ความวุ่นวายของ Web3 กระหน่ำแรง: มีผู้ถูกขโมยเงินไปหลายล้านในช่วงสองสัปดาห์แรกของปี 2026 – รายงาน

รายงาน Extropy เกี่ยวกับการแฮ็กคริปโตในเดือนมกราคม 2026 Truebit สูญเสียเงิน 26 ล้านดอลลาร์, การรั่วไหลของข้อมูล Ledger เปิดเผยข้อมูลผู้ใช้, และการโจมตีแบบฟิชชิ่งเพิ่มขึ้น

สองสัปดาห์แรกของปี 2026 นำมาซึ่งคลื่นของเหตุการณ์ด้านความปลอดภัยในแพลตฟอร์ม Web3

Extropy ได้เผยแพร่รายงาน Security Bytes ซึ่งบันทึกเหตุการณ์เหล่านี้ ผลการค้นพบแสดงภาพที่น่ากังวลเกี่ยวกับภูมิทัศน์ภัยคุกคามในปัจจุบัน

ตามรายงาน ผู้โจมตียังคงดำเนินการต่อเนื่องในช่วงวันหยุด ผลกระทบตั้งแต่การโจมตีมูลค่าหลายล้านดอลลาร์ ไปจนถึงแคมเปญฟิชชิ่งที่ซับซ้อน

Truebit Protocol สูญเสีย $26 ล้านดอลลาร์จากข้อผิดพลาดในโค้ดเก่า

เหตุการณ์สำคัญครั้งแรกของปีเกิดขึ้นกับ Truebit Protocol เมื่อวันที่ 8 มกราคม ผู้โจมตีได้ปล่อยเงินประมาณ $26 ล้านดอลลาร์ในสิ่งที่ Extropy เรียกว่าเป็นการโจมตีด้วย “โค้ดซอมบี้”

ช่องโหว่นี้เกิดจากการล้นของจำนวนเต็มในสมาร์ทคอนแทรกต์เก่า โค้ดเหล่านี้ขาดการป้องกันการล้นของ Solidity รุ่นใหม่ ผู้โจมตีได้สร้างเหรียญ TRU จำนวนหลายล้านเหรียญโดยแทบไม่เสียค่าใช้จ่ายใดๆ

เมื่อสร้างเสร็จ เหรียญเหล่านั้นก็ไหลกลับเข้าสู่โปรโตคอล ทรัพยากรสภาพคล่องทั้งหมดหายไปภายในไม่กี่ชั่วโมง ราคาของเหรียญ TRU ร่วงลงเกือบ 100% ในเวลาเพียง 24 ชั่วโมง

Extropy ระบุว่าผู้โจมตีได้โอน ETH จำนวน 8,535 ETH ผ่าน Tornado Cash ทันที ต่อมา บริษัทด้านความปลอดภัยเชื่อมโยงวอลเล็ตนี้กับการโจมตีในอดีตของ Sparkle Protocol ซึ่งชี้ให้เห็นว่าผู้โจมตีรายนี้เป็นผู้กระทำซ้ำที่มุ่งเป้าไปที่สมาร์ทคอนแทรกต์ที่ถูกละทิ้งโดยเฉพาะ

รายงานเตือนว่าสมาร์ทคอนแทรกต์เก่ายังคงเป็นช่องโหว่สำคัญ โครงการต่างๆ ควรติดตามหรือเลิกใช้งานโค้ดเก่าอย่างจริงจัง

TMXTribe เผชิญกับการสูญเสีย 1.4 ล้านดอลลาร์ใน 36 ชั่วโมง

ระหว่างวันที่ 5 ถึง 7 มกราคม TMXTribe เผชิญกับการโจมตีที่ช้ากว่าแต่ก็รุนแรงเท่าเทียมกัน แพลตฟอร์ม GMX บน Arbitrum สูญเสียเงินไปกว่า 1.4 ล้านดอลลาร์ในช่วงเวลา 36 ชั่วโมงต่อเนื่อง

Extropy อธิบายการโจมตีนี้ว่าเป็นการโจมตีที่ง่ายเชิงกล กลไกคือการวนลูปสร้างเหรียญ LP, แลกเปลี่ยนเป็น stablecoins แล้ว unstake ซ้ำๆ โค้ดที่ไม่ได้รับการตรวจสอบทำให้ไม่สามารถวิเคราะห์ข้อผิดพลาดที่แท้จริงได้

สิ่งที่ทำให้ทีมนักวิจัยกังวลที่สุดคือการตอบสนองของทีมงาน ตามรายงาน นักพัฒนายังคงทำงานบนเชนตลอดระยะเวลาการโจมตี พวกเขาได้เปิดตัวสมาร์ทคอนแทรกต์ใหม่และดำเนินการอัปเกรดในระหว่างการสูญเสียทรัพย์สิน

อย่างไรก็ตาม พวกเขาไม่เคยเปิดใช้งานฟังก์ชันหยุดฉุกเฉิน ทีมงานส่งข้อความบันเทิงบนเชนเพื่อแจ้งเตือนผู้โจมตีแทน ซึ่งผู้โจมตีไม่สนใจและได้โอนเงินไปยัง Ethereum และล้างเงินผ่าน Tornado Cash

Extropy ตั้งคำถามว่านี่เป็นความประมาทหรือสิ่งที่แย่กว่านั้น รายงานเน้นว่าการไม่ตรวจสอบสมาร์ทคอนแทรกต์เป็นสัญญาณเตือนสำหรับผู้ใช้

ในช่วงไม่กี่วันที่ผ่านมาเราได้เห็นทุกมิติของความล้มเหลวใน Web3: สมาร์ทคอนแทรกต์ซอมบี้ที่สร้างเงิน, การบริหารจัดการกลายเป็นสงครามกลางเมือง, การแยกโฟร์กที่ไม่ได้รับการตรวจสอบไหลออกช้า, การรั่วไหลของซัพพลายเชนที่เสี่ยงต่อความปลอดภัยทางกายภาพ, การฟิชชิ่งที่ใช้อาวุธ… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 13 มกราคม 2026

ลูกค้าของ Ledger เผชิญกับความเสี่ยงด้านความปลอดภัยทางกายภาพ

เมื่อวันที่ 5 มกราคม Ledger ยืนยันว่ามีการรั่วไหลของข้อมูลซึ่งส่งผลกระทบต่อฐานลูกค้า การรั่วไหลนี้เกิดจากผู้ให้บริการชำระเงิน Global-e ไม่ใช่ฮาร์ดแวร์ของ Ledger

ชื่อผู้ใช้ ที่อยู่จัดส่ง และข้อมูลติดต่อถูกเปิดเผย Extropy เตือนว่าสถานการณ์นี้สร้างสถานการณ์ “wrench attack” ซึ่งเป็นกลยุทธ์โจมตีที่อันตราย ผู้โจมตีตอนนี้มีรายชื่อเจ้าของกระเป๋าเงินฮาร์ดแวคริปโตและตำแหน่งที่ตั้งของพวกเขา

รายงานระบุความขมขื่นในความเป็นจริงนี้ Ledger เคยถูกวิจารณ์เรื่องการเรียกเก็บค่าบริการด้านความปลอดภัย ตอนนี้ผู้ให้บริการชำระเงินของพวกเขาได้เปิดเผยความเสี่ยงทางกายภาพให้กับผู้ใช้โดยไม่เสียค่าใช้จ่าย

Extropy แนะนำให้ผู้ใช้คาดหวังการโจมตีแบบฟิชชิ่งที่ซับซ้อน ข้อมูลที่ถูกขโมยช่วยให้ผู้โจมตีสามารถสร้างความเชื่อมั่นเท็จผ่านการสื่อสารแบบส่วนตัว

_อ่านเพิ่มเติม: _ สรุปเหตุการณ์ด้านความปลอดภัยรอบ Ledger Hardware Wallets**

แคมเปญฟิชชิ่งของ MetaMask สูญเสีย 107,000 ดอลลาร์

นักวิจัยด้านความปลอดภัย ZachXBT แจ้งเตือนเกี่ยวกับการดำเนินการฟิชชิ่งที่ซับซ้อนซึ่งมุ่งเป้าไปที่ผู้ใช้ MetaMask แคมเปญนี้ได้สูญเสียเงินมากกว่า 107,000 ดอลลาร์จากกระเป๋าเงินหลายร้อยใบ

เหยื่อได้รับอีเมลมืออาชีพอ้างว่ามีการอัปเกรดเป็นรุ่น 2026 ที่จำเป็น ข้อความใช้เทมเพลตการตลาดที่ถูกต้องตามกฎหมายและมีโลโก้ MetaMask ที่ได้รับการแก้ไข Extropy อธิบายว่าการออกแบบ “หมวกปาร์ตี้” ของจิ้งจอกนี้ดูเป็นงานฉลองที่น่าประหลาดใจ

กลโกงนี้ไม่ขอให้ป้อนรหัส seed แต่กลับให้ผู้ใช้เซ็นอนุมัติสัญญา ซึ่งอนุญาตให้ผู้โจมตีเคลื่อนย้ายเหรียญไม่จำกัดจากกระเป๋าเงินของเหยื่อ

โดยรักษาการโจรกรรมแต่ละครั้งให้อยู่ต่ำกว่า 2,000 ดอลลาร์ แคมเปญนี้จึงหลีกเลี่ยงการแจ้งเตือนสำคัญ Extropy เน้นว่าลายเซ็นต์ก็อาจเป็นอันตรายเท่ากับกุญแจรั่วไหล