index
index
Beginner's Guide
Start Here
Courses
Articles
AllAltcoinBitcoinรายการบันทึกบล็อกเชนDeFiEthereumMetaverseNFTการเทรดบทแนะนำฟิวเจอร์สTrading BotBRC-20GameFiDAOMacro TrendsWalletsInscriptionเทคโนโลยีMemeAISocialFiDePinStablecoinLiquid StakingการเงินRWAบล็อกเชนแบบโมดูลาร์ บทพิสูจน์ความรู้เป็นศูนย์ Restakingเครื่องมือคริปโตAirdropผลิตภัณฑ์ Gateความปลอดภัยการวิเคราะห์โครงการCryptoPulseวิจัยTON EcosystemLayer 2SolanaPaymentsMiningหัวข้อยอดนิยมP2PSui EcosystemChain Abstractionออปชันอ่านสั้นๆวิดีโอ
Glossary
Research
My Favorites
Creator Incentive
Activities
Creator's Arena
Campus Ambassador
Video Creators Fest
Daily Study Challenge
Hotspot Check-In
Log In
Sign Up
qrCode
Scan the QR code to download the mobile APP
Select language and region
简体中文EnglishTiếng Việt繁體中文РусскийPortuguês (Portugal)ไทยIndonesia日本語بالعربيةУкраїнськаPortuguês (Brasil)
Rise/fall colour
Start-End Time of the Change
Learn
gate วิจัย: สรุปเหตุการณ์เกี่ยวกับความปลอดภัยในเดือนธันวาคม พ.ศ. 2567

gate วิจัย: สรุปเหตุการณ์เกี่ยวกับความปลอดภัยในเดือนธันวาคม พ.ศ. 2567

ขั้นสูง
ความปลอดภัยวิจัย
1/7/2025, 10:58:33 AM
รายงานของ gate Research ระบุว่าในเดือนธันวาคม 2024 อุตสาหกรรม Web3 ประสบกับเหตุการณ์ด้านความปลอดภัย 27 ครั้งส่งผลให้ขาดทุนประมาณ 4.11 ล้านดอลลาร์ลดลงจากเดือนก่อนหน้า อย่างไรก็ตามช่องโหว่ของสัญญายังคงเป็นภัยคุกคามหลักซึ่งคิดเป็น 72% ของการสูญเสียทั้งหมด เหตุการณ์สําคัญ ได้แก่ ช่องโหว่ข้ามสายโซ่ FEG, การโจมตีห้องนิรภัยสภาพคล่อง Clober DEX, การหาประโยชน์จากสัญญาการปักหลัก Vestra DAO, ช่องโหว่การถอนสินทรัพย์เดี่ยวของ Clipper DEX และการโจมตีด้วยเงินกู้แฟลช HarryPotterObamaSonic10Inu เหตุการณ์เหล่านี้เปิดเผยความเสี่ยงที่สําคัญในสัญญาอัจฉริยะและโปรโตคอลข้ามสายโซ่โดยเน้นถึงความจําเป็นในการตรวจสอบสัญญาที่เพิ่มขึ้นการแนะนําการตรวจสอบแบบเรียลไทม์และกลไกการป้องกันหลายชั้นเพื่อปรับปรุงความปลอดภัยของแพลตฟอร์มและเพิ่มความไว้วางใจของผู้ใช้

ตามรายงานด้านความปลอดภัยของอุตสาหกรรม Web3 ล่าสุดจาก Gate Research เหตุการณ์ด้านความปลอดภัยทั้งหมด 27 เหตุการณ์เกิดขึ้นในเดือนธันวาคม ส่งผลให้ขาดทุนประมาณ 4.11 ล้านดอลลาร์ ประเภทของเหตุการณ์มีความหลากหลายโดยช่องโหว่ของสัญญายังคงเป็นภัยคุกคามหลักคิดเป็น 72% ของการสูญเสียทั้งหมด รายงานยังให้การวิเคราะห์โดยละเอียดเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่สําคัญ รวมถึงช่องโหว่ของ FEG ช่องโหว่ของสัญญา Clober ช่องโหว่ของสัญญา Clipper DEX และการโจมตีด้วยเงินกู้แฟลช HarryPotterObamaSonic10Inu ช่องโหว่ของสัญญาและการแฮ็กบัญชีถูกระบุว่าเป็นความเสี่ยงด้านความปลอดภัยที่สําคัญสําหรับเดือนนี้ โดยเน้นย้ําถึงความจําเป็นอย่างต่อเนื่องสําหรับอุตสาหกรรมในการเสริมสร้างมาตรการรักษาความปลอดภัย

Key Takeaways

  • ในเดือนธันวาคม พ.ศ. 2567 อุตสาหกรรม Web3 ประสบเหตุการณ์รักษาความปลอดภัย 27 ครั้ง ทำให้เกิดความเสียหายประมาณ 4.11 ล้านดอลลาร์ ลดลงอย่างมีนัยสำคัญเมื่อเปรียบเทียบกับเดือนก่อนหน้า
  • เหตุการณ์ด้านความปลอดภัยในเดือนนี้มีส่วนใหญ่เกี่ยวข้องกับช่องโหว่ของสัญญาและการแฮ็กบัญชี
  • ช่องโหว่ของสัญญายังคงเป็นอันตรายใหญ่ ทำให้มีความเสียหายรวมถึง 72% ของการเสียหายทั้งหมดในเหตุการณ์ด้านความปลอดภัยของวงการสกุลเงินดิจิตอล
  • ส่วนใหญ่ของความสูญเสียเกิดขึ้นบนบล็อกเชนสำคัญ รวมถึง BSC, Ethereum, Cardano, และ Base
  • เหตุการณ์สำคัญในเดือนนี้รวมถึงช่องโหว่ความมั่นคงของ FEG (สูญเสีย 1 ล้านดอลลาร์), ช่องโหว่สัญญา Clober (สูญเสีย 500,000 ดอลลาร์), ช่องโหว่สัญญา Vestra DAO (สูญเสีย 500,000 ดอลลาร์), การแฮกบัญชี Moonhacker (สูญเสีย 320,000 ดอลลาร์) และการโจมตีแฟลชโหมดสินเชื่อ HarryPotterObamaSonic10Inu (สูญเสีย 243,000 ดอลลาร์)

ภาพรวมของเหตุการณ์ด้านความปลอดภัย

ตามข้อมูลจาก Slowmist ธันวาคม 2024 มีทั้งหมด 27 คดีการโจมตีทางไซเบอร์ ทำให้เกิดความเสียหายมูลค่า 4.11 ล้านดอลลาร์ การโจมตีเกิดขึ้นโดยส่วนใหญ่เกี่ยวข้องกับช่องโหว่ของสัญญา การโจมตีบัญชี และวิธีการอื่น ๆ โดยเปรียบเทียบกับเดือนพฤศจิกายน ทั้งจำนวนคดีการโจมตีและความเสียหายรวมลดลงอย่างมีนัยสำคัญ แสดงให้เห็นว่ามาตรการความปลอดภัยและความตระหนักของอุตสาหกรรมได้ปรับปรุงมากขึ้น ช่องโหว่ของสัญญายังคงเป็นสาเหตุหลักของการโจมตีโดยมีเหตุการณ์ 9 คดี ทำให้เกิดความเสียหายมูลค่าเกิน 2.98 ล้านดอลลาร์หรือ 72% ของทั้งหมด บัญชีอย่างเป็นทางการ X และเว็บไซต์โครงการเงินดิจิตอลยังคงเป็นเป้าหมายหลักของฮากเกอร์ [1]

การกระจายเหตุการณ์ความปลอดภัยในระบบบล็อกเชนสาธารณะในเดือนนี้เป็นการแสดงให้เห็นว่าขาดทุนส่วนใหญ่เกิดขึ้นบนบล็อกเชนที่เป็นผู้นำและได้รับความนิยมอย่างเฉพาะอย่างยิ่ง Ethereum และ Base โดยมีความเสียหายตามลำดับเป็น 2.01 ล้านดอลลาร์และ 950,000 ดอลลาร์ นี่เป็นการเน้นว่าถึงแม้จะมีความปลอดภัยในรากฐานของระบบบล็อกเชนสาธารณะที่แข็งแกร่งแต่ยังมีความเสี่ยงที่สำคัญจากชั้นประยุกต์และสัญญาอัจฉริยะซึ่งส่งผลต่อเงินของผู้ใช้

be7าโนโบล็อกหลายๆโครงการประสบเหตุการณ์ด้านความปลอดภัยที่สำคัญเดือนนี้ ซึ่งส่งผลให้เกิดความสูญเสียทางการเงินมากมาย อุบัติการณ์ที่น่าสนใจรวมถึงช่องโหว่ความปลอดภัยของ FEG ซึ่งทำให้เกิดความสูญเสีย $1 ล้าน; ช่องโหว่ของสัญญา Clober ซึ่งเป็นสาเหตุของความสูญเสีย $500,000; ความปลอดภัยของสัญญา Vestra DAO ซึ่งเป็นสาเหตุของความสูญเสีย $500,000 และช่องโหว่ของสัญญา Clipper DEX ซึ่งทำให้เกิดความสูญเสีย $457,000

เหตุการณ์ความปลอดภัยสำคัญในเดือนธันวาคม

ตามการเปิดเผยทางการทางอย่างเป็นทางการ โครงการต่อไปนี้ประสบความสูญเสียเกิน 3.22 ล้านดอลลาร์ในเดือนธันวาคม มูลค่าบางส่วนเน้นที่ช่องโหว่ในสัญญายังคงเป็นอันตรายที่สำคัญ

  • ผู้โจมตีใช้ช่องโหว่ในสัญญาอัจฉริยะที่ใช้โดย Clipper โดยแก้ไขฟังก์ชันการฝาก/ถอนสินทรัพย์เดียว การดำเนินการนี้ส่งผลกระทบต่อพูล Likidity ในเครือข่าย Optimism และ Base โดยทำให้เกิดความไม่สมดุลในสินทรัพย์ในพูลและทำให้ผู้โจมตีสามารถถอนเงินมากกว่าจำนวนเงินฝากของพวกเขาได้ การโจมตีนี้ทำให้เกิดความสูญเสียประมาณ 457,878 ดอลลาร์
  • Vestra DAO แชร์ทวีตว่า ฮากเกอร์ได้ใช้ช่องโหว่ในสัญญาล็อกสเตคเพื่อปรับเปลี่ยนกลไกรางวัลเพื่อรับรางวัลเกินกว่าที่ควรจะได้ เหตุการณ์นี้ส่งผลให้ถูกขโมย 73,720,000 โทเค็น VSTR โทเค็นที่ถูกขโมยจะถูกขายเป็นลำดับเวลาบน Uniswap ทำให้เสียความผันผวนประมาณ 500,000 ดอลลาร์สหรัฐใน ETH เพื่อปกป้องโทเค็น VSTR และความเสถียรของโครงการ โทเค็น VSTR ที่เหลืออยู่จำนวน 755,631,188 โทเค็นถูกลบออกจากการแพร่กระจายอย่างถาวร
  • หลุมรั่วสารเสียงบน Clober DEX ที่สร้างขึ้นบนเครือข่ายหลัก ถูกโจมตี ผลให้เสียหายไป 133.7 ETH (ประมาณ 501,000 ดอลลาร์) ทีมยังเสนอ 20% ของเงินที่ถูกขโมยเป็นรางวัลสำหรับการระบุจุดอ่อน หวังว่าจะกู้คืนสินทรัพย์ที่เหลืออยู่ อย่างไรก็ตาม การเจรจาไม่ได้เกิดความเห็นสัมพันธ์
  • HarryPotterObamaSonic10Inu เป็นเป้าหมายในการโจรกรรมแฟลชโลนบนเอเธอเรียมที่เกี่ยวข้องกับชุดซื้อขายที่หลอกลวงเป้าหมายโดยการเป้าหมายการสร้างสรรค์ของหลอกลวงของ HarryPotterObamaSonic10Inu 2.0 ผู้โจรกรรมได้รับกำไรประมาณ 243,000 ดอลลาร์และฝากเงินใน Tornado Cash
  • โครงการ FEG ถูกโจมตีด้วยช่องโหว่ด้านความปลอดภัยทำให้เสียประมาณ 1 ล้านเหรียญเงิน การวิเคราะห์ชี้ให้เห็นว่าสาเหตุหลักคือปัญหาความสามารถในการรวมกันเมื่อทำการรวมกับพื้นฐานของสะพานแบบกายภาพร่วมกัน Wormhole ซึ่งใช้สำหรับการส่งข้อมูลและการโอนโทเค็นระหว่างเครือข่ายต่างๆ ทีมผู้พักงานได้ระงับทุกธุรกรรม FEG บนตลาดศูนย์กลางแล้ว SmartDeFi protocol ก็ถูกหยุดชั่วคราว

Clipper DEX

ภาพรวมของโครงการ: Clipper เป็นการแลกเปลี่ยนที่มีลักษณะกระจาย (DEX) ที่ออกแบบมาเพื่อให้อัตราดีที่สุดสำหรับนักเทรดเหรียญสกุลเล็กๆ (น้อยกว่า 10,000 ดอลลาร์สหรัฐ) โดยจำกัดสภาพคล่องและลดความสูญเสียที่ไม่ถาวร

ภาพรวมของเหตุการณ์: ตามรายงานการวิเคราะห์ที่ Clipper ปล่อยออกเมื่อวันที่ 1 ธันวาคม พ.ศ. 2567 ผู้โจมตีใช้ช่องโหว่ในสัญญาอัจฉริยะที่ใช้โดย Clipper เพื่อจัดการฟังก์ชั่นการฝากเงิน / การถอนสินทรัพย์เดี่ยว การดำเนินการนี้ส่งผลกระทบต่อสระว่ายน้ำความเหมาะสมในเครือข่าย Optimism และ Base โดยทำให้เกิดความไม่สมดุลในสินทรัพย์ในสระว่ายน้ำและทำให้ผู้โจมตีสามารถถอนสินทรัพย์เพิ่มขึ้นจากที่พวกเขาฝากได้ การโจมตีนี้ส่งผลให้เกิดความสูญเสียประมาณ 457,878 ดอลลาร์

ภายในไม่กี่ชั่วโมง AdmiralDAO ได้เปิดตัวแผนการตอบสนองฉุกเฉินโดยรวดเร็ว ดำเนินมาตรการเพื่อป้องกันเงินที่เหลืออยู่ในโปรโตคอลและหยุดการโจมตี หลังจากการตอบสนองนั้นไม่มีเงินเพิ่มเติมที่ได้รับผลกระทบ[2]

คำแนะนำหลังเหตุการณ์:

  • Expand Invariant Checks: นำและดำเนินการตรวจสอบบนเชื่อมโยงเพื่อให้แน่ใจว่าการตรวจสอบของสระว่ายน้ำยังคงมีความสอดคล้องในระหว่างการถอนเงินเช่นเดียวกับการตรวจสอบที่ Clipper ใช้ในเวอร์ชันล่าสุดของสัญญาสำหรับการแลกเปลี่ยน
  • ขยายการตรวจสอบราคาออรักเล: ผสมราคาออรักเลออนเชนเข้ากับการตรวจสอบมูลค่าสินทรัพย์สำหรับการฝากเงินและถอนเงินเช่นเดียวกับที่ Clipper ได้ดำเนินการในเวอร์ชันล่าสุดของสัญญาของพวกเขาสำหรับการแลกเปลี่ยน
  • พิจารณาการล็อคเงินฝากชั่วคราว: หากการฝากเงินใหม่ได้รับการล็อคเป็นระยะเวลาที่เกินความถูกต้องของลายมือชื่อเงินฝาก (เช่น หลายนาที) การโจมตีนี้ก็จะไม่สามารถทำได้

เวสตรา DAO

ภาพรวมของโครงการ: VSTR เป็นโทเค็นที่พัฒนาโดยชุมชน NFT "CMLE" (Crypto Monster Limited Edition) ที่ให้บริการเซมิ-กระจาย บริการไฮบริดระหว่าง Web2+Web3 มันทำงานเป็นโครงการองค์กรอิสระแบบกระจาย (DAO) ซึ่งให้บริการโซลูชัน DeFi

ภาพรวมของเหตุการณ์: เมื่อวันที่ 4 ธันวาคม พ.ศ. 2567 Vestra DAO ทวีตว่ามีผู้แฮกเกอร์โจมตีช่องโหว่ในสัญญาการล็อคสเตคกิ้ง โดยการแก้ไขกลไกการรับรางวัลเพื่อเพิ่มรางวัลเกินไป ผลให้เกิดการโจมตีและการขโมยของ 73,720,000 VSTR tokens โดยมูลค่าประมาณ 500,000 เหรียญ ETH จากการขาย gradually บน Uniswap

ทีมงานได้ระบุปัญหาและดำเนินการทันทีโดยระงับสัญญาการฝากที่ล็อกอยู่ ทำให้ไม่สามารถทำธุรกรรมเพิ่มเติมกับสัญญาเหล่านี้ได้อีกต่อไป เป็นผลทำให้มีการเอา VSTR จำนวน 755,631,188 โทเค็นในสระการฝากออกจากการแ Circulation และเงินที่อยู่ในสัญญาเหล่านี้ไม่สามารถถอนได้อีกต่อไป เมื่อวันที่ 6 ธันวาคม ทีมงานประกาศว่าเพื่อปกป้อง VSTR tokenomics และความเสถียรของโครงการ VSTR จำนวน 755,631,188 โทเค็นที่เหลืออยู่จะถูกนำออกจากการแ Circulation อย่างถาวร [3].

คำแนะนำหลังเหตุการณ์:

  • ดำเนินการตรวจสอบความปลอดภัยของสัญญาอย่างละเอียดและปรับปรุง
    จ้างบริษัทตรวจสอบความปลอดภัยจากภายนอกที่มีชื่อเสียงเพื่อตรวจสอบสัญญาอัจฉริยะทั้งหมดโดยละเอียดโดยเฉพาะสัญญาการฝากและสัญญาที่ถูกล็อก การให้ความสำคัญควรเป็นการจัดการสิทธิ์การเข้าถึงการจัดการเงื่อนไขขอบเขตและความปลอดภัยของตัวโค้ดหลังจากตรวจสอบสัญญา โค้ดสัญญาควรถูกปรับปรุงตามคำแนะนำและรายงานการตรวจสอบความปลอดภัยควรเปิดเผยต่อสาธารณชนเพื่อเพิ่มความโปร่งใสและความเชื่อมั่นของผู้ใช้งาน

  • ใช้กลไกการป้องกันหลายชั้นและการตรวจสอบแบบเรียลไทม์

  • นำเข้าฟังก์ชัน Timelock: นำเสนอการล่าช้าเวลาสำหรับการดำเนินการที่สำคัญเพื่อให้มีเวลาเพียงพอในการหยุดการดำเนินการหรือแทรกแซงในกรณีเกิดความผิดปกติ
  • Introduce ระบบตรวจสอบและแจ้งเตือนแบบเรียลไทม์: ใช้การวิเคราะห์ข้อมูล on-chain เพื่อตรวจพบพฤติกรรมการซื้อขายที่ผิดปกติหรือปฏิสัญญาในเวลาจริง และใช้ระบบแจ้งเตือนเพื่อแจ้งให้ทราบเกี่ยวกับกิจกรรมที่น่าสงสัย เพื่อลดความเสี่ยงที่อาจเกิดขึ้น

Clober DEX

ภาพรวมของโครงการ: Clober เป็น DEX บนเต็มบล็อกที่อนุญาตให้การจับคู่คำสั่งและการตั้งบัญชีบนโปรแกรมสัญญาอัจฉริยะแบบไม่มีกลาง ด้วย Clober ผู้มีส่วนร่วมในตลาดสามารถวางคำสั่ง limit และ market ได้อย่างสมบูรณ์แบบและไร้ความเชื่อถือในราคาจัดการได้

ภาพรวมเหตุการณ์:
เมื่อวันที่ 10 ธันวาคม พ.ศ. 2567 ที่ผ่านมา ที่เก็ตถุงน้ำใจของ Clober DEX บนเครือข่าย Base ถูกโจมตี ทำให้เสียเงิน 133.7 ETH (ประมาณ 501,000 ดอลลาร์) สาเหตุหลักของการโจมตีคือช่องโหว่รูทเอนเทนซี่ในฟังก์ชัน _burn() ภายในสัญญา Rebalancer

ทีมเสนอ 20% ของเงินที่ถูกขโมยเป็นรางวัลสำหรับการระบุช่องโหว่ด้านความปลอดภัย ให้เงินที่เหลือสามารถคืนกลับมาได้ นอกจากนี้ทีมยืนยันว่าจะไม่ดำเนินการทางกฎหมายหากผู้โจมตีร่วมมือ ในวันที่ 31 ธันวาคม พ.ศ. 2567 ทีมแถลงว่าการเจรจาไม่ได้มีความเห็นชอบและผู้โจมตีได้ย้ายสินทรัพย์ที่ถูกขโมยไปยัง Tornado Cash ทีมร่วมมือกับหน่วยงานตำรวจเพื่อติดตามแหล่งกำเนิดของผู้โจมตี[4]

แนะนำหลังเหตุการณ์:

  • การรักษาความปลอดภัยของสมาร์ทคอนแทรคเพิ่มขึ้น: ทีมโครงการต้องเสริมความปลอดภัยในการตรวจสอบสมาร์ทคอนแทรค รหัสทั้งหมดควรผ่านการตรวจสอบอย่างเข้มงวดก่อนการใช้งานจริง พร้อมด้วยการสแกนช่องโหว่เป็นประจำเพื่อลดความเสี่ยงจากการโจมตี
  • กลยุทธ์การจัดการกองทุนที่แข็งแกร่ง: นำมาใช้กระเป๋าเงินหลายลายเซ็นและระบบจัดเก็บกองทุนแบบชั้นเพื่อป้องกันการเก็บสะสมทรัพย์สินที่มากเกินไปในสัญญาเดียว ซึ่งจะช่วยลดความเสี่ยงในกรณีเกิดการโจมตี
  • การสรรหางานร่วมกับองค์กรด้านความปลอดภัย: การร่วมมือกับทีมด้านความปลอดภัยบล็อกเชนและหน่วยงานในการบังคับกฎหมายอย่างรวดเร็วสามารถควบคุมความเสียหายได้อย่างมีประสิทธิภาพและช่วยเร่งการกู้คืนสินทรัพย์หลังเหตุการณ์

แฮร์รี่พอตเตอร์โอบามาโซนิค 10 อินุ

ภาพรวมของโครงการ: HarryPotterObamaSonic10Inu เป็นรูปแบบสุดท้ายของสินทรัพย์เชิงเทคโนโลยี ได้รับแรงบันดาลใจจาก BITCOIN โครงการส่งเสริมการสร้างเนื้อหามีมใหม่และสนุกสนาน ด้วยการสละสิทธิ์เป็นเจ้าของและล็อคความเหมือนกัน ชุมชนที่เติบโตอย่างต่อเนื่องได้เป็นผู้นำ โดยดึงแรงบันดาลใจจากมีม Bitcoin ตำนาน โครงการกำลังพัฒนาเว็บไซต์ที่ไม่เหมือนใคร สินค้าพิเศษและแพลตฟอร์มอีคอมเมิร์ซ จุดมุ่งหมายคือการสร้างนิเวศที่สมาชิกในชุมชนที่มีความ aktif สามารถติดต่อและทำงานร่วมกันได้

ภาพรวมเหตุการณ์:
เมื่อวันที่ 18 ธันวาคม พ.ศ. 2567 มีการทำธุรกรรมที่ลอกเลียนแบบเป้าหมายเป็นสระน้ำ Likwidity HarryPotterObamaSonic10Inu 2.0 บนเครือข่าย Ethereum ผู้โจมตีได้รับกำไรประมาณ 243,000 ดอลลาร์และโอนเงินไปยัง Tornado Cash

ในระยะเวลาถัดไป 4 วัน ราคาโทเค็นลดลงอย่างมีนัยสำคัญ ประมาณ -33.42% โดยมียอดทุนตลาดลดลงจาก 245 ล้านเป็น 168 ล้าน[5].

คำแนะนำหลังเกิดเหตุ

  • เพิ่มความปลอดภัยของการตรวจสอบสัญญาอัจฉริยะและการปรับปรุง
    จ้างองค์กรที่เชี่ยวชาญภายนอกให้ดำเนินการตรวจสอบความปลอดภัยอย่างละเอียดของสัญญาอัจฉริยะที่มีอยู่ โดยให้เน้นที่ตรรกะของสระน้ำความเหมาะสมและการควบคุมการเข้าถึง ควรแก้ไขช่องโหว่และเพิ่มประสิทธิภาพของโค้ดสัญญา ควรเพิ่มกลไกเช่นการล็อคเวลาและการจำกัดอัตราเพื่อป้องกันการดำเนินการที่ไม่เหมาะสมในช่วงเวลาสั้นๆ

  • Integrate On-Chain Price Oracles
    รวมออร์เคิลบนเชื่อมต่ออันเชื่อถือได้เพื่อยืนยันราคาสินทรัพย์ในระหว่างการฝากเงินและถอนเงิน เพื่อให้การดำเนินการสอดคล้องกับค่าตลาดจริง และป้องกันการแก้ไขราคาเพื่อจัดการกับเงินทุน

  • เพิ่มความโปร่งใสและความเชื่อมั่นในชุมชน
    เผยแพร่ผลการสืบสวนเหตุการณ์และแผนการแก้ไขโดยให้ความโปร่งใสของข้อมูลและสร้างความเชื่อมั่นภายในชุมชนผู้ใช้

FEG

โทเค็น FEG เป็นโทเค็นการบริหารจัดการเพื่อลดปัญหาเงินเฟ้อภายในนิเคอิ FEG ซึ่งรวมถึงการแลกเปลี่ยนแบบกระจายและกลไกสิ่งส่งเสริมรายได้แบบไม่ต้องกระทำอะไรเพิ่มเติม จุดมุ่งหมายของมันคือการเปลี่ยนแปลงโมเดลการดำเนินงานของเครือข่ายการซื้อขายแบบกระจาย โทเค็นนี้มีอยู่บนทั้งเครือข่าย Ethereum และ Binance Smart Chain

ภาพรวมเหตุการณ์:
ในวันที่ 29 ธันวาคม พ.ศ. 2567 โครงการ FEG ได้ถูกเป้าหมายโดยการโจมตีช่องโหว่ด้านความปลอดภัย ทำให้เกิดความสูญเสียประมาณ 1 ล้านดอลลาร์สหรัฐ สาเหตุต้นแบบของเหตุการณ์นี้เป็นความผิดประสิทธิภาพที่เกี่ยวข้องกับการผสมเข้ากันของสะพาน Wormhole ระหว่างซีรีส์ที่ที่อยู่ด้านใต้ ซึ่งส facilitates cross-chain messaging และการโอนโทเคน หลังจากนั้น Wormhole Foundation ได้แจ้งให้เข้าใจว่าไม่พบปัญหาภายในโปรโตคอล Wormhole และการโจมตีไม่เกี่ยวข้องกับ Wormhole

หลังจากเหตุการณ์เกิดขึ้น ทีมได้ระงับการทำธุรกรรม FEG ทั้งหมดบนตลาดเซ็นทรัลและเริ่มการสืบสวนอย่างละเอียด ในขณะที่โค้ดสัญญา SmartDeFi ไม่ได้รับผลกระทบโดยตรง โปรโตคอล SmartDeFi ก็ถูกระงับชั่วคราวเป็นมาตรการระวัง อย่างไรก็ตาม โครงการทั้งหมดบนโปรโตคอลก็ยังคงปลอดภัยจนถึงขณะนี้[6]

แนะนำหลังเหตุการณ์:

  • ดําเนินการตรวจสอบความปลอดภัยที่ครอบคลุม: มีส่วนร่วมกับองค์กรวิชาชีพบุคคลที่สามเพื่อดําเนินการตรวจสอบความปลอดภัยอย่างละเอียดของสัญญาอัจฉริยะและรหัสแพลตฟอร์มโดยมุ่งเน้นไปที่การควบคุมการเข้าถึงข้อบกพร่องทางตรรกะและช่องโหว่ของรหัส จากผลการตรวจสอบ ให้จัดการและแก้ไขปัญหาที่ระบุโดยทันที และเผยแพร่รายงานการตรวจสอบต่อสาธารณะเพื่อเพิ่มความไว้วางใจของผู้ใช้
  • สร้างโปรแกรมการเปิดเผยช่องโหว่และรางวัล: เปิดโปรแกรมค้นหาช่องโหว่แบบต่อเนื่องเพื่อส่งเสริมให้นักวิจัยด้านความปลอดภัยและแฮกเกอร์ที่มีจริยธรรมจากจำหน่ายตรวจหาและรายงานช่องโหว่ที่เป็นไปได้ นี้จะช่วยในการแก้ไขช่องโหว่อย่างรวดเร็วเพื่อลดความเสี่ยงด้านความปลอดภัยในอนาคต
  • ปรับปรุงกลไกการปกป้องทรัพย์สินและค่าตอบแทนผู้ใช้: พัฒนาระบบป้องกันทรัพย์สินหลายชั้น เช่น การตรวจสอบธุรกรรมที่ผิดปกติแบบเรียลไทม์ การใช้ฟังก์ชันการล็อกเวลา และการใช้กระเป๋าเงินแบบหลายลายเซ็น สําหรับผู้ใช้ที่ได้รับผลกระทบให้จัดทําแผนค่าตอบแทนที่เป็นธรรมและโปร่งใสเพื่อฟื้นฟูความเชื่อมั่นของผู้ใช้และลดความสูญเสียทางการเงิน

สรุป

ในเดือนธันวาคม 2024 โครงการ DeFi หลายโครงการตกเป็นเป้าหมายของช่องโหว่ด้านความปลอดภัยส่งผลให้สูญเสียทรัพย์สินหลายล้านดอลลาร์ เหตุการณ์เหล่านี้รวมถึงการโจมตีห้องนิรภัยสภาพคล่องของ Clober DEX การหาประโยชน์ข้ามสายโซ่ที่เกิดจากการรวม FEG เข้ากับ Wormhole ช่องโหว่การปักหลักใน Vestra DAO การจัดการคุณสมบัติการถอนสินทรัพย์เดียวของ Clipper DEX และการโจมตีเงินกู้แฟลชใน HarryPotterObamaSonic10Inu เหตุการณ์เหล่านี้เน้นถึงความเสี่ยงที่สําคัญในการรักษาความปลอดภัยสัญญาอัจฉริยะความสามารถในการเขียนโปรโตคอลข้ามสายโซ่และการจัดการกลุ่มสภาพคล่อง อุตสาหกรรมจําเป็นต้องเสริมสร้างการตรวจสอบสัญญาอัจฉริยะอย่างเร่งด่วนใช้การตรวจสอบแบบเรียลไทม์และใช้กลไกการป้องกันหลายชั้นเพื่อปรับปรุงความปลอดภัยของแพลตฟอร์มและความไว้วางใจของผู้ใช้ Gate.io เตือนผู้ใช้ให้ติดตามข่าวสารล่าสุดเกี่ยวกับการพัฒนาความปลอดภัยเลือกแพลตฟอร์มที่เชื่อถือได้และปรับปรุงการปกป้องทรัพย์สินส่วนบุคคล


Reference:

  1. Slowmist,https://hacked.slowmist.io/th/statistics
  2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
  3. X,https://x.com/Vestra_DAO/status/1864677381459390781
  4. X,https://x.com/CloberDEX/status/1874039225001377816
  5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
  6. X,https://x.com/FEGtoken/status/1873265905867866294



Gate Research
Gate Research เป็นแพลตฟอร์มการวิจัยบล็อกเชนและคริปโตคอลเป็นระบบอย่างครอบคลุม ที่ให้ผู้อ่านเนื้อหาที่ลึกซึ้ง เช่น การวิเคราะห์เทคนิค ข้อมูลข่าวสารร้อน บทวิจารณ์ตลาด การวิจัยอุตสาหกรรม การพยากรณ์แนวโน้ม และการวิเคราะห์นโยบายเศรษฐกิจระบบ

คลิกที่ลิงค์เพื่อเรียนรู้เพิ่มเติม

คำประกาศ
การลงทุนในตลาดสกุลเงินดิจิตอลมีความเสี่ยงสูง และแนะนำให้ผู้ใช้ทำการวิจัยและเข้าใจลักษณะของทรัพย์สินและผลิตภัณฑ์เหล่านั้นอย่างละเอียดการซื้อก่อนตัดสินใจลงทุนใด ๆGate.ioไม่รับผิดชอบต่อความเสียหายหรือความเสียหายที่เกิดขึ้นจากการตัดสินใจลงทุนเช่นนี้

Author: Elven
Translator: Piper
Reviewer(s): Addie、Mark、Edward
Translation Reviewer(s): Ashely、Joyce
* The information is not intended to be and does not constitute financial advice or any other recommendation of any sort offered or endorsed by Gate.io.
* This article may not be reproduced, transmitted or copied without referencing Gate.io. Contravention is an infringement of Copyright Act and may be subject to legal action.

Share

Content

Key Takeaways

ภาพรวมของเหตุการณ์ความปลอดภัย

เหตุการณ์ความปลอดภัยสำคัญในเดือนธันวาคม

สรุปผล

gate วิจัย: สรุปเหตุการณ์เกี่ยวกับความปลอดภัยในเดือนธันวาคม พ.ศ. 2567

ขั้นสูง1/7/2025, 10:58:33 AM
รายงานของ gate Research ระบุว่าในเดือนธันวาคม 2024 อุตสาหกรรม Web3 ประสบกับเหตุการณ์ด้านความปลอดภัย 27 ครั้งส่งผลให้ขาดทุนประมาณ 4.11 ล้านดอลลาร์ลดลงจากเดือนก่อนหน้า อย่างไรก็ตามช่องโหว่ของสัญญายังคงเป็นภัยคุกคามหลักซึ่งคิดเป็น 72% ของการสูญเสียทั้งหมด เหตุการณ์สําคัญ ได้แก่ ช่องโหว่ข้ามสายโซ่ FEG, การโจมตีห้องนิรภัยสภาพคล่อง Clober DEX, การหาประโยชน์จากสัญญาการปักหลัก Vestra DAO, ช่องโหว่การถอนสินทรัพย์เดี่ยวของ Clipper DEX และการโจมตีด้วยเงินกู้แฟลช HarryPotterObamaSonic10Inu เหตุการณ์เหล่านี้เปิดเผยความเสี่ยงที่สําคัญในสัญญาอัจฉริยะและโปรโตคอลข้ามสายโซ่โดยเน้นถึงความจําเป็นในการตรวจสอบสัญญาที่เพิ่มขึ้นการแนะนําการตรวจสอบแบบเรียลไทม์และกลไกการป้องกันหลายชั้นเพื่อปรับปรุงความปลอดภัยของแพลตฟอร์มและเพิ่มความไว้วางใจของผู้ใช้
ความปลอดภัยวิจัย

Key Takeaways

ภาพรวมของเหตุการณ์ความปลอดภัย

เหตุการณ์ความปลอดภัยสำคัญในเดือนธันวาคม

สรุปผล

ตามรายงานด้านความปลอดภัยของอุตสาหกรรม Web3 ล่าสุดจาก Gate Research เหตุการณ์ด้านความปลอดภัยทั้งหมด 27 เหตุการณ์เกิดขึ้นในเดือนธันวาคม ส่งผลให้ขาดทุนประมาณ 4.11 ล้านดอลลาร์ ประเภทของเหตุการณ์มีความหลากหลายโดยช่องโหว่ของสัญญายังคงเป็นภัยคุกคามหลักคิดเป็น 72% ของการสูญเสียทั้งหมด รายงานยังให้การวิเคราะห์โดยละเอียดเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่สําคัญ รวมถึงช่องโหว่ของ FEG ช่องโหว่ของสัญญา Clober ช่องโหว่ของสัญญา Clipper DEX และการโจมตีด้วยเงินกู้แฟลช HarryPotterObamaSonic10Inu ช่องโหว่ของสัญญาและการแฮ็กบัญชีถูกระบุว่าเป็นความเสี่ยงด้านความปลอดภัยที่สําคัญสําหรับเดือนนี้ โดยเน้นย้ําถึงความจําเป็นอย่างต่อเนื่องสําหรับอุตสาหกรรมในการเสริมสร้างมาตรการรักษาความปลอดภัย

Key Takeaways

  • ในเดือนธันวาคม พ.ศ. 2567 อุตสาหกรรม Web3 ประสบเหตุการณ์รักษาความปลอดภัย 27 ครั้ง ทำให้เกิดความเสียหายประมาณ 4.11 ล้านดอลลาร์ ลดลงอย่างมีนัยสำคัญเมื่อเปรียบเทียบกับเดือนก่อนหน้า
  • เหตุการณ์ด้านความปลอดภัยในเดือนนี้มีส่วนใหญ่เกี่ยวข้องกับช่องโหว่ของสัญญาและการแฮ็กบัญชี
  • ช่องโหว่ของสัญญายังคงเป็นอันตรายใหญ่ ทำให้มีความเสียหายรวมถึง 72% ของการเสียหายทั้งหมดในเหตุการณ์ด้านความปลอดภัยของวงการสกุลเงินดิจิตอล
  • ส่วนใหญ่ของความสูญเสียเกิดขึ้นบนบล็อกเชนสำคัญ รวมถึง BSC, Ethereum, Cardano, และ Base
  • เหตุการณ์สำคัญในเดือนนี้รวมถึงช่องโหว่ความมั่นคงของ FEG (สูญเสีย 1 ล้านดอลลาร์), ช่องโหว่สัญญา Clober (สูญเสีย 500,000 ดอลลาร์), ช่องโหว่สัญญา Vestra DAO (สูญเสีย 500,000 ดอลลาร์), การแฮกบัญชี Moonhacker (สูญเสีย 320,000 ดอลลาร์) และการโจมตีแฟลชโหมดสินเชื่อ HarryPotterObamaSonic10Inu (สูญเสีย 243,000 ดอลลาร์)

ภาพรวมของเหตุการณ์ด้านความปลอดภัย

ตามข้อมูลจาก Slowmist ธันวาคม 2024 มีทั้งหมด 27 คดีการโจมตีทางไซเบอร์ ทำให้เกิดความเสียหายมูลค่า 4.11 ล้านดอลลาร์ การโจมตีเกิดขึ้นโดยส่วนใหญ่เกี่ยวข้องกับช่องโหว่ของสัญญา การโจมตีบัญชี และวิธีการอื่น ๆ โดยเปรียบเทียบกับเดือนพฤศจิกายน ทั้งจำนวนคดีการโจมตีและความเสียหายรวมลดลงอย่างมีนัยสำคัญ แสดงให้เห็นว่ามาตรการความปลอดภัยและความตระหนักของอุตสาหกรรมได้ปรับปรุงมากขึ้น ช่องโหว่ของสัญญายังคงเป็นสาเหตุหลักของการโจมตีโดยมีเหตุการณ์ 9 คดี ทำให้เกิดความเสียหายมูลค่าเกิน 2.98 ล้านดอลลาร์หรือ 72% ของทั้งหมด บัญชีอย่างเป็นทางการ X และเว็บไซต์โครงการเงินดิจิตอลยังคงเป็นเป้าหมายหลักของฮากเกอร์ [1]

การกระจายเหตุการณ์ความปลอดภัยในระบบบล็อกเชนสาธารณะในเดือนนี้เป็นการแสดงให้เห็นว่าขาดทุนส่วนใหญ่เกิดขึ้นบนบล็อกเชนที่เป็นผู้นำและได้รับความนิยมอย่างเฉพาะอย่างยิ่ง Ethereum และ Base โดยมีความเสียหายตามลำดับเป็น 2.01 ล้านดอลลาร์และ 950,000 ดอลลาร์ นี่เป็นการเน้นว่าถึงแม้จะมีความปลอดภัยในรากฐานของระบบบล็อกเชนสาธารณะที่แข็งแกร่งแต่ยังมีความเสี่ยงที่สำคัญจากชั้นประยุกต์และสัญญาอัจฉริยะซึ่งส่งผลต่อเงินของผู้ใช้

be7าโนโบล็อกหลายๆโครงการประสบเหตุการณ์ด้านความปลอดภัยที่สำคัญเดือนนี้ ซึ่งส่งผลให้เกิดความสูญเสียทางการเงินมากมาย อุบัติการณ์ที่น่าสนใจรวมถึงช่องโหว่ความปลอดภัยของ FEG ซึ่งทำให้เกิดความสูญเสีย $1 ล้าน; ช่องโหว่ของสัญญา Clober ซึ่งเป็นสาเหตุของความสูญเสีย $500,000; ความปลอดภัยของสัญญา Vestra DAO ซึ่งเป็นสาเหตุของความสูญเสีย $500,000 และช่องโหว่ของสัญญา Clipper DEX ซึ่งทำให้เกิดความสูญเสีย $457,000

เหตุการณ์ความปลอดภัยสำคัญในเดือนธันวาคม

ตามการเปิดเผยทางการทางอย่างเป็นทางการ โครงการต่อไปนี้ประสบความสูญเสียเกิน 3.22 ล้านดอลลาร์ในเดือนธันวาคม มูลค่าบางส่วนเน้นที่ช่องโหว่ในสัญญายังคงเป็นอันตรายที่สำคัญ

  • ผู้โจมตีใช้ช่องโหว่ในสัญญาอัจฉริยะที่ใช้โดย Clipper โดยแก้ไขฟังก์ชันการฝาก/ถอนสินทรัพย์เดียว การดำเนินการนี้ส่งผลกระทบต่อพูล Likidity ในเครือข่าย Optimism และ Base โดยทำให้เกิดความไม่สมดุลในสินทรัพย์ในพูลและทำให้ผู้โจมตีสามารถถอนเงินมากกว่าจำนวนเงินฝากของพวกเขาได้ การโจมตีนี้ทำให้เกิดความสูญเสียประมาณ 457,878 ดอลลาร์
  • Vestra DAO แชร์ทวีตว่า ฮากเกอร์ได้ใช้ช่องโหว่ในสัญญาล็อกสเตคเพื่อปรับเปลี่ยนกลไกรางวัลเพื่อรับรางวัลเกินกว่าที่ควรจะได้ เหตุการณ์นี้ส่งผลให้ถูกขโมย 73,720,000 โทเค็น VSTR โทเค็นที่ถูกขโมยจะถูกขายเป็นลำดับเวลาบน Uniswap ทำให้เสียความผันผวนประมาณ 500,000 ดอลลาร์สหรัฐใน ETH เพื่อปกป้องโทเค็น VSTR และความเสถียรของโครงการ โทเค็น VSTR ที่เหลืออยู่จำนวน 755,631,188 โทเค็นถูกลบออกจากการแพร่กระจายอย่างถาวร
  • หลุมรั่วสารเสียงบน Clober DEX ที่สร้างขึ้นบนเครือข่ายหลัก ถูกโจมตี ผลให้เสียหายไป 133.7 ETH (ประมาณ 501,000 ดอลลาร์) ทีมยังเสนอ 20% ของเงินที่ถูกขโมยเป็นรางวัลสำหรับการระบุจุดอ่อน หวังว่าจะกู้คืนสินทรัพย์ที่เหลืออยู่ อย่างไรก็ตาม การเจรจาไม่ได้เกิดความเห็นสัมพันธ์
  • HarryPotterObamaSonic10Inu เป็นเป้าหมายในการโจรกรรมแฟลชโลนบนเอเธอเรียมที่เกี่ยวข้องกับชุดซื้อขายที่หลอกลวงเป้าหมายโดยการเป้าหมายการสร้างสรรค์ของหลอกลวงของ HarryPotterObamaSonic10Inu 2.0 ผู้โจรกรรมได้รับกำไรประมาณ 243,000 ดอลลาร์และฝากเงินใน Tornado Cash
  • โครงการ FEG ถูกโจมตีด้วยช่องโหว่ด้านความปลอดภัยทำให้เสียประมาณ 1 ล้านเหรียญเงิน การวิเคราะห์ชี้ให้เห็นว่าสาเหตุหลักคือปัญหาความสามารถในการรวมกันเมื่อทำการรวมกับพื้นฐานของสะพานแบบกายภาพร่วมกัน Wormhole ซึ่งใช้สำหรับการส่งข้อมูลและการโอนโทเค็นระหว่างเครือข่ายต่างๆ ทีมผู้พักงานได้ระงับทุกธุรกรรม FEG บนตลาดศูนย์กลางแล้ว SmartDeFi protocol ก็ถูกหยุดชั่วคราว

Clipper DEX

ภาพรวมของโครงการ: Clipper เป็นการแลกเปลี่ยนที่มีลักษณะกระจาย (DEX) ที่ออกแบบมาเพื่อให้อัตราดีที่สุดสำหรับนักเทรดเหรียญสกุลเล็กๆ (น้อยกว่า 10,000 ดอลลาร์สหรัฐ) โดยจำกัดสภาพคล่องและลดความสูญเสียที่ไม่ถาวร

ภาพรวมของเหตุการณ์: ตามรายงานการวิเคราะห์ที่ Clipper ปล่อยออกเมื่อวันที่ 1 ธันวาคม พ.ศ. 2567 ผู้โจมตีใช้ช่องโหว่ในสัญญาอัจฉริยะที่ใช้โดย Clipper เพื่อจัดการฟังก์ชั่นการฝากเงิน / การถอนสินทรัพย์เดี่ยว การดำเนินการนี้ส่งผลกระทบต่อสระว่ายน้ำความเหมาะสมในเครือข่าย Optimism และ Base โดยทำให้เกิดความไม่สมดุลในสินทรัพย์ในสระว่ายน้ำและทำให้ผู้โจมตีสามารถถอนสินทรัพย์เพิ่มขึ้นจากที่พวกเขาฝากได้ การโจมตีนี้ส่งผลให้เกิดความสูญเสียประมาณ 457,878 ดอลลาร์

ภายในไม่กี่ชั่วโมง AdmiralDAO ได้เปิดตัวแผนการตอบสนองฉุกเฉินโดยรวดเร็ว ดำเนินมาตรการเพื่อป้องกันเงินที่เหลืออยู่ในโปรโตคอลและหยุดการโจมตี หลังจากการตอบสนองนั้นไม่มีเงินเพิ่มเติมที่ได้รับผลกระทบ[2]

คำแนะนำหลังเหตุการณ์:

  • Expand Invariant Checks: นำและดำเนินการตรวจสอบบนเชื่อมโยงเพื่อให้แน่ใจว่าการตรวจสอบของสระว่ายน้ำยังคงมีความสอดคล้องในระหว่างการถอนเงินเช่นเดียวกับการตรวจสอบที่ Clipper ใช้ในเวอร์ชันล่าสุดของสัญญาสำหรับการแลกเปลี่ยน
  • ขยายการตรวจสอบราคาออรักเล: ผสมราคาออรักเลออนเชนเข้ากับการตรวจสอบมูลค่าสินทรัพย์สำหรับการฝากเงินและถอนเงินเช่นเดียวกับที่ Clipper ได้ดำเนินการในเวอร์ชันล่าสุดของสัญญาของพวกเขาสำหรับการแลกเปลี่ยน
  • พิจารณาการล็อคเงินฝากชั่วคราว: หากการฝากเงินใหม่ได้รับการล็อคเป็นระยะเวลาที่เกินความถูกต้องของลายมือชื่อเงินฝาก (เช่น หลายนาที) การโจมตีนี้ก็จะไม่สามารถทำได้

เวสตรา DAO

ภาพรวมของโครงการ: VSTR เป็นโทเค็นที่พัฒนาโดยชุมชน NFT "CMLE" (Crypto Monster Limited Edition) ที่ให้บริการเซมิ-กระจาย บริการไฮบริดระหว่าง Web2+Web3 มันทำงานเป็นโครงการองค์กรอิสระแบบกระจาย (DAO) ซึ่งให้บริการโซลูชัน DeFi

ภาพรวมของเหตุการณ์: เมื่อวันที่ 4 ธันวาคม พ.ศ. 2567 Vestra DAO ทวีตว่ามีผู้แฮกเกอร์โจมตีช่องโหว่ในสัญญาการล็อคสเตคกิ้ง โดยการแก้ไขกลไกการรับรางวัลเพื่อเพิ่มรางวัลเกินไป ผลให้เกิดการโจมตีและการขโมยของ 73,720,000 VSTR tokens โดยมูลค่าประมาณ 500,000 เหรียญ ETH จากการขาย gradually บน Uniswap

ทีมงานได้ระบุปัญหาและดำเนินการทันทีโดยระงับสัญญาการฝากที่ล็อกอยู่ ทำให้ไม่สามารถทำธุรกรรมเพิ่มเติมกับสัญญาเหล่านี้ได้อีกต่อไป เป็นผลทำให้มีการเอา VSTR จำนวน 755,631,188 โทเค็นในสระการฝากออกจากการแ Circulation และเงินที่อยู่ในสัญญาเหล่านี้ไม่สามารถถอนได้อีกต่อไป เมื่อวันที่ 6 ธันวาคม ทีมงานประกาศว่าเพื่อปกป้อง VSTR tokenomics และความเสถียรของโครงการ VSTR จำนวน 755,631,188 โทเค็นที่เหลืออยู่จะถูกนำออกจากการแ Circulation อย่างถาวร [3].

คำแนะนำหลังเหตุการณ์:

  • ดำเนินการตรวจสอบความปลอดภัยของสัญญาอย่างละเอียดและปรับปรุง
    จ้างบริษัทตรวจสอบความปลอดภัยจากภายนอกที่มีชื่อเสียงเพื่อตรวจสอบสัญญาอัจฉริยะทั้งหมดโดยละเอียดโดยเฉพาะสัญญาการฝากและสัญญาที่ถูกล็อก การให้ความสำคัญควรเป็นการจัดการสิทธิ์การเข้าถึงการจัดการเงื่อนไขขอบเขตและความปลอดภัยของตัวโค้ดหลังจากตรวจสอบสัญญา โค้ดสัญญาควรถูกปรับปรุงตามคำแนะนำและรายงานการตรวจสอบความปลอดภัยควรเปิดเผยต่อสาธารณชนเพื่อเพิ่มความโปร่งใสและความเชื่อมั่นของผู้ใช้งาน

  • ใช้กลไกการป้องกันหลายชั้นและการตรวจสอบแบบเรียลไทม์

  • นำเข้าฟังก์ชัน Timelock: นำเสนอการล่าช้าเวลาสำหรับการดำเนินการที่สำคัญเพื่อให้มีเวลาเพียงพอในการหยุดการดำเนินการหรือแทรกแซงในกรณีเกิดความผิดปกติ
  • Introduce ระบบตรวจสอบและแจ้งเตือนแบบเรียลไทม์: ใช้การวิเคราะห์ข้อมูล on-chain เพื่อตรวจพบพฤติกรรมการซื้อขายที่ผิดปกติหรือปฏิสัญญาในเวลาจริง และใช้ระบบแจ้งเตือนเพื่อแจ้งให้ทราบเกี่ยวกับกิจกรรมที่น่าสงสัย เพื่อลดความเสี่ยงที่อาจเกิดขึ้น

Clober DEX

ภาพรวมของโครงการ: Clober เป็น DEX บนเต็มบล็อกที่อนุญาตให้การจับคู่คำสั่งและการตั้งบัญชีบนโปรแกรมสัญญาอัจฉริยะแบบไม่มีกลาง ด้วย Clober ผู้มีส่วนร่วมในตลาดสามารถวางคำสั่ง limit และ market ได้อย่างสมบูรณ์แบบและไร้ความเชื่อถือในราคาจัดการได้

ภาพรวมเหตุการณ์:
เมื่อวันที่ 10 ธันวาคม พ.ศ. 2567 ที่ผ่านมา ที่เก็ตถุงน้ำใจของ Clober DEX บนเครือข่าย Base ถูกโจมตี ทำให้เสียเงิน 133.7 ETH (ประมาณ 501,000 ดอลลาร์) สาเหตุหลักของการโจมตีคือช่องโหว่รูทเอนเทนซี่ในฟังก์ชัน _burn() ภายในสัญญา Rebalancer

ทีมเสนอ 20% ของเงินที่ถูกขโมยเป็นรางวัลสำหรับการระบุช่องโหว่ด้านความปลอดภัย ให้เงินที่เหลือสามารถคืนกลับมาได้ นอกจากนี้ทีมยืนยันว่าจะไม่ดำเนินการทางกฎหมายหากผู้โจมตีร่วมมือ ในวันที่ 31 ธันวาคม พ.ศ. 2567 ทีมแถลงว่าการเจรจาไม่ได้มีความเห็นชอบและผู้โจมตีได้ย้ายสินทรัพย์ที่ถูกขโมยไปยัง Tornado Cash ทีมร่วมมือกับหน่วยงานตำรวจเพื่อติดตามแหล่งกำเนิดของผู้โจมตี[4]

แนะนำหลังเหตุการณ์:

  • การรักษาความปลอดภัยของสมาร์ทคอนแทรคเพิ่มขึ้น: ทีมโครงการต้องเสริมความปลอดภัยในการตรวจสอบสมาร์ทคอนแทรค รหัสทั้งหมดควรผ่านการตรวจสอบอย่างเข้มงวดก่อนการใช้งานจริง พร้อมด้วยการสแกนช่องโหว่เป็นประจำเพื่อลดความเสี่ยงจากการโจมตี
  • กลยุทธ์การจัดการกองทุนที่แข็งแกร่ง: นำมาใช้กระเป๋าเงินหลายลายเซ็นและระบบจัดเก็บกองทุนแบบชั้นเพื่อป้องกันการเก็บสะสมทรัพย์สินที่มากเกินไปในสัญญาเดียว ซึ่งจะช่วยลดความเสี่ยงในกรณีเกิดการโจมตี
  • การสรรหางานร่วมกับองค์กรด้านความปลอดภัย: การร่วมมือกับทีมด้านความปลอดภัยบล็อกเชนและหน่วยงานในการบังคับกฎหมายอย่างรวดเร็วสามารถควบคุมความเสียหายได้อย่างมีประสิทธิภาพและช่วยเร่งการกู้คืนสินทรัพย์หลังเหตุการณ์

แฮร์รี่พอตเตอร์โอบามาโซนิค 10 อินุ

ภาพรวมของโครงการ: HarryPotterObamaSonic10Inu เป็นรูปแบบสุดท้ายของสินทรัพย์เชิงเทคโนโลยี ได้รับแรงบันดาลใจจาก BITCOIN โครงการส่งเสริมการสร้างเนื้อหามีมใหม่และสนุกสนาน ด้วยการสละสิทธิ์เป็นเจ้าของและล็อคความเหมือนกัน ชุมชนที่เติบโตอย่างต่อเนื่องได้เป็นผู้นำ โดยดึงแรงบันดาลใจจากมีม Bitcoin ตำนาน โครงการกำลังพัฒนาเว็บไซต์ที่ไม่เหมือนใคร สินค้าพิเศษและแพลตฟอร์มอีคอมเมิร์ซ จุดมุ่งหมายคือการสร้างนิเวศที่สมาชิกในชุมชนที่มีความ aktif สามารถติดต่อและทำงานร่วมกันได้

ภาพรวมเหตุการณ์:
เมื่อวันที่ 18 ธันวาคม พ.ศ. 2567 มีการทำธุรกรรมที่ลอกเลียนแบบเป้าหมายเป็นสระน้ำ Likwidity HarryPotterObamaSonic10Inu 2.0 บนเครือข่าย Ethereum ผู้โจมตีได้รับกำไรประมาณ 243,000 ดอลลาร์และโอนเงินไปยัง Tornado Cash

ในระยะเวลาถัดไป 4 วัน ราคาโทเค็นลดลงอย่างมีนัยสำคัญ ประมาณ -33.42% โดยมียอดทุนตลาดลดลงจาก 245 ล้านเป็น 168 ล้าน[5].

คำแนะนำหลังเกิดเหตุ

  • เพิ่มความปลอดภัยของการตรวจสอบสัญญาอัจฉริยะและการปรับปรุง
    จ้างองค์กรที่เชี่ยวชาญภายนอกให้ดำเนินการตรวจสอบความปลอดภัยอย่างละเอียดของสัญญาอัจฉริยะที่มีอยู่ โดยให้เน้นที่ตรรกะของสระน้ำความเหมาะสมและการควบคุมการเข้าถึง ควรแก้ไขช่องโหว่และเพิ่มประสิทธิภาพของโค้ดสัญญา ควรเพิ่มกลไกเช่นการล็อคเวลาและการจำกัดอัตราเพื่อป้องกันการดำเนินการที่ไม่เหมาะสมในช่วงเวลาสั้นๆ

  • Integrate On-Chain Price Oracles
    รวมออร์เคิลบนเชื่อมต่ออันเชื่อถือได้เพื่อยืนยันราคาสินทรัพย์ในระหว่างการฝากเงินและถอนเงิน เพื่อให้การดำเนินการสอดคล้องกับค่าตลาดจริง และป้องกันการแก้ไขราคาเพื่อจัดการกับเงินทุน

  • เพิ่มความโปร่งใสและความเชื่อมั่นในชุมชน
    เผยแพร่ผลการสืบสวนเหตุการณ์และแผนการแก้ไขโดยให้ความโปร่งใสของข้อมูลและสร้างความเชื่อมั่นภายในชุมชนผู้ใช้

FEG

โทเค็น FEG เป็นโทเค็นการบริหารจัดการเพื่อลดปัญหาเงินเฟ้อภายในนิเคอิ FEG ซึ่งรวมถึงการแลกเปลี่ยนแบบกระจายและกลไกสิ่งส่งเสริมรายได้แบบไม่ต้องกระทำอะไรเพิ่มเติม จุดมุ่งหมายของมันคือการเปลี่ยนแปลงโมเดลการดำเนินงานของเครือข่ายการซื้อขายแบบกระจาย โทเค็นนี้มีอยู่บนทั้งเครือข่าย Ethereum และ Binance Smart Chain

ภาพรวมเหตุการณ์:
ในวันที่ 29 ธันวาคม พ.ศ. 2567 โครงการ FEG ได้ถูกเป้าหมายโดยการโจมตีช่องโหว่ด้านความปลอดภัย ทำให้เกิดความสูญเสียประมาณ 1 ล้านดอลลาร์สหรัฐ สาเหตุต้นแบบของเหตุการณ์นี้เป็นความผิดประสิทธิภาพที่เกี่ยวข้องกับการผสมเข้ากันของสะพาน Wormhole ระหว่างซีรีส์ที่ที่อยู่ด้านใต้ ซึ่งส facilitates cross-chain messaging และการโอนโทเคน หลังจากนั้น Wormhole Foundation ได้แจ้งให้เข้าใจว่าไม่พบปัญหาภายในโปรโตคอล Wormhole และการโจมตีไม่เกี่ยวข้องกับ Wormhole

หลังจากเหตุการณ์เกิดขึ้น ทีมได้ระงับการทำธุรกรรม FEG ทั้งหมดบนตลาดเซ็นทรัลและเริ่มการสืบสวนอย่างละเอียด ในขณะที่โค้ดสัญญา SmartDeFi ไม่ได้รับผลกระทบโดยตรง โปรโตคอล SmartDeFi ก็ถูกระงับชั่วคราวเป็นมาตรการระวัง อย่างไรก็ตาม โครงการทั้งหมดบนโปรโตคอลก็ยังคงปลอดภัยจนถึงขณะนี้[6]

แนะนำหลังเหตุการณ์:

  • ดําเนินการตรวจสอบความปลอดภัยที่ครอบคลุม: มีส่วนร่วมกับองค์กรวิชาชีพบุคคลที่สามเพื่อดําเนินการตรวจสอบความปลอดภัยอย่างละเอียดของสัญญาอัจฉริยะและรหัสแพลตฟอร์มโดยมุ่งเน้นไปที่การควบคุมการเข้าถึงข้อบกพร่องทางตรรกะและช่องโหว่ของรหัส จากผลการตรวจสอบ ให้จัดการและแก้ไขปัญหาที่ระบุโดยทันที และเผยแพร่รายงานการตรวจสอบต่อสาธารณะเพื่อเพิ่มความไว้วางใจของผู้ใช้
  • สร้างโปรแกรมการเปิดเผยช่องโหว่และรางวัล: เปิดโปรแกรมค้นหาช่องโหว่แบบต่อเนื่องเพื่อส่งเสริมให้นักวิจัยด้านความปลอดภัยและแฮกเกอร์ที่มีจริยธรรมจากจำหน่ายตรวจหาและรายงานช่องโหว่ที่เป็นไปได้ นี้จะช่วยในการแก้ไขช่องโหว่อย่างรวดเร็วเพื่อลดความเสี่ยงด้านความปลอดภัยในอนาคต
  • ปรับปรุงกลไกการปกป้องทรัพย์สินและค่าตอบแทนผู้ใช้: พัฒนาระบบป้องกันทรัพย์สินหลายชั้น เช่น การตรวจสอบธุรกรรมที่ผิดปกติแบบเรียลไทม์ การใช้ฟังก์ชันการล็อกเวลา และการใช้กระเป๋าเงินแบบหลายลายเซ็น สําหรับผู้ใช้ที่ได้รับผลกระทบให้จัดทําแผนค่าตอบแทนที่เป็นธรรมและโปร่งใสเพื่อฟื้นฟูความเชื่อมั่นของผู้ใช้และลดความสูญเสียทางการเงิน

สรุป

ในเดือนธันวาคม 2024 โครงการ DeFi หลายโครงการตกเป็นเป้าหมายของช่องโหว่ด้านความปลอดภัยส่งผลให้สูญเสียทรัพย์สินหลายล้านดอลลาร์ เหตุการณ์เหล่านี้รวมถึงการโจมตีห้องนิรภัยสภาพคล่องของ Clober DEX การหาประโยชน์ข้ามสายโซ่ที่เกิดจากการรวม FEG เข้ากับ Wormhole ช่องโหว่การปักหลักใน Vestra DAO การจัดการคุณสมบัติการถอนสินทรัพย์เดียวของ Clipper DEX และการโจมตีเงินกู้แฟลชใน HarryPotterObamaSonic10Inu เหตุการณ์เหล่านี้เน้นถึงความเสี่ยงที่สําคัญในการรักษาความปลอดภัยสัญญาอัจฉริยะความสามารถในการเขียนโปรโตคอลข้ามสายโซ่และการจัดการกลุ่มสภาพคล่อง อุตสาหกรรมจําเป็นต้องเสริมสร้างการตรวจสอบสัญญาอัจฉริยะอย่างเร่งด่วนใช้การตรวจสอบแบบเรียลไทม์และใช้กลไกการป้องกันหลายชั้นเพื่อปรับปรุงความปลอดภัยของแพลตฟอร์มและความไว้วางใจของผู้ใช้ Gate.io เตือนผู้ใช้ให้ติดตามข่าวสารล่าสุดเกี่ยวกับการพัฒนาความปลอดภัยเลือกแพลตฟอร์มที่เชื่อถือได้และปรับปรุงการปกป้องทรัพย์สินส่วนบุคคล


Reference:

  1. Slowmist,https://hacked.slowmist.io/th/statistics
  2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
  3. X,https://x.com/Vestra_DAO/status/1864677381459390781
  4. X,https://x.com/CloberDEX/status/1874039225001377816
  5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
  6. X,https://x.com/FEGtoken/status/1873265905867866294



Gate Research
Gate Research เป็นแพลตฟอร์มการวิจัยบล็อกเชนและคริปโตคอลเป็นระบบอย่างครอบคลุม ที่ให้ผู้อ่านเนื้อหาที่ลึกซึ้ง เช่น การวิเคราะห์เทคนิค ข้อมูลข่าวสารร้อน บทวิจารณ์ตลาด การวิจัยอุตสาหกรรม การพยากรณ์แนวโน้ม และการวิเคราะห์นโยบายเศรษฐกิจระบบ

คลิกที่ลิงค์เพื่อเรียนรู้เพิ่มเติม

คำประกาศ
การลงทุนในตลาดสกุลเงินดิจิตอลมีความเสี่ยงสูง และแนะนำให้ผู้ใช้ทำการวิจัยและเข้าใจลักษณะของทรัพย์สินและผลิตภัณฑ์เหล่านั้นอย่างละเอียดการซื้อก่อนตัดสินใจลงทุนใด ๆGate.ioไม่รับผิดชอบต่อความเสียหายหรือความเสียหายที่เกิดขึ้นจากการตัดสินใจลงทุนเช่นนี้

Author: Elven
Translator: Piper
Reviewer(s): Addie、Mark、Edward
Translation Reviewer(s): Ashely、Joyce
* The information is not intended to be and does not constitute financial advice or any other recommendation of any sort offered or endorsed by Gate.io.
* This article may not be reproduced, transmitted or copied without referencing Gate.io. Contravention is an infringement of Copyright Act and may be subject to legal action.
Start Now
Sign up and get a
$100
Voucher!