เหตุการณ์สำคัญด้านความปลอดภัยในปีนี้ไม่ใช่การใช้ประโยชน์จาก DeFi ที่ซับซ้อนหรือความล้มเหลวของโปรโตคอลใหม่ แต่เป็น โจรกรรมมูลค่า 1.46 พันล้านดอลลาร์ จาก บายบิตซึ่งเป็นการแลกเปลี่ยนแบบรวมศูนย์ระดับสูงสุด
กิจกรรมเดียวนั้นซึ่งมาจากนักแสดงที่มีความซับซ้อนซึ่งได้รับการสนับสนุนจากรัฐ ได้เขียนเรื่องราวแห่งปีขึ้นมาใหม่ มันพิสูจน์ได้ว่าแม้ว่าความถี่ของการโจมตีจะลดลง ความรุนแรงของความเสียหายก็เพิ่มขึ้นไปสู่ระดับที่เป็นระบบ
ข้อมูล จากบริษัทรักษาความปลอดภัยบล็อคเชน SlowMist วาดภาพของอุตสาหกรรมที่ถูกโจมตีโดยภัยคุกคามระดับมืออาชีพในระดับอุตสาหกรรม มีเหตุการณ์ด้านความปลอดภัยประมาณ 200 เหตุการณ์ทั่วทั้งระบบนิเวศในปี 2568 ประมาณครึ่งหนึ่งของ 410 เหตุการณ์ที่บันทึกไว้ในปีที่แล้ว
อย่างไรก็ตาม ผลขาดทุนทั้งหมดเพิ่มขึ้นเป็นประมาณ 2.935 พันล้านดอลลาร์ เพิ่มขึ้นอย่างมากจาก 2.013 พันล้านดอลลาร์ในปี 2567
คณิตศาสตร์เป็นเรื่องที่ไม่น่าให้อภัย: ความสูญเสียโดยเฉลี่ยต่อเหตุการณ์เพิ่มขึ้นกว่าสองเท่า โดยเพิ่มขึ้นจากประมาณ 5 ล้านดอลลาร์เป็นเกือบ 15 ล้านดอลลาร์
สิ่งนี้แสดงให้เห็นว่าผู้โจมตีละทิ้งเป้าหมายที่มีมูลค่าต่ำเพื่อมุ่งเน้นไปที่สภาพคล่องเชิงลึกและจุดควบคุมแบบรวมศูนย์ที่มีมูลค่าสูง
นักแสดงของรัฐและห่วงโซ่อุปทานอุตสาหกรรม
การเพิ่มขึ้นของมูลค่าที่สูญเสียไปนั้นเชื่อมโยงโดยตรงกับการเปลี่ยนแปลงโปรไฟล์ของผู้โจมตี
ในปี 2025 แฮ็กเกอร์ “หมาป่าเดียวดาย” ส่วนใหญ่ถูกแทนที่ด้วยกลุ่มองค์กรอาชญากรรมและผู้แสดงรัฐชาติ โดยเฉพาะอย่างยิ่งกลุ่มที่เชื่อมโยงกับสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK)
ผู้แสดงเหล่านี้ได้เปลี่ยนกลยุทธ์จากการหาประโยชน์แบบฉวยโอกาสแบบจุดเดียวไปสู่การดำเนินการแบบหลายขั้นตอนที่เป็นระบบซึ่งมุ่งเป้าไปที่บริการแบบรวมศูนย์และอาศัยกระบวนการฟอกหนังที่มีโครงสร้าง
แท้จริงแล้ว การแจกแจงความสูญเสียตามภาคอุตสาหกรรมเป็นการยืนยันจุดเปลี่ยนสำคัญนี้
ในขณะที่โปรโตคอล DeFi ยังคงดูดซับปริมาณการโจมตีสูงสุด โดยมีเหตุการณ์ 126 เหตุการณ์ที่ส่งผลให้เกิดการสูญเสียประมาณ 649 ล้านดอลลาร์ แต่การแลกเปลี่ยนแบบรวมศูนย์ถือเป็นการทำลายเงินทุนจำนวนมาก แค่ 22 เหตุการณ์ที่เกี่ยวข้องกับแพลตฟอร์มแบบรวมศูนย์ สร้างความสูญเสียประมาณ 1.809 พันล้านดอลลาร์
การสนับสนุนผู้ประกอบการระดับสูงเหล่านี้คือห่วงโซ่อุปทานใต้ดินที่ทำงานด้วยประสิทธิภาพของระบบนิเวศซอฟต์แวร์เชิงพาณิชย์
โมเดลที่เรียกว่า Malware-as-a-Service (MaaS) และ Ransomware-as-a-Service (RaaS) ได้ลดอุปสรรคในการเข้าใช้งาน ทำให้อาชญากรที่มีทักษะน้อยสามารถเช่าโครงสร้างพื้นฐานที่ซับซ้อนได้
การพัฒนาอุตสาหกรรมนี้ขยายไปสู่ตลาด “drainer” ซึ่งเป็นชุดเครื่องมือที่ออกแบบมาเพื่อทำให้กระเป๋าเงินว่างเปล่าผ่านฟิชชิ่ง
แม้ว่าการสูญเสียผู้ระบายน้ำทั้งหมดจะลดลงเหลือประมาณ 83.85 ล้านดอลลาร์จากเหยื่อ 106,106 ราย ซึ่งคิดเป็นมูลค่าลดลง 83% จากปี 2024 แต่ความซับซ้อนของเครื่องมือก็ได้รับการพัฒนาเต็มที่
SlowMist ตั้งข้อสังเกตว่ากลุ่มอาชญากรรมทางไซเบอร์ได้เรียนรู้ที่จะปฏิบัติต่อ Web3 ในฐานะแหล่งรายได้ที่ทำซ้ำได้และเชื่อถือได้
ในขณะเดียวกัน การโจมตีในห่วงโซ่อุปทานยังเพิ่มมิติที่อันตรายให้กับแนวภัยคุกคามอีกด้วย
โค้ดที่เป็นอันตรายที่แทรกลงในไลบรารีซอฟต์แวร์ ปลั๊กอิน และเครื่องมือการพัฒนาจะทำให้แบ็คดอร์อัปสตรีมจากแอปพลิเคชันขั้นสุดท้าย ทำให้อาชญากรสามารถโจมตีผู้ใช้ดาวน์สตรีมหลายพันรายพร้อมกันได้
ดังนั้นส่วนขยายเบราว์เซอร์ที่มีสิทธิ์สูงจึงกลายเป็นเวกเตอร์ที่ได้รับความนิยม เมื่อถูกบุกรุก เครื่องมือเหล่านี้จะแปลงเครื่องของผู้ใช้เป็นจุดรวบรวมแบบเงียบสำหรับเมล็ดและคีย์ส่วนตัว
จุดสนใจของวิศวกรรมสังคมและ AI
เมื่อความปลอดภัยของโปรโตคอลเข้มงวดขึ้น ผู้โจมตีก็เปลี่ยนโฟกัสจากโค้ดไปที่มนุษย์ที่อยู่ด้านหลังคีย์บอร์ด
ปี 2025 แสดงให้เห็นว่าคีย์ส่วนตัวรั่วไหล ลายเซ็นที่ถูกสกัดกั้น หรือการอัปเดตซอฟต์แวร์ที่เป็นอันตรายนั้นสร้างความเสียหายร้ายแรงพอๆ กับการหาประโยชน์จากอนุญาโตตุลาการออนไลน์ที่ซับซ้อน
สถิติสะท้อนให้เห็นถึงความเท่าเทียมกันนี้: มีการใช้ประโยชน์จากสัญญาอัจฉริยะ 56 รายการและการประนีประนอมบัญชี 50 รายการที่บันทึกไว้ในระหว่างปี ช่องว่างระหว่างความเสี่ยงทางเทคนิคและความเสี่ยงด้านตัวตนปิดลงอย่างมีประสิทธิภาพ
เพื่อฝ่าฝืนการป้องกันของมนุษย์เหล่านี้ อาชญากรใช้ปัญญาประดิษฐ์ติดอาวุธ–
ในระหว่างปี ข้อความสังเคราะห์ เสียง รูปภาพ และวิดีโอที่เพิ่มขึ้นอย่างเห็นได้ชัดทำให้ผู้โจมตีมีวิธีที่ประหยัดและปรับขนาดได้ในการเลียนแบบตัวแทนฝ่ายสนับสนุนลูกค้า ผู้ก่อตั้งโครงการ เจ้าหน้าที่สรรหาบุคลากร และนักข่าว
นอกจากนี้ การโทรแบบ Deepfake และโคลนเสียงยังทำให้พฤติกรรมการยืนยันแบบดั้งเดิมล้าสมัย ส่งผลให้อัตราความสำเร็จเพิ่มขึ้น แคมเปญวิศวกรรมสังคม–
ในเวลาเดียวกัน แคมเปญฟิชชิ่ง พัฒนาลิงก์ที่เป็นอันตรายธรรมดาๆ ในอดีตไปสู่การดำเนินการแบบหลายขั้นตอน
แผนการแชร์ลูกโซ่ได้รับการปรับเปลี่ยนควบคู่กันไป โดยขจัดความสวยงามแบบ “ฟาร์มผลตอบแทน” ในอดีตที่เปลือยเปล่าไปจนกลายเป็นแผ่นไม้อัดของการเงินสถาบัน
สิ่งนี้ส่งผลให้เกิดการฉ้อโกงรูปแบบใหม่ซึ่งปลอมตัวเป็นแพลตฟอร์ม “การเงินบล็อคเชน” หรือ “ข้อมูลขนาดใหญ่” การหลอกลวงเหล่านี้ยังใช้เงินฝากที่มีเสถียรภาพและโครงสร้างการอ้างอิงหลายระดับเพื่อเลียนแบบความถูกต้องตามกฎหมาย
สำหรับบริบท โปรเจ็กต์อย่าง DGCX แสดงให้เห็นว่าแผนปิระมิดแบบคลาสสิกสามารถทำงานเบื้องหลังแดชบอร์ดระดับมืออาชีพและการสร้างแบรนด์องค์กรได้อย่างไร
การบังคับใช้และค้อนบังคับ
ขนาดของการสูญเสียในปีนั้นบังคับให้เกิดการเปลี่ยนแปลงพฤติกรรมด้านกฎระเบียบอย่างเด็ดขาด เนื่องจากหน่วยงานกำกับดูแลได้เปลี่ยนจากการถกเถียงทางทฤษฎีเกี่ยวกับเขตอำนาจศาลไปสู่การกำกับดูแลการแทรกแซงแบบออนไลน์
เป็นผลให้การมุ่งเน้นของพวกเขาขยายไปไกลกว่าตัวองค์กรเองไปยังโครงสร้างพื้นฐานที่อำนวยความสะดวกในการก่ออาชญากรรม รวมถึงเครือข่ายมัลแวร์ ตลาดเว็บมืด และศูนย์กลางการฟอก
ตัวอย่างที่สำคัญของขอบเขตที่กว้างขึ้นนี้คือ ความกดดันที่ใช้กับ Huione Group กลุ่มบริษัทที่ตกเป็นเป้าหมายของผู้สืบสวนเนื่องจากมีบทบาทในการอำนวยความสะดวกในการฟอกเงิน
ในทำนองเดียวกัน แพลตฟอร์มอย่าง Garantex ต้องเผชิญกับการดำเนินการบังคับใช้อย่างต่อเนื่องซึ่งเป็นการส่งสัญญาณว่าหน่วยงานกำกับดูแลพร้อมที่จะรื้อระบบการเงินที่อาชญากรไซเบอร์ใช้
ผู้ออก Stablecoin กลายเป็นองค์ประกอบสำคัญของกลยุทธ์การบังคับใช้นี้ โดยทำหน้าที่เป็นเจ้าหน้าที่ในความพยายามที่จะอายัดเงินทุนที่ถูกขโมยได้อย่างมีประสิทธิภาพ Tether ระงับ USDT บนที่อยู่ Ethereum 576 แห่ง ในขณะที่ Circle ระงับ USDC ในที่อยู่ 214 แห่งตลอดทั้งปี
การกระทำเหล่านี้ให้ผลลัพธ์ที่เป็นรูปธรรม จากเหตุการณ์สำคัญ 18 เหตุการณ์ กองทุนที่ถูกขโมยไปประมาณ 387 ล้านดอลลาร์จาก 1.957 พันล้านดอลลาร์ถูกอายัดหรือกู้คืนได้
แม้ว่าอัตราการฟื้นตัวที่ 13.2% ยังคงอยู่ในระดับปานกลาง แต่ก็แสดงให้เห็นถึงการเปลี่ยนแปลงความสามารถที่สำคัญ: ขณะนี้อุตสาหกรรมสามารถหยุดชั่วคราวหรือย้อนกลับบางส่วนของกระแสอาชญากรรมได้เมื่อตัวกลางที่ปฏิบัติตามกฎระเบียบนั่งอยู่ในเส้นทางการทำธุรกรรม
ความคาดหวังด้านกฎระเบียบก็แข็งแกร่งขึ้นตามไปด้วย การต่อต้านการฟอกเงินที่แข็งแกร่ง (AML) และกรอบการทำงานการรู้จักลูกค้าของคุณ (KYC) ความโปร่งใสด้านภาษี และการควบคุมการดูแลได้เปลี่ยนจากข้อได้เปรียบทางการแข่งขันไปสู่ข้อกำหนดการอยู่รอดขั้นพื้นฐาน
ผู้ให้บริการโครงสร้างพื้นฐาน นักพัฒนากระเป๋าเงิน และผู้ให้บริการสะพาน พบว่าตัวเองอยู่ในรัศมีการระเบิดตามกฎระเบียบเดียวกันกับการแลกเปลี่ยน
การทดสอบความสามารถในการละลายและภูมิทัศน์ในอนาคต
ความแตกต่างระหว่างการแฮ็ก Bybit และ FTX ล่มสลาย นำเสนอบทเรียนที่สำคัญที่สุดของปี 2025
ในปี 2022 การสูญเสียเงินทุนของลูกค้าเผยให้เห็นงบดุลที่กลวงและการฉ้อโกง ซึ่งนำไปสู่การล้มละลายในทันที ในปี 2568 ความสามารถของ Bybit ในการดูดซับการโจมตีมูลค่า 1.46 พันล้านดอลลาร์ แสดงให้เห็นว่าแพลตฟอร์มระดับท็อปได้สะสมเงินทุนเพียงพอที่จะรักษาความล้มเหลวด้านความปลอดภัยครั้งใหญ่เป็นต้นทุนการดำเนินงานที่สามารถอยู่รอดได้
อย่างไรก็ตาม ความสามารถในการฟื้นตัวนี้มาพร้อมกับข้อแม้ เนื่องจากความเข้มข้นของความเสี่ยงไม่เคยสูงเท่านี้มาก่อน ขณะนี้ผู้โจมตีกำลังกำหนดเป้าหมายไปยังจุดควบคุมแบบรวมศูนย์ และผู้มีบทบาทของรัฐกำลังทุ่มเททรัพยากรจำนวนมหาศาลเพื่อเจาะระบบเหล่านั้น
สำหรับผู้สร้างและธุรกิจ ยุคของ “การเคลื่อนย้ายอย่างรวดเร็วและทำลายสิ่งของ” ได้สิ้นสุดลงแล้วอย่างแน่นอน ขณะนี้การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นเกณฑ์สำหรับการเข้าถึงตลาด โครงการที่ไม่สามารถแสดงให้เห็นถึงการจัดการคีย์ที่แข็งแกร่ง การออกแบบการอนุญาต และกรอบงาน AML ที่น่าเชื่อถือ จะพบว่าตนเองถูกตัดขาดจากพันธมิตรธนาคารและผู้ใช้
สำหรับนักลงทุนและผู้ใช้ บทเรียนสำคัญมาก: ความไว้วางใจแบบพาสซีฟคือความรับผิดชอบ การผสมผสานระหว่างวิศวกรรมสังคมที่ขับเคลื่อนด้วย AI การเป็นพิษต่อห่วงโซ่อุปทาน และการแฮ็กในระดับอุตสาหกรรม หมายความว่าการอนุรักษ์เงินทุนในปัจจุบันจำเป็นต้องมีการเฝ้าระวังอย่างต่อเนื่องและกระตือรือร้น
ปี 2025 พิสูจน์ให้เห็นว่าในขณะที่อุตสาหกรรม crypto ได้สร้างกำแพงที่แข็งแกร่งขึ้น ศัตรูที่อยู่นอกประตูก็ได้นำแกะผู้โจมตีที่ใหญ่กว่ามาด้วย
