รายงานประจำปี 2567 ทิศทางด้านความปลอดภัยของบล็อกเชน Web3 ปี 2024
คำนำ
รายงานการวิจัยนี้ริเริ่มโดย Blockchain Security Alliance และสร้างขึ้นร่วมกันโดยสมาชิก Beosin และ Footprint Analytics มีจุดมุ่งหมายเพื่อให้การสํารวจที่ครอบคลุมของภูมิทัศน์การรักษาความปลอดภัยบล็อกเชนทั่วโลกในปี 2024 จากการวิเคราะห์และประเมินสถานะปัจจุบันของความปลอดภัยของบล็อกเชนทั่วโลกรายงานจะเปิดเผยความท้าทายด้านความปลอดภัยและภัยคุกคามที่ต้องเผชิญในปัจจุบันในขณะที่นําเสนอโซลูชันและแนวทางปฏิบัติที่ดีที่สุด ด้วยรายงานนี้ผู้อ่านจะได้รับความเข้าใจที่สมบูรณ์ยิ่งขึ้นเกี่ยวกับวิวัฒนาการแบบไดนามิกของการรักษาความปลอดภัยบล็อกเชน Web3 สิ่งนี้จะช่วยให้ผู้อ่านประเมินและจัดการกับความท้าทายด้านความปลอดภัยที่ต้องเผชิญในพื้นที่บล็อกเชน นอกจากนี้รายงานยังให้ข้อมูลเชิงลึกที่มีค่าเกี่ยวกับมาตรการรักษาความปลอดภัยและแนวโน้มการพัฒนาอุตสาหกรรมช่วยผู้อ่านในการตัดสินใจและการดําเนินการอย่างชาญฉลาดในสาขาที่เกิดขึ้นใหม่นี้ ความปลอดภัยและกฎระเบียบของบล็อกเชนเป็นประเด็นสําคัญในการพัฒนายุค Web3 ด้วยการวิจัยและการอภิปรายเชิงลึกเราสามารถเข้าใจและจัดการกับความท้าทายเหล่านี้ได้ดีขึ้นความก้าวหน้าด้านความปลอดภัยและการพัฒนาที่ยั่งยืนของเทคโนโลยีบล็อกเชน
1. ภาพรวมของทิวทัศน์ด้านความปลอดภัยของบล็อกเชน Web3 ปี 2024
จากการตรวจสอบโดยแพลตฟอร์ม Alert ภายใต้ บริษัท ตรวจสอบความปลอดภัย Beosin ความสูญเสียทั้งหมดในพื้นที่ Web3 ในปี 2024 เนื่องจากการโจมตีของแฮ็กเกอร์การหลอกลวงแบบฟิชชิ่งและการดึงพรมโดยทีมโครงการสูงถึง 2.513 พันล้านดอลลาร์ ในจํานวนนี้มีเหตุการณ์โจมตีครั้งใหญ่ 131 ครั้ง ทําให้เกิดความเสียหายประมาณ 1.792 พันล้านดอลลาร์ เหตุการณ์พรมดึง 68 ครั้งโดยทีมโครงการโดยมีการสูญเสียรวมประมาณ 148 ล้านดอลลาร์ และการหลอกลวงแบบฟิชชิงทําให้เกิดความเสียหายรวมประมาณ 574 ล้านดอลลาร์
ในปี 2024 ทั้งการโจมตีของฮากเกอร์และการฉ้อโกงเพิ่มขึ้นอย่างมีนัยสำคัญเมื่อเปรียบเทียบกับปี 2023 โดยการฉ้อโกงเพิ่มขึ้นถึง 140.66% ความสูญเสียจากเหตุการณ์ rug pull โดยทีมโครงการลดลงอย่างน่าสังเกตเป็นอย่างมาก ลดลงประมาณ 61.94%
ในปี 2024 ประเภทของโครงการที่ได้รับผลกระทบจากการโจมตีรวมถึง DeFi, CEX, DEX, โซ่สาธารณะ, สะพานระหว่างโซ่, กระเป๋าเงิน, แพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์คริปโต, โครงสร้างพื้นฐาน, ตัวจัดการรหัสผ่าน, เครื่องมือการพัฒนา, หุ่นยนต์ MEV, หุ่นยนต์ TG และอื่น ๆ เป็นโครงการที่ถูกโจมตีบ่อยที่สุดและมีการโจมตี DeFi ที่มีอยู่ 75 ครั้ง โดยทำให้เกิดความเสียหายรวมทั้งสิ้นประมาณ 390 ล้านดอลลาร์ อีกทั้ง CEX มีจำนวนความสูญเสียทั้งหมดสูงสุดโดยมีการโจมตี CEX ทั้งหมด 10 ครั้งทำให้เกิดความเสียหายประมาณ 724 ล้านดอลลาร์
ในปี 2024 เกิดการโจมตีทั่วหลายประเภทของ public chain มีการเกิดเหตุการณ์ความปลอดภัยหลายครั้งที่เกี่ยวข้องกับการโจมตีและการขโมยใน chain ต่างๆ อีเธเรียมยังคงเป็น public chain ที่ขาดทุนสูงที่สุด โดยมีการโจมตีทั้งหมด 66 ครั้งบน Ethereum ที่ผลักดันให้เกิดการขาดทุนประมาณ 844 ล้านดอลลาร์ มีส่วนร่วมในการขาดทุนรวมของปีนั้นอยู่ที่ 33.57%
จากมุมมองของวิธีการโจมตี มีอุบัติเหตุการรั่วไหลของกุญแจส่วนตัว 35 คดี ทำให้เกิดความเสียหายประมาณ 1.306 พันล้านเหรียญสหรัฐฯ หรือ 51.96% ของความเสียหายทั้งหมด ทำให้เป็นวิธีการโจมตีที่ทำความเสียหายมากที่สุด
การประมวลผลข้อบกพร่องของสัญญาเป็นวิธีการโจมตีที่ถูกใช้บ่อยที่สุด โดยมีการโจมตีจากข้อบกพร่องของสัญญาทั้งหมด 76 จากทั้งหมด 131 ครั้ง ซึ่งเป็นส่วนแบ่งทั้งหมด 58.02% ของเหตุการณ์ที่เกิดขึ้นทั้งหมด
พบเงินที่ถูกขโมยประมาณ 531 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 21.13% ของเงินที่ถูกขโมย โดยมีเงินที่ถูกโอนไปยังเครื่องผสมเงินประมาณ 109 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 4.34% ของเงินที่ถูกขโมยโดยมีการลดลงประมาณ 66.97% เมื่อเปรียบเทียบกับปี 2023
2. เหตุการณ์ความปลอดภัย Web3 ที่ดีที่สุด ในปี 2024
ในปี 2024 มีเหตุการณ์โจมตีหลัก 5 คดี ที่เสียหายเกิน 100 ล้านเหรียญดอลลาร์: DMM Bitcoin (304 ล้านเหรียญดอลลาร์), PlayDapp (290 ล้านเหรียญดอลลาร์), WazirX (235 ล้านเหรียญดอลลาร์), Gala Games (216 ล้านเหรียญดอลลาร์), และการขโมยของ Chris Larsen (112 ล้านเหรียญดอลลาร์) ความเสียหายรวมจาก 10 เหตุการณ์ความปลอดภัยที่สูงสุด รวมเป็นจำนวนเงินประมาณ 1.417 พันล้านเหรียญดอลลาร์ ซึ่งเทียบเท่ากับประมาณ 79.07% ของความเสียหายที่เกิดจากการโจมตีทั้งหมดในปี
No.1 DMM Bitcoin
ขาดทุน: $304 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
ในวันที่ 31 พฤษภาคม พ.ศ. 2567 เกิดการโจมตีกับ DMM Bitcoin และถูกขโมย Bitcoin มูลค่ากว่า 304 ล้านดอลลาร์ ผู้โจมตีได้กระจายเงินที่ถูกขโมยไปในหลายที่อยู่มากกว่า 10 ที่อยู่เพื่อล้างเงิน
ฉบับที่ 2 PlayDapp
ขาดทุน: $290 ล้าน
วิธีการโจมตี: การรั่วไหลคีย์ส่วนตัว
ในวันที่ 9 กุมภาพันธ์ พ.ศ. 2024 เกมบล็อกเชน PlayDapp ถูกโจมตีโดยผู้แฮกเกอร์ที่สร้าง PLA tokens จำนวน 2 พันล้านตัวมูลค่า 36.5 ล้านดอลลาร์ หลังจากล้มเหลวในการเจรจากับ PlayDapp เมื่อวันที่ 12 กุมภาพันธ์ ผู้แฮกเกอร์สร้าง PLA tokens เพิ่มอีก 15.9 พันล้านตัวมูลค่า 253.9 ล้านดอลลาร์และส่งส่วนหนึ่งของเงินไปยังเกทเอ็กซ์เชนจากนั้น PlayDapp ระงับสัญญา PLA และย้าย PLA tokens เป็น PDA tokens.
No.3 WazirX
จำนวนของความสูญเสีย: $235 ล้าน
วิธีการโจมตี: โจมตีเน็ตเวิร์กและการล่องหลอก
ในวันที่ 18 กรกฎาคม พ.ศ. 2567 กระเป๋าเก็บเงินรวมลายเซ็นต์หลายรายของแลกเปลี่ยนเงินดิจิทัลของอินเดีย WazirX ถูกขโมย ทำให้เสียหายมากกว่า 235 ล้านดอลลาร์สหรัฐอเมริกา กระเป๋าเก็บเงินรวมลายเซ็นต์หลายรายเป็นสัญญาอัจฉริยะของ Safe Wallet ผู้โจมตีหลอกลวงผู้ลงลายเซ็นต์หลายรายในการลงนามธุรกรรมอัปเกรด และผ่านสัญญาที่อัปเกรดแล้วโอนสินทรัพย์โดยตรงจากกระเป๋าเก็บเงินไป
No.4 Gala Games
จำนวนขาดทุน: $216 ล้าน
วิธีการโจมตี: ช่องโหว่การควบคุมการเข้าถึง
เมื่อวันที่ 20 พฤษภาคม พ.ศ. 2567 ที่อยู่พิเศษของ Gala Games ถูกลักลอบใช้งานโดยผู้โจมตี ผู้โจมตีใช้ที่อยู่นี้ในการเรียกใช้ฟังก์ชันการสร้างเหรียญและทำการสร้างเหรียญ GALA จำนวน 5 พันล้านเหรียญมูลค่าประมาณ 216 ล้านดอลลาร์ โดยแปลงเหรียญที่สร้างได้เป็น ETH แบบเป็นชุด ทีมงาน Gala Games จากนั้นใช้ฟังก์ชันรายชื่อดำเพื่อบล็อกผู้แฮกและกู้คืนความเสียหาย
ลำดับที่ 5 คริส ลาร์เซน (ผู้ร่วมก่อตั้ง Ripple)
จำนวนของความสูญเสีย: $112 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
ในวันที่ 31 มกราคม 2024 ผู้ร่วมก่อตั้งของ Ripple คริส ลาร์เซน รายงานว่ามีการบุกรุกที่กระเป๋าเงินสี่ราย โดยทำให้เสียเสียงสูญเสียรวมถึง 112 ล้านเหรียญ ทีมของ Binance แฝงสำเร็จ ที่มีมูลค่า 4.2 ล้านดอลลาร์ของ XRP ที่ถูกขโมย
No.6 Munchables
จำนวนขาดทุน: $62.5 ล้าน
วิธีการโจมตี: การโจมตีด้านเทคโนโลยีสังคม
ในวันที่ 26 มีนาคม พ.ศ. 2567 เว็บไซต์เกมพลัตฟอร์ม Web3 Munchables ที่มีพื้นฐานบน Blast ถูกโจมตี โดยทำให้เสียหายประมาณ 62.5 ล้านเหรียญ โปรเจกต์ถูกโจมตีเนื่องจากมีนักแฮ็กเกอร์จากเหนือเกาหลีเป็นผู้พัฒนา ทุกเงินที่ถูกขโมยได้ถูกส่งคืนโดยนักแฮ็กเกอร์ทั้งหมด
No.7 BTCTurk
จำนวนของความสูญเสีย: $55 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
ในวันที่ 22 มิถุนายน พ.ศ. 2567 แลกเปลี่ยนสกุลเงินดิจิตอลของตุรกี BTCTurk ถูกโจมตี ทำให้เสียเงินประมาณ 55 ล้านดอลลาร์ Binance ช่วยแชร์กวดขวางเงินถูกขโมยจำนวนกว่า 5.3 ล้านดอลลาร์
No.8 Radiant Capital
จำนวนขาดทุน: $53 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
เมื่อวันที่ 17 ตุลาคม พ.ศ. 2024 โปรโตคอลการให้กู้ยืมแบบหลายสาย Radiant Capital ถูกโจมตี ผู้โจมตีได้รับอนุญาตจากเจ้าของกระเป๋าเงินหลายลายเซ็นของ Radiant Capital 3 รายอย่างผิดกฎหมาย กระเป๋าเงินหลายลายเซ็นใช้รูปแบบการตรวจสอบลายเซ็น 3/11 และผู้โจมตีใช้คีย์ส่วนตัว 3 คีย์สําหรับการลงนามแบบออฟไลน์ จากนั้นผู้โจมตีได้เริ่มการทําธุรกรรมแบบ on-chain เพื่อโอนกรรมสิทธิ์ในสัญญา Radiant Capital ไปยังสัญญาที่เป็นอันตรายภายใต้การควบคุมของผู้โจมตีทําให้เกิดการสูญเสียมากกว่า 53 ล้านดอลลาร์
No.9 Hedgey Finance
จำนวนของความสูญเสีย: $44.7 ล้าน
วิธีการโจมตี: ช่องโหว่ของสัญญา
ในวันที่ 19 เมษายน พ.ศ. 2567 ทาง Hedgey Finance ถูกโจมตีหลายครั้งโดยผู้โจมตี ผู้โจมตีใช้ช่องโหว่การอนุญาตโทเค็นเพื่อขโมยจำนวนมากของโทเค็นจากสัญญา ClaimCampaigns รวมถึงโทเค็นมูลค่ากว่า 2.1 ล้านดอลลาร์ถูกขโมยจากเครือข่าย Ethereum และโทเค็นมูลค่าประมาณ 42.6 ล้านดอลลาร์ถูกขโมยจากเครือข่าย Arbitrum
No.10 BingX
จำนวนขาดทุน: $44.7 ล้าน
วิธีโจมตี: การรั่วไหลคีย์ส่วนตัว
เมื่อวันที่ 19 กันยายน พ.ศ. 2567 กระเป๋าเงินร้อนของ BingX ถูกโจมตี ถึงแม้ว่า BingX จะกระทำมาตรการฉุกเฉินเช่นการโอนสินทรัพย์และการระงับการถอน เนื่องจากสถิติ Beosin แสดงให้เห็นว่าความสูญเสียรวมจากการไหลออกของสินทรัพย์ที่ผิดปกติจากกระเป๋าเงินร้อนมีมูลค่าถึง 44.7 ล้านเหรียญสหรัฐฯ สินทรัพย์ที่ถูกขโมยเกี่ยวข้องกับบล็อกเชนหลายรายการ รวมถึง Ethereum, BNB Chain, Tron, Polygon, Avalanche, และ Base.
3. ประเภทของโครงการที่ถูกโจมตี
ในปี 2024 ประเภทของโครงการที่ถูกโจมตีไม่เพียงแค่เป็นประเภททั่วไป เช่น DeFi, CEX, DEX, public chains, และ cross-chain bridges แต่ยังขยายไปสู่แพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์คริปโต, โครงสร้างพื้นฐาน, ตัวจัดการรหัสผ่าน, เครื่องมือพัฒนา, MEV bots, TG bots และประเภทโครงการอื่น ๆ อีกมากมาย
ในปี 2024 การโจมตีโปรเจค DeFi เกิดขึ้น 75 ครั้ง ทำให้เป็นประเภทโปรเจคที่ถูกโจมตีบ่อยที่สุด (ประมาณ 50.70%) ความสูญเสียรวมจากการโจมตี DeFi ประมาณ 390 ล้านเหรียญ สหรัฐ ซึ่งเทียบเท่ากับประมาณ 15.50% ของความสูญเสียทั้งหมด ทำให้เป็นประเภทโปรเจคที่สูญเสียมากที่สุดอันดับที่สี่
ประเภทโครงการที่เสียเงินมากที่สุดคือ CEX (บริษัทซึ่งมีการแลกเปลี่ยนแบบกระจาย). การโจมตีสิบครั้งที่ CEX ทำให้เสียเงินประมาณ 724 ล้านเหรียญเป็นที่มากที่สุด โดยรวมๆแล้ว บริษัทแลกเปลี่ยนเป็นประเภทโครงการที่ถูกโจมตีบ่อยที่สุดในปี 2024 และความปลอดภัยของการแลกเปลี่ยนยังคงเป็นความท้าทายที่ใหญ่ที่สุดในนิเวศ Web3
ความสูญเสียที่สองมาจากกระเป๋าเงินส่วนบุคคล โดยมียอดสูญเสียรวมประมาณ 445 ล้านดอลลาร์ มีการโจมตี 12 ครั้งเป้าหมายเป็นวาฬคริปโตพร้อมกับการโจมตีฟิชชิ่งและเทคนิคโซเชียลอินจีเนียร์ต่อผู้ใช้ทั่วไป ส่งผลให้ความสูญเสียรวมจากกระเป๋าเงินส่วนบุคคลเพิ่มขึ้นถึง 464.72% เมื่อเปรียบเทียบกับปี 2023 ทำให้ความปลอดภัยของกระเป๋าเงินส่วนบุคคลเป็นอีกภารกิจสำคัญหลังจากความปลอดภัยของบอร์ดช์เชนที่สำคัญ
4. ยอดสูญเสียโดย Chain
เมื่อเปรียบเทียบกับปี 2023 ชนิดของโซ่สาธารณะที่ถูกโจมตีในปี 2024 มีความหลากหลายมากขึ้น โซ่ที่เสียเงินมากที่สุดห้าอันดับแรกคือ Ethereum, Bitcoin, Arbitrum, Ripple และ Blast
หกเครื่องมือสูงสุดตามจำนวนเหตุการณ์การโจมตีคือ:
Ethereum, BNB Chain, Arbitrum, Others, Base, and Solana.
ในปี 2023 อีเธอร์เรียมยังคงเป็นเครื่องหมายที่สูญเสียมากที่สุด มีการโจมตีอีเธอร์เรียมทั้งหมด 66 ครั้ง ทำให้เกิดความสูญเสียประมาณ 844 ล้านเหรียญสหรัฐ หรือ 33.59% ของความสูญเสียรวมทั้งหมด
หมายเหตุ: ข้อมูลขาดทุนรวมไม่รวมการขาดทุนจากการล่องหนึ่งบนเชนและการขาดทุนจากกระเป๋าเงินร้อนของ CEX บล็อกเชน Bitcoin ขาดทุนอันดับสองโดยเกิดเหตุการณ์ความปลอดภัยเดียวกันทำให้เสียเงิน 238 ล้านดอลลาร์ Arbitrum อยู่อันดับสามด้วยขาดทุนรวมประมาณ 114 ล้านดอลลาร์
5. วิเคราะห์วิธีโจมตี
วิธีโจมตีในปี 2024 มีความหลากหลายมาก นอกจากการโจมตีช่องโหว่ของสัญญาทั่วไป ยังมีการใช้วิธีอื่น ๆ อีกมากมาย เช่น การโจมตีโซ่อุปทาน การโจมตีผ่านผู้ให้บริการบุคคลที่สาม การโจมตีคนกลาง การโจมตี DNS และการโจมตีด้านหน้า
ในปี 2024 เหตุการณ์การรั่วไหลของคีย์ส่วนตัว 35 ครั้งทําให้เกิดความเสียหายรวม 1.306 พันล้านดอลลาร์คิดเป็น 51.96% ของการสูญเสียทั้งหมดทําให้เป็นวิธีการโจมตีที่สร้างความเสียหายมากที่สุด เหตุการณ์การรั่วไหลของคีย์ส่วนตัวที่โดดเด่น ได้แก่ DMM Bitcoin (304 ล้านดอลลาร์), PlayDapp (290 ล้านดอลลาร์), Chris Larsen ผู้ร่วมก่อตั้ง Ripple (112 ล้านดอลลาร์), BTCTurk (55 ล้านดอลลาร์), Radiant Capital (53 ล้านดอลลาร์), BingX (44.7 ล้านดอลลาร์) และ DEXX (21 ล้านดอลลาร์)
การใช้ช่องโหว่ของสัญญาเป็นวิธีการโจมตีที่ถี่ที่สุด จาก 131 กรณีการโจมตี 76 กรณีเกิดจากช่องโหว่ของสัญญา คิดเป็น 58.02% ของทั้งหมด ส่วนที่เสียจากช่องโหว่ของสัญญาประมาณ 321 ล้านดอลลาร์ อยู่อันดับที่สามในมูลค่าที่สูญเสีย
เมื่อพูดถึงช่องโหว่ที่เฉพาะเจาะจง อุบัติการณ์ที่เกิดขึ้นบ่อยที่สุดและมีความเสียหายสูงสุดเกิดจากช่องโหว่ของตรรกะธุรกิจ ประมาณ 53.95% ของความสูญเสียจากช่องโหว่ของสัญญาเกิดจากข้อบกพร่องของตรรกะธุรกิจ ทำให้เกิดความสูญเสียประมาณ 158 ล้านดอลลาร์
6. การวิเคราะห์เหตุการณ์ที่เกิดขึ้นโดยปกติเกี่ยวกับการฟอกเงิน
6.1 เหตุการณ์ความปลอดภัย Polter Finance
ภาพรวมเหตุการณ์
ในวันที่ 17 พฤศจิกายน พ.ศ. 2567 Beosin Alert ตรวจพบการโจมตีต่อ Polter Finance โปรโตคอลการให้กู้ยืมบนโซ่ FTM ผู้โจมตีได้ประสบความสำเร็จในการจัดการราคาโทเค็นในสัญญาโครงการเพื่อหวังผลกำไรโดยใช้เงินกู้แฟลช
การวิเคราะห์ความเสี่ยงและกองทุน
สัญญา LendingPool ที่ถูกโจมตี (0xd47ae558623638f676c1e38dad71b53054f54273) ใช้ 0x6808b5ce79d44e89883c5393b487c4296abb69fe เป็นออราเคิล ออราเคิลนี้ใช้สัญญา price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe) ที่ถูกเปิดใช้ล่าสุด ซึ่งคำนวณราคาโดยอิงจาก token reserves ในสัญญา uniswapV2_pair (0xEc71) ที่เป็นสัญญาที่อยู่ในเสี่ยงต่อการโจมตีด้วยแฟลชลอน
ผู้โจมตีใช้กู้แฟลชเพื่อเพิ่มราคาตัวโทเค็น $BOO ในทางเทคนิคและยืมสินทรัพย์คริปโตอื่น ๆ กองทุนที่ถูกขโมยจากนั้นถูกแปลงเป็นโทเค็น FTM และถูกเชื่อมโยงกับโทเค็น ETH ที่จัดเก็บทุกกองทุน ด้านล่างเป็นแผนภาพกระแสเงินทุนที่แสดงการเคลื่อนไหวใน ARB และ ETH chains:
เมื่อวันที่ 20 พฤศจิกายน ผู้โจมตียังคงโอน ETH 2,625 ขึ้นไปยัง Tornado Cash ตามที่แสดงในแผนภูมิด้านล่าง:
6.2 เหตุการณ์ความปลอดภัย BitForex
ภาพรวมเหตุการณ์
ในวันที่ 23 กุมภาพันธ์ 2024 นักสืบบล็อกเชนชื่อดัง ZachXBT เปิดเผยผ่านเครื่องมือวิเคราะห์ของเขาว่า กระเป๋าเงินร้อนของ BitForex ประสบการณ์การถอนเงิน 56.5 ล้านเหรียญ และแพลตฟอร์มระงับบริการถอนเงินระหว่างกระบวนการนี้
การวิเคราะห์กองทุน
ทีมรักษาความปลอดภัยของ Beosin ได้ดำเนินการติดตามและวิเคราะห์อย่างละเอียดเกี่ยวกับเหตุการณ์ BitForex โดยใช้ Trace:
อีเธอร์เรียม
เมื่อวันที่ 24 กุมภาพันธ์ 2024 เวลา 6:11 น. (UTC+8) BitForex เริ่มโอน 40,771 USDT, 258,700 USDC, 148.01 ETH และ 471,405 TRB ไปยังที่อยู่ออกจาก Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)
ในวันที่ 9 สิงหาคม ที่อยู่ออกจากการโอนทั้งหมดยกเว้น TRB กลับสู่บัญชีของ BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8)
ตั้งแต่วันที่ 9 พฤศจิกายน ถึง 10 พฤศจิกายน ที่อยู่ออกโอน 355,000 TRB ไปยังที่อยู่ผู้ใช้ OKX 4 ที่แตกต่างกันผ่านทางการทำธุรกรรม 7 ครั้ง:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
ต่อจากนั้นที่อยู่ทางออกจะถ่ายโอนส่วนที่เหลือ 116,414.93 TRB ไปยังที่อยู่ระดับกลาง (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e) ซึ่งแบ่งออกเป็นสองธุรกรรมและส่งไปยังที่อยู่ผู้ใช้ Binance ที่แตกต่างกันสองแห่ง:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
โซ่ BNB
เมื่อวันที่ 24 กุมภาพันธ์ BitForex ถอน 166 ETH, 46,905 USDT และ 57,810 USDC ไปยังที่อยู่ BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f) ที่นั่นมันยังคงอยู่
โพลีกอน
เมื่อวันที่ 24 กุมภาพันธ์ BitForex ถอนเงิน 99,000 MATIC, 20,300 USDT, และ 1,700 USDC ไปยังที่อยู่ระบบ Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)
จาก 99,000 MATIC 8,000 ถูกโอนไปยังที่อยู่ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 ในวันที่ 9 สิงหาคมซึ่งยังคงอยู่และโทเค็น USDT และ USDC ที่เหลือก็ยังคงอยู่เช่นกัน
TRON
ในวันที่ 24 กุมภาพันธ์ BitForex ถอน 44,000 TRX และ 657,698 USDT ไปยังที่อยู่ของโซ่ TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o)
ในวันที่ 9 สิงหาคม พวกโทเคนเหล่านี้ถูกโอนกลับไปที่ที่อยู่ผู้ใช้ของ BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo) ทั้งหมด
บิตคอยน์
เริ่มต้นในวันที่ 24 กุมภาพันธ์ 16 ที่อยู่ BitForex ได้เริ่มการโอนรวมทั้งหมด 5.7 BTC ไปยังที่อยู่ของโซ่ BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2)
ในวันที่ 9 สิงหาคม 5.7 BTC ถูกโอนกลับไปที่ที่อยู่ของ BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz) อย่างสมบูรณ์
สรุปเมื่อวันที่ 24 กุมภาพันธ์ BitForex โอน 40,771 USDT, 258,700 USDC, 148.01 ETH, และ 471,405 TRB ไปยังเชน Ethereum; 44,000 TRX และ 657,698 USDT ไปยังเชน TRON; 5.7 BTC ไปยังเชน BTC; 166 ETH, 46,905 USDT, และ 57,810 USDC ไปยังเชน BNB; และ 99,000 MATIC, 20,300 USDT, และ 1,700 USDC ไปยังเชน Polygon.
ในวันที่ 9 สิงหาคม ทุกๆ โทเค็นบน BTC โซ่ TRON และโซ่ Ethereum (ยกเว้น TRB) ได้ถูกโอนกลับไปที่ BitForex ในวันที่ 9 และ 10 พฤศจิกายน 471,405 TRB ทั้งหมดถูกโอนไปยังบัญชี OKX 4 บัญชีและ 2 บัญชี Binance
ดังนั้น โทเค็นทั้งหมดในเครือข่าย ETH, TRON, และ BTC ได้ถูกโอนย้ายแล้ว และใน BSC ยังเหลือ 166 ETH, 46,905 USDT, และ 57,810 USDC ในขณะที่ใน POL ยังเหลือ 99,000 MATIC, 20,300 USDT, และ 1,700 USDC
ที่อยู่การฝาก TRB ที่แนบมา:
7. การวิเคราะห์การไหลของเงินที่ถูกขโมย
ในปี 2024 เงินที่ถูกขโมยประมาณ 1.312 พันล้านดอลลาร์ยังคงอยู่ในที่อยู่ของแฮ็กเกอร์ (รวมถึงเงินที่โอนข้ามเครือข่ายและกระจายไปยังที่อยู่หลายแห่ง) ซึ่งคิดเป็น 52.20% ของเงินที่ถูกขโมยทั้งหมด เมื่อเทียบกับปีที่แล้วแฮกเกอร์ในปีนี้มีแนวโน้มที่จะฟอกเงินผ่านธุรกรรมข้ามสายโซ่หลายครั้งและกระจายทรัพย์สินที่ถูกขโมยไปยังที่อยู่หลายแห่งแทนที่จะใช้เครื่องผสมโดยตรง การเพิ่มขึ้นของที่อยู่และความซับซ้อนของเส้นทางการฟอกเงินจะเพิ่มความยากลําบากให้กับทีมโครงการและหน่วยงานกํากับดูแลในการตรวจสอบกิจกรรมเหล่านี้อย่างไม่ต้องสงสัย
มียอดเงินที่ถูกโจรกรรมประมาณ 531 ล้านเหรียญถูกกู้คืนมาแล้ว สูงถึง 21.13% ในปี 2023 จำนวนเงินที่กู้คืนได้ประมาณ 295 ล้านเหรียญ
ตลอดปี มีเงินประมาณ 109 ล้านเหรียญถูกโอนเข้ามิกเซอร์ โดยจำนวนนี้เท่ากับ 4.34% ของเงินถูกโจมตีทั้งหมด ตั้งแต่สหรัฐฯ OFAC ลงโทษ Tornado Cash เมื่อสิงหาคม 2022 จำนวนเงินที่ถูกโจมตีที่ถูกโอนเข้า Tornado Cash ลดลงอย่างมีนัยสำคัญ
8. วิเคราะห์สถานการณ์การตรวจสอบโครงการ
ในหมู่ 131 ครั้งที่เกิดการโจมตี มี 42 ครั้งที่เกี่ยวข้องกับโครงการที่ยังไม่ได้รับการตรวจสอบ 78 ครั้งที่เกี่ยวข้องกับโครงการที่ได้รับการตรวจสอบ และ 11 ครั้งที่มีสถานะการตรวจสอบที่ไม่ชัดเจน
ในระหว่าง 42 โครงการที่ยังไม่ได้รับการตรวจสอบ มีเหตุการณ์ที่เกี่ยวข้องกับช่องโหว่ของสัญญา 30 ครั้ง (ประมาณ 71.43%) ซึ่งแสดงให้เห็นว่าโครงการที่ไม่ได้รับการตรวจสอบมีความเป็นไปได้ที่จะมีความเสี่ยงด้านความปลอดภัยในอนาคต ในทวีปตรงข้าม ใน 78 โครงการที่ได้รับการตรวจสอบ มีเหตุการณ์ที่เกี่ยวข้องกับช่องโหว่ของสัญญา 49 ครั้ง (ประมาณ 62.82%) ซึ่งแสดงให้เห็นถึงความสามารถในการปรับปรุงความปลอดภัยของโครงการได้บ้าง
อย่างไรก็ตาม อันเนื่องมาจากขาดข้อมูลมาตรฐานที่ครอบคลุมในตลาด Web3 คุณภาพของการตรวจสอบไม่สม่ำเสมอ และผลลัพธ์มักอยู่ในระดับต่ำกว่าคาดหวัง ในการป้องกันความปลอดภัยของสินทรัพย์อย่างมีประสิทธิภาพ แนะนำให้โครงการค้นหาบริษัทรักษาความปลอดภัยมืออาชีพเพื่อการตรวจสอบก่อนที่จะเปิดให้ใช้งาน
9. การวิเคราะห์การถอนพรม
ในปี 2024 แพลตฟอร์ม Beosin Alert ตรวจสอบรวมทั้งหมด 68 กรณี Rug Pull ในระบบเครือข่าย Web3 มีมูลค่ารวมประมาณ 148 ล้านเหรียญสหรัฐ ซึ่งเป็นการลดลงอย่างมีนัยสำคัญเมื่อเทียบกับ 388 ล้านเหรียญสหรัฐในปี 2023
ในแง่ของมูลค่าในบรรดาเหตุการณ์ Rug Pull 68 โครงการ 9 โครงการมีการสูญเสียเกิน 1 ล้านดอลลาร์ ได้แก่ Essence Finance (20 ล้านดอลลาร์), Shido Global (2.4 ล้านดอลลาร์), ETHTrustFund (2.2 ล้านดอลลาร์), Nexera (1.8 ล้านดอลลาร์), Grand Base (1.7 ล้านดอลลาร์), SAGA Token (1.6 ล้านดอลลาร์), OrdiZK (1.4 ล้านดอลลาร์), MangoFarmSOL (1.29 ล้านดอลลาร์) และ RiskOnBlast (1.25 ล้านดอลลาร์) การสูญเสียทั้งหมดสําหรับเหตุการณ์ทั้ง 9 เหตุการณ์นี้อยู่ที่ 33.64 ล้านดอลลาร์คิดเป็น 22.73% ของการสูญเสียทั้งหมดจากเหตุการณ์ Rug Pull ทั้งหมด
โครงการ Rug Pull บน Ethereum และ BNB Chain มีส่วนร่วม 82.35% ของทั้งหมด โดยมี 24 ครั้งบน Ethereum และ 32 ครั้งบน BNB Chain นอกจากนี้ มีเหตุการณ์หนึ่งเกิน 20 ล้านเกิดขึ้นบน Scroll บล็อกเชนสาธารณะอื่น ๆ รวมถึง Polygon, BASE, และ Solana ก็มีจำนวนเล็กของเหตุการณ์ Rug Pull
10. สรุปสถานการณ์ความปลอดภัยบล็อกเชน Web3 ปี 2024
ในปี 2024 กิจกรรมการโจมตีบนเชื่อมโยงและเหตุการณ์ Rug Pull ในระบบนิวเมติก 3 มีการลดลงอย่างมีนัยทีเท่ากับปี 2023 อย่างไรก็ตาม ปริมาณของความสูญเสียยังคงเพิ่มขึ้น และการโจมตีด้วยวิธีการโจมตีแบบฉลาดเพิ่มมากขึ้น วิธีการโจมตีที่ทำให้เกิดความสูญเสียมากที่สุดยังคงคงอยู่ที่การรั่วไหลของกุญแจส่วนตัว เหตุผลหลักที่ทำให้เกิดการเปลี่ยนแปลงนี้รวมถึง:
หลังจากกิจกรรมของแฮ็กเกอร์ที่ระบาดในปีที่แล้ว นิวคลิียร์เว็บ 3 โฟสเซตมุ่งมั่นมากขึ้นที่ปลอดภัยในปี 2024 ความพยายามจากทีมโครงการถึงบริษัทที่เกี่ยวข้องกับความปลอดภัย ได้เพิ่มขึ้นในหลายด้าน เช่น การตรวจสอบการติดตามบนเชนแบบเรียลไทม์ การให้ความสำคัญกับการตรวจสอบความปลอดภัย และการเรียนรู้อย่างเต็มที่จากช่องโหว่ของสัญญาในอดีต สิ่งเหล่านี้ทำให้แฮ็กเกอร์ยากขึ้นที่จะขโมยเงินผ่านช่องโหว่ของสัญญาเมื่อเทียบกับปีที่แล้ว อย่างไรก็ตาม ทีมโครงการยังต้องเสริมความตระหนักในการจัดการคีย์ส่วนตัวและความปลอดภัยในด้านปฏิบัติการ
ด้วยความผสมผสานของตลาดคริปโตและตลาดดั้งเดิม ฮากเกอร์ไม่ได้ถูกจำกัดเฉพาะในการโจมตี DeFi, cross-chain bridges, exchanges แล้ว แต่ได้เลื่อนการโจมตีไปยังการโจมตีแพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์คริปโต, โครงสร้างพื้นฐาน, ตัวจัดการรหัสผ่าน, เครื่องมือสร้างแอปพลิเคชัน, เครื่องมือสร้าง MEV bots, TG bots, และเป้าหมายอื่น ๆ ที่หลากหลาย
ในปี 2024-2025 เมื่อตลาดคริปโตเข้าสู่ตลาดตุลาคมและเงินที่อยู่ในระบบเพิ่มขึ้น นี่จะดึงดูดการโจมตีของฮากเกอร์มากขึ้น นอกจากนี้ กฎระเบียบในภูมิภาคเกี่ยวกับทรัพย์สินคริปโตก็กำลังปรับปรุงเพื่อต่อสู้กับอาชญากรรมที่เกี่ยวข้องกับทรัพย์สินคริปโต ภายใต้แนวโน้มนี้ คาดว่ากิจกรรมของฮากเกอร์จะยังคงสูงในปี 2025 และหน่วยงานการบังคับกฎหมายและองค์กรกำกับด้านการบังคับกฎหมายทั่วโลกจะยังพบกับความท้าทายอย่างรุนแรง
ข้อความประกาศ
- บทความนี้ถูกคัดลอกมาจาก [ การวิเคราะห์ Footprint บล็อกเชน]. ลิขสิทธิ์เป็นของผู้เขียนเดิม [Beosin, Footprint Analytics] หากคุณมีคำประทับใจเกี่ยวกับการเผยแพร่ซ้ำ โปรดติดต่อ ทีม Gate Learnและทีมงานจะดำเนินการตามขั้นตอนที่เกี่ยวข้องโดยเร็วที่สุด
- คำปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงอยู่ในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นคำแนะนำในการลงทุน
- ทีม Gate Learn ได้แปลบทความเป็นภาษาอื่น ๆ การคัดลอก การแจกจ่าย หรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถูกห้าม นอกจากที่ถูกกล่าวถึง
แชร์
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
โคติคืออะไร? สิ่งที่คุณต้องรู้เกี่ยวกับ COTI
รายงานประจำปี 2567 ทิศทางด้านความปลอดภัยของบล็อกเชน Web3 ปี 2024
คำนำ
รายงานการวิจัยนี้ริเริ่มโดย Blockchain Security Alliance และสร้างขึ้นร่วมกันโดยสมาชิก Beosin และ Footprint Analytics มีจุดมุ่งหมายเพื่อให้การสํารวจที่ครอบคลุมของภูมิทัศน์การรักษาความปลอดภัยบล็อกเชนทั่วโลกในปี 2024 จากการวิเคราะห์และประเมินสถานะปัจจุบันของความปลอดภัยของบล็อกเชนทั่วโลกรายงานจะเปิดเผยความท้าทายด้านความปลอดภัยและภัยคุกคามที่ต้องเผชิญในปัจจุบันในขณะที่นําเสนอโซลูชันและแนวทางปฏิบัติที่ดีที่สุด ด้วยรายงานนี้ผู้อ่านจะได้รับความเข้าใจที่สมบูรณ์ยิ่งขึ้นเกี่ยวกับวิวัฒนาการแบบไดนามิกของการรักษาความปลอดภัยบล็อกเชน Web3 สิ่งนี้จะช่วยให้ผู้อ่านประเมินและจัดการกับความท้าทายด้านความปลอดภัยที่ต้องเผชิญในพื้นที่บล็อกเชน นอกจากนี้รายงานยังให้ข้อมูลเชิงลึกที่มีค่าเกี่ยวกับมาตรการรักษาความปลอดภัยและแนวโน้มการพัฒนาอุตสาหกรรมช่วยผู้อ่านในการตัดสินใจและการดําเนินการอย่างชาญฉลาดในสาขาที่เกิดขึ้นใหม่นี้ ความปลอดภัยและกฎระเบียบของบล็อกเชนเป็นประเด็นสําคัญในการพัฒนายุค Web3 ด้วยการวิจัยและการอภิปรายเชิงลึกเราสามารถเข้าใจและจัดการกับความท้าทายเหล่านี้ได้ดีขึ้นความก้าวหน้าด้านความปลอดภัยและการพัฒนาที่ยั่งยืนของเทคโนโลยีบล็อกเชน
1. ภาพรวมของทิวทัศน์ด้านความปลอดภัยของบล็อกเชน Web3 ปี 2024
จากการตรวจสอบโดยแพลตฟอร์ม Alert ภายใต้ บริษัท ตรวจสอบความปลอดภัย Beosin ความสูญเสียทั้งหมดในพื้นที่ Web3 ในปี 2024 เนื่องจากการโจมตีของแฮ็กเกอร์การหลอกลวงแบบฟิชชิ่งและการดึงพรมโดยทีมโครงการสูงถึง 2.513 พันล้านดอลลาร์ ในจํานวนนี้มีเหตุการณ์โจมตีครั้งใหญ่ 131 ครั้ง ทําให้เกิดความเสียหายประมาณ 1.792 พันล้านดอลลาร์ เหตุการณ์พรมดึง 68 ครั้งโดยทีมโครงการโดยมีการสูญเสียรวมประมาณ 148 ล้านดอลลาร์ และการหลอกลวงแบบฟิชชิงทําให้เกิดความเสียหายรวมประมาณ 574 ล้านดอลลาร์
ในปี 2024 ทั้งการโจมตีของฮากเกอร์และการฉ้อโกงเพิ่มขึ้นอย่างมีนัยสำคัญเมื่อเปรียบเทียบกับปี 2023 โดยการฉ้อโกงเพิ่มขึ้นถึง 140.66% ความสูญเสียจากเหตุการณ์ rug pull โดยทีมโครงการลดลงอย่างน่าสังเกตเป็นอย่างมาก ลดลงประมาณ 61.94%
ในปี 2024 ประเภทของโครงการที่ได้รับผลกระทบจากการโจมตีรวมถึง DeFi, CEX, DEX, โซ่สาธารณะ, สะพานระหว่างโซ่, กระเป๋าเงิน, แพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์คริปโต, โครงสร้างพื้นฐาน, ตัวจัดการรหัสผ่าน, เครื่องมือการพัฒนา, หุ่นยนต์ MEV, หุ่นยนต์ TG และอื่น ๆ เป็นโครงการที่ถูกโจมตีบ่อยที่สุดและมีการโจมตี DeFi ที่มีอยู่ 75 ครั้ง โดยทำให้เกิดความเสียหายรวมทั้งสิ้นประมาณ 390 ล้านดอลลาร์ อีกทั้ง CEX มีจำนวนความสูญเสียทั้งหมดสูงสุดโดยมีการโจมตี CEX ทั้งหมด 10 ครั้งทำให้เกิดความเสียหายประมาณ 724 ล้านดอลลาร์
ในปี 2024 เกิดการโจมตีทั่วหลายประเภทของ public chain มีการเกิดเหตุการณ์ความปลอดภัยหลายครั้งที่เกี่ยวข้องกับการโจมตีและการขโมยใน chain ต่างๆ อีเธเรียมยังคงเป็น public chain ที่ขาดทุนสูงที่สุด โดยมีการโจมตีทั้งหมด 66 ครั้งบน Ethereum ที่ผลักดันให้เกิดการขาดทุนประมาณ 844 ล้านดอลลาร์ มีส่วนร่วมในการขาดทุนรวมของปีนั้นอยู่ที่ 33.57%
จากมุมมองของวิธีการโจมตี มีอุบัติเหตุการรั่วไหลของกุญแจส่วนตัว 35 คดี ทำให้เกิดความเสียหายประมาณ 1.306 พันล้านเหรียญสหรัฐฯ หรือ 51.96% ของความเสียหายทั้งหมด ทำให้เป็นวิธีการโจมตีที่ทำความเสียหายมากที่สุด
การประมวลผลข้อบกพร่องของสัญญาเป็นวิธีการโจมตีที่ถูกใช้บ่อยที่สุด โดยมีการโจมตีจากข้อบกพร่องของสัญญาทั้งหมด 76 จากทั้งหมด 131 ครั้ง ซึ่งเป็นส่วนแบ่งทั้งหมด 58.02% ของเหตุการณ์ที่เกิดขึ้นทั้งหมด
พบเงินที่ถูกขโมยประมาณ 531 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 21.13% ของเงินที่ถูกขโมย โดยมีเงินที่ถูกโอนไปยังเครื่องผสมเงินประมาณ 109 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 4.34% ของเงินที่ถูกขโมยโดยมีการลดลงประมาณ 66.97% เมื่อเปรียบเทียบกับปี 2023
2. เหตุการณ์ความปลอดภัย Web3 ที่ดีที่สุด ในปี 2024
ในปี 2024 มีเหตุการณ์โจมตีหลัก 5 คดี ที่เสียหายเกิน 100 ล้านเหรียญดอลลาร์: DMM Bitcoin (304 ล้านเหรียญดอลลาร์), PlayDapp (290 ล้านเหรียญดอลลาร์), WazirX (235 ล้านเหรียญดอลลาร์), Gala Games (216 ล้านเหรียญดอลลาร์), และการขโมยของ Chris Larsen (112 ล้านเหรียญดอลลาร์) ความเสียหายรวมจาก 10 เหตุการณ์ความปลอดภัยที่สูงสุด รวมเป็นจำนวนเงินประมาณ 1.417 พันล้านเหรียญดอลลาร์ ซึ่งเทียบเท่ากับประมาณ 79.07% ของความเสียหายที่เกิดจากการโจมตีทั้งหมดในปี
No.1 DMM Bitcoin
ขาดทุน: $304 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
ในวันที่ 31 พฤษภาคม พ.ศ. 2567 เกิดการโจมตีกับ DMM Bitcoin และถูกขโมย Bitcoin มูลค่ากว่า 304 ล้านดอลลาร์ ผู้โจมตีได้กระจายเงินที่ถูกขโมยไปในหลายที่อยู่มากกว่า 10 ที่อยู่เพื่อล้างเงิน
ฉบับที่ 2 PlayDapp
ขาดทุน: $290 ล้าน
วิธีการโจมตี: การรั่วไหลคีย์ส่วนตัว
ในวันที่ 9 กุมภาพันธ์ พ.ศ. 2024 เกมบล็อกเชน PlayDapp ถูกโจมตีโดยผู้แฮกเกอร์ที่สร้าง PLA tokens จำนวน 2 พันล้านตัวมูลค่า 36.5 ล้านดอลลาร์ หลังจากล้มเหลวในการเจรจากับ PlayDapp เมื่อวันที่ 12 กุมภาพันธ์ ผู้แฮกเกอร์สร้าง PLA tokens เพิ่มอีก 15.9 พันล้านตัวมูลค่า 253.9 ล้านดอลลาร์และส่งส่วนหนึ่งของเงินไปยังเกทเอ็กซ์เชนจากนั้น PlayDapp ระงับสัญญา PLA และย้าย PLA tokens เป็น PDA tokens.
No.3 WazirX
จำนวนของความสูญเสีย: $235 ล้าน
วิธีการโจมตี: โจมตีเน็ตเวิร์กและการล่องหลอก
ในวันที่ 18 กรกฎาคม พ.ศ. 2567 กระเป๋าเก็บเงินรวมลายเซ็นต์หลายรายของแลกเปลี่ยนเงินดิจิทัลของอินเดีย WazirX ถูกขโมย ทำให้เสียหายมากกว่า 235 ล้านดอลลาร์สหรัฐอเมริกา กระเป๋าเก็บเงินรวมลายเซ็นต์หลายรายเป็นสัญญาอัจฉริยะของ Safe Wallet ผู้โจมตีหลอกลวงผู้ลงลายเซ็นต์หลายรายในการลงนามธุรกรรมอัปเกรด และผ่านสัญญาที่อัปเกรดแล้วโอนสินทรัพย์โดยตรงจากกระเป๋าเก็บเงินไป
No.4 Gala Games
จำนวนขาดทุน: $216 ล้าน
วิธีการโจมตี: ช่องโหว่การควบคุมการเข้าถึง
เมื่อวันที่ 20 พฤษภาคม พ.ศ. 2567 ที่อยู่พิเศษของ Gala Games ถูกลักลอบใช้งานโดยผู้โจมตี ผู้โจมตีใช้ที่อยู่นี้ในการเรียกใช้ฟังก์ชันการสร้างเหรียญและทำการสร้างเหรียญ GALA จำนวน 5 พันล้านเหรียญมูลค่าประมาณ 216 ล้านดอลลาร์ โดยแปลงเหรียญที่สร้างได้เป็น ETH แบบเป็นชุด ทีมงาน Gala Games จากนั้นใช้ฟังก์ชันรายชื่อดำเพื่อบล็อกผู้แฮกและกู้คืนความเสียหาย
ลำดับที่ 5 คริส ลาร์เซน (ผู้ร่วมก่อตั้ง Ripple)
จำนวนของความสูญเสีย: $112 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
ในวันที่ 31 มกราคม 2024 ผู้ร่วมก่อตั้งของ Ripple คริส ลาร์เซน รายงานว่ามีการบุกรุกที่กระเป๋าเงินสี่ราย โดยทำให้เสียเสียงสูญเสียรวมถึง 112 ล้านเหรียญ ทีมของ Binance แฝงสำเร็จ ที่มีมูลค่า 4.2 ล้านดอลลาร์ของ XRP ที่ถูกขโมย
No.6 Munchables
จำนวนขาดทุน: $62.5 ล้าน
วิธีการโจมตี: การโจมตีด้านเทคโนโลยีสังคม
ในวันที่ 26 มีนาคม พ.ศ. 2567 เว็บไซต์เกมพลัตฟอร์ม Web3 Munchables ที่มีพื้นฐานบน Blast ถูกโจมตี โดยทำให้เสียหายประมาณ 62.5 ล้านเหรียญ โปรเจกต์ถูกโจมตีเนื่องจากมีนักแฮ็กเกอร์จากเหนือเกาหลีเป็นผู้พัฒนา ทุกเงินที่ถูกขโมยได้ถูกส่งคืนโดยนักแฮ็กเกอร์ทั้งหมด
No.7 BTCTurk
จำนวนของความสูญเสีย: $55 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
ในวันที่ 22 มิถุนายน พ.ศ. 2567 แลกเปลี่ยนสกุลเงินดิจิตอลของตุรกี BTCTurk ถูกโจมตี ทำให้เสียเงินประมาณ 55 ล้านดอลลาร์ Binance ช่วยแชร์กวดขวางเงินถูกขโมยจำนวนกว่า 5.3 ล้านดอลลาร์
No.8 Radiant Capital
จำนวนขาดทุน: $53 ล้าน
วิธีการโจมตี: การรั่วคีย์ส่วนตัว
เมื่อวันที่ 17 ตุลาคม พ.ศ. 2024 โปรโตคอลการให้กู้ยืมแบบหลายสาย Radiant Capital ถูกโจมตี ผู้โจมตีได้รับอนุญาตจากเจ้าของกระเป๋าเงินหลายลายเซ็นของ Radiant Capital 3 รายอย่างผิดกฎหมาย กระเป๋าเงินหลายลายเซ็นใช้รูปแบบการตรวจสอบลายเซ็น 3/11 และผู้โจมตีใช้คีย์ส่วนตัว 3 คีย์สําหรับการลงนามแบบออฟไลน์ จากนั้นผู้โจมตีได้เริ่มการทําธุรกรรมแบบ on-chain เพื่อโอนกรรมสิทธิ์ในสัญญา Radiant Capital ไปยังสัญญาที่เป็นอันตรายภายใต้การควบคุมของผู้โจมตีทําให้เกิดการสูญเสียมากกว่า 53 ล้านดอลลาร์
No.9 Hedgey Finance
จำนวนของความสูญเสีย: $44.7 ล้าน
วิธีการโจมตี: ช่องโหว่ของสัญญา
ในวันที่ 19 เมษายน พ.ศ. 2567 ทาง Hedgey Finance ถูกโจมตีหลายครั้งโดยผู้โจมตี ผู้โจมตีใช้ช่องโหว่การอนุญาตโทเค็นเพื่อขโมยจำนวนมากของโทเค็นจากสัญญา ClaimCampaigns รวมถึงโทเค็นมูลค่ากว่า 2.1 ล้านดอลลาร์ถูกขโมยจากเครือข่าย Ethereum และโทเค็นมูลค่าประมาณ 42.6 ล้านดอลลาร์ถูกขโมยจากเครือข่าย Arbitrum
No.10 BingX
จำนวนขาดทุน: $44.7 ล้าน
วิธีโจมตี: การรั่วไหลคีย์ส่วนตัว
เมื่อวันที่ 19 กันยายน พ.ศ. 2567 กระเป๋าเงินร้อนของ BingX ถูกโจมตี ถึงแม้ว่า BingX จะกระทำมาตรการฉุกเฉินเช่นการโอนสินทรัพย์และการระงับการถอน เนื่องจากสถิติ Beosin แสดงให้เห็นว่าความสูญเสียรวมจากการไหลออกของสินทรัพย์ที่ผิดปกติจากกระเป๋าเงินร้อนมีมูลค่าถึง 44.7 ล้านเหรียญสหรัฐฯ สินทรัพย์ที่ถูกขโมยเกี่ยวข้องกับบล็อกเชนหลายรายการ รวมถึง Ethereum, BNB Chain, Tron, Polygon, Avalanche, และ Base.
3. ประเภทของโครงการที่ถูกโจมตี
ในปี 2024 ประเภทของโครงการที่ถูกโจมตีไม่เพียงแค่เป็นประเภททั่วไป เช่น DeFi, CEX, DEX, public chains, และ cross-chain bridges แต่ยังขยายไปสู่แพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์คริปโต, โครงสร้างพื้นฐาน, ตัวจัดการรหัสผ่าน, เครื่องมือพัฒนา, MEV bots, TG bots และประเภทโครงการอื่น ๆ อีกมากมาย
ในปี 2024 การโจมตีโปรเจค DeFi เกิดขึ้น 75 ครั้ง ทำให้เป็นประเภทโปรเจคที่ถูกโจมตีบ่อยที่สุด (ประมาณ 50.70%) ความสูญเสียรวมจากการโจมตี DeFi ประมาณ 390 ล้านเหรียญ สหรัฐ ซึ่งเทียบเท่ากับประมาณ 15.50% ของความสูญเสียทั้งหมด ทำให้เป็นประเภทโปรเจคที่สูญเสียมากที่สุดอันดับที่สี่
ประเภทโครงการที่เสียเงินมากที่สุดคือ CEX (บริษัทซึ่งมีการแลกเปลี่ยนแบบกระจาย). การโจมตีสิบครั้งที่ CEX ทำให้เสียเงินประมาณ 724 ล้านเหรียญเป็นที่มากที่สุด โดยรวมๆแล้ว บริษัทแลกเปลี่ยนเป็นประเภทโครงการที่ถูกโจมตีบ่อยที่สุดในปี 2024 และความปลอดภัยของการแลกเปลี่ยนยังคงเป็นความท้าทายที่ใหญ่ที่สุดในนิเวศ Web3
ความสูญเสียที่สองมาจากกระเป๋าเงินส่วนบุคคล โดยมียอดสูญเสียรวมประมาณ 445 ล้านดอลลาร์ มีการโจมตี 12 ครั้งเป้าหมายเป็นวาฬคริปโตพร้อมกับการโจมตีฟิชชิ่งและเทคนิคโซเชียลอินจีเนียร์ต่อผู้ใช้ทั่วไป ส่งผลให้ความสูญเสียรวมจากกระเป๋าเงินส่วนบุคคลเพิ่มขึ้นถึง 464.72% เมื่อเปรียบเทียบกับปี 2023 ทำให้ความปลอดภัยของกระเป๋าเงินส่วนบุคคลเป็นอีกภารกิจสำคัญหลังจากความปลอดภัยของบอร์ดช์เชนที่สำคัญ
4. ยอดสูญเสียโดย Chain
เมื่อเปรียบเทียบกับปี 2023 ชนิดของโซ่สาธารณะที่ถูกโจมตีในปี 2024 มีความหลากหลายมากขึ้น โซ่ที่เสียเงินมากที่สุดห้าอันดับแรกคือ Ethereum, Bitcoin, Arbitrum, Ripple และ Blast
หกเครื่องมือสูงสุดตามจำนวนเหตุการณ์การโจมตีคือ:
Ethereum, BNB Chain, Arbitrum, Others, Base, and Solana.
ในปี 2023 อีเธอร์เรียมยังคงเป็นเครื่องหมายที่สูญเสียมากที่สุด มีการโจมตีอีเธอร์เรียมทั้งหมด 66 ครั้ง ทำให้เกิดความสูญเสียประมาณ 844 ล้านเหรียญสหรัฐ หรือ 33.59% ของความสูญเสียรวมทั้งหมด
หมายเหตุ: ข้อมูลขาดทุนรวมไม่รวมการขาดทุนจากการล่องหนึ่งบนเชนและการขาดทุนจากกระเป๋าเงินร้อนของ CEX บล็อกเชน Bitcoin ขาดทุนอันดับสองโดยเกิดเหตุการณ์ความปลอดภัยเดียวกันทำให้เสียเงิน 238 ล้านดอลลาร์ Arbitrum อยู่อันดับสามด้วยขาดทุนรวมประมาณ 114 ล้านดอลลาร์
5. วิเคราะห์วิธีโจมตี
วิธีโจมตีในปี 2024 มีความหลากหลายมาก นอกจากการโจมตีช่องโหว่ของสัญญาทั่วไป ยังมีการใช้วิธีอื่น ๆ อีกมากมาย เช่น การโจมตีโซ่อุปทาน การโจมตีผ่านผู้ให้บริการบุคคลที่สาม การโจมตีคนกลาง การโจมตี DNS และการโจมตีด้านหน้า
ในปี 2024 เหตุการณ์การรั่วไหลของคีย์ส่วนตัว 35 ครั้งทําให้เกิดความเสียหายรวม 1.306 พันล้านดอลลาร์คิดเป็น 51.96% ของการสูญเสียทั้งหมดทําให้เป็นวิธีการโจมตีที่สร้างความเสียหายมากที่สุด เหตุการณ์การรั่วไหลของคีย์ส่วนตัวที่โดดเด่น ได้แก่ DMM Bitcoin (304 ล้านดอลลาร์), PlayDapp (290 ล้านดอลลาร์), Chris Larsen ผู้ร่วมก่อตั้ง Ripple (112 ล้านดอลลาร์), BTCTurk (55 ล้านดอลลาร์), Radiant Capital (53 ล้านดอลลาร์), BingX (44.7 ล้านดอลลาร์) และ DEXX (21 ล้านดอลลาร์)
การใช้ช่องโหว่ของสัญญาเป็นวิธีการโจมตีที่ถี่ที่สุด จาก 131 กรณีการโจมตี 76 กรณีเกิดจากช่องโหว่ของสัญญา คิดเป็น 58.02% ของทั้งหมด ส่วนที่เสียจากช่องโหว่ของสัญญาประมาณ 321 ล้านดอลลาร์ อยู่อันดับที่สามในมูลค่าที่สูญเสีย
เมื่อพูดถึงช่องโหว่ที่เฉพาะเจาะจง อุบัติการณ์ที่เกิดขึ้นบ่อยที่สุดและมีความเสียหายสูงสุดเกิดจากช่องโหว่ของตรรกะธุรกิจ ประมาณ 53.95% ของความสูญเสียจากช่องโหว่ของสัญญาเกิดจากข้อบกพร่องของตรรกะธุรกิจ ทำให้เกิดความสูญเสียประมาณ 158 ล้านดอลลาร์
6. การวิเคราะห์เหตุการณ์ที่เกิดขึ้นโดยปกติเกี่ยวกับการฟอกเงิน
6.1 เหตุการณ์ความปลอดภัย Polter Finance
ภาพรวมเหตุการณ์
ในวันที่ 17 พฤศจิกายน พ.ศ. 2567 Beosin Alert ตรวจพบการโจมตีต่อ Polter Finance โปรโตคอลการให้กู้ยืมบนโซ่ FTM ผู้โจมตีได้ประสบความสำเร็จในการจัดการราคาโทเค็นในสัญญาโครงการเพื่อหวังผลกำไรโดยใช้เงินกู้แฟลช
การวิเคราะห์ความเสี่ยงและกองทุน
สัญญา LendingPool ที่ถูกโจมตี (0xd47ae558623638f676c1e38dad71b53054f54273) ใช้ 0x6808b5ce79d44e89883c5393b487c4296abb69fe เป็นออราเคิล ออราเคิลนี้ใช้สัญญา price-feed (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe) ที่ถูกเปิดใช้ล่าสุด ซึ่งคำนวณราคาโดยอิงจาก token reserves ในสัญญา uniswapV2_pair (0xEc71) ที่เป็นสัญญาที่อยู่ในเสี่ยงต่อการโจมตีด้วยแฟลชลอน
ผู้โจมตีใช้กู้แฟลชเพื่อเพิ่มราคาตัวโทเค็น $BOO ในทางเทคนิคและยืมสินทรัพย์คริปโตอื่น ๆ กองทุนที่ถูกขโมยจากนั้นถูกแปลงเป็นโทเค็น FTM และถูกเชื่อมโยงกับโทเค็น ETH ที่จัดเก็บทุกกองทุน ด้านล่างเป็นแผนภาพกระแสเงินทุนที่แสดงการเคลื่อนไหวใน ARB และ ETH chains:
เมื่อวันที่ 20 พฤศจิกายน ผู้โจมตียังคงโอน ETH 2,625 ขึ้นไปยัง Tornado Cash ตามที่แสดงในแผนภูมิด้านล่าง:
6.2 เหตุการณ์ความปลอดภัย BitForex
ภาพรวมเหตุการณ์
ในวันที่ 23 กุมภาพันธ์ 2024 นักสืบบล็อกเชนชื่อดัง ZachXBT เปิดเผยผ่านเครื่องมือวิเคราะห์ของเขาว่า กระเป๋าเงินร้อนของ BitForex ประสบการณ์การถอนเงิน 56.5 ล้านเหรียญ และแพลตฟอร์มระงับบริการถอนเงินระหว่างกระบวนการนี้
การวิเคราะห์กองทุน
ทีมรักษาความปลอดภัยของ Beosin ได้ดำเนินการติดตามและวิเคราะห์อย่างละเอียดเกี่ยวกับเหตุการณ์ BitForex โดยใช้ Trace:
อีเธอร์เรียม
เมื่อวันที่ 24 กุมภาพันธ์ 2024 เวลา 6:11 น. (UTC+8) BitForex เริ่มโอน 40,771 USDT, 258,700 USDC, 148.01 ETH และ 471,405 TRB ไปยังที่อยู่ออกจาก Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)
ในวันที่ 9 สิงหาคม ที่อยู่ออกจากการโอนทั้งหมดยกเว้น TRB กลับสู่บัญชีของ BitForex (0xcce7300829f49b8f2e4aee6123b12da64662a8b8)
ตั้งแต่วันที่ 9 พฤศจิกายน ถึง 10 พฤศจิกายน ที่อยู่ออกโอน 355,000 TRB ไปยังที่อยู่ผู้ใช้ OKX 4 ที่แตกต่างกันผ่านทางการทำธุรกรรม 7 ครั้ง:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
ต่อจากนั้นที่อยู่ทางออกจะถ่ายโอนส่วนที่เหลือ 116,414.93 TRB ไปยังที่อยู่ระดับกลาง (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e) ซึ่งแบ่งออกเป็นสองธุรกรรมและส่งไปยังที่อยู่ผู้ใช้ Binance ที่แตกต่างกันสองแห่ง:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
โซ่ BNB
เมื่อวันที่ 24 กุมภาพันธ์ BitForex ถอน 166 ETH, 46,905 USDT และ 57,810 USDC ไปยังที่อยู่ BNB Chain (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f) ที่นั่นมันยังคงอยู่
โพลีกอน
เมื่อวันที่ 24 กุมภาพันธ์ BitForex ถอนเงิน 99,000 MATIC, 20,300 USDT, และ 1,700 USDC ไปยังที่อยู่ระบบ Polygon (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)
จาก 99,000 MATIC 8,000 ถูกโอนไปยังที่อยู่ 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 ในวันที่ 9 สิงหาคมซึ่งยังคงอยู่และโทเค็น USDT และ USDC ที่เหลือก็ยังคงอยู่เช่นกัน
TRON
ในวันที่ 24 กุมภาพันธ์ BitForex ถอน 44,000 TRX และ 657,698 USDT ไปยังที่อยู่ของโซ่ TRON (TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o)
ในวันที่ 9 สิงหาคม พวกโทเคนเหล่านี้ถูกโอนกลับไปที่ที่อยู่ผู้ใช้ของ BitForex (TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo) ทั้งหมด
บิตคอยน์
เริ่มต้นในวันที่ 24 กุมภาพันธ์ 16 ที่อยู่ BitForex ได้เริ่มการโอนรวมทั้งหมด 5.7 BTC ไปยังที่อยู่ของโซ่ BTC (3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2)
ในวันที่ 9 สิงหาคม 5.7 BTC ถูกโอนกลับไปที่ที่อยู่ของ BitForex (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz) อย่างสมบูรณ์
สรุปเมื่อวันที่ 24 กุมภาพันธ์ BitForex โอน 40,771 USDT, 258,700 USDC, 148.01 ETH, และ 471,405 TRB ไปยังเชน Ethereum; 44,000 TRX และ 657,698 USDT ไปยังเชน TRON; 5.7 BTC ไปยังเชน BTC; 166 ETH, 46,905 USDT, และ 57,810 USDC ไปยังเชน BNB; และ 99,000 MATIC, 20,300 USDT, และ 1,700 USDC ไปยังเชน Polygon.
ในวันที่ 9 สิงหาคม ทุกๆ โทเค็นบน BTC โซ่ TRON และโซ่ Ethereum (ยกเว้น TRB) ได้ถูกโอนกลับไปที่ BitForex ในวันที่ 9 และ 10 พฤศจิกายน 471,405 TRB ทั้งหมดถูกโอนไปยังบัญชี OKX 4 บัญชีและ 2 บัญชี Binance
ดังนั้น โทเค็นทั้งหมดในเครือข่าย ETH, TRON, และ BTC ได้ถูกโอนย้ายแล้ว และใน BSC ยังเหลือ 166 ETH, 46,905 USDT, และ 57,810 USDC ในขณะที่ใน POL ยังเหลือ 99,000 MATIC, 20,300 USDT, และ 1,700 USDC
ที่อยู่การฝาก TRB ที่แนบมา:
7. การวิเคราะห์การไหลของเงินที่ถูกขโมย
ในปี 2024 เงินที่ถูกขโมยประมาณ 1.312 พันล้านดอลลาร์ยังคงอยู่ในที่อยู่ของแฮ็กเกอร์ (รวมถึงเงินที่โอนข้ามเครือข่ายและกระจายไปยังที่อยู่หลายแห่ง) ซึ่งคิดเป็น 52.20% ของเงินที่ถูกขโมยทั้งหมด เมื่อเทียบกับปีที่แล้วแฮกเกอร์ในปีนี้มีแนวโน้มที่จะฟอกเงินผ่านธุรกรรมข้ามสายโซ่หลายครั้งและกระจายทรัพย์สินที่ถูกขโมยไปยังที่อยู่หลายแห่งแทนที่จะใช้เครื่องผสมโดยตรง การเพิ่มขึ้นของที่อยู่และความซับซ้อนของเส้นทางการฟอกเงินจะเพิ่มความยากลําบากให้กับทีมโครงการและหน่วยงานกํากับดูแลในการตรวจสอบกิจกรรมเหล่านี้อย่างไม่ต้องสงสัย
มียอดเงินที่ถูกโจรกรรมประมาณ 531 ล้านเหรียญถูกกู้คืนมาแล้ว สูงถึง 21.13% ในปี 2023 จำนวนเงินที่กู้คืนได้ประมาณ 295 ล้านเหรียญ
ตลอดปี มีเงินประมาณ 109 ล้านเหรียญถูกโอนเข้ามิกเซอร์ โดยจำนวนนี้เท่ากับ 4.34% ของเงินถูกโจมตีทั้งหมด ตั้งแต่สหรัฐฯ OFAC ลงโทษ Tornado Cash เมื่อสิงหาคม 2022 จำนวนเงินที่ถูกโจมตีที่ถูกโอนเข้า Tornado Cash ลดลงอย่างมีนัยสำคัญ
8. วิเคราะห์สถานการณ์การตรวจสอบโครงการ
ในหมู่ 131 ครั้งที่เกิดการโจมตี มี 42 ครั้งที่เกี่ยวข้องกับโครงการที่ยังไม่ได้รับการตรวจสอบ 78 ครั้งที่เกี่ยวข้องกับโครงการที่ได้รับการตรวจสอบ และ 11 ครั้งที่มีสถานะการตรวจสอบที่ไม่ชัดเจน
ในระหว่าง 42 โครงการที่ยังไม่ได้รับการตรวจสอบ มีเหตุการณ์ที่เกี่ยวข้องกับช่องโหว่ของสัญญา 30 ครั้ง (ประมาณ 71.43%) ซึ่งแสดงให้เห็นว่าโครงการที่ไม่ได้รับการตรวจสอบมีความเป็นไปได้ที่จะมีความเสี่ยงด้านความปลอดภัยในอนาคต ในทวีปตรงข้าม ใน 78 โครงการที่ได้รับการตรวจสอบ มีเหตุการณ์ที่เกี่ยวข้องกับช่องโหว่ของสัญญา 49 ครั้ง (ประมาณ 62.82%) ซึ่งแสดงให้เห็นถึงความสามารถในการปรับปรุงความปลอดภัยของโครงการได้บ้าง
อย่างไรก็ตาม อันเนื่องมาจากขาดข้อมูลมาตรฐานที่ครอบคลุมในตลาด Web3 คุณภาพของการตรวจสอบไม่สม่ำเสมอ และผลลัพธ์มักอยู่ในระดับต่ำกว่าคาดหวัง ในการป้องกันความปลอดภัยของสินทรัพย์อย่างมีประสิทธิภาพ แนะนำให้โครงการค้นหาบริษัทรักษาความปลอดภัยมืออาชีพเพื่อการตรวจสอบก่อนที่จะเปิดให้ใช้งาน
9. การวิเคราะห์การถอนพรม
ในปี 2024 แพลตฟอร์ม Beosin Alert ตรวจสอบรวมทั้งหมด 68 กรณี Rug Pull ในระบบเครือข่าย Web3 มีมูลค่ารวมประมาณ 148 ล้านเหรียญสหรัฐ ซึ่งเป็นการลดลงอย่างมีนัยสำคัญเมื่อเทียบกับ 388 ล้านเหรียญสหรัฐในปี 2023
ในแง่ของมูลค่าในบรรดาเหตุการณ์ Rug Pull 68 โครงการ 9 โครงการมีการสูญเสียเกิน 1 ล้านดอลลาร์ ได้แก่ Essence Finance (20 ล้านดอลลาร์), Shido Global (2.4 ล้านดอลลาร์), ETHTrustFund (2.2 ล้านดอลลาร์), Nexera (1.8 ล้านดอลลาร์), Grand Base (1.7 ล้านดอลลาร์), SAGA Token (1.6 ล้านดอลลาร์), OrdiZK (1.4 ล้านดอลลาร์), MangoFarmSOL (1.29 ล้านดอลลาร์) และ RiskOnBlast (1.25 ล้านดอลลาร์) การสูญเสียทั้งหมดสําหรับเหตุการณ์ทั้ง 9 เหตุการณ์นี้อยู่ที่ 33.64 ล้านดอลลาร์คิดเป็น 22.73% ของการสูญเสียทั้งหมดจากเหตุการณ์ Rug Pull ทั้งหมด
โครงการ Rug Pull บน Ethereum และ BNB Chain มีส่วนร่วม 82.35% ของทั้งหมด โดยมี 24 ครั้งบน Ethereum และ 32 ครั้งบน BNB Chain นอกจากนี้ มีเหตุการณ์หนึ่งเกิน 20 ล้านเกิดขึ้นบน Scroll บล็อกเชนสาธารณะอื่น ๆ รวมถึง Polygon, BASE, และ Solana ก็มีจำนวนเล็กของเหตุการณ์ Rug Pull
10. สรุปสถานการณ์ความปลอดภัยบล็อกเชน Web3 ปี 2024
ในปี 2024 กิจกรรมการโจมตีบนเชื่อมโยงและเหตุการณ์ Rug Pull ในระบบนิวเมติก 3 มีการลดลงอย่างมีนัยทีเท่ากับปี 2023 อย่างไรก็ตาม ปริมาณของความสูญเสียยังคงเพิ่มขึ้น และการโจมตีด้วยวิธีการโจมตีแบบฉลาดเพิ่มมากขึ้น วิธีการโจมตีที่ทำให้เกิดความสูญเสียมากที่สุดยังคงคงอยู่ที่การรั่วไหลของกุญแจส่วนตัว เหตุผลหลักที่ทำให้เกิดการเปลี่ยนแปลงนี้รวมถึง:
หลังจากกิจกรรมของแฮ็กเกอร์ที่ระบาดในปีที่แล้ว นิวคลิียร์เว็บ 3 โฟสเซตมุ่งมั่นมากขึ้นที่ปลอดภัยในปี 2024 ความพยายามจากทีมโครงการถึงบริษัทที่เกี่ยวข้องกับความปลอดภัย ได้เพิ่มขึ้นในหลายด้าน เช่น การตรวจสอบการติดตามบนเชนแบบเรียลไทม์ การให้ความสำคัญกับการตรวจสอบความปลอดภัย และการเรียนรู้อย่างเต็มที่จากช่องโหว่ของสัญญาในอดีต สิ่งเหล่านี้ทำให้แฮ็กเกอร์ยากขึ้นที่จะขโมยเงินผ่านช่องโหว่ของสัญญาเมื่อเทียบกับปีที่แล้ว อย่างไรก็ตาม ทีมโครงการยังต้องเสริมความตระหนักในการจัดการคีย์ส่วนตัวและความปลอดภัยในด้านปฏิบัติการ
ด้วยความผสมผสานของตลาดคริปโตและตลาดดั้งเดิม ฮากเกอร์ไม่ได้ถูกจำกัดเฉพาะในการโจมตี DeFi, cross-chain bridges, exchanges แล้ว แต่ได้เลื่อนการโจมตีไปยังการโจมตีแพลตฟอร์มการชำระเงิน, แพลตฟอร์มการพนัน, โบรกเกอร์คริปโต, โครงสร้างพื้นฐาน, ตัวจัดการรหัสผ่าน, เครื่องมือสร้างแอปพลิเคชัน, เครื่องมือสร้าง MEV bots, TG bots, และเป้าหมายอื่น ๆ ที่หลากหลาย
ในปี 2024-2025 เมื่อตลาดคริปโตเข้าสู่ตลาดตุลาคมและเงินที่อยู่ในระบบเพิ่มขึ้น นี่จะดึงดูดการโจมตีของฮากเกอร์มากขึ้น นอกจากนี้ กฎระเบียบในภูมิภาคเกี่ยวกับทรัพย์สินคริปโตก็กำลังปรับปรุงเพื่อต่อสู้กับอาชญากรรมที่เกี่ยวข้องกับทรัพย์สินคริปโต ภายใต้แนวโน้มนี้ คาดว่ากิจกรรมของฮากเกอร์จะยังคงสูงในปี 2025 และหน่วยงานการบังคับกฎหมายและองค์กรกำกับด้านการบังคับกฎหมายทั่วโลกจะยังพบกับความท้าทายอย่างรุนแรง
ข้อความประกาศ
- บทความนี้ถูกคัดลอกมาจาก [ การวิเคราะห์ Footprint บล็อกเชน]. ลิขสิทธิ์เป็นของผู้เขียนเดิม [Beosin, Footprint Analytics] หากคุณมีคำประทับใจเกี่ยวกับการเผยแพร่ซ้ำ โปรดติดต่อ ทีม Gate Learnและทีมงานจะดำเนินการตามขั้นตอนที่เกี่ยวข้องโดยเร็วที่สุด
- คำปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงอยู่ในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นคำแนะนำในการลงทุน
- ทีม Gate Learn ได้แปลบทความเป็นภาษาอื่น ๆ การคัดลอก การแจกจ่าย หรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถูกห้าม นอกจากที่ถูกกล่าวถึง
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน