คำนำ

รายงานการวิจัยนี้ริเริ่มโดย Blockchain Security Alliance และร่วมสร้างโดยสมาชิกพันธมิตร Beosin และ Footprint Analytics โดยมีเป้าหมายเพื่อสำรวจการพัฒนาสถานการณ์ด้านความปลอดภัยของบล็อกเชนทั่วโลกอย่างครอบคลุมในปี 2024 รายงานจะเปิดเผยความท้าทายและภัยคุกคามด้านความปลอดภัยในปัจจุบัน ตลอดจนมอบแนวทางแก้ไขและแนวปฏิบัติที่ดีที่สุดผ่านการวิเคราะห์และการประเมินสถานะปัจจุบันของการรักษาความปลอดภัยบล็อกเชนทั่วโลก

จากรายงานนี้ ผู้อ่านจะสามารถเข้าใจวิวัฒนาการแบบไดนามิกของมาตรการรักษาความปลอดภัยบล็อกเชน Web3 ได้อย่างครอบคลุมมากขึ้น สิ่งนี้จะช่วยให้ผู้อ่านประเมินและจัดการกับความท้าทายด้านความปลอดภัยที่เผชิญกับพื้นที่บล็อกเชน นอกจากนี้ ผู้อ่านยังสามารถรับคำแนะนำที่เป็นประโยชน์เกี่ยวกับมาตรการรักษาความปลอดภัยและทิศทางการพัฒนาอุตสาหกรรมจากรายงานเพื่อช่วยในการตัดสินใจและดำเนินการอย่างมีข้อมูลในสาขาที่กำลังเกิดขึ้นนี้ ความปลอดภัยและการกำกับดูแลบล็อคเชนเป็นประเด็นสำคัญสำหรับการพัฒนายุค Web3 ด้วยการวิจัยและการอภิปรายเชิงลึก เราสามารถเข้าใจและตอบสนองต่อความท้าทายเหล่านี้ได้ดีขึ้น และส่งเสริมความปลอดภัยและการพัฒนาที่ยั่งยืนของเทคโนโลยีบล็อกเชน

1. ภาพรวมสถานการณ์ความปลอดภัยของ Web3 Blockchain ในปี 2024

จากการตรวจสอบโดยแพลตฟอร์ม Alert ของบริษัทตรวจสอบความปลอดภัย Beosin ความสูญเสียทั้งหมดที่เกิดจากการโจมตีของแฮ็กเกอร์ การหลอกลวงแบบฟิชชิ่ง และ Rug Pull ของฝ่ายโครงการในฟิลด์ Web3 ในปี 2567 มีมูลค่าสูงถึง 2.513 พันล้านดอลลาร์สหรัฐ ในจำนวนนี้มีเหตุการณ์การโจมตีที่สำคัญ 131 เหตุการณ์ โดยมีมูลค่าความเสียหายรวมประมาณ 1.792 พันล้านดอลลาร์สหรัฐ เหตุการณ์ Rug Pull ที่เกี่ยวข้องกับฝ่ายต่างๆ ของโครงการ 68 เหตุการณ์ ซึ่งมีมูลค่าการสูญเสียรวมประมาณ 148 ล้านดอลลาร์สหรัฐ และการหลอกลวงแบบฟิชชิ่ง โดยมีมูลค่าการสูญเสียรวมประมาณ 574 ดอลลาร์สหรัฐฯ ล้าน.

ในปี 2024 จำนวนการโจมตีของแฮ็กเกอร์และการหลอกลวงแบบฟิชชิ่งจะเพิ่มขึ้นอย่างมากเมื่อเทียบกับปี 2023 โดยฟิชชิ่งหลอกลวงเพิ่มขึ้น 140.66% เมื่อเทียบกับปี 2023 จำนวนความสูญเสียที่เกิดขึ้นโดยฝ่ายโครงการในเหตุการณ์ Rug Pull ลดลงอย่างมาก ประมาณ 61.94%

ประเภทของโครงการที่ถูกโจมตีในปี 2567 ได้แก่ DeFi, CEX, DEX, เชนสาธารณะ, สะพานข้ามโซ่, กระเป๋าเงิน, แพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์เข้ารหัสลับ, โครงสร้างพื้นฐาน, ผู้จัดการรหัสผ่าน, เครื่องมือพัฒนา, หุ่นยนต์ MEV, หุ่นยนต์ TG เป็นต้น . DeFi เป็นประเภทโครงการที่ถูกโจมตีบ่อยที่สุด โดยมีการโจมตี DeFi 75 ครั้ง ทำให้เกิดการสูญเสียรวมประมาณ 390 ล้านเหรียญสหรัฐ CEX เป็นประเภทโครงการที่มีการสูญเสียรวมสูงสุด การโจมตี CEX 10 ครั้งทำให้เกิดการสูญเสียรวมประมาณ 724 ล้านดอลลาร์สหรัฐ

ในปี 2567 จะมีเครือข่ายสาธารณะประเภทต่างๆ ที่ถูกโจมตีเพิ่มมากขึ้น และจะมีเหตุการณ์ด้านความปลอดภัยมากมายที่เกี่ยวข้องกับการโจรกรรมเครือข่ายต่างๆ Ethereum ยังคงเป็นเครือข่ายสาธารณะที่มีจำนวนการสูญเสียสูงสุด การโจมตี 66 ครั้งบน Ethereum ทำให้เกิดการสูญเสียประมาณ 844 ล้านดอลลาร์สหรัฐ คิดเป็น 33.57% ของการสูญเสียทั้งหมดสำหรับปี

จากมุมมองของวิธีการโจมตี การรั่วไหลของคีย์ส่วนตัว 35 ครั้งทำให้เกิดการสูญเสียรวมประมาณ 1.306 พันล้านดอลลาร์สหรัฐ คิดเป็น 51.96% ของการสูญเสียทั้งหมด เป็นวิธีการโจมตีที่ทำให้เกิดการสูญเสียมากที่สุด

การแสวงหาประโยชน์จากช่องโหว่ตามสัญญาเป็นวิธีการโจมตีที่พบบ่อยที่สุด ในบรรดาการโจมตี 131 ครั้ง 76 ครั้งมาจากการแสวงหาประโยชน์จากช่องโหว่ตามสัญญา คิดเป็น 58.02%

ตลอดทั้งปี กองทุนที่ถูกขโมยไปประมาณ 531 ล้านดอลลาร์สหรัฐ คิดเป็นประมาณ 21.13% เงินที่ถูกขโมยประมาณ 109 ล้านดอลลาร์สหรัฐถูกโอนไปยังเครื่องผสมเหรียญตลอดทั้งปี คิดเป็นประมาณ 4.34% ของเงินที่ถูกขโมยทั้งหมด ลดลงประมาณ 66.97% เมื่อเทียบกับปี 2023

2. เหตุการณ์ด้านความปลอดภัย 10 อันดับแรกในระบบนิเวศ Web3 ในปี 2024

ในปี 2024 มีการโจมตี 5 ครั้งที่มีการสูญเสียมากกว่า 100 ล้านดอลลาร์สหรัฐ: DMM Bitcoin (304 ล้านดอลลาร์สหรัฐ), PlayDapp (290 ล้านดอลลาร์สหรัฐ), WazirX (235 ล้านดอลลาร์สหรัฐ), Gala Games (216 ล้านดอลลาร์สหรัฐ) และ Chris Larsen ที่ถูกขโมย (สหรัฐ) 112 ล้านดอลลาร์) ดอลลาร์) การสูญเสียรวมของเหตุการณ์ด้านความปลอดภัย 10 อันดับแรกมีมูลค่าประมาณ 1.417 พันล้านดอลลาร์สหรัฐ คิดเป็นประมาณ 79.07% ของจำนวนเหตุการณ์การโจมตีประจำปีทั้งหมด

อันดับ 1 DMM Bitcoin

ขาดทุน: 304 ล้านดอลลาร์

วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว

เมื่อวันที่ 31 พฤษภาคม 2024 ตลาดแลกเปลี่ยนสกุลเงินดิจิทัลของญี่ปุ่น DMM Bitcoin ถูกโจมตี และ Bitcoin มูลค่ามากกว่า 300 ล้านดอลลาร์ถูกขโมยไป แฮกเกอร์กระจายเงินที่ถูกขโมยไปยังที่อยู่มากกว่า 10 แห่งเพื่อพยายามทำความสะอาด

PlayDapp อันดับ 2

ขาดทุน : 290 ล้านเหรียญสหรัฐ

วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว

เมื่อวันที่ 9 กุมภาพันธ์ 2024 PlayDapp แพลตฟอร์มเกมบล็อกเชนถูกโจมตี และแฮกเกอร์ได้สร้างโทเค็น PLA จำนวน 2 พันล้านโทเค็น มูลค่า 36.5 ล้านดอลลาร์ หลังจากการเจรจากับ PlayDapp ล้มเหลว เมื่อวันที่ 12 กุมภาพันธ์ แฮกเกอร์ได้สร้างโทเค็น PLA เพิ่มเติม 15.9 พันล้านโทเค็น มูลค่า 253.9 ล้านดอลลาร์ และส่งเงินทุนบางส่วนไปที่การแลกเปลี่ยน Gate ต่อมาทีมงานโครงการ PlayDapp ได้ระงับสัญญา PLA และย้ายโทเค็น PLA ไปยังโทเค็น PDA

อันดับ 3 วาซีร์เอ็กซ์

มูลค่าความเสียหาย: 235 ล้านเหรียญสหรัฐ

วิธีการโจมตี: การโจมตีเครือข่ายและฟิชชิ่ง

เมื่อวันที่ 18 กรกฎาคม 2024 มีการขโมยเงินมากกว่า 230 ล้านดอลลาร์จากกระเป๋าเงินหลายลายเซ็นของ WazirX เว็บแลกเปลี่ยนสกุลเงินดิจิทัลของอินเดีย กระเป๋าเงินหลายลายเซ็นนี้เป็นกระเป๋าเงินสัญญาอัจฉริยะของ Safe Wallet ผู้โจมตีชักชวนให้ผู้ลงนามหลายลายเซ็นลงนามในธุรกรรมการอัปเกรดสัญญา ผู้โจมตีโอนทรัพย์สินในกระเป๋าเงินโดยตรงผ่านสัญญาที่อัปเกรด และในที่สุดก็โอนทรัพย์สินทั้งหมดมากกว่า 230 ล้านดอลลาร์สหรัฐออกไป

เกมกาล่าครั้งที่ 4

ขาดทุน: 216 ล้านดอลลาร์

วิธีการโจมตี: ช่องโหว่ในการควบคุมการเข้าถึง

เมื่อวันที่ 20 พฤษภาคม 2024 ที่อยู่พิเศษของ Gala Games ถูกควบคุม ผู้โจมตีเรียกฟังก์ชัน mint ของโทเค็นผ่านที่อยู่เพื่อสร้างโทเค็น GALA โดยตรง 5 พันล้านเหรียญ มูลค่าประมาณ 216 ล้านดอลลาร์สหรัฐ และออกโทเค็นเพิ่มเติมเป็นชุด แลกเปลี่ยนเป็น ETH จากนั้นทีมงาน Gala Games ใช้ฟีเจอร์บัญชีดำเพื่อหยุดแฮกเกอร์และกู้คืนความสูญเสียของพวกเขา

อันดับที่ 5 Chris Larsen (ผู้ร่วมก่อตั้ง Ripple)

มูลค่าความเสียหาย: 112 ล้านเหรียญสหรัฐ

วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว

เมื่อวันที่ 31 มกราคม 2024 Chris Larsen ผู้ร่วมก่อตั้ง Ripple กล่าวว่ากระเป๋าเงินของเขาสี่ใบถูกบุกรุก ส่งผลให้สูญเสียรวมประมาณ 112 ล้านดอลลาร์ ทีม Binance ประสบความสำเร็จในการอายัดโทเค็น XRP มูลค่า 4.2 ล้านดอลลาร์ที่ถูกขโมยไป

No.6 มันช์เอเบิ้ล

มูลค่าความเสียหาย: 62.5 ล้านเหรียญสหรัฐ

วิธีการโจมตี: การโจมตีทางวิศวกรรมสังคม

เมื่อวันที่ 26 มีนาคม พ.ศ. 2567 Munchables ซึ่งเป็นแพลตฟอร์มเกม Web3 ที่ใช้ Blast ได้รับความเสียหายจากการโจมตีและสูญเสียเงินประมาณ 62.5 ล้านเหรียญสหรัฐ โครงการนี้ถูกโจมตีเนื่องจากมีการจ้างแฮกเกอร์ชาวเกาหลีเหนือมาเป็นนักพัฒนา ในที่สุดเงินที่ถูกขโมยทั้งหมดก็ถูกส่งคืนโดยแฮกเกอร์

หมายเลข 7 BTTurk

มูลค่าความเสียหาย: 55 ล้านดอลลาร์

วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว

เมื่อวันที่ 22 มิถุนายน 2024 ตลาดแลกเปลี่ยนสกุลเงินดิจิทัลของตุรกี BTCTurk ถูกโจมตี ส่งผลให้สูญเสียเงินประมาณ 55 ล้านดอลลาร์ Binance ช่วยอายัดเงินที่ถูกขโมยไปมากกว่า 5.3 ล้านดอลลาร์

No.8 เมืองหลวงที่สดใส

มูลค่าความเสียหาย: 53 ล้านเหรียญสหรัฐ

วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว

เมื่อวันที่ 17 ตุลาคม 2024 Radiant Capital โปรโตคอลการให้กู้ยืมแบบหลายห่วงโซ่ถูกโจมตี ผู้โจมตีได้รับอนุญาตอย่างผิดกฎหมายจากเจ้าของสามคนในกระเป๋าเงินหลายลายเซ็นของ Radiant Capital เนื่องจากกระเป๋าเงินหลายลายเซ็นใช้โหมดการตรวจสอบลายเซ็น 3/11 ผู้โจมตีจึงใช้คีย์ส่วนตัว 3 อันเหล่านี้เพื่อทำลายเซ็นนอกเครือข่าย จากนั้นจึงเริ่มธุรกรรมออนไลน์เพื่อโอนความเป็นเจ้าของสัญญา Radiant Capital ไปยังสัญญาที่เป็นอันตราย ถูกควบคุมโดยผู้โจมตี ทำให้เกิดความเสียหายมากกว่า 53 ล้านดอลลาร์

หมายเลข 9 การเงิน Hedgey

มูลค่าความเสียหาย: 44.7 ล้านดอลลาร์

วิธีการโจมตี: ช่องโหว่ของสัญญา

เมื่อวันที่ 19 เมษายน 2024 Hedgey Finance ถูกโจมตีหลายครั้งโดยผู้โจมตี ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในการอนุมัติโทเค็นเพื่อขโมยโทเค็นจำนวนมากในสัญญา ClaimCampaigns โทเค็นที่ถูกขโมยจากเครือข่าย Ethereum มีมูลค่ามากกว่า 2.1 ล้านเหรียญสหรัฐ และโทเค็นที่ถูกขโมยจากเครือข่าย Arbitrum มีมูลค่าประมาณ 42.6 ล้านเหรียญสหรัฐ

หมายเลข 10 BingX

มูลค่าความเสียหาย: 44.7 ล้านดอลลาร์

วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว

เมื่อวันที่ 19 กันยายน 2024 กระเป๋าเงินร้อนของการแลกเปลี่ยน BingX ถูกแฮ็ก แม้ว่า BingX จะเปิดตัวแผนฉุกเฉิน รวมถึงการโอนสินทรัพย์ฉุกเฉินและการระงับการถอนเงิน ตามสถิติของ Beosin การสูญเสียทรัพย์สินทั้งหมดจากการไหลออกของ Hot Wallet ที่ผิดปกตินั้นสูงถึง 44.7 ล้านดอลลาร์สหรัฐ สินทรัพย์ที่ถูกขโมยเกี่ยวข้องกับ Ethereum, BNB Chain, Tron, Polygon, Avalanche, Base รอหลายบล็อกเชน

3. ประเภทของโครงการที่ถูกโจมตี

นอกเหนือจากประเภททั่วไป เช่น DeFi, CEX, DEX, เชนสาธารณะ, สะพานข้ามโซ่ และกระเป๋าเงินแล้ว ประเภทของโปรเจ็กต์ที่จะถูกโจมตีในปี 2024 ก็จะปรากฏบนแพลตฟอร์มการชำระเงิน แพลตฟอร์มการพนัน นายหน้าเข้ารหัส โครงสร้างพื้นฐาน รหัสผ่าน ผู้จัดการ เครื่องมือพัฒนา หุ่นยนต์ MEV หุ่นยนต์ TG และโครงการประเภทอื่นๆ

มีการโจมตีโครงการ DeFi 75 ครั้งในปี 2567 ทำให้เป็นประเภทโครงการที่มีการโจมตีมากที่สุด (ประมาณ 50.70%) ความสูญเสียทั้งหมดจากการโจมตี DeFi มีมูลค่าประมาณ 390 ล้านดอลลาร์สหรัฐ คิดเป็นประมาณ 15.50% ของการสูญเสียทั้งหมด และเป็นประเภทโครงการที่มีการสูญเสียมากเป็นอันดับสี่

CEX (Centralized Exchange) ครองอันดับหนึ่งในด้านจำนวนความเสียหาย การโจมตี 10 ครั้งทำให้เกิดการสูญเสียรวมประมาณ 724 ล้านดอลลาร์สหรัฐ ทำให้เป็นประเภทโครงการที่มีปริมาณการสูญเสียมากที่สุด เมื่อนำมารวมกัน ประเภทการแลกเปลี่ยนจะประสบกับเหตุการณ์ด้านความปลอดภัยบ่อยครั้งในปี 2024 และความปลอดภัยของการแลกเปลี่ยนยังคงเป็นความท้าทายที่ใหญ่ที่สุดสำหรับระบบนิเวศ Web3

การขาดทุนครั้งใหญ่เป็นอันดับสองมาจากกระเป๋าเงินส่วนตัว โดยขาดทุนรวมประมาณ 445 ล้านดอลลาร์สหรัฐ การโจมตี 12 ครั้งต่อ Crypto Whale และการโจมตีแบบฟิชชิ่งจำนวนมากและการโจมตีทางวิศวกรรมสังคมต่อผู้ใช้ทั่วไป ส่งผลให้กระเป๋าเงินส่วนตัวสูญหายทั้งหมดเพิ่มขึ้น 464.72% เมื่อเทียบกับปี 2023 ถือเป็นความท้าทายที่ใหญ่เป็นอันดับสองรองจากความปลอดภัยของการแลกเปลี่ยน

4. จำนวนการสูญเสียในแต่ละห่วงโซ่

เมื่อเทียบกับปี 2023 ประเภทของเครือข่ายสาธารณะที่เกิดการโจมตีในปี 2024 ก็กว้างขวางกว่าเช่นกัน ห้าอันดับแรกในแง่ของจำนวนการสูญเสีย ได้แก่ Ethereum, Bitcoin, Arbitrum, Ripple และ Blast:

หกอันดับแรกที่ได้รับการจัดอันดับตามจำนวนเหตุการณ์การโจมตี ได้แก่

Ethereum, BNB Chain, Arbitrum, อื่นๆ, ฐาน, โซลานา:

เช่นเดียวกับในปี 2023 Ethereum ยังคงเป็นเครือข่ายสาธารณะที่มีปริมาณการสูญเสียมากที่สุด การโจมตี 66 ครั้งบน Ethereum ทำให้เกิดความสูญเสียประมาณ 844 ล้านดอลลาร์ คิดเป็น 33.59% ของการสูญเสียทั้งหมดตลอดทั้งปี

หมายเหตุ: ข้อมูลการสูญเสียทั้งหมดนี้ไม่รวมถึงการสูญเสียฟิชชิ่งออนไลน์และการสูญเสียกระเป๋าเงินร้อน CEX บางส่วน

การสูญเสียเครือข่าย Bitcoin อยู่ในอันดับที่สอง โดยความสูญเสียจากเหตุการณ์ด้านความปลอดภัยเพียงครั้งเดียวมีมูลค่าสูงถึง 238 ล้านดอลลาร์ อันดับที่สามคือ Arbitrum โดยมีการขาดทุนรวมประมาณ 114 ล้านดอลลาร์

5. การวิเคราะห์เทคนิคการโจมตี

วิธีการโจมตีในปี 2567 นั้นมีความหลากหลายมาก นอกเหนือจากการโจมตีช่องโหว่ตามสัญญาทั่วไปแล้ว ยังมีวิธีการโจมตีอีกมากมาย รวมถึง: การโจมตีห่วงโซ่อุปทาน, การโจมตีผู้ให้บริการบุคคลที่สาม, การโจมตีแบบแทรกกลาง, การโจมตี DNS, การโจมตีแบบ Front- ยุติการโจมตี ฯลฯ

ในปี 2024 เหตุการณ์ การรั่วไหลของคีย์ส่วนตัว 35 ครั้งทำให้เกิดการสูญเสียรวม 1.306 พันล้านดอลลาร์สหรัฐ คิดเป็น 51.96% ของการสูญเสียทั้งหมด ทำให้เป็นวิธีการโจมตีที่ทำให้เกิดการสูญเสียมากที่สุด การรั่วไหลของคีย์ส่วนตัวที่ทำให้เกิดการสูญเสียครั้งใหญ่ ได้แก่ DMM Bitcoin (304 ล้านดอลลาร์), PlayDapp (290 ล้านดอลลาร์), Chris Larson ผู้ร่วมก่อตั้ง Ripple (112 ล้านดอลลาร์), BTCTurk (55 ล้านดอลลาร์), Radiant Capital (53 ล้านดอลลาร์), BingX (44.7 ล้านดอลลาร์) ), DEXX (21 ล้านดอลลาร์)

การแสวงหาประโยชน์จากช่องโหว่ตามสัญญาเป็นวิธีการโจมตีที่พบบ่อยที่สุด ในบรรดาการโจมตี 131 ครั้ง 76 ครั้งมาจากการแสวงหาประโยชน์จากช่องโหว่ตามสัญญา คิดเป็น 58.02% ความสูญเสียทั้งหมดที่เกิดจากช่องโหว่ของสัญญามีมูลค่าประมาณ 321 ล้านดอลลาร์สหรัฐ ซึ่งอยู่ในอันดับที่สามในแง่ของจำนวนการสูญเสีย

เมื่อแยกตามช่องโหว่ ช่องโหว่ ด้านตรรกะทางธุรกิจเกิดขึ้นบ่อยที่สุดและทำให้เกิดความสูญเสียมากที่สุด ประมาณ 53.95% ของความสูญเสียในเหตุการณ์ช่องโหว่ด้านสัญญามาจากช่องโหว่ด้านตรรกะทางธุรกิจ ซึ่งทำให้เกิดการสูญเสียรวมประมาณ 158 ล้านเหรียญสหรัฐ

6. การวิเคราะห์เหตุการณ์ต่อต้านการฟอกเงินโดยทั่วไป

6.1 เหตุการณ์ด้านความปลอดภัยของ Polter Finance

สรุปเหตุการณ์

เมื่อวันที่ 17 พฤศจิกายน 2024 ตามคำเตือนการติดตาม Beosin Alert พบว่าข้อตกลงการให้กู้ยืมแบบออนไลน์ของ FTM Polter Finance ถูกโจมตี ผู้โจมตีทำกำไรโดยการจัดการราคาโทเค็นในสัญญาโครงการผ่านการกู้ยืมแบบแฟลช

การวิเคราะห์ช่องโหว่และเงินทุน

สัญญา LendingPool (0x d 47 ae 558623638 f 676 c 1 e 38 dad 71 b 53054 f 54273) ที่ใช้ในเหตุการณ์นี้ใช้ 0x 6808 b 5 ce 79 d 44 e 89883 c 5393 b 487 c 4296 abb 69 fe ในฐานะของออราเคิล ออราเคิลใช้สัญญาฟีดราคาที่ใช้งานล่าสุด (0x 80663 edff 11 e 99 e 8 e 0 b 34 cb 9 c 3 e 1 ff 32 e 82 a 80 fe) สัญญาป้อนราคานี้ใช้โทเค็นสำรองในสัญญา uniswap V2_pair (0x Ec 71) ที่ผู้โจมตีสามารถใช้เพื่อให้สินเชื่อแฟลชเพื่อคำนวณราคา ดังนั้นสัญญาจึงเสี่ยงต่อการถูกโจมตีด้วยการปั่นราคา

ผู้โจมตีใช้สินเชื่อแฟลชเพื่อเพิ่มมูลค่าของโทเค็น $BOO อย่างไม่ถูกต้องและ ให้ยืมสินทรัพย์ crypto อื่น ๆ ผู้โจมตีแปลงเงินที่ถูกขโมยไปเป็นโทเค็น FTM จากนั้นข้ามสายโซ่ไปยังห่วงโซ่ ETH ซึ่งเงินทั้งหมดถูกเก็บไว้ ต่อไปนี้เป็นแผนผังของกระบวนการไหลเวียนของเงินทุนในห่วงโซ่ ARB และห่วงโซ่ ETH:

เมื่อวันที่ 20 พฤศจิกายน ผู้โจมตียังคงโอน ETH มากกว่า 2,625 ETH ไปยัง Tornado Cash ดังแสดงในรูปด้านล่าง:

6.2 เหตุการณ์ความปลอดภัยของ BitForex

สรุปเหตุการณ์

เมื่อวันที่ 23 กุมภาพันธ์ 2024 ZachXBT นักสืบออนไลน์ที่มีชื่อเสียงเปิดเผยผ่านเครื่องมือวิเคราะห์ของเขาว่ากระเป๋าเงินร้อนของ BitForex ประสบกับการไหลออกประมาณ 56.5 ล้านดอลลาร์ และในกระบวนการนี้ แพลตฟอร์มได้ระงับบริการถอนเงิน

การวิเคราะห์กองทุน

ทีมรักษาความปลอดภัยของ Beosin ดำเนินการติดตามและวิเคราะห์เชิงลึกของเหตุการณ์ BitForex ผ่าน Trace:

อีเธอเรียม

การแลกเปลี่ยน Bitforex เริ่มโอน 40,771 USDT, 258,700 USDC, 148.01 ETH และ 471,405 TRB ไปยัง Ethereum เวลา 6:11 น. ของวันที่ 24 กุมภาพันธ์ 2024 (UTC+ 8) ที่อยู่ที่ควบคุมไม่ได้ (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)

ต่อมาในวันที่ 9 สิงหาคม ตามเวลาปักกิ่ง ที่อยู่ค่าไถ่ได้โอนโทเค็นทั้งหมดยกเว้น TRB (รวมถึง 147.9 ETH, 40,771 USDT และ 258,700 USDC) กลับไปยังบัญชีแลกเปลี่ยน Bitforex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8)

จากนั้นตั้งแต่วันที่ 9 พฤศจิกายนถึง 10 พฤศจิกายน ตามเวลาปักกิ่ง ที่อยู่ที่รันอยู่จะโอน 355,000 TRB ไปยังที่อยู่ผู้ใช้แลกเปลี่ยน OKX สี่แห่งผ่าน 7 ธุรกรรม:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

ที่อยู่ที่ทำงานอยู่จะโอนส่วนที่เหลือทั้งหมด 116, 414.93 TRB ไปยังที่อยู่การขนส่ง (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e) จากนั้นที่อยู่จะโอน TRB ทั้งหมดไปยังผู้ใช้แลกเปลี่ยน Binance สองคนในธุรกรรมสองรายการ:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0x e 7 b 1 fb 77 baaa 3 bba 9326 af 2 af 3 c d5 857256519 df

บีเอ็นบี เชน

เมื่อวันที่ 24 กุมภาพันธ์ ตลาดแลกเปลี่ยน Bitforex ได้ถอน 166 ETH, 46,905 USDT และ 57,810 USDC ไปยังที่อยู่ BNB Chain (0x dcacd 7 eb 669 2b 816 b 6957 f 8898 c 1 c 4 b 6 3d 1 fc 01 f) จนถึงวันที่ฝนตก

รูปหลายเหลี่ยม

เมื่อวันที่ 24 กุมภาพันธ์ ตามเวลาปักกิ่ง ตลาดแลกเปลี่ยน Bitforex ได้ถอนเงิน 99,000 MATIC, 20,300 USDT และ 1,700 USDC ไปยังที่อยู่เครือข่าย POL: 0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f

ในหมู่พวกเขา 99000 MATIC ถูกโอนไปยังที่อยู่ 0x cce 7300829 f 49 b 8 f 2 e 4 aee 6123 b 1 2d a 64662 a 8 b 8 เมื่อวันที่ 9 สิงหาคม และได้ตกตะกอนแล้ว และโทเค็น USDT และ USDC ที่เหลือก็มี ได้รับการตกตะกอนจนถึงตอนนี้

ตรอน

เมื่อวันที่ 24 กุมภาพันธ์ การแลกเปลี่ยน Bitforex ถอนเงิน 44,000 TRX และ 657,698 USDT ไปยังที่อยู่ลูกโซ่ TRON TQcnqaU 4 NDTR 86 eA 4 FZneeKfJMiQi 7 i 76 o ในวันที่ 9 สิงหาคม โทเค็นทั้งหมดข้างต้นจะถูกโอนกลับไปยังที่อยู่ผู้ใช้แลกเปลี่ยน Bitforex: TGiTEXjqx 1 C 2 Y 2 ywp 7 gTR 8 aYGv 8 rztn 9 uo

บิทคอยน์

เริ่มตั้งแต่วันที่ 24 กุมภาพันธ์ ที่อยู่ Bitforex 16 แห่งได้โอนทั้งหมด 5.7 BTC ไปยังที่อยู่เชน BTC 3D bbF 7 yxCR 7 ni 94 ANrRkf V1 2 rJoxrmo 1 o 2 ที่อยู่นี้โอน 5.7 BTC ทั้งหมดกลับไปยังที่อยู่แลกเปลี่ยน Bitforex เมื่อวันที่ 9 สิงหาคม: 11 dxPFQ 8 K 9 pJeffffHE 4 HUwb 2 aprzLUqxz

โดยสรุป ในวันที่ 24 กุมภาพันธ์ การแลกเปลี่ยน Bitforex โอน 40,771 USDT, 258,700 USDC, 148.01 ETH และ 471,405 TRB ไปยังห่วงโซ่ ETH; โอน 44,000 TRX และ 657,698 USDT ไปยังห่วงโซ่ TRON; โอน 5.7 BTC ไปยังห่วงโซ่ BTC; ETH, 46,905 USDT และ 57,810 USDC ถูกโอนไปยัง BNB Chain; 99,000 MATIC, 20,300 USDT และ 1,700 USDC ถูกโอนไปยัง Polygon Chain เมื่อวันที่ 9 สิงหาคม โทเค็นทั้งหมดของห่วงโซ่ BTC โทเค็นทั้งหมดของห่วงโซ่ TRON และห่วงโซ่ ETH ยกเว้นโทเค็น TRB ได้ถูกโอนกลับไปยังการแลกเปลี่ยน Bitforex ในวันที่ 9 และ 10 พฤศจิกายน ทั้งหมด 471, 405 TRB ถูกโอนไปยังบัญชี OKX 4 บัญชี และ 2 บัญชี Binance จนถึงตอนนี้ โทเค็นทั้งหมดของห่วงโซ่ ETH, ห่วงโซ่ TRON และห่วงโซ่ BTC ได้รับการโอนแล้ว มี 166 ETH, 46,905 USDT และ 57,810 USDC ฝากไว้ที่ BSC และมี 99,000 MATIC, 20,300 USDT และ 1,700 USDC ที่ฝากไว้บน POL

ที่อยู่แลกเปลี่ยนเงินฝาก TRB ที่แนบมา:

7. การวิเคราะห์กระแสเงินทุนของสินทรัพย์ที่ถูกขโมย

จากเงินทุนที่ถูกขโมยตลอดปี 2567 มีมูลค่าประมาณ 1.312 พันล้านดอลลาร์สหรัฐยังคงอยู่ในที่อยู่ของแฮ็กเกอร์ (รวมถึงการโอนผ่านเครือข่ายข้ามและการกระจายไปยังที่อยู่หลายแห่ง) คิดเป็น 52.20% ของเงินที่ถูกขโมยทั้งหมด เมื่อเทียบกับปีที่แล้ว ในปีนี้แฮกเกอร์มีแนวโน้มที่จะใช้ cross-chains หลายอันเพื่อฟอกเงินและกระจายเงินที่ถูกขโมยไปยังที่อยู่หลายแห่ง แทนที่จะใช้เครื่องผสมเหรียญโดยตรง ที่อยู่ที่เพิ่มขึ้นและความซับซ้อนของเส้นทางการฟอกเงินจะทำให้การสอบสวนยากขึ้นสำหรับฝ่ายโครงการและหน่วยงานกำกับดูแลอย่างไม่ต้องสงสัย

เงินทุนที่ถูกขโมยไปประมาณ 531 ล้านดอลลาร์สหรัฐถูกกู้คืนได้ คิดเป็นประมาณ 21.13% ในปี 2023 จะมีการเรียกคืนเงินประมาณ 295 ล้านดอลลาร์

เงินที่ถูกขโมยประมาณ 109 ล้านดอลลาร์สหรัฐถูกโอนไปยังเครื่องผสมเหรียญตลอดทั้งปี คิดเป็นประมาณ 4.34% ของเงินที่ถูกขโมยทั้งหมด นับตั้งแต่ OFAC ของสหรัฐอเมริกาคว่ำบาตร Tornado Cash ในเดือนสิงหาคม 2022 จำนวนเงินที่ถูกขโมยที่โอนไปยัง Tornado Cash ก็ลดลงอย่างมาก

8. การวิเคราะห์สถานะการตรวจสอบโครงการ

ในบรรดาเหตุการณ์การโจมตี 131 เหตุการณ์ ฝ่ายโครงการใน 42 เหตุการณ์ไม่ได้รับการตรวจสอบ ฝ่ายโครงการใน 78 เหตุการณ์ได้รับการตรวจสอบ และสถานะการตรวจสอบของฝ่ายโครงการใน 11 เหตุการณ์ไม่สามารถยืนยันได้

ในบรรดา 42 โครงการที่ยังไม่ได้รับการตรวจสอบ มีเหตุการณ์ความเปราะบางของสัญญาคิดเป็น 30 กรณี (ประมาณ 71.43%) สิ่งนี้ชี้ให้เห็นว่าโปรเจ็กต์ที่ไม่มีการตรวจสอบจะเสี่ยงต่อความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้มากกว่า ในการเปรียบเทียบ ในบรรดาโครงการที่ได้รับการตรวจสอบ 78 โครงการ เหตุการณ์ช่องโหว่ของสัญญาคิดเป็น 49 กรณี (ประมาณ 62.82%) นี่แสดงให้เห็นว่าการตรวจสอบสามารถปรับปรุงความปลอดภัยของโครงการได้ในระดับหนึ่ง

อย่างไรก็ตาม เนื่องจากขาดมาตรฐานการกำกับดูแลที่สมบูรณ์ในตลาด Web3 คุณภาพการตรวจสอบจึงไม่สมดุล และผลลัพธ์สุดท้ายยังห่างไกลจากที่คาดไว้ เพื่อให้มั่นใจในความปลอดภัยของทรัพย์สินได้อย่างมีประสิทธิภาพ ขอแนะนำให้โครงการต้องหาบริษัทรักษาความปลอดภัยมืออาชีพเพื่อทำการตรวจสอบก่อนที่จะออนไลน์

9. การวิเคราะห์การดึงพรม

ในปี 2024 แพลตฟอร์ม Beosin Alert ได้ติดตามเหตุการณ์ Rug Pull ที่สำคัญทั้งหมด 68 เหตุการณ์ในระบบนิเวศ Web3 โดยมีมูลค่ารวมประมาณ 148 ล้านดอลลาร์สหรัฐ ลดลงอย่างมากจาก 388 ล้านดอลลาร์สหรัฐในปี 2566

ในแง่ของจำนวนเงิน ในบรรดาเหตุการณ์ Rug Pull 68 ครั้ง มีทั้งหมด 9 โครงการที่เกี่ยวข้องกับมูลค่ามากกว่าหนึ่งล้านดอลลาร์สหรัฐ ได้แก่ Essence Finance (20 ล้านดอลลาร์สหรัฐ), Shido Global (2.4 ล้านดอลลาร์สหรัฐ), ETHTrustFund (2.2 ล้านดอลลาร์สหรัฐ) ), Nexera (1.8 ล้านดอลลาร์), Grand Base (1.7 ล้านดอลลาร์), SAGA Token (1.6 ล้านดอลลาร์), OrdiZK (140 ล้านดอลลาร์) ล้านเหรียญสหรัฐ), MangoFarmSOL (1.29 ล้านเหรียญสหรัฐ) และ RiskOnBlast (1.25 ล้านเหรียญสหรัฐ) โดยมีผลขาดทุนรวม 33.64 ล้านเหรียญสหรัฐ คิดเป็น 22.73% ของการสูญเสียจากเหตุการณ์ Rug Pull ทั้งหมด

โครงการ Rug Pull บน Ethereum และ BNB Chain คิดเป็น 82.35% ของจำนวนทั้งหมด 24 และ 32 ตามลำดับ โครงการ Rug Pull หนึ่งรายการมีมูลค่ามากกว่า 20 ล้านเหรียญสหรัฐเกิดขึ้นบน Scroll มีกิจกรรม Rug Pull จำนวนเล็กน้อยเกิดขึ้นในเครือข่ายสาธารณะอื่น ๆ รวมถึง Polygon, BASE, Solana เป็นต้น

10. สรุปสถานการณ์ความปลอดภัย Web3 Blockchain ในปี 2024

ในปี 2024 จำนวนกิจกรรมการแฮ็กออนไลน์และเหตุการณ์ Rug Pull ของโครงการลดลงอย่างมากเมื่อเทียบกับปี 2023 แต่ปริมาณการสูญเสียยังคงเพิ่มขึ้น และการโจมตีแบบฟิชชิ่งก็แพร่หลายมากขึ้น วิธีการโจมตีที่มีค่าใช้จ่ายสูงที่สุดยังคงเป็นการรั่วไหลของคีย์ส่วนตัว สาเหตุหลักของการเปลี่ยนแปลงนี้ได้แก่:

หลังจากกิจกรรมของแฮ็กเกอร์ที่แพร่ระบาดในปีที่แล้ว ระบบนิเวศน์ของ Web3 ทั้งหมดได้ให้ความสำคัญกับความปลอดภัยมากขึ้นในปีนี้ ตั้งแต่ฝ่ายโครงการไปจนถึงบริษัทรักษาความปลอดภัย ก็มีความพยายามในหลาย ๆ ด้าน เช่น การตรวจสอบออนไลน์แบบเรียลไทม์ การเน้นการตรวจสอบความปลอดภัยมากขึ้น และเหตุการณ์การหาประโยชน์จากช่องโหว่ของสัญญาในอดีต การเรียนรู้อย่างแข็งขันจากประสบการณ์ทำให้แฮกเกอร์ขโมยเงินผ่านช่องโหว่ของสัญญาได้ยากขึ้นกว่าปีที่แล้ว อย่างไรก็ตาม ฝ่ายโครงการยังจำเป็นต้องเสริมสร้างความตระหนักด้านความปลอดภัยในแง่ของการจัดเก็บคีย์ส่วนตัวและความปลอดภัยในการดำเนินโครงการ

ด้วยการบูรณาการของตลาด crypto และตลาดแบบดั้งเดิม แฮกเกอร์ไม่ได้ถูกจำกัดอยู่เพียงการโจมตี DeFi, สะพานข้ามสายโซ่, การแลกเปลี่ยน ฯลฯ อีกต่อไป แต่หันไปโจมตีแพลตฟอร์มการชำระเงิน แพลตฟอร์มการพนัน โบรกเกอร์ crypto โครงสร้างพื้นฐาน ผู้จัดการรหัสผ่าน เครื่องมือพัฒนา หุ่นยนต์ MEV หุ่นยนต์ TG และเป้าหมายอื่นๆ

ในปี 2567-2568 ตลาดการเข้ารหัสจะเข้าสู่ตลาดกระทิงและกองทุนออนไลน์จะเปิดใช้งาน ซึ่งจะดึงดูดการโจมตีของแฮ็กเกอร์มากขึ้นในระดับหนึ่ง นอกจากนี้ นโยบายการกำกับดูแลสำหรับสินทรัพย์เข้ารหัสในภูมิภาคต่างๆ กำลังค่อยๆ ปรับปรุงเพื่อต่อสู้กับกิจกรรมทางอาญาต่างๆ โดยใช้สินทรัพย์เข้ารหัส ภายใต้แนวโน้มดังกล่าว กิจกรรมการโจมตีของแฮ็กเกอร์คาดว่าจะยังคงอยู่ในระดับสูงในปี 2568 และหน่วยงานบังคับใช้กฎหมายและหน่วยงานกำกับดูแลทั่วโลกจะยังคงเผชิญกับความท้าทายที่รุนแรง