ความกังวลด้านความปลอดภัยในคริปโต
ความกังวลด้านความปลอดภัยในคริปโตได้เพิ่มขึ้นหลังจากที่ Manuel Aráoz ผู้ร่วมก่อตั้ง OpenZeppelin กล่าวว่าเขาได้แนะนำเพื่อนและครอบครัวให้ออกจากการลงทุนใน DeFi ทั้งหมด รวมถึงการเปิดเผยต่อโปรโตคอลการให้กู้ยืมที่สำคัญ ในโพสต์ที่เผยแพร่เมื่อวันอังคารบน X Aráoz กล่าวว่าเขาไม่ถือว่าทั้งหมดของ DeFi ปลอดภัยอีกต่อไป โดยโต้แย้งว่าความสมดุลระหว่างผู้โจมตีและผู้ป้องกันได้เอียงไปในทางที่เอื้อประโยชน์ต่อแฮกเกอร์มากเกินไป แม้แต่ตำแหน่งที่มีความเสี่ยงต่ำที่เกี่ยวข้องกับโปรโตคอลที่มีชื่อเสียง เช่น Aave, MakerDAO และ Compound ก็รวมอยู่ในคำเตือนของเขา
“PSA: ตอนนี้ฉันถือว่าทั้งหมดของ DeFi ไม่ปลอดภัย ตัวแทนการเขียนโค้ดมีความสามารถเหนือมนุษย์ในการค้นหาช่องโหว่ และความปลอดภัยของสัญญาอัจฉริยะมีความไม่สมดุลมากเกินไป: ผู้ป้องกันต้องแก้ไขข้อบกพร่องทุกอย่างในขณะที่ผู้โจมตีต้องการเพียงช่องโหว่เดียวในการขโมยเงิน”
โดยอธิบายถึงสถานะปัจจุบันของความปลอดภัยของสัญญาอัจฉริยะ Aráoz กล่าวว่า ตัวแทนการเขียนโค้ดได้กลายเป็น “เหนือมนุษย์ในการค้นหาช่องโหว่” ในขณะที่นักพัฒนายังคงติดอยู่ในระบบที่ “ผู้ป้องกันต้องแก้ไขข้อบกพร่องทุกอย่างในขณะที่ผู้โจมตีต้องการเพียงช่องโหว่เดียวในการขโมยเงิน”
“ฉันได้แนะนำเพื่อนและครอบครัวอย่างเป็นการส่วนตัวให้ออกจากตำแหน่ง DeFi ทั้งหมด รวมถึง “บลูชิป” ที่มีความเสี่ยงต่ำ เช่น Aave, MakerDAO และ Compound”
สถานการณ์การโจมตีใน DeFi
ความคิดเห็นของ Aráoz เกิดขึ้นในขณะที่อุตสาหกรรมคริปโตกำลังเผชิญกับหนึ่งในช่วงเวลาที่ทำลายล้างที่สุดสำหรับการโจมตี DeFi นับตั้งแต่การแฮ็ก Bybit มูลค่า 1.5 พันล้านดอลลาร์ในเดือนกุมภาพันธ์ 2025 ข้อมูลจาก DefiLlama แสดงให้เห็นว่าประมาณ 629.7 ล้านดอลลาร์ถูกขโมยจากโปรโตคอล DeFi ในเดือนเมษายนเพียงเดือนเดียว ทำให้เป็นเดือนที่เลวร้ายที่สุดสำหรับการแฮ็กที่เกี่ยวข้องกับคริปโตในรอบกว่าหนึ่งปี
การโจมตีสองครั้งคิดเป็นส่วนใหญ่ของการสูญเสีย ในบรรดาเหตุการณ์ที่ใหญ่ที่สุด Drift Protocol สูญเสียประมาณ 285 ล้านดอลลาร์หลังจากที่ผู้โจมตีใช้แคมเปญการวิศวกรรมสังคมที่ยาวนานถึงหกเดือน Kelp DAO ประสบกับการโจมตีอีกครั้งมูลค่า 293 ล้านดอลลาร์ที่เกี่ยวข้องกับช่องโหว่ในโครงสร้างพื้นฐานสะพานข้ามสายงาน นักวิจัยด้านความปลอดภัยและนักสืบบล็อกเชนได้เชื่อมโยงการโจมตีทั้งสองนี้กับกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ
DefiLlama บันทึกเหตุการณ์การโจมตี DeFi จำนวน 27 เหตุการณ์ในเดือนเมษายน ในขณะเดียวกัน มูลค่ารวมที่ล็อคอยู่ในโปรโตคอล DeFi ลดลงประมาณ 14% จากระดับกลางเดือนเมษายน ลดลงจากเกือบ 172 พันล้านดอลลาร์เหลือประมาณ 148 พันล้านดอลลาร์ การสูญเสียส่วนใหญ่เกิดจากจุดอ่อนที่เกี่ยวข้องกับสะพาน ความล้มเหลวในการเข้าถึงที่มีสิทธิพิเศษ และความผิดพลาดในการดำเนินงาน แทนที่จะเป็นข้อบกพร่องในการเขียนโค้ดเพียงอย่างเดียว
เหตุการณ์การโจมตีที่เกิดขึ้น
นอกเหนือจากการละเมิดที่ใหญ่ที่สุดสองครั้ง การโจมตีขนาดเล็กหลายครั้งยังคงเกิดขึ้นกับโปรโตคอลตลอดทั้งเดือน ตามที่รายงานโดย crypto.news โปรโตคอล Wasabi สูญเสียประมาณ 5.5 ล้านดอลลาร์ในเครือข่าย Ethereum, Base, Blast และ Berachain ในระหว่างการโจมตีที่ใช้งานอยู่ แพลตฟอร์ม Move-to-earn Sweat Economy ยังรายงานการสูญเสียประมาณ 3.46 ล้านดอลลาร์หลังจากที่ผู้โจมตีระบายสภาพคล่องเกือบ 65% ของพูลสภาพคล่องในเวลาไม่ถึง 30 วินาที
โครงการดังกล่าวกล่าวในภายหลังว่าทรัพย์สินที่ถูกขโมยบางส่วนถูกแช่แข็งที่ MEXC ขณะที่ความพยายามในการกู้คืนยังคงดำเนินต่อไป
“เรามีความยินดีที่จะยืนยันว่าบัญชีภายนอกทั้งหมดได้รับการกู้คืนอย่างสมบูรณ์และการดำเนินงานกลับสู่ปกติ เราขอขอบคุณอย่างลึกซึ้งสำหรับการสนับสนุนและคำแนะนำจากชุมชนที่ช่วยให้เราสามารถแก้ไขปัญหานี้ได้อย่างรวดเร็ว ขอบคุณเป็นพิเศษสำหรับการแช่แข็งอย่างรวดเร็วของ…”
ขณะเดียวกัน บนบล็อกเชน Sui แพลตฟอร์มการซื้อขายแบบกระจายศูนย์ Aftermath Finance สูญเสียเกือบ 1.1 ล้านดอลลาร์ใน USDC จากแพลตฟอร์ม perpetuals บริษัทความปลอดภัยบล็อกเชน Blockaid กล่าวว่า ผู้โจมตีได้ดำเนินการ 11 รายการในช่วงเวลาประมาณ 36 นาที Blockaid ตรวจพบและแจ้งเตือนการโจมตีที่ใช้งานอยู่บน Perpetuals โดย USDC ถูกระบายออกไปใน 11 รายการใน ~36 นาทีโดยผู้โจมตี 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e การโจมตีมุ่งเป้าไปที่ข้อบกพร่องใน perp…
แม้ว่าพฤษภาคมจะไม่ได้สร้างการสูญเสียในระดับที่เห็นในเดือนเมษายน แต่เหตุการณ์ด้านความปลอดภัยยังคงเกิดขึ้นในภาค DeFi ในบรรดากรณีล่าสุด สะพาน Ethereum ของ Verus Network ถูกโจมตีเป็นเงิน 11.6 ล้านดอลลาร์ แพลตฟอร์มตลาดการคาดการณ์ Polymarket ยังเปิดเผยการละเมิดมูลค่า 573,200 ดอลลาร์เมื่อสัปดาห์ที่แล้ว ซึ่งบริษัทกล่าวว่าอาจเกี่ยวข้องกับคีย์ส่วนตัวที่ถูกบุกรุกซึ่งเชื่อมโยงกับกระเป๋าเงินเติมเงินภายใน
