การแฮ็กและการฉ้อโกงในวงการคริปโตนำไปสู่การสูญเสียกว่า 2.3 พันล้าน USD ในปีนี้ ซึ่งเน้นย้ำถึงความเปราะบางด้านความปลอดภัยที่ยังคงมีอยู่ในอุตสาหกรรม ตัวเลขนี้ครอบคลุม 165 เหตุการณ์ ซึ่งเพิ่มขึ้น 40% จากปีที่แล้ว
แม้ว่าตัวเลขรวมจะต่ำกว่าการสูญเสีย 3.7 พันล้าน USD ในปี 2022 แต่การเพิ่มขึ้นของการโจมตีอย่างต่อเนื่องบ่งชี้ว่าการป้องกันของอุตสาหกรรมยังไม่เพียงพอต่อภัยคุกคามที่ซับซ้อน
Ethereum และความล้มเหลวในการควบคุมการเข้าถึงครองความสูญเสีย
ตามรายงานประจำปีของ Cyvers ช่องโหว่ในการควบคุมการเข้าถึงเป็นปัจจัยหลักที่ทำให้เกิดการสูญเสีย คิดเป็น 81% ของเงินที่ถูกขโมยทั้งหมด
แม้ว่าเหตุการณ์เหล่านี้จะคิดเป็นเพียง 41.6% ของกรณีทั้งหมด แต่ผลกระทบที่มากเกินไปสะท้อนถึงอันตรายจากการจัดการโปรโตคอลความปลอดภัยที่ไม่ดี Ethereum เป็นบล็อกเชนที่ได้รับผลกระทบมากที่สุดในปีนี้ โดยมีการสูญเสียกว่า 1.2 พันล้าน USD
แนวโน้มที่น่ากังวลในปีนี้คือการแพร่หลายของการหลอกลวง Pig Butchering การฉ้อโกงที่ซับซ้อนเหล่านี้หลอกลวงเงินกว่า 3.6 พันล้าน USD จากผู้ใช้ที่ไม่สงสัย โดยกิจกรรมส่วนใหญ่อยู่บนบล็อกเชน Ethereum
การเพิ่มขึ้นของการละเมิดการควบคุมการเข้าถึงและการหลอกลวงที่ซับซ้อนเช่น Pig Butchering เน้นย้ำถึงความสำคัญของการใช้เครื่องมือประเมินความเสี่ยงที่ขับเคลื่อนด้วย AI การตรวจสอบธุรกรรม และการตรวจจับความผิดปกติ ความปลอดภัยต้องพัฒนาเพื่อก้าวนำหน้าการโจมตีที่ซับซ้อนและประสานงานมากขึ้น Cyvers กล่าวกับ BeInCrypto
นอกจากนี้ ช่องโหว่ของสัญญาอัจฉริยะยังครองภูมิทัศน์การโจมตี โดยเฉพาะใน DeFi ไตรมาสที่สามของปี 2024 เป็นช่วงที่แย่ที่สุดสำหรับการสูญเสีย โดยมีการขโมย 790 ล้าน USD ในช่วงนี้
หากแพลตฟอร์มคริปโตต้องการหลีกเลี่ยงการตกเป็นเหยื่อของแฮ็กเกอร์ พวกเขาจำเป็นต้องใช้ระบบตรวจจับและป้องกันที่แข็งแกร่งและผสานรวมกับกลไกการตอบสนองต่อวิกฤต ข้อมูลของ Cyvers แสดงให้เห็นว่า 9 ใน 10 ของสัญญาอัจฉริยะที่ถูกแฮ็กได้รับการตรวจสอบและหลายแห่งผ่านการทดสอบการเจาะอย่างเข้มงวด ซึ่งชัดเจนว่าไม่เพียงพอ นักวิจัยของ Cyvers กล่าว
ในทางตรงกันข้าม ไตรมาสที่สี่มีกิจกรรมลดลงอย่างมาก บ่งชี้ถึงการหยุดชะงักชั่วคราวในปฏิบัติการที่เป็นอันตราย
การแฮ็กคริปโตครั้งใหญ่ในปี 2024: WazirX, Radiant Capital และ DMM Bitcoin
เหตุการณ์ใหญ่ที่สุดในปีนี้เตือนให้เห็นถึงช่องโหว่ในระบบนิเวศคริปโตอย่างชัดเจน
ในเดือนกรกฎาคม ตลาดคริปโตอินเดีย WazirX ถูกแฮ็กอย่างรุนแรง สูญเสียประมาณ 234.9 ล้าน USD ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในกระเป๋าเงินมัลติซิกเนเจอร์ (multisig) ของตลาด ทำให้เข้าถึงเงินได้โดยไม่ได้รับอนุญาต
กระเป๋าเงินมัลติซิกเนเจอร์ ซึ่งต้องการกุญแจส่วนตัวหลายตัวในการอนุมัติธุรกรรม มักถูกมองว่ามีความปลอดภัยมากกว่า อย่างไรก็ตาม เหตุการณ์นี้แสดงให้เห็นว่าการดำเนินการที่ไม่ดีของระบบดังกล่าวสามารถนำไปสู่การละเมิดที่ร้ายแรงได้
WazirX หยุดการซื้อขายและการถอนชั่วคราวเพื่อควบคุมความเสียหายและเริ่มการตรวจสอบความปลอดภัยอย่างละเอียด แม้จะมีความพยายามเหล่านี้ ตลาดยังคงออฟไลน์ขณะที่พยายามขออนุมัติจากหน่วยงานกำกับดูแลเพื่อกลับมาดำเนินการ
เรากำลังพยายามขออนุมัติจากศาลสำหรับแผนการในเวลาที่เร็วที่สุดที่เป็นไปได้ ขึ้นอยู่กับข้อกำหนดทางกฎหมายและการกำกับดูแล แพลตฟอร์มจะกลับมาซื้อขายหลังจากวันที่แผนการมีผล WazirX เขียนบน X (เดิมคือ Twitter)
ในเดือนพฤศจิกายน ทางการอินเดีย จับกุมผู้ต้องสงสัยที่เกี่ยวข้องกับการแฮ็ก แม้ว่าผู้บงการยังคงหลบหนีอยู่ นักสืบวิจารณ์ Liminal Custody บริษัทที่รับผิดชอบในการรักษาความปลอดภัยกระเป๋าเงินดิจิทัลของ WazirX ว่าล้มเหลวในการให้ข้อมูลสำคัญระหว่างการสอบสวน
Radiant Capital ผู้ให้กู้บล็อกเชนที่มีชื่อเสียงก็เป็นเหยื่อรายใหญ่ในปีนี้เช่นกัน ในเดือนตุลาคม แพลตฟอร์ม สูญเสียกว่า 50 ล้าน USD ในการโจมตีหลายเครือข่าย
มีรายงานว่าผู้แฮ็กเข้าถึงกุญแจส่วนตัวสามตัวของแพลตฟอร์ม ทำให้สามารถดึงสินทรัพย์จากหลายเครือข่ายได้ รวมถึง Arbitrum, Binance Smart Chain, Base และ Ethereum
การโจมตีนี้ถูกระบุว่าเป็นฝีมือของกลุ่มที่ได้รับการสนับสนุนจากเกาหลีเหนือ ซึ่งกำลังมุ่งเป้าไปที่ภาคคริปโตด้วยกลยุทธ์ที่ซับซ้อนมากขึ้น การละเมิดของ Radiant Capital สะท้อนถึงความเสี่ยงที่เพิ่มขึ้นที่เกี่ยวข้องกับการดำเนินการข้ามเชนและความจำเป็นเร่งด่วนในการจัดการคีย์ส่วนตัวที่ดีขึ้น
ในขณะเดียวกัน การแลกเปลี่ยนสกุลเงินดิจิทัลของญี่ปุ่น DMM Bitcoin เผชิญกับเหตุการณ์ที่รุนแรงที่สุดในปี 2024 ในเดือนพฤษภาคม แพลตฟอร์มสูญเสีย Bitcoin ประมาณ 4,502.9 เหรียญ มูลค่า 320 ล้าน USD ในขณะนั้น หลังจากที่ผู้โจมตีเจาะคีย์ส่วนตัว แม้จะพยายามกู้คืนสินทรัพย์ที่ถูกขโมยและสร้างความมั่นใจให้กับลูกค้าเป็นเวลานาน แต่ DMM Bitcoin ประกาศปิดตัวในเดือนธันวาคม
การแลกเปลี่ยนได้เริ่มโอนบัญชีผู้ใช้ไปยัง SBI VC Trade ซึ่งเป็นการสิ้นสุดการดำเนินงานอย่างน่าเศร้า เหตุการณ์นี้เน้นถึงผลกระทบที่ร้ายแรงของการรักษาความปลอดภัยคีย์ที่ไม่เพียงพอ โดยเฉพาะสำหรับแพลตฟอร์มที่มีการรวมศูนย์
ความเสี่ยง CeFi และภัยคุกคามใหม่จากเทคโนโลยีขั้นสูง
แพลตฟอร์มการเงินแบบรวมศูนย์ (CeFi) ยังคงเผชิญกับความท้าทายที่สำคัญ จุดล้มเหลวเดียว เช่น การสำรองที่รวมศูนย์และการดูแลการจัดการคีย์ที่ไม่เพียงพอ ทำให้แพลตฟอร์มเหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี
การพึ่งพากระเป๋าเงินหลายลายเซ็น ซึ่งพิสูจน์แล้วว่าเปราะบางภายใต้เงื่อนไขบางประการ ยิ่งทำให้ความเสี่ยงเหล่านี้รุนแรงขึ้น เทคโนโลยีที่เกิดขึ้นใหม่ รวมถึงการคำนวณควอนตัมและปัญญาประดิษฐ์ คาดว่าจะเพิ่มความรุนแรงของภัยคุกคามโดยการเปิดใช้งานวิธีการโจมตีที่ซับซ้อนมากขึ้น
การพัฒนานี้จำเป็นต้องมีมาตรการรักษาความปลอดภัยเชิงรุกเพื่อให้ทันกับภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว ผู้เชี่ยวชาญได้สังเกตว่าเหตุการณ์เช่นการละเมิดของ WazirX และ Radiant Capital อาจหลีกเลี่ยงได้หากใช้โซลูชันการตรวจสอบภัยคุกคามเชิงรุก
เราสามารถประเมินได้อย่างมั่นใจว่าการโจมตีที่โดดเด่นเช่นการแฮก WazirX มูลค่า 235 ล้าน USD และการแฮก Radiant Capital มูลค่า 50 ล้าน USD อาจหลีกเลี่ยงได้และเงินทั้งหมดสามารถถูกบันทึกได้หากบริษัทใช้โซลูชันดังกล่าว Cyvers กล่าวกับ BeInCrypto
การเพิ่มขึ้นอย่างรวดเร็วของ กิจกรรมที่เป็นอันตรายในปีนี้ สะท้อนถึงความจำเป็นที่สำคัญในการเสริมสร้างการป้องกันที่แข็งแกร่งขึ้นในระบบนิเวศของสกุลเงินดิจิทัล แพลตฟอร์มที่ขาดการตรวจสอบแบบเรียลไทม์และเครื่องมือรักษาความปลอดภัยเชิงป้องกันยังคงมีความเสี่ยงสูงต่อการถูกโจมตี ทำให้เงินของผู้ใช้ตกอยู่ในความเสี่ยง
อุตสาหกรรมต้องให้ความสำคัญกับการนำมาตรการรักษาความปลอดภัยขั้นสูงมาใช้และส่งเสริมความร่วมมือที่มากขึ้นระหว่างผู้มีส่วนได้ส่วนเสียเพื่อจัดการกับภัยคุกคามเหล่านี้อย่างมีประสิทธิภาพ
การโจมตีแบบ Zero-day นั้นไม่สามารถคาดการณ์ได้และไม่ได้อิงจากวิธีการที่รู้จักมาก่อน หากไม่มีการตรวจสอบและกลไกการตรวจจับแบบเรียลไทม์ รวมถึงเครื่องมือเชิงป้องกัน แพลตฟอร์มคริปโตไม่สามารถจัดการกับการโจมตีดังกล่าวและป้องกันได้ในเวลาจริง ผู้เชี่ยวชาญจาก Cyvers กล่าว
เมื่อภาคคริปโตเติบโตขึ้น ความคิดสร้างสรรค์ของผู้โจมตีที่พยายามหาประโยชน์จากช่องโหว่ก็จะเพิ่มขึ้นเช่นกัน เหตุการณ์ในปีนี้ทำให้เห็นชัดเจนว่ามาตรการตอบโต้ไม่เพียงพออีกต่อไป
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ
