ที่มา: Beosin
ในปี 2024 ในขณะที่อุตสาหกรรมบล็อกเชนกำลังเผชิญกับนวัตกรรมทางเทคโนโลยีและการขยายตัวของระบบนิเวศ แต่ก็ต้องเผชิญกับความท้าทายด้านความปลอดภัยที่รุนแรงมากขึ้นเช่นกัน จากการตรวจสอบโดยแพลตฟอร์ม Alert ของบริษัทตรวจสอบความปลอดภัย Beosin ณ เวลาปัจจุบัน ความสูญเสียทั้งหมดในฟิลด์ Web3 เนื่องจากการโจมตีของแฮ็กเกอร์ การหลอกลวงแบบฟิชชิ่ง และ Rug Pulls ของฝ่ายโครงการในปี 2567 มีมูลค่าสูงถึง 2.491 พันล้านดอลลาร์สหรัฐ
เหตุการณ์เหล่านี้ไม่เพียงแต่เปิดเผยข้อบกพร่องทางเทคนิค เช่น การจัดการคีย์ส่วนตัวและช่องโหว่ของสัญญาอัจฉริยะ แต่ยังเน้นย้ำถึงความเสี่ยงที่อาจเกิดขึ้นจากวิศวกรรมสังคมและการจัดการภายใน บทความนี้จะรวบรวมเหตุการณ์ด้านความปลอดภัย Web3 สิบอันดับแรกในปี 2024 เพื่อช่วยให้อุตสาหกรรมเรียนรู้จากเหตุการณ์เหล่านั้นและตอบสนองต่อภัยคุกคามความปลอดภัยในอนาคตได้ดียิ่งขึ้น
อันดับ 1 DMM Bitcoin
ขาดทุน: 304 ล้านดอลลาร์
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว
เมื่อวันที่ 31 พฤษภาคม 2024 DMM Bitcoin ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลของญี่ปุ่นที่มีมายาวนาน ได้รับความเดือดร้อนจากการโจมตีครั้งประวัติศาสตร์ ผู้โจมตีใช้คีย์ส่วนตัวที่รั่วไหลออกมาเพื่อโอน Bitcoin มูลค่ากว่า 300 ล้านดอลลาร์โดยตรง และกระจายเงินที่ถูกขโมยไปอย่างรวดเร็วไปยังที่อยู่ที่แตกต่างกันมากกว่า 10 แห่ง การโจมตีครั้งนี้เผยให้เห็นข้อบกพร่องร้ายแรงในการจัดการคีย์ส่วนตัวของ DMM Bitcoin และการป้องกันความปลอดภัยหลายชั้น แม้ว่าการแลกเปลี่ยนจะพยายามติดตามแฮกเกอร์ผ่านการตรวจสอบออนไลน์และการแช่แข็งเงิน Bitcoins ที่ถูกขโมยก็ถูกกระจายและถ่ายโอนและทำความสะอาดโดยใช้เครื่องมือผสมสกุลเงิน ซึ่งนำมาซึ่งความท้าทายที่ยิ่งใหญ่ในการติดตาม
เมื่อวันที่ 24 ธันวาคม ตำรวจญี่ปุ่นระบุว่าการขโมย DMM Bitcoin มีสาเหตุมาจากองค์กรแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group สำหรับการวิเคราะห์โดยละเอียดเกี่ยวกับการโจมตีและการฟอกเงินในอดีตของ Lazarus Group คุณสามารถอ่านได้ การวิเคราะห์การฟอกเงินโดย Lazarus Group กลุ่มขโมยเงินดิจิทัลที่กล้าหาญที่สุดในประวัติศาสตร์
PlayDapp อันดับ 2
ขาดทุน : 290 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว
เมื่อวันที่ 9 กุมภาพันธ์ 2024 PlayDapp ได้รับผลกระทบอย่างหนัก แฮกเกอร์สร้างโทเค็น PLA ได้ 2 พันล้านรายการด้วยมูลค่าเริ่มต้น 36.5 ล้านดอลลาร์โดยการขโมยคีย์ส่วนตัว เนื่องจากการเจรจาระหว่างทีมงานโครงการและแฮกเกอร์ล้มเหลว แฮกเกอร์จึงสร้างโทเค็น PLA เพิ่มเติมอีก 15.9 พันล้านโทเค็น มูลค่า 253.9 ล้านดอลลาร์สหรัฐในช่วงเวลาสั้นๆ หลังจากที่โทเค็นเหล่านี้บางส่วนไหลเข้าสู่การแลกเปลี่ยน Gate แล้ว PlayDapp ก็ถูกบังคับให้ระงับสัญญา PLA และย้ายไปยังสัญญาโทเค็น PDA เหตุการณ์นี้เน้นถึงข้อบกพร่องของโครงการบล็อคเชนใน การปกป้องคีย์ส่วนตัว และ การตอบสนองต่อเหตุฉุกเฉิน
อันดับ 3 วาซีร์เอ็กซ์
มูลค่าความเสียหาย: 235 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การโจมตีเครือข่ายและฟิชชิ่ง
เมื่อวันที่ 18 กรกฎาคม 2024 กระเป๋าเงินหลายลายเซ็น Safe Wallet ของ WazirX ซึ่งเป็นตลาดแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดในอินเดีย ถูกแฮกเกอร์โจมตีอย่างแม่นยำ ผู้โจมตีชักจูงให้ผู้ลงนามหลายรายลงนามในธุรกรรมการอัปเกรดสัญญาผ่านวิศวกรรมสังคม จากนั้นใช้การอนุญาตสัญญาที่อัปเกรดแล้วเพื่อโอนสินทรัพย์ทั้งหมดในกระเป๋าเงิน กรณีนี้เน้นย้ำถึงความเสี่ยงที่อาจเกิดขึ้นในการกำหนดค่าสิทธิ์การจัดการและความโปร่งใสในการปฏิบัติงานของกระเป๋าเงินหลายลายเซ็น และยังก่อให้เกิดการสะท้อนในเชิงลึกในอุตสาหกรรมเกี่ยวกับ การควบคุมความเสี่ยงภายในและกลไกความปลอดภัย ของโครงการ
สำหรับการวิเคราะห์โดยละเอียดและการติดตามกองทุนของเหตุการณ์นี้ คุณสามารถอ่าน Beosin | การวิเคราะห์เงิน 235 ล้านดอลลาร์ที่ถูกขโมยจาก Indian Exchange WazirX
เกมกาล่าครั้งที่ 4
ขาดทุน: 216 ล้านดอลลาร์
วิธีการโจมตี: ช่องโหว่ในการควบคุมการเข้าถึง
เมื่อวันที่ 20 พฤษภาคม 2024 ที่อยู่สิทธิพิเศษของ Gala Games ถูกแฮ็กเกอร์บุกรุก ต่อจากนั้น แฮกเกอร์ได้แปลงโทเค็นที่ออกใหม่เป็น ETH เป็นกลุ่ม ทำให้เกิดการสูญเสียโดยตรงถึง 216 ล้านดอลลาร์สหรัฐ หลังจากเหตุการณ์ดังกล่าว ทีมงาน Gala Games ได้เปิดใช้งานฟังก์ชันบัญชีดำอย่างเร่งด่วนเพื่อบล็อกบัญชีแฮกเกอร์บางบัญชีและกู้คืนความสูญเสียผ่านช่องทางตุลาการ
อันดับที่ 5 Chris Larsen (ผู้ร่วมก่อตั้ง Ripple)
มูลค่าความเสียหาย: 112 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว
เมื่อวันที่ 31 มกราคม 2024 กระเป๋าเงินส่วนตัวสี่ใบของ Chris Larsen ผู้ร่วมก่อตั้ง Ripple ถูกแฮ็ก ส่งผลให้มีการขโมย XRP มูลค่า 112 ล้านดอลลาร์ กระเป๋าเงินเหล่านี้ถูกสงสัยว่าตกเป็นเป้าหมายเนื่องจากขาดการป้องกันอุปกรณ์ฮาร์ดแวร์แบบคู่ หลังจากเหตุการณ์ดังกล่าว Binance ประสบความสำเร็จในการแช่แข็ง XRP มูลค่า 4.2 ล้านเหรียญสหรัฐ และช่วย Larsen ในการติดตามทรัพย์สินที่ถูกขโมย แต่เงินส่วนใหญ่ถูกฟอกผ่านการแลกเปลี่ยนแบบกระจายอำนาจและบริการผสมสกุลเงิน
No.6 มันช์เอเบิ้ล
มูลค่าความเสียหาย: 62.5 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การโจมตีทางวิศวกรรมสังคม
เมื่อวันที่ 26 มีนาคม 2024 Munchables แพลตฟอร์มเกม Web3 ที่ใช้ Blast ได้รับความเดือดร้อนจากการโจมตีภายในที่หายาก ผู้โจมตีคือแฮกเกอร์ชาวเกาหลีเหนือที่ปลอมตัวเป็นนักพัฒนาบล็อกเชน และ ได้รับโค้ดหลักและคีย์ที่ละเอียดอ่อนจากการซุ่มซ่อนในระยะยาว แม้ว่าการโจมตีจะทำให้เกิดความสูญเสียครั้งใหญ่ เนื่องจากแรงกดดันจากชุมชนและทีมงาน แต่ในที่สุดแฮกเกอร์ก็คืนเงินที่ถูกขโมยไปทั้งหมดในที่สุด เหตุการณ์นี้เผยให้เห็นถึงความสำคัญของความปลอดภัยของห่วงโซ่อุปทาน โดยเฉพาะอย่างยิ่งสำหรับโครงการบล็อกเชนที่ต้องอาศัยการพัฒนาจากบุคคลที่สาม
No.7 Btcเติร์ก
มูลค่าความเสียหาย: 55 ล้านดอลลาร์
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว
เมื่อวันที่ 22 มิถุนายน 2024 BtcTurk ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดของตุรกี ประสบกับการโจมตีด้วยคีย์ส่วนตัวรั่วไหล ทำให้ สูญเสียสินทรัพย์ดิจิทัลไปมากกว่า 55 ล้านดอลลาร์ ด้วยความช่วยเหลือจากทีมงาน Binance เงินที่ถูกขโมยไปจำนวน 5.3 ล้านดอลลาร์ถูกแช่แข็งได้สำเร็จ แต่สินทรัพย์อื่น ๆ ยังไม่ได้รับการกู้คืน เหตุการณ์นี้ทำให้ตลาดมีความกังวลมากขึ้นเกี่ยวกับการจัดการคีย์ส่วนตัวในการแลกเปลี่ยนแบบรวมศูนย์
BtcTurk ประกาศอย่างเป็นทางการว่าถูกโจมตี
No.8 เมืองหลวงที่สดใส
มูลค่าความเสียหาย: 53 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว
เมื่อวันที่ 17 ตุลาคม 2024 กระเป๋าเงินหลายลายเซ็นของ Radiant Capital ถูกแฮกเกอร์บุกรุก เนื่องจาก โหมดการตรวจสอบลายเซ็น 3/11 มีค่าเกณฑ์ต่ำ แฮกเกอร์จึงเริ่มต้นลายเซ็นนอกเครือข่ายโดยการเรียนรู้คีย์ส่วนตัวของผู้ลงนามสามคน และโอนความเป็นเจ้าของสัญญากระเป๋าเงินไปยังที่อยู่ที่เป็นอันตราย ซึ่งท้ายที่สุดส่งผลให้มีการโจรกรรมเงินจำนวน 53 ล้านดอลลาร์ การโจมตีดังกล่าวกระตุ้นให้อุตสาหกรรมต้องคิดใหม่เกี่ยวกับการออกแบบกระเป๋าเงินแบบหลายลายเซ็นและกลไกการกำกับดูแล
ก่อนการโจมตีครั้งนี้ Radiant Capital สูญเสียเงิน 4.5 ล้านดอลลาร์เนื่องจากช่องโหว่ของสัญญา และ ETH มากกว่า 1,900 ETH ถูกขโมยไป ฝ่ายโครงการ Web3 ยังคงต้องให้ความสำคัญกับความปลอดภัยมากขึ้น
หมายเลข 9 การเงิน Hedgey
มูลค่าความเสียหาย: 44.7 ล้านดอลลาร์
วิธีการโจมตี: ช่องโหว่ของสัญญา
เมื่อวันที่ 19 เมษายน 2024 Hedgey Finance ประสบกับการโจมตีสัญญาออนไลน์หลายฉบับ แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในการอนุมัติในสัญญา ClaimCampaigns และ ถอนโทเค็นออกจากเครือข่าย Ethereum และ Arbitrum ได้สำเร็จ ส่งผลให้สูญเสียเงินทั้งหมด 44.7 ล้านดอลลาร์ เหตุการณ์นี้แสดงให้เห็นถึงความสำคัญของการตรวจสอบรหัส โดยเฉพาะอย่างยิ่งการตรวจสอบตรรกะการอนุมัติโทเค็นอย่างเข้มงวด
หมายเลข 10 BingX
มูลค่าความเสียหาย: 44.7 ล้านดอลลาร์
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว
เมื่อวันที่ 19 กันยายน 2024 กระเป๋าเงินร้อนของการแลกเปลี่ยน BingX ถูกแฮ็ก และ เครือข่ายที่เกี่ยวข้อง ได้แก่ Ethereum, BNB Chain, Tron และเครือข่ายสาธารณะอื่น ๆ แม้ว่าการแลกเปลี่ยนจะเริ่มต้นกลไกการระงับการโอนและถอนสินทรัพย์อย่างรวดเร็ว แต่แฮกเกอร์ก็สามารถถอนสินทรัพย์มูลค่า 44.7 ล้านดอลลาร์ได้สำเร็จ การโจมตีนี้สะท้อนให้เห็นถึงธรรมชาติที่มีความเสี่ยงสูงของการจัดการกระเป๋าเงินร้อนในการแลกเปลี่ยนแบบรวมศูนย์ และผลักดันอุตสาหกรรมให้สำรวจโซลูชันการจัดเก็บสินทรัพย์ที่ปลอดภัยยิ่งขึ้น
การโจมตีด้านความปลอดภัยที่เกิดขึ้นบ่อยครั้งในปี 2024 เตือนเราอีกครั้งว่าการพัฒนาของอุตสาหกรรมบล็อกเชนนั้นแยกออกจากการปกป้องความปลอดภัยไม่ได้ ตั้งแต่การรั่วไหลของคีย์ส่วนตัวไปจนถึงช่องโหว่ของสัญญา จากการกำกับดูแลการจัดการภายในไปจนถึงการอัพเกรดวิธีการโจมตีภายนอก ทุกเหตุการณ์ได้นำมาซึ่งบทเรียนที่ลึกซึ้ง เพื่อจัดการกับภัยคุกคามการโจมตีที่ซับซ้อนมากขึ้น ทุกฝ่ายในอุตสาหกรรมจำเป็นต้องเพิ่มการลงทุนในการวิจัยและพัฒนาเทคโนโลยี กฎระเบียบการจัดการ และการป้องกันและควบคุมความเสี่ยงอย่างต่อเนื่อง ในอนาคต เราตั้งตารอที่จะร่วมกันสร้างระบบนิเวศบล็อคเชนที่ปลอดภัยยิ่งขึ้นผ่านความร่วมมือในอุตสาหกรรมและนวัตกรรมทางเทคโนโลยีเพื่อให้ผู้ใช้และนักลงทุนได้รับความคุ้มครองที่เชื่อถือได้มากขึ้น
