รายงานความปลอดภัยประจำปีของ CertiK: ความเสียหายจาก Web3 จะเพิ่มขึ้น 37% เมื่อเทียบกับปีก่อนหน้าในปี 2025 การโจมตีแบบฟิชชิงและเหตุการณ์ในห่วงโซ่อุปทานกลายเป็นภัยคุกคามที่สำคัญ
- 核心观点:Web3安全风险加剧,损失金额激增。
- 关键要素:
- 供应链攻击损失占比近半,单次损失巨大。
- 钓鱼攻击高发,AI技术降低攻击门槛。
- 单次攻击平均损失激增66.6%,达532万美元。
- 市场影响:推动行业将安全视为基础设施核心。
- 时效性标注:中期影响。
เมื่อวันที่ 23 ธันวาคม CertiK บริษัทรักษาความปลอดภัย Web3 ที่ใหญ่ที่สุดในโลก ได้เผยแพร่ "รายงานความปลอดภัย Web3 ปี 2025 ของ Skynet Hack3D" ซึ่งได้ทบทวนเหตุการณ์ด้านความปลอดภัยที่สำคัญและแนวโน้มความเสี่ยงในด้าน Web3 ตลอดปีที่ผ่านมาอย่างเป็นระบบ รายงานชี้ให้เห็นว่าอุตสาหกรรม Web3 กำลังเร่งการพัฒนาท่ามกลางสภาพแวดล้อมทางการตลาดที่ฟื้นตัวและข้อกำหนดด้านกฎระเบียบที่ชัดเจนขึ้น แต่ความเสี่ยงด้านความปลอดภัยยังไม่ลดลงตามไปด้วย และยังคงเผชิญกับความท้าทายด้านความปลอดภัยเชิงระบบอยู่
รายงานระบุว่า ในปี 2025 มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นในโดเมน Web3 จำนวน 630 ครั้ง ส่งผลให้เกิดความเสียหายรวมประมาณ 3.35 พันล้านดอลลาร์สหรัฐ เพิ่มขึ้น 37% เมื่อเทียบกับปี 2024 แม้ว่าจำนวนเหตุการณ์จะลดลง 137 ครั้งเมื่อเทียบกับปีก่อนหน้า แต่ความเสียหายเฉลี่ยต่อการโจมตีหนึ่งครั้งกลับสูงถึง 5.322 ล้านดอลลาร์สหรัฐ เพิ่มขึ้น 66.6% เมื่อเทียบกับปีต่อปี ซึ่งเน้นให้เห็นถึงแนวโน้มที่ผู้โจมตีมุ่งเป้าไปที่เป้าหมายที่มีมูลค่าสูง
การโจมตีห่วงโซ่อุปทานส่งผลให้ความสูญเสียประจำปีเพิ่มสูงขึ้น
ในแง่ของประเภทการโจมตี การโจมตีห่วงโซ่อุปทานกลายเป็นแหล่งที่มาของการสูญเสียที่ใหญ่ที่สุดในปี 2025 แม้ว่าจะมีการบันทึกเหตุการณ์ที่เกี่ยวข้องเพียงสองเหตุการณ์ตลอดทั้งปี แต่ความเสียหายสะสมกลับสูงถึง 1.45 พันล้านดอลลาร์ คิดเป็นเกือบครึ่งหนึ่งของความเสียหายทั้งหมดในปีนั้น เหตุการณ์ Bybit ในเดือนกุมภาพันธ์เป็นสาเหตุหลักของความเสียหายเหล่านี้
จากรายงานระบุว่า Bybit ประสบเหตุการณ์ด้านความปลอดภัยในเดือนกุมภาพันธ์ 2025 ส่งผลให้สูญเสียเงินไปประมาณ 1.4 พันล้านดอลลาร์สหรัฐ ซึ่งถือเป็นการโจรกรรมสินทรัพย์คริปโตครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ ผู้โจมตีไม่ได้เจาะระบบของเว็บเทรดโดยตรง แต่พวกเขาเจาะระบบสภาพแวดล้อมการพัฒนาของบริษัทผู้ให้บริการกระเป๋าเงินดิจิทัลแบบหลายลายเซ็นต์ โดยฝังโค้ดที่เป็นอันตรายลงในกระบวนการลงลายเซ็นต์เพื่อหลีกเลี่ยงกลไกการอนุมัติหลายขั้นตอน
ในรายงานของ CertiK ชี้ให้เห็นว่าเหตุการณ์ที่คล้ายคลึงกันสะท้อนให้เห็นว่าผู้โจมตีมุ่งเน้นทรัพยากรไปที่ผู้ให้บริการที่สำคัญและเครื่องมือพื้นฐาน มากกว่าตัวโปรโตคอลเอง และความปลอดภัยของห่วงโซ่อุปทานได้กลายเป็นความเสี่ยงเชิงระบบที่ไม่สามารถมองข้ามได้
การโจมตีแบบฟิชชิงแพร่ระบาดอย่างหนัก และ AI ทำหน้าที่เป็น "ตัวขยายสัญญาณ"
ในแง่ของความถี่ในการโจมตี การฟิชชิงยังคงเป็นภัยคุกคามด้านความปลอดภัยที่พบบ่อยที่สุดในปี 2025 รายงานระบุว่ามีการบันทึกการโจมตีฟิชชิงทั้งหมด 248 ครั้งตลอดทั้งปี ทำให้เกิดความเสียหายประมาณ 723 ล้านดอลลาร์สหรัฐ ซึ่งมากกว่าจำนวนการโจมตีจากช่องโหว่ของโค้ดเล็กน้อย (240 เหตุการณ์)
เป็นที่น่าสังเกตว่า CertiK เชื่อว่าตัวเลขนี้อาจต่ำกว่าความเป็นจริง การโจมตีแบบฟิชชิ่งและการหลอกลวงจำนวนมากที่มุ่งเป้าไปที่ผู้ใช้รายบุคคลมักไม่ได้รับการรายงาน โดยเฉพาะอย่างยิ่งการโจมตีโดยใช้เทคนิคทางสังคมที่สร้างความเสียหายไม่มาก หรือการโจมตีที่เกิดขึ้นนอกเครือข่ายบล็อกเชน
รายงานฉบับนี้เน้นย้ำว่า การนำปัญญาประดิษฐ์ (AI) มาใช้กันอย่างแพร่หลายกำลังลดอุปสรรคทางเทคนิคต่อการโจมตีแบบฟิชชิงลงอย่างมาก ผู้โจมตีเริ่มใช้ AI ในการสร้างเว็บไซต์ฟิชชิงที่สมจริงสูง หน้าต่างป๊อปอัพกระเป๋าเงิน และข้อความหลอกลวงหลายภาษา โดยผสมผสานกับข้อมูลบนบล็อกเชนและเนื้อหาโซเชียลมีเดียเพื่อ "การกำหนดเป้าหมายที่แม่นยำ" การป้องกันแบบดั้งเดิมที่อาศัยข้อผิดพลาดทางไวยากรณ์หรือคุณลักษณะของเทมเพลตในการระบุตัวตนกำลังค่อยๆ หมดประสิทธิภาพลง
ด้วยกฎระเบียบที่ชัดเจนยิ่งขึ้น ความปลอดภัยจึงเปลี่ยนจาก "รายการต้นทุน" ไปสู่ "โครงสร้างพื้นฐาน" มากขึ้น
แม้ว่าความเสี่ยงจะเพิ่มสูงขึ้น แต่รายงานยังระบุถึงการเปลี่ยนแปลงในเชิงบวกในสภาพแวดล้อมด้านกฎระเบียบระดับโลก ความคืบหน้าด้านกฎหมายในสหรัฐอเมริกาเกี่ยวกับการเปิดเผยข้อมูลของเหรียญ Stablecoin และสินทรัพย์ดิจิทัลกำลังส่งสัญญาณนโยบายที่ชัดเจนยิ่งขึ้นไปยังอุตสาหกรรม กรอบงาน MiCA ของสหภาพยุโรป และ Regulatory Sandbox ในสิงคโปร์และฮ่องกง ก็กำลังผลักดัน Web3 ไปสู่ขั้นตอนการพัฒนาที่เป็นมาตรฐานมากขึ้นเช่นกัน
รายงานของ CertiK ชี้ให้เห็นว่า เมื่อเงินทุนจากสถาบันและแหล่งเงินทุนที่สอดคล้องกับกฎระเบียบต่างๆ เข้ามาในตลาดมากขึ้น ความสามารถด้านความปลอดภัยจึงเปลี่ยนจากการ "แก้ไขปัญหาหลังเกิดเหตุ" ไปสู่การเป็นองค์ประกอบโครงสร้างพื้นฐานในการออกแบบและการดำเนินงานของโครงการ สำหรับทั้งเจ้าของโครงการและผู้ใช้งานแต่ละราย ความปลอดภัยไม่ใช่ทางเลือกอีกต่อไป แต่เป็นตัวแปรสำคัญที่มีผลต่อความยั่งยืนในระยะยาว
รายงานฉบับนี้สรุปโดยระบุว่า การโจมตีแบบปลอมแปลงข้อมูลโดยใช้ AI การบุกรุกห่วงโซ่อุปทานที่ซับซ้อนมากขึ้นเรื่อยๆ และการโจมตีแบบวิศวกรรมสังคมที่มุ่งเป้าไปที่ผู้ใช้แต่ละราย จะยังคงพัฒนาต่อไปในปีหน้า ด้วยเหตุนี้ โครงการที่ผนวกรวมความปลอดภัยเข้ากับสถาปัตยกรรม กระบวนการพัฒนา และประสบการณ์ของผู้ใช้ จะเป็นโครงการที่ประสบความสำเร็จในการแข่งขัน Web3 รอบต่อไป
รายงานฉบับเต็ม: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a
