ความโกลาหลของ Web3 ส่งผลกระทบอย่างหนัก: เงินหลายล้านถูกระบายออกไปในเพียงสองสัปดาห์แรกของปี 2026 – รายงาน

Extropy รายงานการแฮ็กคริปโตครั้งใหญ่ในเดือนมกราคม 2026 Truebit สูญเสีย 26 ล้านดอลลาร์ การละเมิดข้อมูล Ledger เปิดเผยข้อมูลผู้ใช้ และการโจมตีฟิชชิ่งเพิ่มสูงขึ้น

สองสัปดาห์แรกของปี 2026 นำมาซึ่งคลื่นของเหตุการณ์ด้านความปลอดภัยในแพลตฟอร์ม Web3 

Extropy เผยแพร่รายงาน Security Bytes ที่บันทึกเหตุการณ์เหล่านี้ ผลการค้นพบแสดงภาพที่น่าเป็นห่วงของภูมิทัศน์ภัยคุกคามในปัจจุบัน

ตามรายงาน ผู้โจมตีดำเนินการต่อเนื่องตลอดช่วงเทศกาลวันหยุด ความเสียหายมีตั้งแต่การโจมตีมูลค่าหลายล้านดอลลาร์ไปจนถึงแคมเปญฟิชชิ่งที่ซับซ้อน

Truebit Protocol สูญเสีย 26 ล้านดอลลาร์จากช่องโหว่โค้ดเก่า

เหตุการณ์สำคัญแห่งแรกของปีเกิดขึ้นกับ Truebit Protocol เมื่อวันที่ 8 มกราคม ผู้โจมตีดูดเงินประมาณ 26 ล้านดอลลาร์ในสิ่งที่ Extropy เรียกว่าการโจมตี "zombie code"

ช่องโหว่เกิดจากการล้นของจำนวนเต็มในสมาร์ทคอนแทรกต์เก่า สัญญาเก่าเหล่านี้ขาดการป้องกันการล้นแบบเนทีฟของ Solidity สมัยใหม่ ผู้โจมตีสร้างโทเค็น TRU หลายล้านเหรียญโดยแทบไม่มีค่าใช้จ่าย

เมื่อสร้างแล้ว โทเค็นเหล่านี้ไหลกลับเข้าสู่โปรโตคอล สภาพคล่องทั้งหมดที่มีอยู่หายไปภายในไม่กี่ชั่วโมง ราคาโทเค็น TRU ตกเกือบ 100% ในเวลาเพียง 24 ชั่วโมง

Extropy ระบุว่าผู้โจมตีย้าย 8,535 ETH ผ่าน Tornado Cash ทันที บริษัทรักษาความปลอดภัยเชื่อมโยงกระเป๋าเงินกับการโจมตี Sparkle Protocol ก่อนหน้านี้ในภายหลัง สิ่งนี้บ่งชี้ว่ามีผู้กระทำผิดซ้ำที่มุ่งเป้าไปที่สัญญาที่ถูกละทิ้งโดยเฉพาะ

รายงานเตือนว่าสัญญาเก่ายังคงเป็นช่องโหว่ที่สำคัญ โปรเจกต์ต้องตรวจสอบหรือยกเลิกการใช้งานโค้ดเก่าอย่างแข็งขัน

TMXTribe เฝ้าดูการสูญเสีย 1.4 ล้านดอลลาร์ตลอด 36 ชั่วโมง

ระหว่างวันที่ 5 และ 7 มกราคม TMXTribe ประสบการโจมตีที่ช้ากว่าแต่ร้ายแรงพอๆ กัน GMX fork บน Arbitrum สูญเสีย 1.4 ล้านดอลลาร์ในช่วง 36 ชั่วโมงติดต่อกัน

Extropy อธิบายการโจมตีว่าเรียบง่ายในเชิงกลไก ลูปสร้างโทเค็น LP แลกเปลี่ยนเป็นสเตเบิลคอยน์ จากนั้นถอนการ stake ซ้ำๆ สัญญาที่ไม่ได้รับการตรวจสอบป้องกันการวิเคราะห์สาธารณะของข้อบกพร่องที่แท้จริง

สิ่งที่ทำให้นักวิจัยกังวลที่สุดคือการตอบสนองของทีม ตามรายงาน นักพัฒนายังคงทำงานบนเชนตลอดการโจมตี พวกเขาปรับใช้สัญญาใหม่และดำเนินการอัพเกรดระหว่างการดูดเงิน

อย่างไรก็ตาม พวกเขาไม่เคยกระตุ้นฟังก์ชันหยุดฉุกเฉิน ทีมส่งข้อความเสนอรางวัลบนเชนให้ผู้โจมตีแทน โจรเพิกเฉย เชื่อมโยงเงินไปยัง Ethereum และฟอกเงินผ่าน Tornado Cash

Extropy ตั้งคำถามว่าสิ่งนี้แสดงถึงความประมาทหรือบางสิ่งที่เลวร้ายกว่า รายงานเน้นว่าสัญญาที่ไม่ได้รับการตรวจสอบเป็นสัญญาณเตือนสำหรับผู้ใช้

ลูกค้า Ledger เผชิญความเสี่ยงด้านความปลอดภัยทางกายภาพ

เมื่อวันที่ 5 มกราคม Ledger ยืนยันการละเมิดข้อมูล ที่ส่งผลกระทบต่อฐานลูกค้า การละเมิดเกิดจากผู้ประมวลผลการชำระเงิน Global-e ไม่ใช่ฮาร์ดแวร์ของ Ledger

ชื่อลูกค้า ที่อยู่จัดส่ง และข้อมูลติดต่อถูกบุกรุก Extropy เตือนว่าสิ่งนี้สร้างสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยเรียกว่าสถานการณ์ "wrench attack" ผู้โจมตีตอนนี้มีรายชื่อเจ้าของกระเป๋าเงินฮาร์ดแวร์คริปโตและตำแหน่งของพวกเขา

รายงานระบุถึงความขัดแย้งอันขมขื่น Ledger เคยเผชิญการวิพากษ์วิจารณ์สำหรับการเรียกเก็บค่าคุณสมบัติความปลอดภัย ตอนนี้ผู้ประมวลผลการชำระเงินของพวกเขาเปิดเผยผู้ใช้ต่ออันตรายทางกายภาพโดยไม่มีค่าใช้จ่าย

Extropy แนะนำให้ผู้ใช้คาดหวังความพยายามฟิชชิ่งที่ซับซ้อน ข้อมูลที่ถูกขโมยช่วยให้ผู้โจมตีสร้างความไว้วางใจที่ผิดพลาดผ่านการสื่อสารแบบเฉพาะบุคคล

บทความที่เกี่ยวข้อง: สรุปเหตุการณ์ด้านความปลอดภัยเกี่ยวกับกระเป๋าเงินฮาร์ดแวร์ Ledger

แคมเปญฟิชชิ่ง MetaMask ดูดเงิน 107,000 ดอลลาร์

นักวิจัยด้านความปลอดภัย ZachXBT ติดธงการดำเนินการฟิชชิ่งที่ซับซ้อนซึ่งมุ่งเป้าไปที่ผู้ใช้ MetaMask แคมเปญได้ดูดเงินมากกว่า 107,000 ดอลลาร์จากกระเป๋าเงินหลายร้อยราย

เหยื่อได้รับอีเมลแบบมืออาชีพที่อ้างว่าต้องอัพเกรดในปี 2026 ข้อความใช้เทมเพลตการตลาดที่ถูกต้องตามกฎหมายและมีโลโก้ MetaMask ที่ถูกดัดแปลง Extropy อธิบายการออกแบบจิ้งจอก "party hat" ว่าเป็นมิตรและเป็นงานฉลอง

การหลอกลวงหลีกเลี่ยงการขอวลีเมล็ดพันธุ์ แทนที่จะแจ้งให้ผู้ใช้ลงนามในการอนุมัติสัญญา สิ่งนี้อนุญาตให้ผู้โจมตีย้ายโทเค็นไม่จำกัดจากกระเป๋าเงินเหยื่อ

ด้วยการรักษาการขโมยแต่ละครั้งให้ต่ำกว่า 2,000 ดอลลาร์ การดำเนินการหลีกเลี่ยงการแจ้งเตือนครั้งใหญ่ Extropy เน้นย้ำว่าลายเซ็นอาจอันตรายพอๆ กับคีย์ที่รั่วไหล

โพสต์ ความสับสวุ่นของ Web3 กระทบหนัก: หลายล้านดอลลาร์ถูกดูดไปในเพียงสองสัปดาห์ของปี 2026 – รายงาน ปรากฏครั้งแรกใน Live Bitcoin News