตรง เรามักจะเรียกใช้ฟังก์ชันการโอนในสัญญา ERC 20 และ TransferFrom มักจะอนุญาตให้บุคคลที่สามโอน ERC 20 ในกระเป๋าเงินของเราไปยังที่อยู่อื่น

ลายเซ็นนี้เป็นลายเซ็นนอกเครือข่ายแบบไร้แก๊ส หลังจากที่ผู้โจมตีได้รับแล้ว เขาจะดำเนินการอนุญาตและถ่ายโอนจากการโต้ตอบแบบออนไลน์ ดังนั้นบันทึกการอนุญาตจึงไม่สามารถมองเห็นได้ในบันทึกออนไลน์ของที่อยู่ของเหยื่อ แต่สามารถทำได้ จะเห็นได้ในที่อยู่ของผู้โจมตี โดยทั่วไปแล้ว ลายเซ็นนี้เป็นการใช้งานเพียงครั้งเดียวและไม่สร้างความเสี่ยงฟิชชิ่งซ้ำหรือต่อเนื่อง

• อนุญาตฟิชชิ่งลายเซ็นนอกเครือข่าย 2 รายการ

Permit 2 เป็นสัญญาอัจฉริยะที่ Uniswap เปิดตัวในช่วงปลายปี 2022 เพื่อความสะดวกของผู้ใช้ เป็นสัญญาการอนุมัติโทเค็นที่อนุญาตให้แชร์และจัดการการอนุญาตโทเค็นใน DApps ต่างๆ ในอนาคต เนื่องจากโครงการต่างๆ จะร่วมมือกันมากขึ้น ด้วยการบูรณาการ Permit 2 สัญญา Permit 2 จึงสามารถบรรลุประสบการณ์การจัดการการอนุญาตที่เป็นหนึ่งเดียวมากขึ้นในระบบนิเวศ DApp และประหยัดต้นทุนการทำธุรกรรมของผู้ใช้

ก่อนการเกิดขึ้นของใบอนุญาต 2 การแลกเปลี่ยนโทเค็นบน Uniswap จำเป็นต้องได้รับอนุมัติ (อนุมัติ) จากนั้นจึงทำการแลกเปลี่ยน (Swap) ซึ่งต้องมีการดำเนินการสองครั้งและค่าธรรมเนียมก๊าซของธุรกรรมสองรายการ หลังจากการเปิดตัว Permit 2 ผู้ใช้สามารถอนุมัติโควต้าทั้งหมดของตนในสัญญา Permit 2 ของ Uniswap ได้ในคราวเดียว และการแลกสิทธิ์ครั้งต่อไปแต่ละครั้งต้องใช้เพียงลายเซ็นนอกเครือข่ายเท่านั้น

แม้ว่า Permit 2 จะปรับปรุงประสบการณ์ผู้ใช้ให้ดีขึ้น แต่ก็ตามมาด้วยการโจมตีแบบฟิชชิ่งที่กำหนดเป้าหมายลายเซ็น Permit 2 เช่นเดียวกับการอนุญาตฟิชชิ่งลายเซ็นนอกเครือข่าย ใบอนุญาต 2 ก็เป็นฟิชชิ่งลายเซ็นนอกเครือข่ายเช่นกัน การโจมตีนี้ส่วนใหญ่แบ่งออกเป็นสี่ขั้นตอน:

(1) ข้อกำหนดเบื้องต้นคือกระเป๋าเงินของผู้ใช้ได้ใช้ Uniswap ก่อนที่จะถูกฟิชชิ่งและอนุญาตขีดจำกัดโทเค็นในสัญญา Permit 2 ของ Uniswap (ใบอนุญาต 2 จะอนุญาตให้ผู้ใช้อนุญาตยอดคงเหลือทั้งหมดของโทเค็นตามค่าเริ่มต้น)

(2) ผู้โจมตีปลอมลิงก์ฟิชชิ่งหรือหน้าฟิชชิ่งเพื่อชักจูงให้ผู้ใช้ลงชื่อเข้าใช้ ผู้โจมตีฟิชชิ่งได้รับข้อมูลลายเซ็นที่จำเป็น ซึ่งคล้ายกับการอนุญาตฟิชชิ่งลายเซ็นนอกเครือข่าย

(3) ผู้โจมตีเรียกใช้ฟังก์ชันการอนุญาตของสัญญาใบอนุญาต 2 เพื่อทำการอนุญาตให้เสร็จสมบูรณ์

(4) ผู้โจมตีเรียกฟังก์ชันการโอนจากสัญญาใบอนุญาต 2 เพื่อโอนทรัพย์สินของเหยื่อออกไปและทำการโจมตีให้เสร็จสิ้น

โดยปกติแล้วจะมีที่อยู่หลายแห่งที่ผู้โจมตีได้รับทรัพย์สิน โดยปกติแล้วหนึ่งในผู้รับที่มีจำนวนมากที่สุดคือผู้โจมตีที่ใช้ฟิชชิ่ง และที่อยู่อื่นๆ เป็นที่อยู่สีดำที่ให้บริการฟิชชิ่งในรูปแบบบริการ (DaaS ฟิชชิ่งแบบบริการ) ที่อยู่ของผู้ให้บริการ เป็นต้น) PinkDrainer, InfernoDrainer, AngelDrainer เป็นต้น)

• eth_sign การตกปลาป้ายตาบอดบนเชน

eth_sign เป็นวิธีลายเซ็นแบบเปิดที่สามารถเซ็นแฮชใดๆ ก็ตาม ผู้โจมตีจำเป็นต้องสร้างข้อมูลที่เป็นอันตรายซึ่งจำเป็นต้องลงนามเท่านั้น (เช่น การโอนโทเค็น การเรียกสัญญา การได้มาซึ่งการอนุญาต ฯลฯ) และชักจูงให้ผู้ใช้ลงชื่อเข้าใช้ผ่าน eth_sign การโจมตีสามารถเสร็จสิ้นได้

MetaMask จะมีคำเตือนความเสี่ยงเมื่อลงนาม eth_sign กระเป๋าเงิน Web3 เช่น imToken และ OneKey ได้ปิดใช้งานฟังก์ชันนี้หรือให้คำเตือนความเสี่ยง ขอแนะนำให้ผู้ผลิตกระเป๋าเงินทั้งหมดปิดใช้งานวิธีนี้เพื่อป้องกันไม่ให้ผู้ใช้ถูกโจมตีเนื่องจากขาดความตระหนักด้านความปลอดภัยหรือจำเป็น การสะสมทางเทคนิค

• Personal_sign/signTypedData ฟิชชิ่งลายเซ็นออนไลน์

Personal_sign และ signTypedData เป็นวิธีลายเซ็นที่ใช้กันทั่วไป โดยปกติแล้วผู้ใช้จะต้องตรวจสอบอย่างรอบคอบว่าตัวริเริ่ม ชื่อโดเมน เนื้อหาลายเซ็น ฯลฯ หากมีความเสี่ยง พวกเขาควรระมัดระวังเป็นพิเศษ

นอกจากนี้ หากใช้ Personal_sign และ signTypedData เป็น "ลายเซ็นที่ไม่เปิดเผย" ในสถานการณ์ข้างต้น ผู้ใช้จะไม่สามารถมองเห็นข้อความที่ชัดเจน ซึ่งทำให้แก๊งฟิชชิ่งใช้งานได้ง่าย และเพิ่มความเสี่ยงของฟิชชิ่ง

• ทำการประมงที่ได้รับอนุญาต

ด้วยการปลอมแปลงเว็บไซต์ที่เป็นอันตราย หรือแขวนคอม้าบนเว็บไซต์โครงการอย่างเป็นทางการ ผู้โจมตีจะชักจูงให้ผู้ใช้ยืนยันการดำเนินการ เช่น setApprovalForAll, อนุมัติ, เพิ่มการอนุมัติ, เพิ่มการอนุญาต ฯลฯ ขออนุญาตดำเนินการสินทรัพย์ของผู้ใช้ และกระทำการโจรกรรม

• จัดการกับฟิชชิ่งมลพิษ

ที่อยู่ฟิชชิ่งมลพิษยังเป็นหนึ่งในวิธีการฟิชชิ่งที่แพร่หลายล่าสุด ผู้โจมตีจะตรวจสอบธุรกรรมออนไลน์แล้วปลอมที่อยู่ที่เป็นอันตรายตามที่อยู่ของฝ่ายตรงข้ามในธุรกรรมในอดีตของผู้ใช้เป้าหมาย โดยปกติจะเป็นตัวเลข 4 ถึง 6 หลักแรกและ 4 ถึง 6 หลักสุดท้าย ตัวเลขเกี่ยวข้องกับคู่ต่อสู้ที่ถูกต้อง ที่อยู่ของทั้งสองฝ่ายเหมือนกัน และจากนั้นที่อยู่ปลอมแปลงที่เป็นอันตรายเหล่านี้จะถูกนำมาใช้ในการโอนจำนวนเล็กน้อยหรือโทเค็นไร้ค่าไปยังที่อยู่ผู้ใช้เป้าหมาย

หากผู้ใช้เป้าหมายคัดลอกที่อยู่ของฝ่ายตรงข้ามจากคำสั่งซื้อธุรกรรมในอดีตเพื่อโอนในธุรกรรมครั้งต่อไปเนื่องจากนิสัยส่วนตัว มีโอกาสมากที่สินทรัพย์จะถูกโอนไปยังที่อยู่ที่เป็นอันตรายโดยไม่ได้ตั้งใจเนื่องจากความประมาท

เมื่อวันที่ 3 พฤษภาคม 2024 1155 WBTC ซึ่งมีมูลค่ามากกว่า 70 ล้านดอลลาร์สหรัฐ ถูกฟิชชิ่งเนื่องจากวิธีการฟิชชิ่งที่มีการปนเปื้อนของที่อยู่นี้

ที่อยู่ที่ถูกต้อง: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

ที่อยู่ที่เป็นอันตราย: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91

การทำธุรกรรมปกติ:

https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac

ที่อยู่มลพิษ:

https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73

ธุรกรรมที่ส่งผิด:

https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570

• ฟิชชิ่งที่ละเอียดยิ่งขึ้นโดยใช้ CREATE 2 เพื่อเลี่ยงผ่านการตรวจจับความปลอดภัย

ในปัจจุบัน กระเป๋าเงินและปลั๊กอินความปลอดภัยต่างๆ ได้ค่อยๆ ใช้งานการแจ้งเตือนความเสี่ยงด้วยภาพสำหรับบัญชีดำฟิชชิ่งและวิธีการฟิชชิ่งทั่วไป และยังได้แสดงข้อมูลลายเซ็นที่สมบูรณ์มากขึ้นเรื่อยๆ ซึ่งช่วยปรับปรุงความสามารถของผู้ใช้ทั่วไปในการระบุการโจมตีแบบฟิชชิ่ง อย่างไรก็ตาม เทคโนโลยีเชิงรุกและเชิงป้องกันมักจะแข่งขันกันเองและพัฒนาอย่างต่อเนื่อง วิธีการฟิชชิ่งแบบแอบแฝงก็เกิดขึ้นอย่างต่อเนื่อง ดังนั้นเราจึงจำเป็นต้องระมัดระวังมากขึ้น การใช้ CREATE 2 เพื่อข้ามการตรวจจับบัญชีดำของกระเป๋าเงินและปลั๊กอินความปลอดภัยเป็นวิธีการที่ใช้กันทั่วไปเมื่อเร็วๆ นี้

Create 2 เป็น opcode ที่นำมาใช้ในการอัพเกรด Ethereum 'Constantinople' ที่อนุญาตให้ผู้ใช้สร้างสัญญาอัจฉริยะบน Ethereum Create opcode ดั้งเดิมจะสร้างที่อยู่ใหม่ตามที่อยู่ของผู้สร้างและ nonce 2 ช่วยให้ผู้ใช้สามารถคำนวณที่อยู่ก่อนที่จะปรับใช้สัญญา Create 2 เป็นเครื่องมือที่ทรงพลังมากสำหรับนักพัฒนา Ethereum ช่วยให้สามารถโต้ตอบสัญญาขั้นสูงและยืดหยุ่น การคำนวณล่วงหน้าที่อยู่สัญญาตามพารามิเตอร์ ธุรกรรมนอกเครือข่าย และการปรับใช้และการปรับตัวที่ยืดหยุ่นของแอปพลิเคชันแบบกระจายเฉพาะ

Create 2 นำมาซึ่งประโยชน์ แต่ยังรวมถึงความเสี่ยงด้านความปลอดภัยใหม่ด้วย สามารถใช้ Create 2 ในทางที่ผิดเพื่อสร้างที่อยู่ใหม่โดยไม่มีประวัติการทำธุรกรรมที่เป็นอันตราย ข้ามการตรวจจับบัญชีดำกระเป๋าสตางค์และการแจ้งเตือนความปลอดภัย เมื่อเหยื่อลงนามในธุรกรรมที่เป็นอันตราย ผู้โจมตีสามารถปรับใช้สัญญาในที่อยู่ที่คำนวณไว้ล่วงหน้า และโอนทรัพย์สินของเหยื่อไปยังที่อยู่นั้น และนี่เป็นกระบวนการที่ไม่สามารถย้อนกลับได้

คุณสมบัติของการโจมตีครั้งนี้:

อนุญาตให้สร้างที่อยู่สัญญาแบบคาดการณ์ได้ ทำให้ผู้โจมตีสามารถหลอกผู้ใช้ให้อนุญาตก่อนที่จะปรับใช้สัญญา

เนื่องจากสัญญาไม่ได้ถูกนำมาใช้ ณ เวลาที่ได้รับอนุญาต ที่อยู่การโจมตีจึงเป็นที่อยู่ใหม่ และเครื่องมือตรวจจับไม่สามารถแจ้งเตือนล่วงหน้าตามบัญชีดำในอดีต ทำให้สามารถปกปิดได้มากขึ้น

นี่คือตัวอย่างฟิชชิ่งโดยใช้ CREATE 2:

https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14

ในธุรกรรมนี้ เหยื่อโอน sfrxETH ในที่อยู่ไปยังที่อยู่ที่เป็นอันตราย (0x 4 D 9 f 77) ซึ่งเป็นที่อยู่สัญญาใหม่โดยไม่มีบันทึกธุรกรรมใด ๆ

แต่เมื่อคุณเปิดธุรกรรมการสร้างสัญญานี้ คุณจะพบว่าสัญญาเสร็จสิ้นการโจมตีแบบฟิชชิ่งในเวลาเดียวกันกับที่ถูกสร้างขึ้น โดยโอนทรัพย์สินจากที่อยู่ของเหยื่อ

https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52

เมื่อดูการดำเนินการของธุรกรรมนี้ คุณจะเห็นว่า 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 ถูกสร้างขึ้นหลังจากการเรียก CREATE 2

นอกจากนี้ จากการวิเคราะห์ที่อยู่ที่เกี่ยวข้องของ PinkDrainer พบว่าที่อยู่นี้กำลังสร้างที่อยู่สัญญาใหม่สำหรับฟิชชิ่งผ่าน CREATE 2 ทุกวัน

https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx

• ฟิชชิ่งเป็นบริการ

การโจมตีแบบฟิชชิ่งเริ่มแพร่หลายมากขึ้น และเนื่องจากผลกำไรที่ผิดกฎหมายจำนวนมหาศาล ห่วงโซ่อุตสาหกรรมสีดำที่อิงจาก Drainer as a Service (DaaS) จึงค่อยๆ พัฒนาขึ้น

Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa ฯลฯ ผู้โจมตีฟิชชิ่งซื้อบริการ DaaS เหล่านี้อย่างรวดเร็วและด้วยเกณฑ์ที่ต่ำ สร้างเว็บไซต์ฟิชชิ่งนับพัน บัญชีที่ฉ้อโกง ฯลฯ เหมือนกับความหายนะที่พุ่งเข้ามา อุตสาหกรรม คุกคามความปลอดภัยของทรัพย์สินของผู้ใช้

ยกตัวอย่างเช่น Inferno Drainer แก๊งฟิชชิ่งชื่อดังที่ฝังสคริปต์ที่เป็นอันตรายไว้บนเว็บไซต์ต่างๆ ตัวอย่างเช่น พวกเขาแพร่กระจาย seaport.js, coinbase.js และ wallet-connect.js เพื่อปลอมตัวเป็นฟังก์ชันโปรโตคอล Web3 ยอดนิยม (Seaport, WalletConnect และ Coinbase) เพื่อชักจูงให้ผู้ใช้รวมหรือคลิก หลังจากได้รับการยืนยันจากผู้ใช้ โอนทรัพย์สินของผู้ใช้ไปยังที่อยู่ของผู้โจมตีโดยอัตโนมัติ เว็บไซต์มากกว่า 14,000 แห่งที่มีสคริปต์ Seaport ที่เป็นอันตราย, เว็บไซต์มากกว่า 5,500 แห่งที่มีสคริปต์ WalletConnect ที่เป็นอันตราย, เว็บไซต์มากกว่า 550 แห่งที่มีสคริปต์ Coinbase ที่เป็นอันตราย และโดเมนที่เป็นอันตรายมากกว่า 16,000 โดเมนที่เกี่ยวข้องกับ Inferno Drainer ซึ่งเป็นชื่อแบรนด์ของ crypto มากกว่า 100 รายการ แบรนด์ได้รับผลกระทบ

ภายใต้กรอบการทำงาน Phishing-as-a-Service โดยทั่วไป 20% ของทรัพย์สินที่ถูกขโมยจะถูกโอนไปยังที่อยู่ของผู้จัดงาน Inferno Drainer โดยอัตโนมัติ โดยส่วนที่เหลืออีก 80% จะถูกเก็บไว้โดยผู้กระทำความผิดแบบฟิชชิ่ง นอกจากนี้ Inferno Drainer ยังให้บริการฟรีเพื่อสร้างและโฮสต์เว็บไซต์ฟิชชิ่ง บางครั้งบริการฟิชชิ่งยังต้องเสียค่าธรรมเนียม 30% ของเงินทุนที่ถูกฉ้อโกงเหล่านี้มีไว้สำหรับผู้ที่สามารถดึงดูดเหยื่อให้เข้ามาเยี่ยมชมได้ แต่ไม่มีความสามารถในการสร้างและ ออกแบบโดยผู้โจมตีฟิชชิ่งที่มีความสามารถทางเทคนิคในการโฮสต์เว็บไซต์หรือเพียงไม่ต้องการดำเนินการด้วยตนเอง

ดังนั้น DaaS scam นี้ทำงานอย่างไร ต่อไปนี้เป็นคำอธิบายทีละขั้นตอนของแผนการหลอกลวง crypto ของ Inferno Drainer:

1) Inferno Drainer ส่งเสริมบริการผ่านช่องทาง Telegram ที่เรียกว่า Inferno Multichain Drainer และบางครั้งผู้โจมตีก็เข้าถึงบริการผ่านเว็บไซต์ของ Inferno Drainer

2) ผู้โจมตีตั้งค่าและสร้างเว็บไซต์ฟิชชิ่งของตนเองผ่านฟังก์ชันบริการ DaaS และแพร่กระจายผ่าน X (Twitter), Discord และโซเชียลมีเดียอื่น ๆ

3) เหยื่อถูกชักจูงให้สแกนรหัส QR หรือวิธีการอื่นที่มีอยู่ในเว็บไซต์ฟิชชิ่งเหล่านี้เพื่อเชื่อมต่อกับกระเป๋าเงินของพวกเขา

4) Drainer ตรวจสอบทรัพย์สินที่มีค่าและสามารถโอนได้ง่ายที่สุดของเหยื่อ และเริ่มธุรกรรมที่เป็นอันตราย

5) เหยื่อยืนยันการทำธุรกรรม

6) ทรัพย์สินถูกโอนไปยังอาชญากร ของทรัพย์สินที่ถูกขโมย 20% ถูกโอนไปยังนักพัฒนา Inferno Drainer และ 80% ไปยังผู้โจมตีฟิชชิ่ง

• คำแนะนำด้านความปลอดภัย

(1) ก่อนอื่น ผู้ใช้จะต้องไม่คลิกลิงก์ที่ไม่รู้จักซึ่งปลอมตัวเป็นข่าวดี เช่น รางวัล แอร์ดรอป ฯลฯ

(2) เหตุการณ์บัญชีโซเชียลมีเดียอย่างเป็นทางการถูกขโมยเพิ่มมากขึ้น และข้อมูลอย่างเป็นทางการอาจเป็นข้อมูลฟิชชิ่ง และข้อมูลอย่างเป็นทางการไม่ได้หมายความว่าข้อมูลนั้นปลอดภัยอย่างแน่นอน

(3) เมื่อใช้กระเป๋าสตางค์, DApps และแอปพลิเคชันอื่น ๆ คุณต้องใส่ใจกับการคัดกรองและระวังไซต์ปลอมและแอปปลอม

(4) ธุรกรรมหรือข้อความลายเซ็นใด ๆ ที่ต้องมีการยืนยันจะต้องใช้ความระมัดระวัง และพยายามยืนยันเป้าหมาย เนื้อหา และข้อมูลอื่น ๆ ปฏิเสธที่จะลงนามอย่างสุ่มสี่สุ่มห้า ระมัดระวัง สงสัยในทุกสิ่ง และให้แน่ใจว่าทุกขั้นตอนของการดำเนินการมีความชัดเจนและปลอดภัย

(5) นอกจากนี้ ผู้ใช้จำเป็นต้องเข้าใจวิธีการโจมตีแบบฟิชชิ่งทั่วไปที่กล่าวถึงในบทความนี้ และเรียนรู้ที่จะระบุลักษณะฟิชชิ่งในเชิงรุก ลายเซ็นทั่วไปหลัก ฟังก์ชันการอนุญาตและความเสี่ยง การโต้ตอบหลัก (URL แบบโต้ตอบ) เจ้าของ (ที่อยู่ของผู้อนุญาต) ผู้ใช้จ่าย (ที่อยู่บุคคลที่ได้รับอนุญาต) ค่า (หมายเลขที่ได้รับอนุญาต) Nonce (หมายเลขสุ่ม) กำหนดเวลา (เวลาหมดอายุ) การโอน/ TransferFrom (ถ่ายโอน) และเนื้อหาฟิลด์อื่น ๆ

4. บทวิเคราะห์ FIT 21 Bill

เมื่อวันที่ 23 พฤษภาคม 2024 สภาผู้แทนราษฎรแห่งสหรัฐอเมริกาได้ผ่านกฎหมายการเข้ารหัส FIT 21 อย่างเป็นทางการ (พระราชบัญญัตินวัตกรรมทางการเงินและเทคโนโลยีสำหรับศตวรรษที่ 21) ด้วยคะแนนเสียงเห็นชอบ 279 เสียง และไม่เห็นด้วย 136 เสียง ประธานาธิบดีโจ ไบเดน ของสหรัฐฯ ประกาศว่าเขาจะไม่วีโต้ร่างกฎหมายดังกล่าว และเรียกร้องให้สภาคองเกรสร่วมมือกันใน "กรอบการกำกับดูแลที่ครอบคลุมและสมดุลสำหรับสินทรัพย์ดิจิทัล"

FIT 21 มีเป้าหมายเพื่อเป็นแนวทางในการเปิดตัวโครงการบล็อกเชนอย่างปลอดภัยและมีประสิทธิภาพในสหรัฐอเมริกา ชี้แจงขอบเขตความรับผิดชอบระหว่างสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) และคณะกรรมการกำกับการซื้อขายสินค้าโภคภัณฑ์ล่วงหน้า (CFTC) แยกความแตกต่างว่าสินทรัพย์ดิจิทัล เป็นหลักทรัพย์หรือสินค้าโภคภัณฑ์และเสริมสร้างการกำกับดูแลการแลกเปลี่ยนสกุลเงินดิจิทัลเพื่อปกป้องผู้บริโภคในสหรัฐฯ ได้ดียิ่งขึ้น

4.1 ร่างพระราชบัญญัติ FIT 21 มีสาระสำคัญอะไรบ้าง?

• คำจำกัดความของสินทรัพย์ดิจิทัล

ข้อความต้นฉบับของร่างกฎหมาย: โดยทั่วไป คำว่า 'สินทรัพย์ดิจิทัล' หมายถึงการนำเสนอมูลค่าทางดิจิทัลที่สามารถทดแทนได้ซึ่งสามารถครอบครองและโอนได้แต่เพียงผู้เดียวจากบุคคลหนึ่งสู่อีกบุคคลหนึ่ง โดยไม่ต้องพึ่งตัวกลางที่จำเป็น และได้รับการบันทึกไว้ในสาธารณะที่มีการเข้ารหัสที่ปลอดภัย บัญชีแยกประเภทแบบกระจาย

ร่างกฎหมายดังกล่าวให้คำจำกัดความ “สินทรัพย์ดิจิทัล” ว่าเป็นการนำเสนอดิจิทัลที่สามารถแลกเปลี่ยนได้ ซึ่งสามารถถ่ายโอนจากคนสู่คนได้โดยไม่ต้องพึ่งคนกลาง และถูกบันทึกไว้ในบัญชีแยกประเภทสาธารณะที่ได้รับการป้องกันด้วยการเข้ารหัสลับ คำจำกัดความนี้ครอบคลุมรูปแบบดิจิทัลที่หลากหลาย ตั้งแต่สกุลเงินดิจิทัลไปจนถึงสินทรัพย์ทางกายภาพที่เป็นโทเค็น

• การจำแนกประเภทของสินทรัพย์ดิจิทัล

ร่างกฎหมายดังกล่าวเสนอองค์ประกอบสำคัญหลายประการเพื่อแยกแยะว่าสินทรัพย์ดิจิทัลเป็นหลักทรัพย์หรือสินค้าโภคภัณฑ์:

(1) สัญญาการลงทุน (การทดสอบ Howey)

หากการซื้อสินทรัพย์ดิจิทัลถือเป็นการลงทุน และนักลงทุนคาดหวังว่าจะได้รับผลกำไรจากความพยายามของผู้ประกอบการหรือบุคคลที่สาม โดยทั่วไปสินทรัพย์ดังกล่าวจะถือเป็นหลักทรัพย์ ซึ่งเป็นไปตามมาตรฐานที่กำหนดโดยศาลฎีกาของสหรัฐอเมริกาใน SEC v. WJ Howey Co. หรือที่เรียกกันทั่วไปว่าการทดสอบ Howey

(2) การใช้และการบริโภค

หากสินทรัพย์ดิจิทัลถูกใช้เป็นสื่อกลางในการบริโภคสินค้าหรือบริการเป็นหลัก แทนที่จะเป็นการลงทุนโดยคาดว่าจะมีมูลค่าเพิ่มขึ้น เช่น โทเค็นที่อาจใช้ในการซื้อบริการหรือผลิตภัณฑ์เฉพาะ แม้ว่าในตลาดจริง สินทรัพย์เหล่านี้อาจยัง จะซื้อและถือครองโดยเก็งกำไร แต่จากมุมมองของการออกแบบและวัตถุประสงค์หลัก อาจไม่จัดประเภทเป็นหลักทรัพย์ แต่เป็นสินค้าโภคภัณฑ์หรือสินทรัพย์ที่ไม่ใช่หลักทรัพย์อื่น ๆ

(3) ระดับของการกระจายอำนาจ

ร่างกฎหมายดังกล่าวเน้นย้ำถึงระดับการกระจายอำนาจของเครือข่ายบล็อกเชนโดยเฉพาะ หากเครือข่ายที่อยู่เบื้องหลังสินทรัพย์ดิจิทัลมีการกระจายอำนาจสูง โดยไม่มีอำนาจจากส่วนกลางที่ควบคุมเครือข่ายหรือสินทรัพย์ สินทรัพย์นั้นอาจถูกมองว่าเป็นสินค้าโภคภัณฑ์ สิ่งนี้มีความสำคัญเนื่องจากมีความแตกต่างที่สำคัญระหว่างคำจำกัดความของ "สินค้าโภคภัณฑ์" และ "ความปลอดภัย" ซึ่งมีผลกระทบต่อวิธีการควบคุมสิ่งเหล่านั้น

สำนักงานคณะกรรมการกำกับการซื้อขายสินค้าโภคภัณฑ์ล่วงหน้าของสหรัฐอเมริกา (CFTC) จะควบคุมสินทรัพย์ดิจิทัลในฐานะสินค้าโภคภัณฑ์ “หากบล็อกเชนหรือบัญชีแยกประเภทดิจิทัลที่ดำเนินการนั้นทำงานได้และมีการกระจายอำนาจ”

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) จะควบคุมสินทรัพย์ดิจิทัลเพื่อความปลอดภัย “หากบล็อคเชนที่เกี่ยวข้องนั้นใช้งานได้ แต่ไม่มีการกระจายอำนาจอย่างเคร่งครัด”

ร่างกฎหมายกำหนดการกระจายอำนาจว่า “เหนือข้อกำหนดอื่น ๆ ที่ไม่มีบุคคลใดมีอำนาจฝ่ายเดียวในการควบคุมบล็อคเชนหรือการใช้งาน และไม่มีผู้ออกหรือบริษัทในเครือควบคุมการเป็นเจ้าของหรืออำนาจการลงคะแนนเสียงของสินทรัพย์ดิจิทัลตั้งแต่ 20% ขึ้นไป”

เกณฑ์เฉพาะที่กำหนดโดยระดับการกระจายอำนาจมีดังนี้:

การควบคุมและอิทธิพล: ในช่วง 12 เดือนที่ผ่านมา ไม่มีบุคคลหรือนิติบุคคลใดมีอำนาจฝ่ายเดียวในการควบคุมหรือเปลี่ยนแปลงการทำงานหรือการทำงานของระบบบล็อคเชนอย่างมีนัยสำคัญ โดยตรงหรือผ่านสัญญา การจัดการ หรือวิธีการอื่น ๆ

การกระจายความเป็นเจ้าของ: ไม่มีบุคคลหรือนิติบุคคลที่เกี่ยวข้องกับผู้ออกสินทรัพย์ดิจิทัลเป็นเจ้าของมากกว่า 20% ของการออกสินทรัพย์ดิจิทัลทั้งหมดในช่วง 12 เดือนที่ผ่านมา

สิทธิในการออกเสียงและการกำกับดูแล: ไม่มีบุคคลหรือนิติบุคคลใดที่เกี่ยวข้องกับผู้ออกสินทรัพย์ดิจิทัลสามารถสั่งการหรือมีอิทธิพลเพียงฝ่ายเดียวมากกว่า 20% ของสิทธิในการออกเสียงของสินทรัพย์ดิจิทัลหรือระบบการกำกับดูแลแบบกระจายอำนาจที่เกี่ยวข้องในช่วง 12 เดือนที่ผ่านมา

การสนับสนุนและการแก้ไขโค้ด: ในช่วง 3 เดือนที่ผ่านมา ผู้ออกสินทรัพย์ดิจิทัลหรือบุคลากรที่เกี่ยวข้องไม่ได้ทำการแก้ไขซอร์สโค้ดของระบบบล็อคเชนอย่างมีนัยสำคัญและฝ่ายเดียว เว้นแต่การแก้ไขเหล่านี้จะเป็นการแก้ไขช่องโหว่ด้านความปลอดภัยและรักษากิจวัตรประจำวัน ป้องกันความเสี่ยงด้านความปลอดภัยของเครือข่ายหรือ การปรับปรุงทางเทคนิคอื่น ๆ

การตลาดและการส่งเสริมการขาย: ในช่วง 3 เดือนที่ผ่านมา ผู้ออกสินทรัพย์ดิจิทัลและบริษัทในเครือไม่ได้ทำการตลาดสินทรัพย์ดิจิทัลต่อสาธารณะเพื่อเป็นการลงทุน

ในบรรดามาตรฐานคำจำกัดความเหล่านี้ มาตรฐานที่เข้มงวดมากขึ้นคือการกระจายความเป็นเจ้าของและสิทธิ์ในการกำกับดูแล เส้นแบ่งเขต 20% มีความสำคัญอย่างยิ่งในการกำหนดสินทรัพย์ดิจิทัลให้เป็นหลักทรัพย์หรือสินค้าโภคภัณฑ์ ขณะเดียวกัน ก็ได้รับประโยชน์จากความเปิดกว้าง ความโปร่งใส และการตรวจสอบย้อนกลับ และการไม่เปลี่ยนแปลงของคุณลักษณะบล็อคเชน การกำหนดปริมาณของมาตรฐานคำจำกัดความนี้ก็จะชัดเจนและยุติธรรมมากขึ้นเช่นกัน

(4) ฟังก์ชั่นและลักษณะทางเทคนิค

การเชื่อมต่อระหว่างสินทรัพย์ดิจิทัลและเทคโนโลยีบล็อกเชนก็เป็นหนึ่งในเหตุผลสำคัญในการกำหนดทิศทางของกฎระเบียบ การเชื่อมต่อนี้มักจะรวมถึงวิธีการสร้าง ออก ซื้อขาย และจัดการสินทรัพย์ดิจิทัล:

การออกสินทรัพย์: สินทรัพย์ดิจิทัลจำนวนมากออกผ่านกลไกทางโปรแกรมของบล็อกเชน ซึ่งหมายความว่าการสร้างและการจัดจำหน่ายจะขึ้นอยู่กับอัลกอริทึมและกฎที่ตั้งไว้ล่วงหน้า มากกว่าการแทรกแซงของมนุษย์

การตรวจสอบธุรกรรม: ธุรกรรมสินทรัพย์ดิจิทัลจำเป็นต้องได้รับการตรวจสอบและบันทึกผ่านกลไกที่เป็นเอกฉันท์ในเครือข่ายบล็อกเชน เพื่อให้มั่นใจถึงความถูกต้องและไม่เปลี่ยนแปลงของแต่ละธุรกรรม

การกำกับดูแลแบบกระจายอำนาจ: โครงการสินทรัพย์ดิจิทัลบางโครงการมีการใช้การกำกับดูแลแบบกระจายอำนาจ และผู้ใช้ที่ถือโทเค็นเฉพาะสามารถมีส่วนร่วมในกระบวนการตัดสินใจของโครงการ เช่น การลงคะแนนเสียงเกี่ยวกับทิศทางการพัฒนาในอนาคตของโครงการ

ลักษณะเหล่านี้ส่งผลโดยตรงต่อวิธีการควบคุมสินทรัพย์ หากสินทรัพย์ดิจิทัลให้ผลตอบแทนทางการเงินเป็นหลักหรืออนุญาตให้ลงคะแนนเสียงในการกำกับดูแลผ่านกระบวนการอัตโนมัติบนบล็อกเชน สินทรัพย์ดิจิทัลเหล่านั้นอาจถือเป็นหลักทรัพย์ได้ เนื่องจากสิ่งนี้บ่งชี้ว่านักลงทุนคาดหวังว่าจะได้รับผลประโยชน์จากการจัดการหรือความพยายามขององค์กร หากสินทรัพย์ดิจิทัลทำหน้าที่เป็นสื่อกลางในการแลกเปลี่ยนเป็นหลัก หรือใช้โดยตรงเพื่อรับสินค้าหรือบริการ ก็อาจมีแนวโน้มที่จะจัดเป็นสินค้าโภคภัณฑ์มากกว่า

• การส่งเสริมการขายและการขายสินทรัพย์ดิจิทัล

วิธีการโปรโมตและขายสินทรัพย์ดิจิทัลในตลาดก็มีความสำคัญเช่นกันใน FIT 21 และหากสินทรัพย์ดิจิทัลทำการตลาดผ่านผลตอบแทนจากการลงทุนที่คาดหวังเป็นหลัก ก็อาจถือเป็นหลักทรัพย์ได้ เนื้อหาที่นี่มีความสำคัญอย่างยิ่ง เนื่องจากความสำคัญคือการสร้างมาตรฐานกรอบการกำกับดูแลสำหรับสินทรัพย์ดิจิทัล และจะส่งผลกระทบต่อสินทรัพย์ดิจิทัลถัดไปที่อาจผ่านสปอต ETF

(1) ความรับผิดชอบในการลงทะเบียนและการกำกับดูแล

สินทรัพย์ดิจิทัลมีคำจำกัดความสองประการ ได้แก่ สินค้าโภคภัณฑ์ดิจิทัลและหลักทรัพย์ ร่างกฎหมายระบุว่าตามคำจำกัดความที่แตกต่างกัน การกำกับดูแลสินทรัพย์ดิจิทัลมีหน้าที่รับผิดชอบร่วมกันสำหรับหน่วยงานหลักทั้งสอง:

คณะกรรมการการซื้อขายสินค้าโภคภัณฑ์ล่วงหน้า (CFTC): รับผิดชอบในการควบคุมการซื้อขายสินค้าโภคภัณฑ์ดิจิทัลและผู้เข้าร่วมตลาดที่เกี่ยวข้อง

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC): รับผิดชอบในการควบคุมสินทรัพย์ดิจิทัลและแพลตฟอร์มการซื้อขายที่ถือเป็นหลักทรัพย์

(2) ระยะเวลาล็อคอินสำหรับคนในโทเค็น

ข้อความต้นฉบับของร่างกฎหมาย: "สินทรัพย์ดิจิทัลที่ถูกจำกัดซึ่งเป็นเจ้าของโดยบุคคลที่เกี่ยวข้องหรือบุคคลในเครือสามารถเสนอขายหรือขายได้หลังจากผ่านไป 12 เดือนหลังจากวันต่อมาของ— (A) วันที่ได้มาซึ่งสินทรัพย์ดิจิทัลที่ถูกจำกัดดังกล่าว หรือ ( B) วันที่ครบกำหนดของสินทรัพย์ดิจิทัล" .

บทบัญญัติระบุว่าการถือครองโทเค็นของคนวงในจะต้องถูกล็อคเป็นเวลาอย่างน้อย 12 เดือนนับจากวันที่ได้มา หรือ 12 เดือนนับจาก "วันที่ครบกำหนดของสินทรัพย์ดิจิทัล" แล้วแต่วันใดจะถึงภายหลัง

ความสามารถในการชะลอการขายนี้จะช่วยป้องกันบุคคลภายในจากการแสวงหาผลกำไรจากข้อมูลที่ยังไม่เปิดเผยหรือส่งผลกระทบต่อราคาตลาดอย่างไม่ยุติธรรม การปรับความสนใจของคนวงในให้สอดคล้องกับเป้าหมายระยะยาวของโครงการ ช่วยหลีกเลี่ยงการเก็งกำไรและการปั่นป่วนตลาด และช่วยสร้างสภาพแวดล้อมของตลาดที่มั่นคงและยุติธรรมมากขึ้น

(3) ข้อจำกัดการขายบุคคลที่เกี่ยวข้องกับสินทรัพย์ดิจิทัล

ข้อความต้นฉบับของร่างกฎหมาย: "บุคคลในเครืออาจขายสินทรัพย์ดิจิทัลได้ภายใต้เงื่อนไขดังต่อไปนี้: (1) ปริมาณรวมของสินทรัพย์ดิจิทัลที่ขายโดยบุคคลนั้นไม่เกิน 1% ของปริมาณคงค้างในระยะเวลาสามเดือนใดๆ (2) บุคคลในเครือต้องรายงานต่อสำนักงานคณะกรรมการกำกับการซื้อขายสินค้าโภคภัณฑ์ล่วงหน้าหรือสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์โดยทันทีว่ามีคำสั่งขายเกินร้อยละ 1 ของปริมาณคงค้าง"

ผู้ที่เกี่ยวข้องสามารถขายสินทรัพย์ดิจิทัลได้ภายใต้สถานการณ์ต่อไปนี้:

• ในช่วง 3 เดือนใดๆ จำนวนสินทรัพย์ดิจิทัลที่ขายทั้งหมดจะต้องไม่เกิน 1% ของหุ้น

• บริษัทในเครือจะต้องรายงานต่อสำนักงานคณะกรรมการกำกับการซื้อขายสินค้าโภคภัณฑ์ล่วงหน้าหรือสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ทันทีหลังจากขายคำสั่งซื้อที่เกิน 1% ของสินค้าคงคลัง

มาตรการนี้ป้องกันการปั่นป่วนตลาดและการเก็งกำไรมากเกินไปโดยการจำกัดจำนวนการขายโดยผู้ที่เกี่ยวข้องในช่วงเวลาสั้น ๆ เพื่อให้มั่นใจถึงเสถียรภาพและสถานะของตลาด

(4) ข้อกำหนดการเปิดเผยข้อมูลโครงการ

ข้อความต้นฉบับของร่างกฎหมาย: "ผู้ออกสินทรัพย์ดิจิทัลจะต้องเปิดเผยข้อมูลที่อธิบายไว้ในมาตรา 43 บนเว็บไซต์สาธารณะก่อนที่จะขายสินทรัพย์ดิจิทัลภายใต้มาตรา 4(a)(8)"

ข้อมูลเฉพาะที่จำเป็นสำหรับการเปิดเผยโครงการไม่มีรายละเอียดอยู่ในข้อความที่ตัดตอนมา แต่โดยทั่วไปจะรวมถึง:

ลักษณะของสินทรัพย์ดิจิทัล: สินทรัพย์ดิจิทัลเป็นตัวแทนอะไร (เช่น หุ้นในบริษัท สิทธิ์ในการสร้างรายได้ในอนาคต ฯลฯ)

ความเสี่ยงที่เกี่ยวข้อง: ความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับการลงทุนในสินทรัพย์ดิจิทัลนี้ -

สถานะการพัฒนา: สถานะปัจจุบันของโครงการหรือแพลตฟอร์มที่เกี่ยวข้องกับสินทรัพย์ดิจิทัล เช่น เหตุการณ์สำคัญในการพัฒนาหรือความพร้อมของตลาด

ข้อมูลทางการเงิน: รายละเอียดทางการเงินหรือการคาดการณ์ที่เกี่ยวข้องกับสินทรัพย์ดิจิทัล

ทีมผู้บริหาร: ข้อมูลเกี่ยวกับบุคคลที่อยู่เบื้องหลังโครงการหรือบริษัทที่ออกสินทรัพย์ดิจิทัล

ร่างกฎหมายกำหนดให้ผู้ออกสินทรัพย์ดิจิทัลต้องให้ข้อมูลโครงการโดยละเอียด รวมถึงลักษณะของสินทรัพย์ ความเสี่ยง สถานะการพัฒนา ฯลฯ เพื่อให้นักลงทุนสามารถตัดสินใจลงทุนได้อย่างมีข้อมูล การเคลื่อนไหวนี้ช่วยเพิ่มความโปร่งใสของตลาดและปกป้องผลประโยชน์ของนักลงทุน

(5) หลักการแยกเงินทุนของลูกค้าอย่างปลอดภัย

ข้อความต้นฉบับของใบเรียกเก็บเงิน: "การแลกเปลี่ยนสินค้าดิจิทัลจะต้องรักษาเงินทุน ทรัพย์สิน และทรัพย์สินของลูกค้าในลักษณะที่ลดความเสี่ยงของการสูญเสียหรือความล่าช้าที่ไม่สมเหตุสมผลในการเข้าถึงเงินทุน ทรัพย์สิน และทรัพย์สินของลูกค้า"

กฎระเบียบนี้กำหนดให้ผู้ให้บริการสินทรัพย์ดิจิทัลต้องใช้มาตรการเพื่อความปลอดภัยของเงินทุนของลูกค้า และป้องกันการสูญหายหรือการเข้าถึงเงินทุนของลูกค้าล่าช้าเนื่องจากปัญหาการดำเนินงานของผู้ให้บริการ

(6) เงินทุนของลูกค้าและเงินทุนดำเนินงานของบริษัทจะต้องไม่ผสมกัน

ข้อความต้นฉบับของใบเรียกเก็บเงิน: "กองทุน สินทรัพย์ และทรัพย์สินของลูกค้าจะต้องไม่ปะปนกับเงินทุนของการแลกเปลี่ยนสินค้าโภคภัณฑ์ดิจิทัล หรือใช้เพื่อรักษาความปลอดภัยหรือรับประกันการซื้อขายหรือยอดคงเหลือของลูกค้าหรือบุคคลอื่น"

ซึ่งหมายความว่าผู้ให้บริการจะต้องแยกและจัดการเงินทุนของลูกค้าและเงินทุนในการดำเนินงานของบริษัทอย่างเคร่งครัด เพื่อให้มั่นใจถึงความเป็นอิสระของเงินทุนของลูกค้า หลีกเลี่ยงการใช้เงินทุนของลูกค้าสำหรับกิจกรรมที่ไม่ได้รับอนุญาต และเพิ่มความปลอดภัยและความโปร่งใสของเงินทุน

ในการดำเนินการบางอย่าง เช่น เพื่อความสะดวกในการชำระบัญชี อนุญาตให้ฝากเงินของลูกค้าในบัญชีเดียวกันกับกองทุนของสถาบันอื่นภายใต้เงื่อนไขบางประการได้ แต่ต้องมีการจัดการที่แยกจากกันและการบันทึกเงินทุนเหล่านี้อย่างเหมาะสมเพื่อให้แน่ใจว่า ความปลอดภัยของกองทุนและทรัพย์สินของลูกค้าแต่ละราย

4.2 ส่งเสริมและสนับสนุนนวัตกรรม

ในร่างพระราชบัญญัติ FIT 21 ยังมีเนื้อหามากมายที่ส่งเสริมและสนับสนุนนวัตกรรม

• การจัดตั้งคณะกรรมการที่ปรึกษาร่วม CFTC-SEC

คณะกรรมการที่ปรึกษาร่วมสินทรัพย์ดิจิทัล CFTC-SEC ได้รับการจัดตั้งขึ้นเพื่อ:

• ให้คำแนะนำแก่คณะกรรมาธิการเกี่ยวกับกฎระเบียบ ข้อบังคับ และนโยบายที่เกี่ยวข้องกับสินทรัพย์ดิจิทัล

• ส่งเสริมการประสานงานด้านกฎระเบียบของนโยบายสินทรัพย์ดิจิทัลระหว่างคณะกรรมการต่างๆ

• วิจัยและเผยแพร่วิธีการอธิบาย วัดผล และวัดปริมาณสินทรัพย์ดิจิทัล

• วิจัยศักยภาพของสินทรัพย์ดิจิทัล ระบบบล็อกเชน และเทคโนโลยีบัญชีแยกประเภทแบบกระจายเพื่อปรับปรุงประสิทธิภาพการดำเนินงานของโครงสร้างพื้นฐานของตลาดการเงิน และปกป้องผู้เข้าร่วมตลาดการเงินได้ดียิ่งขึ้น

• หารือเกี่ยวกับการดำเนินการของร่างพระราชบัญญัตินี้และการแก้ไขของคณะกรรมการ

เป้าหมายของคณะกรรมการชุดนี้คือการส่งเสริมความร่วมมือและการแบ่งปันข้อมูลระหว่างหน่วยงานกำกับดูแลหลักสองแห่งในการควบคุมสินทรัพย์ดิจิทัล

• การเสริมสร้างและขยาย Strategic Hub for Innovation and FinTech (FinHub) ของ ก.ล.ต.

ร่างกฎหมายดังกล่าวเสนอให้เสริมสร้างความเข้มแข็งและขยายศูนย์ยุทธศาสตร์ด้านนวัตกรรมและฟินเทค (FinHub) ของ ก.ล.ต. ไปที่:

• ช่วยในการพัฒนาแนวทางของคณะกรรมการเพื่อความก้าวหน้าทางเทคโนโลยี

• ตรวจสอบนวัตกรรมเทคโนโลยีทางการเงินโดยผู้เข้าร่วมตลาด

• ประสานงานการตอบสนองของคณะกรรมการต่อเทคโนโลยีที่เกิดขึ้นใหม่ในระบบการเงิน กฎระเบียบ และการกำกับดูแล

ความรับผิดชอบคือ:

• ส่งเสริมนวัตกรรมเทคโนโลยีที่มีความรับผิดชอบและการแข่งขันที่ยุติธรรมภายในคณะกรรมาธิการ รวมถึงเทคโนโลยีทางการเงิน เทคโนโลยีการกำกับดูแล และเทคโนโลยีการกำกับดูแล

• ให้การศึกษาและการฝึกอบรมภายในเกี่ยวกับฟินเทคแก่คณะกรรมการ

• ให้คำแนะนำแก่คณะกรรมการเทคโนโลยีทางการเงินที่ทำหน้าที่ของคณะกรรมการ

• วิเคราะห์ผลกระทบของความก้าวหน้าทางเทคโนโลยีและข้อกำหนดด้านกฎระเบียบต่อบริษัทฟินเทค

• ให้คำแนะนำแก่คณะกรรมการเกี่ยวกับการกำหนดหลักเกณฑ์ฟินเทคหรือการดำเนินการของหน่วยงานหรือเจ้าหน้าที่อื่น ๆ

• ให้ข้อมูลเกี่ยวกับคณะกรรมาธิการและกฎและข้อบังคับแก่ธุรกิจในภาคฟินเทคที่เกิดขึ้นใหม่

• บริษัทที่ดำเนินงานในสาขาเทคโนโลยีเกิดใหม่ได้รับการสนับสนุนให้ร่วมมือกับคณะกรรมาธิการ และรับข้อเสนอแนะจากคณะกรรมาธิการเกี่ยวกับประเด็นด้านกฎระเบียบที่อาจเกิดขึ้น

ภารกิจหลักของ FinHub คือการส่งเสริมการพัฒนานโยบายที่เกี่ยวข้องกับฟินเทค และให้คำแนะนำและทรัพยากรเกี่ยวกับเทคโนโลยีเกิดใหม่แก่ผู้เข้าร่วมตลาด ต้องมีรายงานประจำปีต่อสภาคองเกรสเกี่ยวกับกิจกรรมของ FinHub ในช่วงปีงบประมาณที่แล้ว นอกจากนี้ยังจำเป็นต้องจัดเตรียมเอกสารและข้อมูลเพื่อให้แน่ใจว่า FinHub มีสิทธิ์เข้าถึงคณะกรรมาธิการและองค์กรกำกับดูแลตนเองอย่างเพียงพอเพื่อปฏิบัติหน้าที่ของ FinHub คณะกรรมาธิการจะต้องสร้างระบบการเก็บบันทึกโดยละเอียด (ตามที่กำหนดไว้ใน 5 U.S.C. 552a) เพื่อช่วย FinHub ในการสื่อสารกับผู้มีส่วนได้เสีย

• ก่อตั้งห้องปฏิบัติการ CFTC (LabCFTC)

ร่างกฎหมายเสนอให้จัดตั้ง LabCFTC โดยมีวัตถุประสงค์เพื่อ:

• ส่งเสริมนวัตกรรมเทคโนโลยีทางการเงินที่มีความรับผิดชอบและการแข่งขันที่ยุติธรรมเพื่อเป็นประโยชน์ต่อสาธารณชนชาวอเมริกัน

• ทำหน้าที่เป็นเวทีข้อมูลเพื่อแจ้งคณะกรรมการเกี่ยวกับนวัตกรรมเทคโนโลยีทางการเงินใหม่ๆ

• ให้การสนับสนุนผู้สร้างนวัตกรรมเทคโนโลยีทางการเงินเพื่อหารือเกี่ยวกับนวัตกรรมของตนและกรอบการกำกับดูแลที่กำหนดโดยพระราชบัญญัตินี้และกฎระเบียบที่ประกาศใช้ภายใต้พระราชบัญญัตินี้

ความรับผิดชอบคือ:

• ให้คำแนะนำแก่คณะกรรมาธิการด้านการกำหนดหลักเกณฑ์ด้านเทคโนโลยีทางการเงินหรือการดำเนินการของหน่วยงานหรือพนักงานอื่น ๆ

• ให้การศึกษาและการฝึกอบรมภายในแก่คณะกรรมการด้านเทคโนโลยีทางการเงิน

• ให้คำแนะนำแก่คณะกรรมการด้านเทคโนโลยีทางการเงินเพื่อเสริมสร้างการกำกับดูแลของคณะกรรมการ

• สื่อสารกับนักวิชาการ นักศึกษา และผู้เชี่ยวชาญเกี่ยวกับประเด็นเทคโนโลยีทางการเงิน แนวคิด และเทคนิคที่เกี่ยวข้องกับกิจกรรมของพระราชบัญญัติ

• ให้ข้อมูลแก่ผู้ที่ทำงานในพื้นที่เทคโนโลยีเกิดใหม่เกี่ยวกับคณะกรรมาธิการ กฎและข้อบังคับ และบทบาทของสมาคมฟิวเจอร์สที่จดทะเบียน

• พนักงานในสาขาเทคโนโลยีเกิดใหม่ได้รับการสนับสนุนให้มีส่วนร่วมกับคณะกรรมาธิการและรับข้อเสนอแนะจากคณะกรรมาธิการเกี่ยวกับประเด็นด้านกฎระเบียบที่อาจเกิดขึ้น

เช่นเดียวกับ FinHub ภารกิจของ LabCFTC คือการส่งเสริมการพัฒนานโยบายที่เกี่ยวข้อง และให้คำแนะนำทางเทคนิคและการสื่อสาร นอกจากนี้ LabCFTC ยังต้องจัดทำรายงานประจำปีเกี่ยวกับกิจกรรมต่างๆ ของสภาคองเกรสด้วย นอกจากนี้ ควรตรวจสอบให้แน่ใจด้วยว่า LabCFTC สามารถเข้าถึงเอกสารและข้อมูลของคณะกรรมาธิการและองค์กรกำกับดูแลตนเองหรือสมาคมฟิวเจอร์สที่จดทะเบียนได้อย่างเต็มที่ เพื่อทำหน้าที่ของ LabCFTC และสร้างระบบการเก็บบันทึกโดยละเอียด

• ให้ความสนใจและเสริมสร้างการวิจัยที่เกี่ยวข้องกับการเงินแบบกระจายอำนาจ สินทรัพย์ดิจิทัลที่ไม่สามารถทดแทนกันได้ อนุพันธ์ ฯลฯ

สำนักงานคณะกรรมการกำกับการซื้อขายสินค้าโภคภัณฑ์ล่วงหน้า (CFCA) และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ควรร่วมกันดำเนินการวิจัยเกี่ยวกับเนื้อหาที่เป็นนวัตกรรม เช่น การเงินแบบกระจายอำนาจ (DeFi) สินทรัพย์ดิจิทัลที่ไม่สามารถเข้ากันได้ (NFT) และอนุพันธ์ ศึกษาแนวโน้มการพัฒนา และ ประเมินผลกระทบต่อตลาดการเงินแบบดั้งเดิมและกลยุทธ์การกำกับดูแลที่อาจเกิดขึ้น

ในส่วนนี้ของเนื้อหา ทัศนคติต่อการปฏิบัติตามข้อกำหนดของ Crypto นั้นโดยพื้นฐานแล้ว ทิศทางที่ชัดเจนยิ่งขึ้นคือการวิจัยของ DeFi และ NFT ซึ่งหมายความว่า DeFi และ NFT อาจนำกลยุทธ์การกำกับดูแลที่ชัดเจนออกไปในอนาคต

4.3 ความสำคัญของร่างพระราชบัญญัติ FIT 21

แม้ว่าอุตสาหกรรม crypto จะมีมานานกว่าทศวรรษ แต่ก็ยังไม่มีกรอบการกำกับดูแลที่ครอบคลุมสำหรับสินทรัพย์ดิจิทัลทั่วโลก กรอบการกำกับดูแลที่มีอยู่กระจัดกระจาย ไม่สมบูรณ์ และขาดความชัดเจน ความไม่แน่นอนด้านกฎระเบียบนี้ไม่เพียงแต่เป็นอุปสรรคต่อการพัฒนาธุรกิจเชิงนวัตกรรมเท่านั้น แต่ยังเปิดโอกาสให้ผู้ไม่ประสงค์ดีได้แสวงหาผลประโยชน์อีกด้วย

การนำ FIT 21 มาใช้จึงมีความสำคัญอย่างยิ่ง

ข้อความนี้มีบทบาทสำคัญในการสร้างสภาพแวดล้อมด้านกฎระเบียบที่สนับสนุนการพัฒนาเทคโนโลยีบล็อกเชน และในขณะเดียวกันก็นำเสนอข้อกำหนดที่ค่อนข้างชัดเจนในการปกป้องตลาดการเข้ารหัสและความปลอดภัยของผู้บริโภค โดยเฉพาะอย่างยิ่ง ได้แก่: ได้รับการควบคุมอย่างชัดเจนโดย CFTC หรือ SEC สำหรับสินทรัพย์ดิจิทัลประเภทต่างๆ; การตั้งค่ามาตรการคุ้มครองผู้บริโภค เช่น การแยกกองทุนลูกค้า ระยะเวลาการล็อคอัพสำหรับบุคคลภายในโทเค็น การจำกัดการขายประจำปีและข้อกำหนดการเปิดเผยข้อมูล เป็นต้น

ในฐานะที่เป็นสิ่งประดิษฐ์ยุคใหม่ของอารยธรรมมนุษย์หลังอินเทอร์เน็ต เทคโนโลยีบล็อกเชนและสินทรัพย์ดิจิทัลมีศักยภาพและโอกาสในการพัฒนามหาศาล เราทุกคนเป็นผู้นำเทรนด์ในยุคใหม่โดยยอมรับกฎระเบียบและการพัฒนานวัตกรรม

5. สรุป

เมื่อเทียบกับช่วงครึ่งแรกของปี 2023 ความสูญเสียทั้งหมดที่เกิดจากการโจมตีของแฮ็กเกอร์, Rugpull ของฝ่ายโปรเจ็กต์, การหลอกลวงแบบฟิชชิ่ง ฯลฯ ในช่วงครึ่งแรกของปี 2024 เพิ่มขึ้นอย่างมีนัยสำคัญ โดยมีมูลค่าถึง 1.492 พันล้านดอลลาร์สหรัฐ โดยรวมแล้วสถานการณ์ด้านความปลอดภัยของ Web3 นั้นร้ายแรงมาก

อย่างไรก็ตาม สถานการณ์ตลาดโดยทั่วไปเป็นไปในเชิงบวก ความตระหนักด้านความปลอดภัยของฝ่ายโครงการและผู้ใช้ Web3 กำลังค่อยๆ เพิ่มขึ้น และนโยบายการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องก็ได้รับการปรับปรุงอย่างต่อเนื่อง

Web3 เป็นทวีปใหม่ที่เต็มไปด้วยจินตนาการและโอกาส ฉันเชื่อว่าในโลกนี้ ความปลอดภัยและการปฏิบัติตามกฎระเบียบจะมีบทบาทสำคัญมากขึ้นในการปกป้องความปลอดภัยของทรัพย์สินที่เข้ารหัสของผู้ใช้