บริษัทวิเคราะห์บล็อกเชน Chainalysis เผยแพร่รายงานเมื่อวันที่ 9 มิถุนายน โดยบันทึกว่าในช่วงเดือนมกราคมถึงพฤษภาคม มีอย่างน้อย 3,670 ล้านดอลลาร์ที่ถูกขโมยจากโปรโตคอลอย่างน้อยที่ไม่ได้มีการเปิดเผยและยืนยันโค้ดต้นฉบับในเบราว์เซอร์บล็อกเชน โดยเกี่ยวข้องกับการโจมตี 4 ครั้ง และโปรโตคอล 5 รายการ ผู้โจมตีในทุกกรณีพบช่องโหว่ผ่านการดีคอมไพล์ไบต์โค้ดต้นฉบับ (ไม่ใช่การอ่านโค้ดต้นฉบับที่เปิดเผยต่อสาธารณะ)

กรณีการโจมตี 4 รายการ: มูลค่าความเสียหาย วันที่ และประเภทช่องโหว่ที่ยืนยันแล้ว

จากรายงานของ Chainalysis ข้อมูลการยืนยันของโปรโตคอลที่ถูกโจมตีทั้ง 5 รายการมีดังนี้:

Truebit: 26.20 ล้านดอลลาร์ วันที่ 8 มกราคม 2026 บน Ethereum; ฟังก์ชัน getPurchasePrice() เกิด integer overflow (Solidity v0.5.3 ซึ่งเวอร์ชันนี้ขาดกลไกป้องกันการล้นอัตโนมัติ)

Trusted Volumes: 5.90 ล้านดอลลาร์ วันที่ 7 พฤษภาคม 2026 บน Ethereum; ช่องโหว่ด้านการควบคุมการเข้าถึงของสัญญาโพรเซสเซอร์การแลกเปลี่ยนแบบ RFQ

Aperture Finance: 3.20 ล้านดอลลาร์ วันที่ 25 มกราคม 2026 บน Ethereum; ใช้ transferFrom เพื่อหลีกเลี่ยงการตรวจสอบอินพุต

(แหล่งที่มา: Chainalysis)

Ekubo: 1.40 ล้านดอลลาร์ วันที่ 5 พฤษภาคม 2026 บน Ethereum; ลอจิกการย้อนบันทึกไม่ได้ตรวจสอบตัวตนผู้ชำระเงิน

Chainalysis ยืนยันว่า สัญญาที่เกี่ยวข้องกับโปรโตคอลทั้งหมดข้างต้น ณ เวลาที่เกิดการโจมตี ไม่ได้มีการยืนยันใน Etherscan หรือเบราว์เซอร์บล็อกเชนอื่น และไม่มีโค้ดต้นฉบับที่เผยแพร่ให้สาธารณะเข้าถึงซึ่งเชื่อมโยงกันอย่างชัดเจน

รายละเอียดกรณี Truebit: สัญญาที่ถูกดีพลอยในปี 2021 พฤติกรรมการโจมตีอย่างเป็นระบบแสดงให้เห็นบนเชน

ผลการวิเคราะห์แผนภาพ Reactor ของ Chainalysis แสดงว่า ที่อยู่ผู้โจมตีที่ก่อเหตุโจมตี Truebit (วันที่ 8 มกราคม 2026 ความเสียหาย 26.20 ล้านดอลลาร์) เคยขโมย ETH จำนวน 5 เหรียญจากโปรโตคอล Sparkle มาก่อนหน้า 12 วัน

รายงานยืนยันว่า ที่อยู่นี้ได้ค้นหาช่องโหว่อย่างเป็นระบบทั้งในสัญญาที่มีการยืนยันแล้วและที่ยังไม่มีการยืนยัน จากเป้าหมายขนาดเล็กในช่วงแรกค่อยๆ ขยายไปสู่การโจมตีขนาดใหญ่ขั้นสุดท้าย โดยเงินที่ได้จากการโจมตี 2 ครั้งถูกนำไปฟอกผ่าน Tornado Cash ทั้งหมด สัญญาที่ถูกโจมตีของ Truebit ถูกดีพลอยบน Ethereum ตั้งแต่ปี 2021 และไม่เคยมีการยืนยันโค้ดต้นฉบับบน Etherscan

ช่องโหว่ด้านความปลอดภัย 3 ประเด็นของสัญญาที่ไม่ได้ยืนยัน: กลไกการป้องกันที่ล้มเหลวตามที่ Chainalysis ยืนยัน

รายงานของ Chainalysis ยืนยันว่าเมื่อโปรโตคอลเลือกดีพลอยแบบปิดโค้ด กลไกความปลอดภัยแบบดั้งเดิมทั้ง 3 ชั้นต่อไปนี้จะหยุดทำงานพร้อมกัน:

การตรวจสอบของนักวิจัยสายขาวล้มเหลว: ไม่มีโค้ดต้นฉบับให้อ่านได้แบบสาธารณะ ทำให้นักวิจัยด้านความปลอดภัยไม่สามารถระบุและรายงานช่องโหว่

การตัดออกในแผนให้รางวัลช่องโหว่: โดยทั่วไปสัญญาที่ไม่ได้ยืนยันจะถูกแยกออกจากแผนให้รางวัลช่องโหว่มาตรฐานอย่างชัดเจน

การรายงานจากแรงขับเคลื่อนของชุมชนล้มเหลว: ในสภาพแวดล้อมการตรวจสอบแบบเปิดที่ไม่มีโค้ดต้นฉบับ ชุมชนไม่สามารถระบุปัญหาด้านความปลอดภัยได้เชิงรุก

Chainalysis รายงานยืนยันว่า สำหรับโปรโตคอลที่ดีพลอยสัญญาที่ไม่ได้ยืนยัน ปัจจุบันการเฝ้าระวังบนเชนแบบทันทีทันใดคือวิธีป้องกันเพียงอย่างเดียวที่สามารถทดแทนกลไกการป้องกันที่ล้มเหลวข้างต้นได้

คำถามที่พบบ่อย

ความแตกต่างด้านความปลอดภัยหลักระหว่างสัญญาอัจฉริยะที่ไม่ได้ยืนยันกับสัญญาที่ได้รับการยืนยันคืออะไร?

โค้ดต้นฉบับของสัญญาที่ได้รับการยืนยันสามารถอ่านได้แบบสาธารณะบนเบราว์เซอร์บล็อกเช่น Etherscan ทำให้นักวิจัยด้านความปลอดภัยสามารถระบุช่องโหว่ได้โดยตรงและส่งรายงานกลับไป สัญญาที่ไม่ได้ยืนยันจะแสดงเฉพาะไบต์โค้ดที่ผ่านการคอมไพล์แล้วเท่านั้น ทำให้นักวิจัยและผู้โจมตีทั้งคู่ต้องใช้เครื่องมือดีคอมไพล์เพื่อทำวิศวกรรมย้อนกลับ และโดยทั่วไปสัญญาที่ไม่ได้ยืนยันจะถูกตัดออกจากแผนให้รางวัลช่องโหว่มาตรฐาน

เงิน 3,670 ล้านดอลลาร์ที่ Chainalysis บันทึกไว้เทียบกับสถานการณ์การถูกขโมยใน DeFi ทั้งหมดอย่างไร?

จากรายงานของ Chainalysis เงิน 3,670 ล้านดอลลาร์เป็นเพียงหมวดย่อยหนึ่งในจำนวนการสูญเสียรวมมากกว่า 1 พันล้านดอลลาร์ของ 88 โปรโตคอล DeFi ที่บันทึกไว้ในช่วงเวลาเดียวกันโดย DeFiLlama โปรโตคอลที่ถูกโจมตีส่วนใหญ่ที่ DeFiLlama บันทึกไว้มีสัญญาอัจฉริยะที่ได้รับการยืนยันแล้ว การโจมตีสัญญาที่ไม่ได้ยืนยันจึงถือเป็นรูปแบบการโจมตีที่เฉพาะเจาะจง และไม่ควรนำไปเปรียบเทียบโดยตรงกับสถิติความปลอดภัยของ DeFi ในภาพรวม

Chainalysis มีคำแนะนำด้านความปลอดภัยเฉพาะอะไรสำหรับโปรโตคอลสัญญาที่ไม่ได้ยืนยัน?

คำแนะนำเฉพาะเพียงข้อเดียวที่รายงานของ Chainalysis ยืนยันคือการดีพลอยการเฝ้าระวังบนเชนแบบทันทีทันใด เพื่อทดแทนฟังก์ชันที่ล้มเหลวของระบบนิเวศความปลอดภัยแบบดั้งเดิมสำหรับสัญญาที่ไม่ได้ยืนยัน รายงานไม่ได้ให้คำแนะนำเกี่ยวกับเครื่องมือเฝ้าระวังที่เฉพาะเจาะจง มาตรฐานในการนำไปใช้ หรือคำแนะนำด้านไทม์ไลน์แต่อย่างใด

news.article.disclaimer

news.related.news

06-10 01:07

สัญญาอัจฉริยะที่ยังไม่ได้รับการยืนยันสูญเงิน 36.7 ล้านดอลลาร์ให้กับผู้โจมตีในช่วง 6 เดือนที่ผ่านมา: Chainalysis

06-09 23:49

Humanity Protocol สูญเสีย $36M ในการโจมตีผ่านช่องโหว่ของ H Token หลังจากที่แล็ปท็อปของพนักงานถูกบุกรุก

06-09 21:38

Chainalysis: สัญญา DeFi ที่ยังไม่ผ่านการยืนยัน เชื่อมโยงกับความสูญเสีย 36.7 ล้านดอลลาร์ จากการถูกโจมตี 4 รายการ ตั้งแต่เดือนมกราคม

btc.bar.articles

ความขัดแย้งระหว่างอิหร่านและสหรัฐฯ จุดชนวนตลาดอนุพันธ์คริปโต คำสั่งชำระบัญชี 660 ล้านดอลลาร์ บิตคอยน์ร่วงแตะ 62,500 ดอลลาร์

Market Whisper06-10 01:02

Humanity Protocol สูญเสีย $36M ในโทเค็น H หลังแล็ปท็อปถูกบุกรุก