สรุปข่าว
- แฮกเกอร์เปิดฉากกวาดล้างระบบ ล็อกเป้าโจมตี 5 โปรเจกต์ใหญ่พร้อมกันในรอบ 7 วัน สูบเงินลงทุนหายไปมากกว่า 19 ล้านดอลลาร์
- รูปแบบขบวนการปล้น เปลี่ยนทิศทางจากการเจาะบั๊กโค้ดสัญญา Smart Contract ตรงๆ ไปสู่การซ้อนแผนตลบหลังระบบอัจฉริยะ ตลอดจนการเจาะสะพานเชื่อมข้ามเครือข่าย Layer-2
- นักวิเคราะห์เตือนภัยเงียบโครงสร้างพื้นฐานคริปโตยิ่งพัฒนาซับซ้อน ยิ่งเปิดช่องโหว่ให้เหล่าแฮกเกอร์เข้ามาฉกฉวยผลประโยชน์ได้ง่ายขึ้นแบบทวีคูณ บีบให้ผู้ใช้งานต้องเพิ่มความระมัดระวังขั้นสูง
แนวโน้มที่ส่งผลกระทบต่อราคา: Bearish
วิกฤตการณ์ช่องโหว่ความปลอดภัยที่ปะทุขึ้นพร้อมกันถึง 5 เหตุการณ์ในสัปดาห์นี้ เป็นตัวเร่งปฏิกิริยาเชิงลบที่ทำลายความเชื่อมั่นในระบบนิเวศ DIFI อย่างรุนแรง เม็ดเงินรวมกว่า 19 ล้านดอลลาร์ที่หายไป พ่วงด้วยคำเตือนให้รีบถอนเงินจะส่งผลให้นักลงทุนตื่นตระหนกและพากันดึงสภาพคล่องออกจากระบบนิเวศเพื่อความปลอดภัย
วงการ DeFi ยังคงโดนโจมตีอย่างต่อเนื่อง ทำให้นักลงทุนต้องเพิ่มความระมัดระวังมากขึ้นกว่าเดิม โดยในช่วง 7 วันที่ผ่านมา แฮกเกอร์ได้ขโมยเงินจากโปรเจกต์ต่าง ๆ ไปมากกว่า 19 ล้านดอลลาร์ ตั้งแต่ระบบ MEV ที่ซับซ้อน ไปจนถึงโปรโตคอลที่เน้นความเป็นส่วนตัว โดยรูปแบบการโจมตีในปัจจุบันเริ่มเปลี่ยนไปจากการหาช่องโหว่ของ Smart Contract แบบตรง ๆ ไปสู่การโจมตีจุดอ่อนของระบบที่ซับซ้อน และการทำงานร่วมกันระหว่างหลายส่วนของโปรโตคอล โดยมี 5 เหตุการณ์ใหญ่ ๆ ที่โดนโจมตีดังนี้
1. Aztec โปรเจกต์ Layer-2 โดนซ้ำ 2 รอบใน 3 วัน
กรณีที่น่ากังวลที่สุดคือ Aztec ซึ่งโดนโจมตีถึง 2 ครั้งภายในเวลาเพียง 3 วัน การโจมตีล่าสุดนี้ ใช้ช่องโหว่ในระบบ Escape Hatch Mechanism ส่งผลให้เงินใน Private Rollup Bridge หายไปราว 2.5 ล้านดอลลาร์
ก่อนหน้านั้น Aztec ก็เพิ่งเจอช่องโหว่ที่เกี่ยวข้องกับความไม่สอดคล้องกันระหว่างจำนวนธุรกรรมกับข้อมูล Rollup ที่ถูกบันทึกไว้
เหตุการณ์ที่เกิดขึ้นต่อเนื่องกันนี้ สะท้อนให้เห็นว่า การป้องกันระบบ Layer-2 และเทคโนโลยี Zero-Knowledge Proof ที่มีความซับซ้อนสูงนั้นเป็นเรื่องที่ยากมาก เพราะช่องโหว่อาจเกิดขึ้นได้ ทั้งจากส่วน On-chain และ Off-chain ที่ทำงานร่วมกัน
2. jaredfromsubway.eth เสียหายหนักกว่า 15 ล้านดอลลาร์
อีกหนึ่งเหตุการณ์ที่ถูกพูดถึงมากคือ การโจมตี jaredfromsubway.eth หนึ่งในบอท MEV ที่มีชื่อเสียงที่สุดบน Ethereum
แทนที่แฮกเกอร์จะเจาะสัญญา Smart Contract โดยตรง พวกเขากลับใช้วิธีหลอกระบบ AI อัตโนมัติ ของบอทให้เข้าใจผิด โดยแฮกเกอร์ได้สร้างโทเคนปลอมและพูลสภาพคล่องปลอมขึ้นมา เพื่อทำให้บอทเชื่อว่า มีโอกาสในการทำกำไรจากการทำ Sandwich Attack
เมื่อบอทตัดสินใจที่จะเข้าทำธุรกรรม ก็ได้อนุมัติสิทธิ์ให้กับสัญญาอันตรายโดยไม่รู้ตัว และสิทธิ์เหล่านั้นถูกใช้ดูดทรัพย์สินออกไปในภายหลัง จนสร้างความเสียหายรวมประมาณ 15 ล้านดอลลาร์
3. Labubu บน BNB Chain สูญเงินกว่า 1.15 ล้านดอลลาร์
โปรเจกต์ Labubu บน BNB Chain สูญเงินไปราว 1.15 ล้านดอลลาร์ สาเหตุมาจากการเปลี่ยนแปลงพารามิเตอร์ของโทเคนที่น่าสงสัย จนทำให้สภาพคล่องในพูลเสียสมดุลอย่างรุนแรง
ที่น่าสนใจคือ มีการเปลี่ยนเจ้าของสัญญาก่อนเกิดเหตุไม่นาน ทำให้บางฝ่ายตั้งข้อสงสัยว่า อาจมีบุคคลภายในที่เกี่ยวข้อง ไม่ใช่แค่การโจมตีจากคนนอกเพียงอย่างเดียว
4. Namada โดนเจาะระบบความเป็นส่วนตัว
Namada ซึ่งเป็นบล็อกเชนที่เน้นเรื่อง Privacy ถูกโจมตี จนสูญเงินประมาณ 600,000 ดอลลาร์ โดยแฮ็กเกอร์สามารถเข้าควบคุมส่วนหนึ่งของโครงสร้างพื้นฐาน MASP (Multi-Asset Shielded Pool) ซึ่งเป็นระบบสำคัญด้านความเป็นส่วนตัวของเครือข่ายไปได้
5. Taiko ระบบยืนยันสถานะเครือข่ายมีปัญหา
ด้าน Taiko เปิดเผยว่า ถูกโจมตีระบบตรวจสอบสถานะบล็อกเชน (Chain-State Verification) เหตุการณ์ดังกล่าว ได้สร้างความเสียหายประมาณ 1 ล้านดอลลาร์ และทำให้ทีมงานต้องออกมาแจ้งเตือนให้ผู้ใช้รีบถอนเงินออกจาก Bridge ที่ได้รับผลกระทบทันที
สิ่งที่น่ากังวล
เมื่อรวมทุกเหตุการณ์เข้าด้วยกัน จะเห็นว่า แฮกเกอร์ยุคใหม่ไม่ได้มุ่งเน้นเพียงการหาช่องโหว่โค้ดอีกต่อไป แต่ปัจจุบันแฮกเกอร์เริ่มโจมตีในรูปแบบที่ซับซ้อนมากขึ้น เช่น หลอกระบบอัตโนมัติให้ตัดสินใจผิด, ใช้ประโยชน์จากข้อสมมติในการออกแบบโปรโตคอล,เจาะจุดเชื่อมต่อระหว่างหลายระบบ,ใช้ช่องโหว่ด้านการปฏิบัติงาน (Operational Weakness),โจมตีระบบ Cross-Chain และ Bridge
ยิ่งโครงสร้างพื้นฐานของบล็อกเชนซับซ้อนมากขึ้น การป้องกันก็ยิ่งยากขึ้นแบบทวีคูณ ทำให้ความเสี่ยงด้านความปลอดภัยยังคงเป็นหนึ่งในความท้าทายใหญ่ที่สุดของวงการคริปโตและ DeFi ในปัจจุบัน
ที่มา : u.today
มุมมองผู้เขียน : งานนี้การตั้งรับและการป้องกันระบบก็ยิ่งยากขึ้นเป็นทวีคูณ ซึ่งเป็นเหตุผลสำคัญว่า ทำไมเหล่านักลงทุนจึงต้องเพิ่มความระมัดระวังในการลงทุนช่วงนี้เป็นพิเศษ
