ช่องโหว่ SwapNet ชี้ให้เห็นความเสี่ยงของสมาร์ทคอนแทรกต์ ขณะที่การโจรกรรมคริปโตทะลุ 3.41 พันล้านดอลลาร์ สาเหตุจากการเคลื่อนไหวข้ามเชนและการอนุมัติที่อ่อนแอ
ตัวกลางแลกเปลี่ยนแบบกระจายศูนย์ Matcha Meta รายงานเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการบูรณาการ SwapNet ตามรายงานจากผู้สังเกตบนเชนหลายราย ผู้ไม่หวังดีได้ถอนคริปโตออกมามูลค่าประมาณ 16.8 ล้านดอลลาร์ หลังจากการโจมตีที่มุ่งเป้าไปที่จุดอ่อนของสมาร์ทคอนแทรกต์บนแพลตฟอร์ม
ช่องโหว่การบูรณาการ SwapNet กระตุ้นเหตุการณ์ด้านความปลอดภัยที่ Matcha Meta
ในประกาศเมื่อวันจันทร์ Matcha Meta อธิบายว่าเป็นเหยื่อของการละเมิดความปลอดภัยเมื่อวันก่อน ตามประกาศ ผู้โจมตีได้ย้ายสินทรัพย์ดิจิทัลจากตัวกลางรวมภายนอกที่เชื่อมต่อกับอินเทอร์เฟซของ Matcha Meta ซึ่งคือ SwapNet
หลังจากตรวจสอบกับทีมโปรโตคอลของ 0x เรายืนยันว่าลักษณะของเหตุการณ์นี้ไม่เกี่ยวข้องกับสัญญา AllowanceHolder หรือ Settler ของ 0x
ผู้ใช้ที่ได้ทำการอนุมัติแบบครั้งเดียวกับ Matcha Meta จึงปลอดภัย
ผู้ใช้ที่ได้ปิดใช้งานการอนุมัติแบบครั้งเดียว… https://t.co/VQVmj4LL0F
— Matcha Meta 🎆 (@matchametaxyz) 25 มกราคม 2026
แพลตฟอร์มเปิดเผยว่าได้สังเกตเห็นการเคลื่อนไหวที่น่าสงสัยหลังจากพบการโอนเงินที่ไม่ได้รับอนุญาตจำนวนมากจากสัญญาเราท์เตอร์ของ SwapNet ในแถลงการณ์ MM ยืนยันว่าได้ติดต่อทีม SwapNet เพื่อปิดใช้งานสัญญาชั่วคราว
ตามรายงานจากบริษัทด้านความปลอดภัยบล็อกเชน PeckShield การสูญเสียจากการละเมิดนี้ประมาณ 16.8 ล้านดอลลาร์ การวิเคราะห์แสดงให้เห็นว่าผู้โจมตีได้แลกเปลี่ยนประมาณ 10.5 ล้านดอลลาร์ใน USDC บน Base เป็นประมาณ 3,655 ETH จากนั้นก็ได้ทำการสะพานเงินไปยัง Ethereum
ในขณะเดียวกัน CertiK ก็ประมาณการว่าการสูญเสียอยู่ที่ประมาณ 13.3 ล้านดอลลาร์ใน USDC บน Base CertiK เชื่อมโยงการโจมตีนี้กับช่องโหว่ “การเรียกแบบอิสระ” ในสัญญา SwapNet ซึ่งอนุญาตให้โอนเงินที่ได้รับอนุมัติไว้ก่อนหน้านี้ไปยังสัญญาได้
Matcha Meta ยังไม่ได้ยืนยันว่าสินทรัพย์ของผู้ใช้สูญหายไปทั้งหมดหรือไม่ คำแถลงเบื้องต้นระบุว่าการเปิดเผยข้อมูลจำกัดอยู่ที่ผู้ใช้ที่ได้ปิดใช้งานการอนุมัติแบบครั้งเดียวและตั้งค่าการอนุญาตโดยตรงบนสัญญา aggregator เฉพาะ แพลตฟอร์มเสริมว่าบัญชีที่ใช้การอนุมัติแบบครั้งเดียวไม่ได้รับผลกระทบ
แต่หลังจากตรวจสอบกับทีมโปรโตคอลของ 0x, Matcha Meta ชี้แจงว่าสิ่งที่เกิดขึ้นไม่ได้เกี่ยวข้องกับสัญญา AllowanceHolder หรือ Settler ของ 0x
ทีมงานชี้แจงว่าผู้ใช้ที่ปิดใช้งานการอนุมัติแบบครั้งเดียวและพึ่งพาการอนุญาตโดยตรงจะรับความเสี่ยงเพิ่มเติมที่เกี่ยวข้องกับแต่ละตัวกลาง รวมทั้งยังได้ลบตัวเลือกในการตั้งค่าการอนุญาตโดยตรงบนตัวกลางเพื่อป้องกันเหตุการณ์ลักษณะนี้ในอนาคต
ข้อบกพร่องของสมาร์ทคอนแทรกต์และการล้างเงินข้ามเชนเป็นปัจจัยที่ทำให้การโจมตีคริปโตเพิ่มขึ้น
ด้วยการเติบโตอย่างต่อเนื่องของตลาดคริปโต ความปลอดภัยยังคงเป็นแรงกดดันต่อโปรเจกต์และแพลตฟอร์มในภาคส่วนนี้ ตามข้อมูลจาก Chainalysis การโจรกรรมที่เกี่ยวข้องกับคริปโตเกิน 3.41 พันล้านดอลลาร์ในปี 2025 ซึ่งสูงกว่าปีก่อนเล็กน้อย
สัดส่วนใหญ่ของกิจกรรมผิดกฎหมายเกี่ยวข้องกับการเคลื่อนไหวสินทรัพย์อย่างรวดเร็วข้ามเชนและบริการที่ออกแบบมาเพื่อปกปิดร่องรอยการทำธุรกรรม
น่าสนใจที่งานวิจัยของ Elliptic แสดงให้เห็นว่าขณะนี้หลายการล้างเงินพึ่งพาบริการแลกเปลี่ยนเหรียญ การให้บริการเหล่านี้มักดำเนินการผ่านเว็บไซต์แยกต่างหากหรือช่องทาง Telegram ซึ่งช่วยให้ผู้โจมตีสามารถเคลื่อนย้ายเงินที่ถูกโจรกรรมได้อย่างรวดเร็ว
ความเสี่ยงในลักษณะเดียวกันนี้ปรากฏขึ้นเมื่อปีที่แล้วเมื่อผู้รวบรวมการแลกเปลี่ยนแบบกระจายศูนย์ CoWSwap รายงานการละเมิด ในระหว่างการโจมตีบนเชน มีการถอน DAI มูลค่าเกือบ 180,000 ดอลลาร์ผ่านสมาร์ทคอนแทรกต์ GPv2Settlement
ตามที่ผู้สังเกตการณ์ตลาดเห็น ข้อบกพร่องของสมาร์ทคอนแทรกต์ยังคงเป็นสาเหตุหลักของการสูญเสีย โดย SlowMist รายงานว่าช่องโหว่ของสัญญาเป็นสาเหตุประมาณ 30% ของการโจมตีคริปโตในปี 2025
_แหล่งภาพ: _SlowMist
นอกจากนี้ ผู้เชี่ยวชาญยังชี้ให้เห็นว่าความก้าวหน้าของเทคโนโลยี AI เป็นอีกหนึ่งปัจจัยที่ผลักดันให้เกิดการใช้ประโยชน์อย่างต่อเนื่อง ปัญญาประดิษฐ์ช่วยในการค้นพบช่องโหว่และการใช้ประโยชน์อย่างจริงจัง
การแฮ็กมูลค่า 1.5 พันล้านดอลลาร์ของ Bybit คิดเป็น 44% ของการสูญเสียทั้งหมดในรอบปี ขณะเดียวกัน กลุ่มที่เชื่อมโยงกับเกาหลีเหนือก็ได้โจรกรรมเงินไปเป็นสถิติ 2.02 พันล้านดอลลาร์
ตั้งแต่ต้นปี แพลตฟอร์มที่เน้นคริปโตได้เผชิญกับการโจมตีเพิ่มขึ้นอย่างรวดเร็ว โปรโตคอล DeFi Makina Finance สูญเสียประมาณ 4.13 ล้านดอลลาร์ หลังจากแฮกเกอร์ระบายสินทรัพย์ในพูล DUSD/USDC บน Curve ต่อมาเครือข่าย Layer-1 Saga ก็หยุดชะงักของเครือข่าย SagaEVM หลังจากการโจมตีที่ย้ายสินทรัพย์เกือบ 7 ล้านดอลลาร์ไปยัง Ethereum
ภาพโดย Clint Patterson จาก Unsplash
