*รายงานนี้จัดทำร่วมกันโดย Beosin และ Footprint Analytics
1. ภาพรวมสถานการณ์ความปลอดภัยของบล็อคเชน Web3 ในช่วงครึ่งปีแรกของปี 2025
จากการตรวจสอบและแจ้งเตือนล่วงหน้าของ Beosin Alert พบว่าการสูญเสีย Web3 ทั้งหมดจากการโจมตีของแฮกเกอร์ การหลอกลวงทางฟิชชิ่ง และโปรเจ็กต์ปาร์ตี้ Rug Pull ในช่วงครึ่งแรกของปี 2025 มีมูลค่าราว 2.138 พันล้านดอลลาร์สหรัฐ ในจำนวนนั้น มีการโจมตีครั้งใหญ่ 90 ครั้ง มีมูลค่าราว 2.093 พันล้านดอลลาร์สหรัฐ การสูญเสียทั้งหมดของ Rug Pull มีมูลค่าราว 3.2 ล้านดอลลาร์สหรัฐ การสูญเสียทั้งหมดจากการหลอกลวงทางฟิชชิ่งมีมูลค่าราว 41.38 ล้านดอลลาร์สหรัฐ
เมื่อพิจารณาจากประเภทของโครงการที่ถูกโจมตี การแลกเปลี่ยนกลายเป็นประเภทของโครงการที่มีการสูญเสียมากที่สุด การโจมตีแพลตฟอร์มการแลกเปลี่ยน 6 ครั้งทำให้เกิดการสูญเสียรวมมากกว่า 1.591 พันล้านดอลลาร์สหรัฐ คิดเป็น 74.4% ของการสูญเสียจากการโจมตีทั้งหมด
หากพิจารณาจากจำนวนการสูญเสียในแต่ละเชน Ethereum ยังคงเป็นเชนที่มีจำนวนการสูญเสียสูงสุดและถูกโจมตีมากที่สุด การโจมตี Ethereum 81 ครั้งทำให้สูญเสีย 1.739 พันล้านดอลลาร์ คิดเป็น 81.3% ของการสูญเสียทั้งหมด Sui สูญเสียไปประมาณ 224 ล้านดอลลาร์จากเหตุการณ์ Cetus Protocol ซึ่งอยู่อันดับสอง
ในแง่ของวิธีการโจมตี การโจมตีที่เกิดขึ้นบ่อยที่สุดในช่วงครึ่งปีแรกคือการโจมตีโดยใช้ช่องโหว่ของสัญญา ซึ่งเกิดขึ้นทั้งหมด 63 ครั้งและก่อให้เกิดความสูญเสีย 408 ล้านดอลลาร์ Bybit ถูกขโมยเงินไป 1.44 พันล้านดอลลาร์เนื่องจากข้อบกพร่องในโครงสร้างพื้นฐานของกระเป๋าเงิน คิดเป็น 67.4% ของความสูญเสียจากการโจมตีทั้งหมด ทำให้เป็นประเภทการโจมตีที่มีสัดส่วนความสูญเสียสูงสุด
เมื่อพิจารณาจากการไหลของเงินทุน มีเพียงส่วนเล็ก ๆ (ประมาณ 238 ล้านเหรียญสหรัฐ) ของเงินที่ถูกขโมยไปที่ถูกอายัดหรือกู้คืนได้ในช่วงครึ่งแรกของปี และประมาณ 71.2% ของเงินที่ถูกขโมยยังคงหมุนเวียนอยู่ในกระเป๋าเงินบนเครือข่าย และไม่ได้ไหลเข้าสู่การแลกเปลี่ยนหรือเครื่องผสม
2. ภาพรวมการโจมตีในช่วงครึ่งปีแรกของปี 2568
การโจมตีครั้งใหญ่ 90 ครั้ง มีมูลค่ารวม 2.093 พันล้านดอลลาร์
ในช่วงครึ่งแรกของปี 2568 Beosin Alert ได้ติดตามการโจมตีครั้งใหญ่ 90 ครั้งในกลุ่ม Web3 ซึ่งทำให้สูญเสียเงินรวม 2.093 พันล้านดอลลาร์สหรัฐ โดยในจำนวนนั้น มีเหตุการณ์ด้านความปลอดภัย 2 ครั้งซึ่งสูญเสียเงินมากกว่า 100 ล้านดอลลาร์สหรัฐ เหตุการณ์ 7 ครั้งซึ่งสูญเสียเงินระหว่าง 10 ล้านดอลลาร์สหรัฐถึง 100 ล้านดอลลาร์สหรัฐ และเหตุการณ์ 18 ครั้งซึ่งสูญเสียเงินระหว่าง 1 ล้านดอลลาร์สหรัฐถึง 10 ล้านดอลลาร์สหรัฐ
การโจมตีที่มีความเสียหายเกิน 10 ล้านเหรียญสหรัฐ (เรียงตามจำนวน):
● Bybit - 1.44 พันล้านเหรียญสหรัฐ
วิธีการโจมตี: เซฟวอลเล็ตถูกแทรกแซง แพลตฟอร์มเชน: Ethereum
เมื่อวันที่ 21 กุมภาพันธ์ Bybit ซึ่งเป็นเว็บแลกเปลี่ยนสกุลเงินดิจิทัลถูกโจมตี และเงินประมาณ 1.44 พันล้านดอลลาร์ถูกขโมยไปจากกระเป๋าเงินลายเซ็นหลายรายการของ Safe แฮกเกอร์ได้ฝังโค้ดที่เป็นอันตรายโดยการแฮ็กเข้าไปในเซิร์ฟเวอร์ของ Safe เพื่อแทนที่คำขอธุรกรรมปกติ ทำให้ผู้ลงนามลงนามในธุรกรรมที่ถูกดัดแปลงโดยที่ไม่รู้ตัว
● Cetus Protocol – 224 ล้านดอลลาร์
วิธีการโจมตี: ช่องโหว่สัญญา แพลตฟอร์มเชน: ซุย
เมื่อวันที่ 22 พฤษภาคม โปรโตคอล DEX Cetus บนระบบนิเวศ Sui ถูกโจมตี ช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานการดำเนินการเลื่อนซ้ายในโค้ดไลบรารีโอเพนซอร์ส ต่อมา ด้วยความร่วมมือของมูลนิธิ Sui และโครงการด้านสิ่งแวดล้อมอื่นๆ เงินที่ถูกขโมยไปจำนวน 162 ล้านดอลลาร์บน Sui จึงถูกอายัดสำเร็จ
● โนบิเท็กซ์ – 90 ล้านเหรียญสหรัฐ
วิธีการโจมตี: ยังไม่ชัดเจน แพลตฟอร์มโซ่: หลายโซ่
เมื่อวันที่ 18 มิถุนายน Nobitex ซึ่งเป็นตลาดแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดของอิหร่าน ได้ประกาศว่าบริษัทถูกโจมตีโดยแฮกเกอร์ ซึ่งทำให้สูญ เสียเงินไปกว่า 90 ล้านดอลลาร์ โดยเกี่ยวข้องกับสกุลเงินดิจิทัลหลายสกุล เช่น BTC, ETH, Doge, XRP, SOL, TRX และ TON องค์กรที่สนับสนุนอิสราเอลที่มีชื่อว่า Gonjeshke Darande ได้อ้างว่าเป็นผู้ก่อเหตุโจมตีครั้งนี้ และระบุว่าเป็นการโจมตีโครงสร้างพื้นฐานด้านสกุลเงินดิจิทัลของอิหร่าน
● Phemex – 70 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว แพลตฟอร์มเชน: หลายเชน
เมื่อวันที่ 23 มกราคม สินทรัพย์ดิจิทัลมูลค่าราว 70 ล้านดอลลาร์ถูกขโมยจากกระเป๋าเงินร้อนของ Phemex ซึ่งเป็นศูนย์แลกเปลี่ยนสกุลเงินดิจิทัลที่ตั้งอยู่ในสิงคโปร์ ซึ่งเกี่ยวข้องกับสินทรัพย์ดิจิทัลหลากหลายประเภท เช่น ETH, SOL, BTC, BNB, USDT และอื่นๆ
● UPCX – 70 ล้านเหรียญสหรัฐ
วิธีการโจมตี: ช่องโหว่การควบคุมการเข้าถึง แพลตฟอร์มเชน: Ethereum
เมื่อวันที่ 1 เมษายน UPCX สูญเสียโทเค็นมูลค่าประมาณ 70 ล้านดอลลาร์เนื่องจากการเข้าถึงโดยไม่ได้รับอนุญาต แฮกเกอร์อัปเกรดสัญญา ProxyAdmin ของ UPCX และดำเนินการฟังก์ชันที่อนุญาตให้ผู้ดูแลระบบถอนเงิน ส่งผลให้เงินถูกโอนจากบัญชีผู้ดูแลระบบสามบัญชีที่แตกต่างกัน
● อินฟินิตี้ - 49.5 ล้านเหรียญสหรัฐ
วิธีการโจมตี: ช่องโหว่การจัดการการอนุญาต แพลตฟอร์มเชน: Ethereum
เมื่อวันที่ 24 กุมภาพันธ์ Infini ถูกขโมยเงิน 49.5 ล้านเหรียญสหรัฐฯ เนื่องจากนักพัฒนาภายในบริษัทได้แอบรักษาอำนาจการจัดการสัญญาไว้ด้วยการหลอกลวงทีมงาน และขโมยเงินโดยการอัพเกรดสัญญา
● การเงิน Abracadabra – 13 ล้านดอลลาร์
วิธีการโจมตี: ช่องโหว่สัญญา แพลตฟอร์มเชน: Ethereum
เมื่อวันที่ 25 มีนาคม โปรโตคอลการกู้ยืมแบบกระจายอำนาจ Abracadabra Finance ได้รับการโจรกรรม ETH ไปประมาณ 6,262 ETH เนื่องมาจากช่องโหว่ของสัญญา ส่งผลให้สูญเสียเงินไปประมาณ 13 ล้านดอลลาร์สหรัฐ
● Cork Protocol – 12 ล้านเหรียญสหรัฐ
วิธีการโจมตี: ช่องโหว่สัญญา แพลตฟอร์มเชน: Ethereum
เมื่อวันที่ 28 พฤษภาคม Cork Protocol ซึ่งเป็นโปรโตคอลสินทรัพย์ที่ยึดโยงกับ Ethereum chain ถูกโจมตี ผู้โจมตีทำกำไรได้ 12 ล้านดอลลาร์ผ่านช่องโหว่ทางตรรกะในสัญญาโครงการ (พารามิเตอร์หลักไม่ได้รับการตรวจสอบ)
● BitoPro – 11.5 ล้านเหรียญสหรัฐ
วิธีการโจมตี: การรั่วไหลของคีย์ส่วนตัว แพลตฟอร์มเชน: หลายเชน
เมื่อวันที่ 2 มิถุนายน เว็บแลกเปลี่ยนสกุลเงินดิจิทัล BitoPro ได้ออกประกาศยืนยันว่าถูกโจมตี โดยระบุว่าระหว่างการอัปเกรดระบบกระเป๋าเงินและการโอนสกุลเงินดิจิทัลล่าสุด กระเป๋าเงินร้อนของพวกเขาถูกแฮกเกอร์โจมตี และเงินทุนประมาณ 11.5 ล้านเหรียญสหรัฐฯ ได้ไหลออกจากกระเป๋าเงินร้อนบนเครือข่ายหลาย ๆ แห่งอย่างผิดปกติ
3. ประเภทของโครงการที่ถูกโจมตี
CEX เป็นประเภทโครงการที่มียอดสูญเสียสูงที่สุด
ประเภทโปรเจ็กต์ที่สูญเสียมากที่สุดในช่วงครึ่งปีแรกคือการแลกเปลี่ยนแบบรวมศูนย์ การโจมตีการแลกเปลี่ยนแบบรวมศูนย์ 6 ครั้งทำให้สูญเสียรวมมูลค่ากว่า 1,591 พันล้านดอลลาร์ การแลกเปลี่ยนที่สูญเสียมากที่สุดคือ Bybit ซึ่งสูญเสียประมาณ 1,440 พันล้านดอลลาร์ การแลกเปลี่ยนอื่นๆ ที่สูญเสียจำนวนมาก ได้แก่ Nobitex (สูญเสียประมาณ 90 ล้านดอลลาร์) และ Phemex (สูญเสียประมาณ 70 ล้านดอลลาร์) Noones, BitoPro และ Coinbase ก็ถูกโจมตีเช่นกัน
ประเภทที่ถูกโจมตีมากที่สุดเป็นอันดับสองคือ DeFi โดย Cetus Protocol ถูกขโมยไปประมาณ 224 ล้านเหรียญสหรัฐ คิดเป็น 69.1% ของเงินที่ถูกขโมยใน DeFi โปรเจ็กต์ DeFi อื่นๆ ที่มีการสูญเสียจำนวนมาก ได้แก่ Abracadabra Finance (13 ล้านเหรียญสหรัฐ), Cork Protocol (ประมาณ 12 ล้านเหรียญสหรัฐ), Resupply (ประมาณ 9.6 ล้านเหรียญสหรัฐ), zkLend (ประมาณ 9.5 ล้านเหรียญสหรัฐ), Ionic (ประมาณ 8.8 ล้านเหรียญสหรัฐ) และ Alex Protocol (ประมาณ 8.37 ล้านเหรียญสหรัฐ)
นอกจากนี้ ยังมีเหตุการณ์ด้านความปลอดภัย 2 ครั้งที่เกิดขึ้นในด้านการชำระเงินแบบเข้ารหัส โดยสูญเสียเงินไปประมาณ 120 ล้านดอลลาร์ ซึ่งอยู่ในอันดับที่ 3 จากประเภทโครงการทั้งหมด ประเภทโครงการที่ถูกโจมตีอื่นๆ ได้แก่ เบราว์เซอร์ สัญญาโทเค็น บริดจ์แบบครอสเชน แท่นปล่อย Memecoin เป็นต้น
4. จำนวนการสูญเสียในแต่ละห่วงโซ่
Ethereum เป็นห่วงโซ่ที่มีการสูญเสียและการโจมตีมากที่สุด
เช่นเดียวกับในปีที่ผ่านมา Ethereum ยังคงเป็นเครือข่ายสาธารณะที่มีปริมาณการสูญเสียสูงที่สุด การโจมตี Ethereum จำนวน 81 ครั้งทำให้เกิดความสูญเสียมูลค่า 1.739 พันล้านเหรียญสหรัฐ คิดเป็น 81.3% ของความสูญเสียทั้งหมด
เครือข่ายสาธารณะที่ถูกโจมตีมากที่สุดเป็นอันดับสองคือ BNB Chain โดยมีการโจมตี 33 ครั้ง ส่งผลให้สูญเสียมูลค่ารวมประมาณ 42.53 ล้านดอลลาร์ BNB Chain มีการโจมตีแบบ on-chain จำนวนมาก แต่จำนวนความเสียหายนั้นค่อนข้างน้อย อย่างไรก็ตาม เมื่อเทียบกับช่วงเวลาเดียวกันของปีก่อน จำนวนการโจมตีและจำนวนความเสียหายเพิ่มขึ้นอย่างมีนัยสำคัญ โดยจำนวนความเสียหายเพิ่มขึ้นถึง 357%
Arbitrum และ Base อยู่ในอันดับที่สามและสี่ โดยขาดทุน 21.2 ล้านเหรียญสหรัฐและ 13.05 ล้านเหรียญสหรัฐตามลำดับ เมื่อเทียบกับช่วงเวลาเดียวกันของปีก่อน จำนวนการโจมตีบนเครือข่าย Arbitrum เพิ่มขึ้น แต่ปริมาณการสูญเสียลดลงอย่างมีนัยสำคัญถึง 71.8% จำนวนการโจมตีและปริมาณการสูญเสียบนเครือข่าย Base เพิ่มขึ้นอย่างมีนัยสำคัญ โดยปริมาณการสูญเสียเพิ่มขึ้น 294%
5. การวิเคราะห์วิธีการโจมตี
70% ของการโจมตีมาจากช่องโหว่ของสัญญา
ในช่วงครึ่งปีแรก มีการโจมตีที่กำหนดเป้าหมายที่ช่องโหว่ของสัญญา 63 ครั้ง ส่งผลให้สูญเสียเงิน 408 ล้านดอลลาร์ ซึ่งเป็นวิธีการโจมตีประเภทที่ใหญ่ที่สุด ยกเว้นการขโมย Bybit เนื่องจากข้อบกพร่องในโครงสร้างพื้นฐานของกระเป๋าเงิน การสูญเสียที่เกิดจากการรั่วไหลของคีย์ส่วนตัวในช่วงครึ่งปีแรกนี้ลดลงอย่างมากเมื่อเทียบกับช่วงเดียวกันของปีก่อน แต่มูลค่าการสูญเสียทั้งหมดยังคงเกิน 102 ล้านดอลลาร์
จากการแบ่งประเภทของช่องโหว่สัญญา พบว่าช่องโหว่สามอันดับแรกที่ก่อให้เกิดความเสียหาย ได้แก่ ช่องโหว่ตรรกะทางธุรกิจ (356 ล้านดอลลาร์สหรัฐ) ข้อบกพร่องของอัลกอริทึม (21.37 ล้านดอลลาร์สหรัฐ) และช่องโหว่การตรวจสอบ (12.7 ล้านดอลลาร์สหรัฐ) ช่องโหว่สัญญาสามอันดับแรกที่มีความถี่สูงสุด ได้แก่ ช่องโหว่ตรรกะทางธุรกิจ (45 ครั้ง) ช่องโหว่การควบคุมการเข้าถึง (7 ครั้ง) และข้อบกพร่องของอัลกอริทึม (5 ครั้ง)
6. การวิเคราะห์กระแสเงินที่ถูกขโมย
ทรัพย์สินที่ถูกขโมยไปเพียง 11.1% เท่านั้นที่ถูกอายัดและกู้คืนได้
จากการวิเคราะห์ของแพลตฟอร์มต่อต้านการฟอกเงิน Beosin KYT พบว่าเงินที่ถูกขโมยในช่วงครึ่งแรกของปี 2025 มีเงินที่ถูกขโมยไปประมาณ 238 ล้านเหรียญสหรัฐฯ ที่ถูกอายัดหรือกู้คืนได้ คิดเป็นประมาณ 11.1%
เงินที่ถูกขโมยไปประมาณ 97.89 ล้านดอลลาร์ถูกโอนไปยังระบบแลกเปลี่ยนต่างๆ คิดเป็นประมาณ 4.6% มีการโอนทั้งหมด 278 ล้านดอลลาร์ (13.0%) ไปยังระบบมิกเซอร์ โดย 19.46 ล้านดอลลาร์ถูกโอนไปยังระบบ Tornado Cash และ 259 ล้านดอลลาร์ถูกโอนไปยังระบบมิกเซอร์อื่นๆ เมื่อเปรียบเทียบกับปีที่แล้ว จำนวนเงินที่ถูกขโมยไปซึ่งถูกกำจัดผ่านระบบมิกเซอร์ในช่วงครึ่งแรกของปี 2025 เพิ่มขึ้นอย่างมาก
7. สรุปสถานการณ์ความปลอดภัยของบล็อคเชน Web3 ในช่วงครึ่งปีแรกของปี 2025
เมื่อเทียบกับช่วงครึ่งแรกของปี 2024 การสูญเสียทั้งหมดที่เกิดจากการโจมตีของแฮกเกอร์ การหลอกลวงทางฟิชชิ่ง และโปรเจ็กต์ Rug Pulls ในช่วงครึ่งแรกของปีนี้เพิ่มขึ้นอย่างมีนัยสำคัญ โดยแตะระดับ 2.138 พันล้านดอลลาร์สหรัฐ จำนวนการโจมตีและปริมาณการสูญเสียบนระบบแลกเปลี่ยนและระบบนิเวศเชนสาธารณะหลักเพิ่มขึ้นโดยรวม และสถานการณ์ในสาขาความปลอดภัยของ Web3 ยังคงร้ายแรงมาก
การโจมตีที่สร้างความเสียหายมากที่สุดในช่วงครึ่งปีแรกคือการโจรกรรม Bybit ซึ่งคิดเป็นประมาณ 67.4% ของความสูญเสียทั้งหมด เมื่อพิจารณาจากประเภทโครงการ การโจมตีเกิดขึ้นในทุกพื้นที่ของ Web3: การแลกเปลี่ยน DeFi กระเป๋าเงินส่วนบุคคล โครงสร้างพื้นฐาน สัญญาโทเค็น แพลตฟอร์มการชำระเงิน เบราว์เซอร์ แพลตฟอร์มเปิดตัว Memecoin เป็นต้น เจ้าของโครงการ Web3 ทุกคน/ผู้ใช้รายบุคคลต้องระมัดระวัง จัดเก็บคีย์ส่วนตัวแบบออฟไลน์ ใช้ลายเซ็นหลายรายการ ใช้บริการของบุคคลที่สามด้วยความระมัดระวัง และดำเนินการอัปเดตการอนุญาตและการฝึกอบรมด้านความปลอดภัยเป็นประจำสำหรับพนักงานที่มีสิทธิพิเศษ
ในช่วงครึ่งปีแรก มีเพียงส่วนเล็กน้อยของทรัพย์สินที่ถูกอายัดหรือกู้คืนได้ ซึ่งบ่งชี้ว่าการกำกับดูแลระดับโลกและความพยายามต่อต้านการฟอกเงินยังคงต้องได้รับการเสริมความแข็งแกร่ง สัดส่วนของเงินที่ถูกขโมยซึ่งโอนไปยังการแลกเปลี่ยนโดยแฮกเกอร์ในช่วงครึ่งปีแรกลดลงอย่างมาก ซึ่งเกี่ยวข้องกับการที่การแลกเปลี่ยนมีการเสริมความแข็งแกร่งในการป้องกันและฟอกเงิน การระบุพฤติกรรมของแฮกเกอร์อย่างทันท่วงที และความร่วมมือที่กระตือรือร้นกับหน่วยงานบังคับใช้กฎหมายและฝ่ายโครงการในการอายัดเงินและดำเนินการรวบรวมหลักฐาน ในปัจจุบัน ความร่วมมือระหว่างการแลกเปลี่ยนและหน่วยงานบังคับใช้กฎหมาย ฝ่ายโครงการ และทีมงานด้านความปลอดภัยได้ให้ผลลัพธ์ที่ค่อนข้างชัดเจน ดังนั้น แฮกเกอร์จึงมีแนวโน้มที่จะพยายามเลือกตัวกลางที่หลากหลายเพื่อทำความสะอาดเงิน
จากการโจมตี 90 ครั้งในช่วงครึ่งปีแรก มี 63 ครั้งที่เกิดขึ้นจากการแสวงหาช่องโหว่สัญญา ขอแนะนำให้เจ้าของโครงการขอการตรวจสอบจากบริษัทรักษาความปลอดภัยระดับมืออาชีพก่อนจะออนไลน์ ในฐานะบริษัทรักษาความปลอดภัยบล็อคเชนแห่งแรกๆ ของโลกที่ดำเนินการตรวจสอบอย่างเป็นทางการ Beosin มุ่งเน้นไปที่ธุรกิจที่เป็นมิตรต่อสิ่งแวดล้อมอย่างเต็มรูปแบบที่เน้นในเรื่อง ความปลอดภัย + การปฏิบัติตาม และได้จัดตั้งสาขาในกว่า 10 ประเทศและภูมิภาคทั่วโลก ธุรกิจของบริษัทครอบคลุมถึงการตรวจสอบความปลอดภัยของโค้ดก่อนเปิดตัวโครงการ การตรวจสอบความเสี่ยงด้านความปลอดภัยและการบล็อกระหว่างการดำเนินการโครงการ การกู้คืนที่ถูกขโมย การต่อต้านการฟอกเงินของสินทรัพย์เสมือน (AML) และการประเมินการปฏิบัติตามที่ตรงตามข้อกำหนดด้านกฎระเบียบในท้องถิ่น และผลิตภัณฑ์การปฏิบัติตามข้อกำหนดบล็อคเชนแบบ ครบวงจร อื่นๆ และบริการด้านความปลอดภัย
