การขโมยคริปโต 2.1 พันล้านดอลลาร์ในปี 2025

รูปแบบ $2.1B ที่ไม่มีใครอยากเห็น

เมื่อวันพฤหัสที่ผ่านมา TRM Labs เปิดเผยรายงาน H1 2025: มูลค่าถูกขโมยไปถึง 2.1 พันล้านดอลลาร์จากระบบคริปโต — ไม่ใช่จากการแฮ็กบล็อกเชนหรือการปล้นกระเป๋าใหญ่ แต่เกิดจากช่องโหว่ private key และ frontend ที่ถูกใช้งานอย่างมีระบบ

ฉันสร้างแบบจำลองนี้ตั้งแต่วันแรกที่สตาร์ทอัพฟินเทคของเรา เราไม่ตามกระแส เราตามข้อมูลที่ไหลผ่านโครงสร้างระบบ การโจมตี? อินเทอร์เฟซผู้ใช้ — โดยนักพัฒนาไว้วางใจเก็บโทเค็นเซสชันโดยไม่มี MFA ใน localStorage

เป้าหมายจริงคือโครงสร้างระบบ

นี่ไม่ใช่ “การขโมยคริปโต” 如สื่อหลักแสดง มันคือความล้มเหลวทางสถาปัตยกรรม — จุดบกพร่องฝังอยู่ในชั้น UX ของ dApp การตั้งค่า CORS เพียงหนึ่งเดียวสามารถระบายทรัพยากรได้เร็วกว่าการโจมตีบล็อกเชนใดๆ

เราวัดผลแล้ว: จากเหตุการณ์หลักๆ 75 เหตุการณ์ในปีนี้ กว่าร้อยละแปดสิบเกิดจากการเข้าถึง frontend + การรั่วไหลของข้อมูลประจำตัว — มิใช่จากการโกงMining โดยความเสี่ยงมนุษย์แบบเฉื่อยๆ

เหตุผลที่ควรใส่ใจ (และทำไมคุณจึงมองข้า)

เราไม่ได้พูดถึง private key บน USB (เรื่องตลก) เราพูดถึง React component ที่มีรหัสลับฝังไว้ใน production เพราะ ‘ทำงานได้ในท้องถิ่น’ ฉันรันโมเดลดูสามครั้งแล้ว — ในแต่ละครั้งยืนยัน: หากคุณสามารถเข้าถึงมันโดยไม่มี auth…คุณจะสูญเสียมันไปแน่นอน ตลาดไม่มองวิตกกังวลเมื่อกระเป๋าเลือด — มันกลับคำนวณอย่างเป็นเหตุเป็นผล