Security Incidents

คู่ค้าด้านการโทเคไนซ์ของ NYSE ได้ออกคำเตือนว่าโทเคนหุ้นสังเคราะห์อาจทำให้นักเทรดรายย่อยเข้าใจผิดผ่านการแสดงข้อมูลเกี่ยวกับหุ้นอ้างอิงอย่างไม่ถูกต้องและการนำชื่อบริษัทไปใช้โดยไม่ได้รับอนุญาต ตามคำเตือนดังกล่าว ความกังวลเกี่ยวกับโทเคนสังเคราะห์นอกชายฝั่ง คู่ค้าระบุประเด็นสำคัญ 3 ประการว่า

ตามรายงานประจำวันพุธของ Project Eleven คอมพิวเตอร์ควอนตัมอาจสามารถทำลายการเข้ารหัสสมัยใหม่ได้เร็วที่สุดในปี 2030 โดยสตาร์ทอัพประเมินว่าอาจมี BTC จำนวน 6.9 ล้านเหรียญ ซึ่งมีมูลค่ามากกว่า $560 พันล้าน ถูกเปิดความเสี่ยงจากควอนตัมภายใต้เงื่อนไขบางประการ สตาร์ทอัพที่ให้ความสำคัญกับความปลอดภัยหลังยุคโพสต์ควอนตัม

ตามที่บริษัทความปลอดภัยบล็อกเชน Blockaid ระบุว่า Ekubo Protocol สูญเสียเงินประมาณ 1.4 ล้านดอลลาร์ใน wrapped bitcoin (WBTC) เมื่อไม่นานนี้ หลังจากผู้โจมตีใช้ช่องโหว่ด้านการควบคุมการเข้าถึงในสัญญา EVM swap router ของโปรโตคอลดังกล่าว ผู้โจมตีข้ามกลไกการตรวจสอบการชำระเงินเพื่อระบายเงินออกจากวอลเล็ต

ทนายความของเหยื่อคดีการก่อการร้ายจากเกาหลีเหนือ 3 คดี ยื่นคำตอบความยาว 30 หน้าในวันอังคาร โดยปรับกรอบเหตุแฮก Aave เมื่อวันที่ 18 เมษายน ให้เป็นการฉ้อโกงแทนการขโมย ซึ่งเป็นความแตกต่างทางกฎหมายที่อาจทำให้ผู้ก่อเหตุได้รับสิทธิทางกฎหมายเหนือคริปโทที่ถูกยืม เหยื่อกำลังพยายามเรียกคืนมูลค่าประมาณ $71 mi

วาฬคริปโตนิรนามรายหนึ่งที่ระบุชื่อเป็น "D.B." ยื่นฟ้องต่อเนื่องในวันจันทร์ต่อ Coinbase และผู้ต้องสงสัยว่าเป็นขโมย หลังจากแพลตฟอร์มปฏิเสธที่จะคืนเงินที่ถูกแช่แข็งซึ่งเชื่อมโยงกับเหตุขโมยคริปโตในเดือนสิงหาคม 2024 ตามเอกสารยื่นต่อศาล ผู้ฟ้องคดีสูญเสีย DAI มูลค่าประมาณ 55 ล้านดอลลาร์ในเหตุการณ์ดังกล่าว

นักพัฒนา Bitcoin Core เปิดเผยบั๊กที่มีความรุนแรงระดับสูง ซึ่งอาจทำให้ผู้ขุดสามารถสั่งให้โหนด Bitcoin บางรายหยุดทำงานจากระยะไกลได้ สรุป Bitcoin Core เปิดเผย CVE-2024-52911 ซึ่งกระทบเวอร์ชันที่ต่ำกว่า 29.0 โดยโหนดยังสามารถเข้าถึงได้ทางออนไลน์แม้กระทั่งเวอร์ชันที่เก่ากว่า ผู้ขุดจำเป็นต้องใช้บล็อกที่มีการพิสูจน์การทำงาน (proof-of-work) ที่มีต้นทุนสูงเพื่อกระตุ้น

คดีโจมตีของเกาหลีเหนือทวีความรุนแรงขึ้น โดยสินทรัพย์ Aave มูลค่า 71 ล้านดอลลาร์สหรัฐถูกแช่แข็งเข้าสู่รอบที่ 3 ผู้โจทก์ปรับมาใช้กฎหมาย TRIA เพื่อยืนยันว่า ETH เป็นทรัพย์สินของรัฐของเกาหลีเหนือ พร้อมเน้นว่าเป็นการฉ้อโกง ไม่ใช่การขโมย เพื่อหลีกเลี่ยงข้อโต้แย้งว่าผู้ลักทรัพย์ไม่มีสิทธิ์คัดค้านเรื่องของกลางไปอีกขั้น ขณะเดียวกันยังท้าทายความสามารถในการฟ้อง (standing) และสถานะด้านการกำกับดูแลของ Aave DeFi United ระดมทุนได้มากกว่า 328 ล้านดอลลาร์สหรัฐ โดยกองทุนเพียงพอต่อการชดเชยผู้ใช้ที่ได้รับผลกระทบ คดีนี้อาจกลายเป็นบรรทัดฐานสำคัญด้านกฎหมาย DeFi และการกำกับดูแลของ DAO

ตามรายงานของ The Block เมื่อวันที่ 6 พฤษภาคม วาฬเงินคริปโตผู้ไม่เปิดเผยตัวตนรายหนึ่งที่ยื่นฟ้องภายใต้นามแฝง “DB” ได้ยื่นฟ้องต่อ Coinbase และ “John Doe” ผู้ถูกกล่าวหาว่าเป็นขโมย โดยในวันจันทร์เขาอ้างว่า Coinbase ยังปฏิเสธที่จะคืนเงิน DAI ที่ถูกแช่แข็งซึ่งเกี่ยวข้องกับคดีขโมยคริปโตในปี 2024 ทั้งที่ Coinbase ได้ให้เอกสารคำสาบานยืนยันว่าตนเป็นผู้มีสิทธิ์ตามกฎหมายแล้ว

ทนายความของเหยื่อจากคดีการก่อการร้ายของเกาหลีเหนือ 3 คดี ยื่นคำตอบความยาว 30 หน้าเมื่อวันอังคาร โดยปรับกรอบเหตุแฮ็ก Aave ในวันที่ 18 เมษายนใหม่เป็นการฉ้อโกงแทนการขโมย ความแตกต่างนี้มีนัยสำคัญทางกฎหมาย: การจัดให้เหตุการณ์ดังกล่าวเป็นการฉ้อโกงอาจทำให้ผู้โจมตีได้รับสิทธิในทางกฎหมายเหนือสินทรัพย์ที่ยืมมา

ตามรายงานของ The Block Kelp DAO ได้ทิ้ง LayerZero เพื่อไปใช้ Chainlink's Cross-Chain Interoperability Protocol (CCIP) หลังจากเกิดเหตุเอ็กซ์พลอยต์มูลค่า 292 ล้านดอลลาร์บนบริดจ์เมื่อเดือนที่แล้ว โดยตัวแทนของ Chainlink ยืนยันว่า Kelp DAO เป็นโปรโตคอลรายใหญ่รายแรกที่ย้ายออกจาก LayerZero นับตั้งแต่เหตุโจมตีเกิดขึ้น ใน

ตามที่ Bryan Pellegrino ผู้ร่วมก่อตั้งและซีอีโอของ LayerZero Labs กล่าว อ้างว่า “ข้อกล่าวหา” ส่วนใหญ่ที่มีต่อ KelpDAO นั้นไม่มีมูลความจริง เมื่อวันที่ 6 พฤษภาคม Pellegrino ระบุว่า Kelp ใช้การตั้งค่าเริ่มต้นของ MultiDVN หรือ DeadDVN ในตอนแรก แต่ได้เปลี่ยนด้วยตนเองเป็นการตั้งค่าแบบ 1/1 ในวันที่ 1 เมษายน 2024 ตามข้อมูลบนเชน

ตามรายงานของ Protos เมื่อวันที่ 5 พฤษภาคม นักพัฒนา Bitcoin Core ได้เปิดเผยช่องโหว่ระดับรุนแรง CVE-2024-52911 บนเว็บไซต์ทางการ ซึ่งช่องโหว่นี้ทำให้ฝั่งผู้ขุดสามารถทำให้เกิดการขัดข้องจากระยะไกลกับโหนดของผู้ใช้อื่นได้ ด้วยการขุดบล็อกที่ถูกออกแบบมาเป็นพิเศษ และภายใต้เงื่อนไขที่กำหนดสามารถรันโค้ดได้ เนื่องจากการอัปเกรดสำหรับโหนดบิตคอยน์แบบเต็มนั้นเป็นพฤติกรรมโดยสมัครใจ ปัจจุบันจึงยังคงประเมินว่าประมาณ 43% ของโหนดยังคงใช้งานซอฟต์แวร์เวอร์ชันเก่าที่มีช่องโหว่อยู่

ตาม Protos นักพัฒนา Bitcoin Core เปิดเผยเมื่อเร็วๆ นี้ถึงช่องโหว่ระดับวิกฤต (CVE-2024-52911) ที่กระทบเวอร์ชัน 0.14.1 ถึง 28.4 ซึ่งทำให้นักขุดสามารถทำให้โหนดหยุดทำงานแบบระยะไกล (crash) และรันโค้ดได้ตามอำเภอใจ ด้วยการขุดบล็อกที่ถูกออกแบบมาเป็นพิเศษ พบในเดือนพฤศจิกายน 2024 โดยนักพัฒนา Cory

ตามประกาศอย่างเป็นทางการบน X เมื่อวันที่ 6 พฤษภาคมของโครงสร้างพื้นฐาน AMM Ekubo เกิดเหตุการณ์ด้านความปลอดภัยกับสัญญาเส้นทางการ Swap บนเครือข่าย EVM ของ Ekubo แล้ว โดย Ekubo ยืนยันว่า ผู้ให้บริการสภาพคล่อง (LP) และ Starknet ไม่ได้รับผลกระทบจากเหตุการณ์ครั้งนี้ ทีมงานกำลังตรวจสอบขอบเขตของเหตุการณ์ และเตรียมรายงานวิเคราะห์หลังเหตุการณ์

ตามรายงานของ The Block เมื่อวันที่ 5 พฤษภาคม โปรโตคอลการให้กู้ยืมในภาคการเงินแบบกระจายอำนาจ Kelp DAO ประกาศทิ้ง LayerZero ในฐานะผู้ให้บริการโครงสร้างพื้นฐานสำหรับการเชื่อมโยงข้ามสายโซ่ โดยเปลี่ยนมาใช้โปรโตคอลการทำงานร่วมกันข้ามเชนของ Chainlink (CCIP) Kelp DAO คือ “โปรโตคอลหลักรายแรกที่เลิกใช้ LayerZero นับตั้งแต่เหตุการณ์ช่องโหว่ของ LayerZero เกิดขึ้น”

ตามประกาศอย่างเป็นทางการของ Drift Protocol บนแพลตฟอร์ม X เมื่อวันที่ 6 พฤษภาคม Drift Protocol ได้เปิดตัวอย่างเป็นทางการแล้วสำหรับแผนการกู้คืนผู้ใช้งานจากเหตุแฮกเมื่อวันที่ 1 เมษายน โดยกระเป๋าเงินที่ได้รับผลกระทบแต่ละใบจะได้รับ “โทเคนสำหรับการกู้คืน” (Recovery Token) ซึ่ง 1 เหรียญจะสอดคล้องกับความสูญเสียที่ได้รับการยืนยันแล้วมูลค่า 1 ดอลลาร์สหรัฐ เพื่อใช้เป็นหลักฐานในการเรียกร้องเงินชดเชยจากกองทุนสำหรับการกู้คืนตามสัดส่วน

ตามประกาศของ Kelp DAO เมื่อวันอังคาร โปรโตคอลได้โทษ LayerZero ที่อนุมัติการตั้งค่าที่มีความเสี่ยง ซึ่งเอื้อให้เกิดการโจมตีมูลค่า 292 ล้านดอลลาร์สหรัฐในวันที่ 18 เมษายน Kelp ระบุว่า บุคลากรของ LayerZero อนุมัติการตั้งค่าเครื่องยืนยันแบบ 1-of-1 ซึ่งอาศัยเอนทิตีเพียงรายเดียวในการตรวจสอบธุรกรรมข้ามสายโซ่—โดยไม่พบ