มัลติซิก โกหก คืออะไร และผู้ใช้จะป้องกันตัวอย่างไร?
ในป่ามืดของโลกคริปโต อุบัติการณ์การ hack ยังคงปรากฎขึ้นต่อเนื่อง ตามรายงานจากบริษัทรักษาความปลอดภัยบล็อกเชน PeckShield มีเหตุการณ์การ hack สกัดส่วนเกิดขึ้นมากกว่า 300 ครั้งในปี 2024 โดยเกิดความสูญเสียรวม 2.15 พันล้านเหรียญสหรัฐ — เพิ่มขึ้น 30% เมื่อเปรียบเทียบกับ 1.51 พันล้านเหรียญสหรัฐในปี 2023 แฮกเกอร์จัดการกับสาขาต่างๆ เหมือนเครื่อง ATM ส่วนตัวของตน โดยฉ้อโกงเกี่ยวกับกระเป๋าสตางค์มีการแพร่กระจายอย่างมาก — รวมถึงฉ้อโกง multisig
การโกงแบบมัลติซิกคือรูปแบบหนึ่งของการหลอกลวงที่โจมตีบัญชีกระเป๋าเงินโดยการใช้กลไกมัลติซิกเพื่อทำให้ผู้ใช้สูญเสียควบคุมบนกระเป๋าเงินและขโมยสินทรัพย์ของพวกเขา ในขณะที่วัตถุประสงค์เดิมๆ ของระบบมัลติซิกคือเพื่อเสริมความปลอดภัยของกระเป๋าเงิน ความซับซ้อนที่ร่วมอยู่ของมันมักกลายเป็นจุดเข้าของมัลติซิก บทความนี้จะสำรวจกลไกมัลติซิกโดยละเอียด - การสำรวจถึงวิธีการทำงานของมัน ข้อดีและข้อเสีย การศึกษากรณีจริง และให้ผู้ใช้กับกลยุทธ์การป้องกันเพื่อป้องกันสินทรัพย์ในกระเป๋าเงินดิจิตอลของพวกเขาได้ดีขึ้น
วิธีการ Multisig คืออะไร?
กลไก multisignature (multisig) เป็นเทคนิคการรักษาความปลอดภัยที่ได้รับการยอมรับอย่างกว้างขวางในพื้นที่สกุลเงินดิจิทัลและบล็อกเชน ต้องใช้ผู้ถือคีย์ส่วนตัวหลายรายเพื่อร่วมกันอนุญาตการทําธุรกรรมหรือดําเนินการที่สําคัญทําให้ผู้ใช้หลายคนสามารถจัดการและควบคุมการเข้าถึงกระเป๋าเงินคริปโตเดียวร่วมกันได้ เมื่อเทียบกับระบบคีย์เดียว multisig ให้ความปลอดภัยและความยืดหยุ่นที่มากขึ้นอย่างมากผ่านการอนุญาตแบบกระจาย เหมาะอย่างยิ่งสําหรับสถานการณ์ต่างๆ เช่น การทํางานร่วมกันเป็นทีม การจัดการสินทรัพย์ของสถาบัน และการกํากับดูแล DAO
เพื่ออธิบายได้ง่าย มัลติซิกคือกลอนความปลอดภัยระดับสูง ที่ต้องใช้กุญแจหลายส่วนเพื่อปลดล็อค นั่นหมายความว่า แม้แต่กุญแจส่วนตัวหรือหลายส่วนจะหายไปหรือถูกครอบครอง ทรัพย์สินในกระเป๋าเงินก็ยังคงปลอดภัย
ขั้นตอนสำคัญในการพัฒนากลไก Multisig
- 2012: โปรโตคอล P2SH (Pay-to-Script-Hash) ของ Bitcoin นำเสนอความสามารถในการฝังสคริปต์มัลติซิกลงในธุรกรรมผ่านการแฮช
- 2560: บริษัทแลกเปลี่ยนเงินดิจิทัล Bitfinex นำโซลูชั่น multisig ของ BitGo มาใช้จัดการสินทรัพย์ของผู้ใช้ อย่างไรก็ตามเนื่องจากมีการกำหนดค่าผิดพลาดในกระเป๋าเงินร้อน 120,000 BTC ถูกขโมย
- 2017: กระเป๋าเงิน Parity ระบบมัลติซิกถูกโจมตีเนื่องจากช่องโหว่ของโค้ด ทำให้มีการขโมยเงิน ETH ประมาณ 150,000 ยูโร
- ปี 2020: ทีม Gnosis ได้เริ่มเปิดตัว Gnosis Safe โดยเป็นการแก้ไขมาตรฐานครั้งแรกของ multisig wallet ในนิเวศ Ethereum อย่างเป็นทางการ ในปีเดียวกันนี้ EIP-3074 ของ Ethereum ได้เสนอ opcodes AUTH และ AUTHCALL ซึ่งช่วยให้บัญชีที่เป็นเจ้าของภายนอก (EOAs) มอบอำนาจให้สัญญาเพื่อดำเนินการทำธุรกรรมในนามของตนเอง โดยให้การสนับสนุนพื้นฐานสำหรับ multisig
- 202Ethereum’s EIP-4337 หรือบัญชี abstraction ผ่าน smart contracts ทำให้การจัดการสิทธิ์ที่ยืดหยุ่นมากขึ้นสำหรับตัวกระเป๋า multisig
- พ.ศ. 2023: EIP-4337 ได้ถูกนำมาใช้ในทางการ ในปีเดียวกันนั้น มีช่องโหว่ของสัญญาถูกค้นพบใน Safe (ก่อนหน้านี้มีชื่อว่า Gnosis Safe) ผู้โจมตีใช้จุดบกพร่องในตรรกะการตรวจสอบลายเซ็นเจนเพื่อปลอมแปลงการทำธุรกรรมมัลติซิกและการขโมยเงิน ตอบสนองต่อเรื่องนี้ ทีม Safe ได้รีบซ่อมแซมปัญหานี้ นำเข้าเฟรมเวิร์คตรวจสอบความปลอดภัยแบบโมดูลาร์ และเปิดตัวคุณสมบัตินาม “การดำเนินการหน่วงเวลา” ใหม่
- 2024: ข้อเสนอ EIP-7702 ทำให้ที่อยู่ EOA สามารถเพิ่มความสามารถของสมาร์ทคอนแทรคในระหว่างธุรกรรมเดียว ทำให้ตรรกะมัลติซิกง่ายขึ้น
วิธีการทำงานของกระเป๋า Multisig
ที่ใจกลางของกลไกลายละเอียดมัลติซิกคือแนวคิดของลายมาตราที่หมายถึงธุรกรรมสามารถสมบูรณ์ได้เมื่อมีจำนวนลายเซ็นที่ถูกต้อง (อัตราการสมบูรณ์) ตามที่กำหนด นี่เป็นที่พบอย่างทั่วไปในรูปแบบ "m-of-n" โดยที่ m คือจำนวนลายเซ็นที่จำเป็น และ n คือจำนวนรวมของกุญแจส่วนตัวที่เกี่ยวข้อง ตัวอย่างเช่น ในกระเป๋าเงินมัลติซิก 2-of-3 จะตั้งค่ากุญแจส่วนตัวสามคู่ แต่อย่างใดก็ตามสองคู่เป็นพอเพียงที่จะอนุมัติธุรกรรม
เรียกตัวอย่างเช่นกระเป๋าตัง TronLink ซึ่งรองรับมัลติซิก การทำงานของเวิร์กโฟลว์ดังนี้:
1) การจัดการและการกระจายกุญแจส่วนตัว
หลังจากสร้างหรือนำเข้ากระเป๋าเงิน ผู้ใช้นำ Gate.io ไปยังส่วน 'การจัดการสิทธิ์' ภายใต้ 'การจัดการกระเป๋าเงิน' ระบบสิทธิ์ multisig ของ TRON กำหนดระดับการเข้าถึงสามระดับ: เจ้าของ, พยาน, และใช้งาน แต่ละระดับมีฟังก์ชันที่แตกต่างกัน
- เจ้าของ: นี่คือระดับสูงสุดของอำนาจในบัญชี มันควบคุมการเป็นเจ้าของ จัดการโครงสร้างการอนุญาต และสามารถดำเนินการสัญญาใด ๆ ได้ เมื่อสร้างบัญชีใหม่ บทบาทนี้จะถูกกำหนดโดยค่าเริ่มต้นให้กับบัญชีเอง
- พยาน: ระดับนี้เฉพาะกับตัวแทนพิเศษและใช้ในการจัดการโหนดที่สร้างบล็อก ไม่สามารถใช้ได้กับผู้ใช้ทั่วไป หลังจากที่สิทธิ์ถูกแก้ไขแล้ว โหนดที่สร้างบล็อกจะต้องกำหนดค่าใหม่
- Active: ระดับสิทธิ์นี้ถูกตั้งค่าและแก้ไขโดยเจ้าของ ใช้ในการดำเนินการงานที่เฉพาะเจาะจง เช่น การโอนเงิน การลงคะแนนเสียง การจับมัด การออกสินทรัพย์ และการสร้างสัญญาฉลาก
แหล่งที่มา: TronLink
ผู้ใช้สามารถแก้ไขสิทธิ์ เพิ่มที่อยู่กุญแจส่วนตัวที่ถือโดยฝ่ายต่าง ๆ และกำหนดค่าค่ามาตรฐานตามความต้องการของพวกเขา จำนวนของกุญแจส่วนตัวจะต้องเท่ากับหรือมากกว่าค่ามาตรฐาน ตัวอย่างเช่น ในการตั้งค่า 3 จาก 5 ผู้ใช้เพิ่มห้ากุญแจส่วนตัวและใด ๆ สามตัวจะต้องลงนามรับรองธุรกรรมเพื่อให้ถือเป็นถูกต้อง
2) การเซ็นต์รายการธุรกรรมและดำเนินการ
เมื่อการตั้งค่าเสร็จสมบูรณ์ ผู้ใช้ A เริ่มต้นขอร้องการโอนเงิน ทำให้ระบบสร้างธุรกรรมที่ไม่ได้ลงนาม ผู้ใช้ A จากนั้นลงนามธุรกรรมโดยใช้กุญแจส่วนตัวของตน เมื่อนั้น ผู้ใช้ B, ผู้ใช้ C หรือเจ้าของกุญแจอื่น ๆ ลงนามตามลำดับจนกระทรวงได้รับจำนวนลายเซ็นที่จำเป็น หลังจากที่ทศนิยมถึงมาตรา ธุรกรรมจึงได้รับการตรวจสอบและส่งไปยังเครือข่ายบล็อกเชนเพื่อดำเนินการ
ข้อดีและข้อเสียของกลไกมัลติซิก
โดยอิงจากวิธีการทำงานของกลไกลายเซ็นเพียงหลายรายการ ประโยชน์ของมันชัดเจนและน่าสนใจ
1) ปรับปรุงความปลอดภัยอย่างมีนัยสำคัญ
- ป้องกันจุดเสียเดียว: เมื่อธุรกรรมต้องการลายเซ็นเจอร์หลายรายการ การบุกรุกของกุญแจส่วนตัวรายเดียว หรือความเสียหายของอุปกรณ์หนึ่งไม่ทำให้เกิดการสูญเสียสินทรัพย์
- ป้องกันการล่วงละเมิดจากภายใน: ในสภาพแวดล้อมของทีม การต้องการการอนุมัติจากหลายฝ่าย จะลดความเสี่ยงของบุคคลคนเดียวที่ทำการยืมเงินโดยไม่ถูกต้องอย่างมาก
- ลดความเสี่ยงในการถูกแฮ็ก: ผู้โจมตีจะต้องบุกรุกกุญแจส่วนตัวหลายตัวหรืออุปกรณ์พร้อมกันเพื่อทำให้การเข้าถึงโดยไม่ได้รับอนุญาตยากขึ้นมาก
2) การบริหารจัดการสินทรัพย์อย่างยืดหยุ่น
- การอนุญาตแบบชั้นเลเยอร์: สามารถตั้งค่าค่าเข้าถึงที่แตกต่างกันได้สำหรับสถานการณ์ที่แตกต่าง (เช่น: 2 จาก 3 สำหรับธุรกรรมทั่วไป มูลค่าต่ำ และ 3 จาก 5 สำหรับการโอนที่มีมูลค่าสูง)
- การจัดการกุญแจแบบกระจาย: ผู้ใช้สามารถเก็บกุญแจส่วนตัวบนอุปกรณ์หลายราย (เช่น สมาร์ทโฟน, กระเป๋าฮาร์ดแวร์, เป็นต้น) หรือในสถานที่ทางกายภายนอกที่แตกต่างกัน—ทำให้เกิดการกระจายความเสี่ยงอย่างมีประสิทธิภาพ
3) ความโปร่งใสและความสามัคคีที่ดีขึ้น
ข้อมูลที่เกี่ยวข้องกับลายเซ็นทั้งหมด - เช่น ที่อยู่ เวลาสถานที่ และอื่น ๆ - ถูกบันทึกและสามารถติดตามได้สาธารณะ ทำให้การตรวจสอบหลังการเกิดเหตุการณ์และความรับผิดชอบง่ายขึ้นมาก
อย่างไรก็ตามความซับซ้อนของกลไกมัลติซิกยังเป็นที่มาของความท้าทายหลายประการ เช่น
1) การจัดการคีย์ที่ซับซ้อน
ในขณะที่ลายเซนเนเจอร์สามารถให้ความยืดหยุ่น แต่ก็สร้างระดับความขึ้นอยู่กับความขึ้นอยู่สูง ผู้ใช้จะต้องให้ความสำคัญในการให้แน่ใจว่ากุญแจส่วนตัวทุกตัวถูกจัดเก็บอย่างปลอดภัยและสามารถเข้าถึงได้ หากผู้ถือกุญแจหนึ่งคนหรือมากกว่ากลายเป็นที่ไม่สามารถติดต่อได้ อาจจะเป็นไปได้ว่าจะหาวิธีที่จะตรงตามความต้องการของลายเซนเนเจอร์ที่ต้องการ — อาจจะทำให้เงินถูกล็อคอย่างถาวร นอกจากนี้ ผู้โจมตีอาจจะหาเรื่องการสร้างภาวะทางสังคม — การคุมเชิงกลยุทธ์โดยการปลอมตัวเป็นแหล่งที่มีความถูกต้องเพื่อหลอกผู้ลงลายอื่นให้ให้สิทธิตาม สิ่งนี้สามารถทำให้มีการเข้าถึงที่ไม่ได้รับอนุญาตและการถูกขโมยเงิน
2) อุปสรรคสูงสำหรับผู้ใช้
เนื่องจากธุรกรรมต้องการความ coordination ระหว่างหลายฝ่ายในการเซ็นชื่อ นี้อาจทำให้เกิดความล่าช้าหรือข้อผิดพลาดโดยเฉพาะในสถานการณ์ฉุกเฉิน
3) ค่าใช้จ่ายสูงบนเชื่อมโยง
ในโซ่เช่น Ethereum สัญญามัลติซิกต้องการการตรวจสอบลายเซ็นต์หลายรอบ เปรียบเทียบกับการทำธุรกรรมโดยใช้ลายเซ็นต์เดี่ยว สิ่งนี้ทำให้ค่า gas สูงขึ้นอย่างมีนัย
4) ความเสี่ยงจากช่องโหว่ทางเทคนิค
มัลติซิกไม่ได้มีความปลอดภัยอย่างแน่นอน หากการรวมระบบกระเป๋าเงินหรือสัญญาเองมีข้อบกพร่องด้านความปลอดภัย แฮ็กเกอร์อาจใช้ช่องโหว่เหล่านั้นเพื่อลักพาเงิน
กระบวนการโจมตี Bybit (แหล่งที่มา: ทีมความปลอดภัย SlowMist)
ในกรณีนี้ เมื่อวันที่ 21 กุมภาพันธ์ 2024 กระเป๋าเงินมัลติซิกของ Bybit บริษัทแลกเปลี่ยนคริปโตถูกเป้าหมายโดยเฉพาะและถูกละเมิด ฮากเกอร์ใช้ฟังก์ชัน deleGate.iocall ในสัญญากระเป๋าเงินมัลติซิก Safe เพื่อซึ่งสัญญาที่เป็นอันตรายเพื่อทับซ้อนตรรกะที่ถูกต้อง สิ่งนี้ทำให้ธุรกรรมที่เป็นฉ้อโกงดูเหมือนถูกต้องในด้านหน้า หลอกลวงผู้ลงนาม ผลคือ ผู้โจมตีทำการวางหลบหลีกกระบวนการตรวจสอบมัลติซิกและโอนสินทรัพย์มูลค่าเกือบ 1.5 พันล้าน ดอลลาร์สหรัฐไปยังที่อยู่กระเป๋าเงินที่ไม่ระบุชื่อ
วิธีการโกงที่ใช้กันบ่อยใน Multisig Scams คืออะไร?
ที่สำคัญของฉลากนี้ โดยปกติมัลติซิกที่เป็นโกหกมักจะเกี่ยวข้องกับการรั่วไหลของคีย์ส่วนตัวหรือการเปลี่ยนแปลงสิทธิ์การใช้งานกระเป๋าเงินโดยไม่ได้รับอนุญาต ขโกหกได้เข้าถึงคีย์ส่วนตัวหรือวลีมนติกของผู้ใช้ผ่านทางหลาย ๆ วิธี และจากนั้นเปลี่ยนแปลงสิทธิ์การใช้งานกระเป๋าเงินโดยการเพิ่มที่อยู่ของพวกเขาเป็นผู้ควบคุมร่วมของบัญชีมัลติซิก ในกรณีที่นี้ผู้ใช้ยังคงสามารถรับเงินเข้ากระเป๋าเงินได้โดยไม่มีปัญหาใด ๆ แต่เมื่อพวกเขาพยายามโอนเงินออกจะพบว่าพวกเขาทำได้ไม่ได้ เนื่องจากการตั้งค่าซ่อน โดยที่ผู้ใช้มักจะไม่เข้าใจว่าพวกเขาได้สูญเสียการควบคุมกระเป๋าเงินแล้ว ขโกหกมักเล่นเกมในระยะยาว ๆ โดยรอให้สินทรัพย์สะสมก่อนถึงจะระบายกระเป๋าเงิน
ดังนั้น ในสถานการณ์ใดที่กระเป๋าเงินมักตกเป็นเหยื่อของการตั้งค่ามัลติซิกที่ทำให้เกิดความผิดปกติ
1) การบริหารจัดการคีย์ที่ไม่เหมาะสมโดยผู้ใช้: บางผู้ใช้จัดเก็บคีย์ส่วนตัวหรือวลีมนติกโดยการถ่ายภาพหน้าจอ อัปโหลดไปยังคลาวด์ไดรฟ์ หรือบันทึกไว้บนอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต ฮากเกอร์สามารถรับได้ผ่านการโจมตีทางไซเบอร์ และเมื่อพวกเขามีการเข้าถึง พวกเขาสามารถกำหนดสิทธิการทำธุรกรรมแบบมัลติซิกที่ไม่เพียงครั้ง
2) การโจมตีด้วยเทคนิคสังคม: มีหลายรูปแบบ ตลอดจนมีทั้งการโจมตีด้วยการส่งลิงก์ของการจีบลัวจากเว็บไซต์ภายนอก, การประกาศที่อาจจะเป็นการแจกฟรีเทียบ, การให้กำลังใจผู้ใช้ด้วยการเติมเงินราคาถูก, การปลอมตัวเป็นฝ่ายช่วยเหลือทางเทคนิค, หรือการปลอมตัวเป็นสมาชิกของทีมเพื่อหลอกให้ผู้ใช้ให้สิทธิพิเศษ วิธีเหล่านี้อาจจะทำให้ผู้ใช้เปิดเผยกุญแจส่วนตัวของกระเป๋าเงินของตนเองโดยรู้ตัวหรือไม่รู้ตัว, หรือเรียกใช้โค้ดสัญญาอัจฉริยะที่เป็นอันตรายเพื่อเปลี่ยนแปลงสิทธิการเข้าถึงกระเป๋าเงิน—ซึ่งทำให้กระเป๋าเงินถูกกำหนดค่าเป็นมัลติซิกภายใต้การควบคุมของคนโกง
3) การเปิดเผยคีย์โดยบุคคลอื่นๆอย่างตั้งใจ: ในบางกรณี ขโมยเสแกมเพียงแค่ทำท่าไม่รู้ว่าจะดำเนินการกระเป๋าสตางค์อย่างไรและให้คีย์ส่วนตัวของพวกเขาให้ผู้ใช้เพื่อขอความช่วยเหลือในการโอนเงิน อย่างไรก็ตาม กระเป๋าสตางค์ได้ถูกตั้งค่าไว้เป็น multisig และเมื่อผู้ใช้โอนสกุลเงินดิจิทัลเข้าไป สินทรัพย์ถูกสูญเสียอย่างถาวร - ภายใต้การควบคุมของขโมยผ่านการอนุญาต multisig
มีวิธีใดที่ผู้ใช้สามารถป้องกันตัวเองได้บ้าง?
เพื่อใช้ประโยชน์จากประโยชน์ด้านความปลอดภัยของกลไกมัลติซิกอย่างเต็มที่พร้อมลดความเสี่ยง ผู้ใช้ควรนำเสนอการแก้ไขแบบคู่: การรวมกันของมาตรการป้องกันทางเทคนิคกับปฏิบัติที่ดีที่สุด
มาตรการทางเทคนิค:
- เลือกบริการมัลติซิกที่เชื่อถือได้: ควรให้ความสำคัญกับกระเป๋าเงินมัลติซิก๊ที่เปิดเผยโค้ดซอร์สและผ่านการตรวจสอบความปลอดภัยจากบุคคลที่สาม ควรเลือกผู้ให้บริการหรือแพลตฟอร์มกระเป๋าเงินที่มีชื่อเสียงและประวัติการรักษาความปลอดภัยที่ได้รับการยอมรับ
- นำมาใช้หลายชั้นของความปลอดภัย: นอกจากมัลติซิกแล้วผู้ใช้ควรเปิดใช้เครื่องมือป้องกันเสริมเช่น กระเป๋าสตางค์ฮาร์ดแวร์ (เช่น Ledger, Trezor), การรับรองตัวตนสองขั้นตอน (2FA), ซอฟต์แวร์ป้องกันไวรัส และส่วนขยายบนเบราว์เซอร์ เช่น Scam Sniffer เพื่อบล็อกอุปสรรคการล่อลวง
ปฏิบัติทางพฤติกรรม:
- รักษาคีย์ส่วนตัวอย่างเหมาะสม: อย่าแชร์คีย์ส่วนตัวของคุณกับผู้ใด หากต้องการป้องกันความเสี่ยงในโลกออนไลน์ ควรเก็บคีย์ส่วนตัวหรือวลีมนติกอยู่ในโหมดออฟไลน์ โดยที่ควรจะเขียนลงบนกระดาษที่ทนทานและปิดสนิทไว้ในสถานที่ที่ปลอดภัย
- ระวังดำเนินการที่น่าสงสัยและลิงก์: อย่าคลิกที่ลิงก์ที่ไม่รู้จักหรือดาวน์โหลดแอปที่ไม่เป็นทางการ ตรวจสอบการแจ้งเตือน airdrop และการสื่อสารอื่นๆ ผ่านแหล่งทางทางการเสมอ ก่อนอนุมัติการโต้ตอบกับสัญญาใดๆ ตรวจสอบสิทธิ์ที่ร้องขออย่างรอบคอบ - เช่น การอนุญาตโทเค็นหรืออัปเกรดบัญชี - และปฏิเสธสิ่งที่น่าสงสัย
- ตรวจสอบสถานะการให้สิทธิของกระเป๋าเงินอย่างสม่ำเสมอ: ใช้เครื่องมือเช่น Revoke.cash เพื่อตรวจสอบและเพิกถอนการให้สิทธิของกระเป๋าเงินที่ไม่ได้รับอนุญาต
การนำทางในโลกคริปโตต้องการความระมัดระวังอยู่เสมอ ผู้ใช้ควรนำจิตใจแบบ "ศัตรูซึ่งศัตรู" ไม่เชื่อในความคิดแบบมีแต่ความปรารถนาหรือแรงบันดาลเร็ว และระวังตัวเองจากกับกับกับช่างกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับ
หากผู้ใช้ค้นพบว่ากระเป๋าเงินของตนถูกกำหนดค่าให้เป็นบัญชีมัลติซิกอย่างที่ทำให้เสี่ยงต่อการโจมตี จะควรตัดการเชื่อมต่อจากอินเทอร์เน็ตทันที และตัดการเชื่อมต่อของอุปกรณ์ที่เชื่อมต่อออกจากกระเป๋าเงินที่ถูกขโมย และเพิกถอนสิทธิ์ผ่านตาข่ายบล็อกเชน และติดต่อทีมความปลอดภัยมืออาชีพโดยเร็วที่สุดเพื่อขอความช่วยเหลือ
แน่นอนว่า นอกจากผู้ใช้รายบุคคลแล้ว กลไก multisig ต้องพัฒนาต่อไปอย่างต่อเนื่องเพื่อป้องกันการโจมตีที่มีความซับซ้อนมากขึ้น ตัวอย่างเช่น การรวม MPC (Multi-Party Computation) เพื่อเปิดใช้งานลายเซ็นเบิกที่ไม่มีกุญแจ ทำให้ผู้ใช้สามารถเซ็นร่วมธุรกรรมโดยไม่ต้องเปิดเผยกุญแจส่วนตัวทั้งหมด การนำเข้าการป้องกันแบบไดนามิกที่ปรับกฎลายเซ็นในเวลาจริงตามข้อมูลความเสี่ยง และการสร้างระบบการตรวจสอบอัตโนมัติที่ใช้เครื่องมือตรวจจับ AI เพื่อล็อคธุรกรรมที่น่าสงสัยและเรียกใช้การแจ้งเตือน
อย่างไรก็ตาม หน่วยงานกำกับการ ยังเริ่มใช้บังคับข้อกำหนดการปฏิบัติตามสำหรับบริการกระเป๋าเก็บเงินสำหรับลูกค้า รวมถึงกระเป๋ามัลติซิกด้วย ตัวอย่างเช่น กฎหมาย Markets in Crypto-Assets (MiCA) ของสหภาพยุโรป - ที่เป็นประการตรง - กำหนดอย่างชัดเจนว่าสถาบันที่ให้บริการในการเก็บเงินเช่นกระเป๋ามัลติซิก จะต้องปฏิบัติตามข้อกำหนดในการออกใบอนุญาต บททุน และความจำแยกสินทรัพย์ และต้องปฏิบัติตามมาตรฐานการปฏิบัติงานที่เข้มงวด
เมื่อกรอบกฎหมายระดับโลกสำหรับการเก็บรักษาสินทรัพย์ดิจิทัลกำลังกลายเป็นชัดเจนและเข้มงวดมากขึ้น กฎเหล่านี้—ซึ่งหมายความว่าจะเพิ่มค่าใช้จ่ายเพิ่มเติมให้ผู้ให้บริการ—ในที่สุดจะมีส่วนช่วยเสริมสร้างให้ระบบนิเวศดิจิทัลที่โปร่งใส น่าเชื่อถือมากขึ้น และเพิ่มประสิทธิภาพในการรักษาความปลอดภัยของสินทรัพย์ของผู้ใช้อย่างมีนัยสำคัญ
สรุป
กลไกการทำมัลติซิกได้เพิ่มความปลอดภัยและความยืดหยุ่นของการเก็บรักษาสกุลเงินดิจิทัลอย่างมาก โดยการกำจัดความเสี่ยงที่เกี่ยวข้องกับกุญแจส่วนตัวเดียว มันเป็นฐานที่มั่นที่สำคัญสำหรับการจัดการสินทรัพย์ การใช้งานขององค์กร และบริการทางการเงินนวัตกรรม อย่างไรก็ตาม เหมือนกับระบบที่ซับซ้อนใด ๆ การทำมัลติซิกก็ยังมีความเสี่ยงต่อการใช้งานที่ไม่ถูกต้องและการหลอกลวงที่เน้นไปที่มันก็กำลังเป็นสิ่งที่พบได้มากขึ้น
เป็นผู้ใช้สกุลเงินดิจิทัล สิ่งที่สำคัญคือการปรับปรุงความตระหนักรู้ด้านความปลอดภัยอย่างต่อเนื่อง ระวังต่อข้อเสนอที่น่าสนใจและกับกำลังที่ซ่อนอยู่ และไม่เคยทำให้ผลกำไรระยะสั้นนำไปสู่ความเสียหายระยะยาว นอกจากนี้ ผู้ใช้ควรเรียนรู้การใช้เครื่องมือสกุลเงินดิจิทัลต่าง ๆ อย่างเชี่ยวชาญเพื่อป้องกันความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้น
Artikel terkait
ศึกษาด้วยตัวคุณเอง (DYOR)?
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?
โซลานาคืออะไร?
มัลติซิก โกหก คืออะไร และผู้ใช้จะป้องกันตัวอย่างไร?
มัลติซิกกลไกคืออะไร?
เหตุการณ์สำคัญในการพัฒนากลไก Multisig
วิธีการทำงานของกระเป๋า Multisig
ข้อดีและข้อเสียของกลไก Multisig
วิธีการที่ใช้กันอย่างแพร่หลายในการโกง Multisig คืออะไร?
ผู้ใช้สามารถป้องกันตนเองได้อย่างไร?
สรุป
ในป่ามืดของโลกคริปโต อุบัติการณ์การ hack ยังคงปรากฎขึ้นต่อเนื่อง ตามรายงานจากบริษัทรักษาความปลอดภัยบล็อกเชน PeckShield มีเหตุการณ์การ hack สกัดส่วนเกิดขึ้นมากกว่า 300 ครั้งในปี 2024 โดยเกิดความสูญเสียรวม 2.15 พันล้านเหรียญสหรัฐ — เพิ่มขึ้น 30% เมื่อเปรียบเทียบกับ 1.51 พันล้านเหรียญสหรัฐในปี 2023 แฮกเกอร์จัดการกับสาขาต่างๆ เหมือนเครื่อง ATM ส่วนตัวของตน โดยฉ้อโกงเกี่ยวกับกระเป๋าสตางค์มีการแพร่กระจายอย่างมาก — รวมถึงฉ้อโกง multisig
การโกงแบบมัลติซิกคือรูปแบบหนึ่งของการหลอกลวงที่โจมตีบัญชีกระเป๋าเงินโดยการใช้กลไกมัลติซิกเพื่อทำให้ผู้ใช้สูญเสียควบคุมบนกระเป๋าเงินและขโมยสินทรัพย์ของพวกเขา ในขณะที่วัตถุประสงค์เดิมๆ ของระบบมัลติซิกคือเพื่อเสริมความปลอดภัยของกระเป๋าเงิน ความซับซ้อนที่ร่วมอยู่ของมันมักกลายเป็นจุดเข้าของมัลติซิก บทความนี้จะสำรวจกลไกมัลติซิกโดยละเอียด - การสำรวจถึงวิธีการทำงานของมัน ข้อดีและข้อเสีย การศึกษากรณีจริง และให้ผู้ใช้กับกลยุทธ์การป้องกันเพื่อป้องกันสินทรัพย์ในกระเป๋าเงินดิจิตอลของพวกเขาได้ดีขึ้น
วิธีการ Multisig คืออะไร?
กลไก multisignature (multisig) เป็นเทคนิคการรักษาความปลอดภัยที่ได้รับการยอมรับอย่างกว้างขวางในพื้นที่สกุลเงินดิจิทัลและบล็อกเชน ต้องใช้ผู้ถือคีย์ส่วนตัวหลายรายเพื่อร่วมกันอนุญาตการทําธุรกรรมหรือดําเนินการที่สําคัญทําให้ผู้ใช้หลายคนสามารถจัดการและควบคุมการเข้าถึงกระเป๋าเงินคริปโตเดียวร่วมกันได้ เมื่อเทียบกับระบบคีย์เดียว multisig ให้ความปลอดภัยและความยืดหยุ่นที่มากขึ้นอย่างมากผ่านการอนุญาตแบบกระจาย เหมาะอย่างยิ่งสําหรับสถานการณ์ต่างๆ เช่น การทํางานร่วมกันเป็นทีม การจัดการสินทรัพย์ของสถาบัน และการกํากับดูแล DAO
เพื่ออธิบายได้ง่าย มัลติซิกคือกลอนความปลอดภัยระดับสูง ที่ต้องใช้กุญแจหลายส่วนเพื่อปลดล็อค นั่นหมายความว่า แม้แต่กุญแจส่วนตัวหรือหลายส่วนจะหายไปหรือถูกครอบครอง ทรัพย์สินในกระเป๋าเงินก็ยังคงปลอดภัย
ขั้นตอนสำคัญในการพัฒนากลไก Multisig
- 2012: โปรโตคอล P2SH (Pay-to-Script-Hash) ของ Bitcoin นำเสนอความสามารถในการฝังสคริปต์มัลติซิกลงในธุรกรรมผ่านการแฮช
- 2560: บริษัทแลกเปลี่ยนเงินดิจิทัล Bitfinex นำโซลูชั่น multisig ของ BitGo มาใช้จัดการสินทรัพย์ของผู้ใช้ อย่างไรก็ตามเนื่องจากมีการกำหนดค่าผิดพลาดในกระเป๋าเงินร้อน 120,000 BTC ถูกขโมย
- 2017: กระเป๋าเงิน Parity ระบบมัลติซิกถูกโจมตีเนื่องจากช่องโหว่ของโค้ด ทำให้มีการขโมยเงิน ETH ประมาณ 150,000 ยูโร
- ปี 2020: ทีม Gnosis ได้เริ่มเปิดตัว Gnosis Safe โดยเป็นการแก้ไขมาตรฐานครั้งแรกของ multisig wallet ในนิเวศ Ethereum อย่างเป็นทางการ ในปีเดียวกันนี้ EIP-3074 ของ Ethereum ได้เสนอ opcodes AUTH และ AUTHCALL ซึ่งช่วยให้บัญชีที่เป็นเจ้าของภายนอก (EOAs) มอบอำนาจให้สัญญาเพื่อดำเนินการทำธุรกรรมในนามของตนเอง โดยให้การสนับสนุนพื้นฐานสำหรับ multisig
- 202Ethereum’s EIP-4337 หรือบัญชี abstraction ผ่าน smart contracts ทำให้การจัดการสิทธิ์ที่ยืดหยุ่นมากขึ้นสำหรับตัวกระเป๋า multisig
- พ.ศ. 2023: EIP-4337 ได้ถูกนำมาใช้ในทางการ ในปีเดียวกันนั้น มีช่องโหว่ของสัญญาถูกค้นพบใน Safe (ก่อนหน้านี้มีชื่อว่า Gnosis Safe) ผู้โจมตีใช้จุดบกพร่องในตรรกะการตรวจสอบลายเซ็นเจนเพื่อปลอมแปลงการทำธุรกรรมมัลติซิกและการขโมยเงิน ตอบสนองต่อเรื่องนี้ ทีม Safe ได้รีบซ่อมแซมปัญหานี้ นำเข้าเฟรมเวิร์คตรวจสอบความปลอดภัยแบบโมดูลาร์ และเปิดตัวคุณสมบัตินาม “การดำเนินการหน่วงเวลา” ใหม่
- 2024: ข้อเสนอ EIP-7702 ทำให้ที่อยู่ EOA สามารถเพิ่มความสามารถของสมาร์ทคอนแทรคในระหว่างธุรกรรมเดียว ทำให้ตรรกะมัลติซิกง่ายขึ้น
วิธีการทำงานของกระเป๋า Multisig
ที่ใจกลางของกลไกลายละเอียดมัลติซิกคือแนวคิดของลายมาตราที่หมายถึงธุรกรรมสามารถสมบูรณ์ได้เมื่อมีจำนวนลายเซ็นที่ถูกต้อง (อัตราการสมบูรณ์) ตามที่กำหนด นี่เป็นที่พบอย่างทั่วไปในรูปแบบ "m-of-n" โดยที่ m คือจำนวนลายเซ็นที่จำเป็น และ n คือจำนวนรวมของกุญแจส่วนตัวที่เกี่ยวข้อง ตัวอย่างเช่น ในกระเป๋าเงินมัลติซิก 2-of-3 จะตั้งค่ากุญแจส่วนตัวสามคู่ แต่อย่างใดก็ตามสองคู่เป็นพอเพียงที่จะอนุมัติธุรกรรม
เรียกตัวอย่างเช่นกระเป๋าตัง TronLink ซึ่งรองรับมัลติซิก การทำงานของเวิร์กโฟลว์ดังนี้:
1) การจัดการและการกระจายกุญแจส่วนตัว
หลังจากสร้างหรือนำเข้ากระเป๋าเงิน ผู้ใช้นำ Gate.io ไปยังส่วน 'การจัดการสิทธิ์' ภายใต้ 'การจัดการกระเป๋าเงิน' ระบบสิทธิ์ multisig ของ TRON กำหนดระดับการเข้าถึงสามระดับ: เจ้าของ, พยาน, และใช้งาน แต่ละระดับมีฟังก์ชันที่แตกต่างกัน
- เจ้าของ: นี่คือระดับสูงสุดของอำนาจในบัญชี มันควบคุมการเป็นเจ้าของ จัดการโครงสร้างการอนุญาต และสามารถดำเนินการสัญญาใด ๆ ได้ เมื่อสร้างบัญชีใหม่ บทบาทนี้จะถูกกำหนดโดยค่าเริ่มต้นให้กับบัญชีเอง
- พยาน: ระดับนี้เฉพาะกับตัวแทนพิเศษและใช้ในการจัดการโหนดที่สร้างบล็อก ไม่สามารถใช้ได้กับผู้ใช้ทั่วไป หลังจากที่สิทธิ์ถูกแก้ไขแล้ว โหนดที่สร้างบล็อกจะต้องกำหนดค่าใหม่
- Active: ระดับสิทธิ์นี้ถูกตั้งค่าและแก้ไขโดยเจ้าของ ใช้ในการดำเนินการงานที่เฉพาะเจาะจง เช่น การโอนเงิน การลงคะแนนเสียง การจับมัด การออกสินทรัพย์ และการสร้างสัญญาฉลาก
แหล่งที่มา: TronLink
ผู้ใช้สามารถแก้ไขสิทธิ์ เพิ่มที่อยู่กุญแจส่วนตัวที่ถือโดยฝ่ายต่าง ๆ และกำหนดค่าค่ามาตรฐานตามความต้องการของพวกเขา จำนวนของกุญแจส่วนตัวจะต้องเท่ากับหรือมากกว่าค่ามาตรฐาน ตัวอย่างเช่น ในการตั้งค่า 3 จาก 5 ผู้ใช้เพิ่มห้ากุญแจส่วนตัวและใด ๆ สามตัวจะต้องลงนามรับรองธุรกรรมเพื่อให้ถือเป็นถูกต้อง
2) การเซ็นต์รายการธุรกรรมและดำเนินการ
เมื่อการตั้งค่าเสร็จสมบูรณ์ ผู้ใช้ A เริ่มต้นขอร้องการโอนเงิน ทำให้ระบบสร้างธุรกรรมที่ไม่ได้ลงนาม ผู้ใช้ A จากนั้นลงนามธุรกรรมโดยใช้กุญแจส่วนตัวของตน เมื่อนั้น ผู้ใช้ B, ผู้ใช้ C หรือเจ้าของกุญแจอื่น ๆ ลงนามตามลำดับจนกระทรวงได้รับจำนวนลายเซ็นที่จำเป็น หลังจากที่ทศนิยมถึงมาตรา ธุรกรรมจึงได้รับการตรวจสอบและส่งไปยังเครือข่ายบล็อกเชนเพื่อดำเนินการ
ข้อดีและข้อเสียของกลไกมัลติซิก
โดยอิงจากวิธีการทำงานของกลไกลายเซ็นเพียงหลายรายการ ประโยชน์ของมันชัดเจนและน่าสนใจ
1) ปรับปรุงความปลอดภัยอย่างมีนัยสำคัญ
- ป้องกันจุดเสียเดียว: เมื่อธุรกรรมต้องการลายเซ็นเจอร์หลายรายการ การบุกรุกของกุญแจส่วนตัวรายเดียว หรือความเสียหายของอุปกรณ์หนึ่งไม่ทำให้เกิดการสูญเสียสินทรัพย์
- ป้องกันการล่วงละเมิดจากภายใน: ในสภาพแวดล้อมของทีม การต้องการการอนุมัติจากหลายฝ่าย จะลดความเสี่ยงของบุคคลคนเดียวที่ทำการยืมเงินโดยไม่ถูกต้องอย่างมาก
- ลดความเสี่ยงในการถูกแฮ็ก: ผู้โจมตีจะต้องบุกรุกกุญแจส่วนตัวหลายตัวหรืออุปกรณ์พร้อมกันเพื่อทำให้การเข้าถึงโดยไม่ได้รับอนุญาตยากขึ้นมาก
2) การบริหารจัดการสินทรัพย์อย่างยืดหยุ่น
- การอนุญาตแบบชั้นเลเยอร์: สามารถตั้งค่าค่าเข้าถึงที่แตกต่างกันได้สำหรับสถานการณ์ที่แตกต่าง (เช่น: 2 จาก 3 สำหรับธุรกรรมทั่วไป มูลค่าต่ำ และ 3 จาก 5 สำหรับการโอนที่มีมูลค่าสูง)
- การจัดการกุญแจแบบกระจาย: ผู้ใช้สามารถเก็บกุญแจส่วนตัวบนอุปกรณ์หลายราย (เช่น สมาร์ทโฟน, กระเป๋าฮาร์ดแวร์, เป็นต้น) หรือในสถานที่ทางกายภายนอกที่แตกต่างกัน—ทำให้เกิดการกระจายความเสี่ยงอย่างมีประสิทธิภาพ
3) ความโปร่งใสและความสามัคคีที่ดีขึ้น
ข้อมูลที่เกี่ยวข้องกับลายเซ็นทั้งหมด - เช่น ที่อยู่ เวลาสถานที่ และอื่น ๆ - ถูกบันทึกและสามารถติดตามได้สาธารณะ ทำให้การตรวจสอบหลังการเกิดเหตุการณ์และความรับผิดชอบง่ายขึ้นมาก
อย่างไรก็ตามความซับซ้อนของกลไกมัลติซิกยังเป็นที่มาของความท้าทายหลายประการ เช่น
1) การจัดการคีย์ที่ซับซ้อน
ในขณะที่ลายเซนเนเจอร์สามารถให้ความยืดหยุ่น แต่ก็สร้างระดับความขึ้นอยู่กับความขึ้นอยู่สูง ผู้ใช้จะต้องให้ความสำคัญในการให้แน่ใจว่ากุญแจส่วนตัวทุกตัวถูกจัดเก็บอย่างปลอดภัยและสามารถเข้าถึงได้ หากผู้ถือกุญแจหนึ่งคนหรือมากกว่ากลายเป็นที่ไม่สามารถติดต่อได้ อาจจะเป็นไปได้ว่าจะหาวิธีที่จะตรงตามความต้องการของลายเซนเนเจอร์ที่ต้องการ — อาจจะทำให้เงินถูกล็อคอย่างถาวร นอกจากนี้ ผู้โจมตีอาจจะหาเรื่องการสร้างภาวะทางสังคม — การคุมเชิงกลยุทธ์โดยการปลอมตัวเป็นแหล่งที่มีความถูกต้องเพื่อหลอกผู้ลงลายอื่นให้ให้สิทธิตาม สิ่งนี้สามารถทำให้มีการเข้าถึงที่ไม่ได้รับอนุญาตและการถูกขโมยเงิน
2) อุปสรรคสูงสำหรับผู้ใช้
เนื่องจากธุรกรรมต้องการความ coordination ระหว่างหลายฝ่ายในการเซ็นชื่อ นี้อาจทำให้เกิดความล่าช้าหรือข้อผิดพลาดโดยเฉพาะในสถานการณ์ฉุกเฉิน
3) ค่าใช้จ่ายสูงบนเชื่อมโยง
ในโซ่เช่น Ethereum สัญญามัลติซิกต้องการการตรวจสอบลายเซ็นต์หลายรอบ เปรียบเทียบกับการทำธุรกรรมโดยใช้ลายเซ็นต์เดี่ยว สิ่งนี้ทำให้ค่า gas สูงขึ้นอย่างมีนัย
4) ความเสี่ยงจากช่องโหว่ทางเทคนิค
มัลติซิกไม่ได้มีความปลอดภัยอย่างแน่นอน หากการรวมระบบกระเป๋าเงินหรือสัญญาเองมีข้อบกพร่องด้านความปลอดภัย แฮ็กเกอร์อาจใช้ช่องโหว่เหล่านั้นเพื่อลักพาเงิน
กระบวนการโจมตี Bybit (แหล่งที่มา: ทีมความปลอดภัย SlowMist)
ในกรณีนี้ เมื่อวันที่ 21 กุมภาพันธ์ 2024 กระเป๋าเงินมัลติซิกของ Bybit บริษัทแลกเปลี่ยนคริปโตถูกเป้าหมายโดยเฉพาะและถูกละเมิด ฮากเกอร์ใช้ฟังก์ชัน deleGate.iocall ในสัญญากระเป๋าเงินมัลติซิก Safe เพื่อซึ่งสัญญาที่เป็นอันตรายเพื่อทับซ้อนตรรกะที่ถูกต้อง สิ่งนี้ทำให้ธุรกรรมที่เป็นฉ้อโกงดูเหมือนถูกต้องในด้านหน้า หลอกลวงผู้ลงนาม ผลคือ ผู้โจมตีทำการวางหลบหลีกกระบวนการตรวจสอบมัลติซิกและโอนสินทรัพย์มูลค่าเกือบ 1.5 พันล้าน ดอลลาร์สหรัฐไปยังที่อยู่กระเป๋าเงินที่ไม่ระบุชื่อ
วิธีการโกงที่ใช้กันบ่อยใน Multisig Scams คืออะไร?
ที่สำคัญของฉลากนี้ โดยปกติมัลติซิกที่เป็นโกหกมักจะเกี่ยวข้องกับการรั่วไหลของคีย์ส่วนตัวหรือการเปลี่ยนแปลงสิทธิ์การใช้งานกระเป๋าเงินโดยไม่ได้รับอนุญาต ขโกหกได้เข้าถึงคีย์ส่วนตัวหรือวลีมนติกของผู้ใช้ผ่านทางหลาย ๆ วิธี และจากนั้นเปลี่ยนแปลงสิทธิ์การใช้งานกระเป๋าเงินโดยการเพิ่มที่อยู่ของพวกเขาเป็นผู้ควบคุมร่วมของบัญชีมัลติซิก ในกรณีที่นี้ผู้ใช้ยังคงสามารถรับเงินเข้ากระเป๋าเงินได้โดยไม่มีปัญหาใด ๆ แต่เมื่อพวกเขาพยายามโอนเงินออกจะพบว่าพวกเขาทำได้ไม่ได้ เนื่องจากการตั้งค่าซ่อน โดยที่ผู้ใช้มักจะไม่เข้าใจว่าพวกเขาได้สูญเสียการควบคุมกระเป๋าเงินแล้ว ขโกหกมักเล่นเกมในระยะยาว ๆ โดยรอให้สินทรัพย์สะสมก่อนถึงจะระบายกระเป๋าเงิน
ดังนั้น ในสถานการณ์ใดที่กระเป๋าเงินมักตกเป็นเหยื่อของการตั้งค่ามัลติซิกที่ทำให้เกิดความผิดปกติ
1) การบริหารจัดการคีย์ที่ไม่เหมาะสมโดยผู้ใช้: บางผู้ใช้จัดเก็บคีย์ส่วนตัวหรือวลีมนติกโดยการถ่ายภาพหน้าจอ อัปโหลดไปยังคลาวด์ไดรฟ์ หรือบันทึกไว้บนอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต ฮากเกอร์สามารถรับได้ผ่านการโจมตีทางไซเบอร์ และเมื่อพวกเขามีการเข้าถึง พวกเขาสามารถกำหนดสิทธิการทำธุรกรรมแบบมัลติซิกที่ไม่เพียงครั้ง
2) การโจมตีด้วยเทคนิคสังคม: มีหลายรูปแบบ ตลอดจนมีทั้งการโจมตีด้วยการส่งลิงก์ของการจีบลัวจากเว็บไซต์ภายนอก, การประกาศที่อาจจะเป็นการแจกฟรีเทียบ, การให้กำลังใจผู้ใช้ด้วยการเติมเงินราคาถูก, การปลอมตัวเป็นฝ่ายช่วยเหลือทางเทคนิค, หรือการปลอมตัวเป็นสมาชิกของทีมเพื่อหลอกให้ผู้ใช้ให้สิทธิพิเศษ วิธีเหล่านี้อาจจะทำให้ผู้ใช้เปิดเผยกุญแจส่วนตัวของกระเป๋าเงินของตนเองโดยรู้ตัวหรือไม่รู้ตัว, หรือเรียกใช้โค้ดสัญญาอัจฉริยะที่เป็นอันตรายเพื่อเปลี่ยนแปลงสิทธิการเข้าถึงกระเป๋าเงิน—ซึ่งทำให้กระเป๋าเงินถูกกำหนดค่าเป็นมัลติซิกภายใต้การควบคุมของคนโกง
3) การเปิดเผยคีย์โดยบุคคลอื่นๆอย่างตั้งใจ: ในบางกรณี ขโมยเสแกมเพียงแค่ทำท่าไม่รู้ว่าจะดำเนินการกระเป๋าสตางค์อย่างไรและให้คีย์ส่วนตัวของพวกเขาให้ผู้ใช้เพื่อขอความช่วยเหลือในการโอนเงิน อย่างไรก็ตาม กระเป๋าสตางค์ได้ถูกตั้งค่าไว้เป็น multisig และเมื่อผู้ใช้โอนสกุลเงินดิจิทัลเข้าไป สินทรัพย์ถูกสูญเสียอย่างถาวร - ภายใต้การควบคุมของขโมยผ่านการอนุญาต multisig
มีวิธีใดที่ผู้ใช้สามารถป้องกันตัวเองได้บ้าง?
เพื่อใช้ประโยชน์จากประโยชน์ด้านความปลอดภัยของกลไกมัลติซิกอย่างเต็มที่พร้อมลดความเสี่ยง ผู้ใช้ควรนำเสนอการแก้ไขแบบคู่: การรวมกันของมาตรการป้องกันทางเทคนิคกับปฏิบัติที่ดีที่สุด
มาตรการทางเทคนิค:
- เลือกบริการมัลติซิกที่เชื่อถือได้: ควรให้ความสำคัญกับกระเป๋าเงินมัลติซิก๊ที่เปิดเผยโค้ดซอร์สและผ่านการตรวจสอบความปลอดภัยจากบุคคลที่สาม ควรเลือกผู้ให้บริการหรือแพลตฟอร์มกระเป๋าเงินที่มีชื่อเสียงและประวัติการรักษาความปลอดภัยที่ได้รับการยอมรับ
- นำมาใช้หลายชั้นของความปลอดภัย: นอกจากมัลติซิกแล้วผู้ใช้ควรเปิดใช้เครื่องมือป้องกันเสริมเช่น กระเป๋าสตางค์ฮาร์ดแวร์ (เช่น Ledger, Trezor), การรับรองตัวตนสองขั้นตอน (2FA), ซอฟต์แวร์ป้องกันไวรัส และส่วนขยายบนเบราว์เซอร์ เช่น Scam Sniffer เพื่อบล็อกอุปสรรคการล่อลวง
ปฏิบัติทางพฤติกรรม:
- รักษาคีย์ส่วนตัวอย่างเหมาะสม: อย่าแชร์คีย์ส่วนตัวของคุณกับผู้ใด หากต้องการป้องกันความเสี่ยงในโลกออนไลน์ ควรเก็บคีย์ส่วนตัวหรือวลีมนติกอยู่ในโหมดออฟไลน์ โดยที่ควรจะเขียนลงบนกระดาษที่ทนทานและปิดสนิทไว้ในสถานที่ที่ปลอดภัย
- ระวังดำเนินการที่น่าสงสัยและลิงก์: อย่าคลิกที่ลิงก์ที่ไม่รู้จักหรือดาวน์โหลดแอปที่ไม่เป็นทางการ ตรวจสอบการแจ้งเตือน airdrop และการสื่อสารอื่นๆ ผ่านแหล่งทางทางการเสมอ ก่อนอนุมัติการโต้ตอบกับสัญญาใดๆ ตรวจสอบสิทธิ์ที่ร้องขออย่างรอบคอบ - เช่น การอนุญาตโทเค็นหรืออัปเกรดบัญชี - และปฏิเสธสิ่งที่น่าสงสัย
- ตรวจสอบสถานะการให้สิทธิของกระเป๋าเงินอย่างสม่ำเสมอ: ใช้เครื่องมือเช่น Revoke.cash เพื่อตรวจสอบและเพิกถอนการให้สิทธิของกระเป๋าเงินที่ไม่ได้รับอนุญาต
การนำทางในโลกคริปโตต้องการความระมัดระวังอยู่เสมอ ผู้ใช้ควรนำจิตใจแบบ "ศัตรูซึ่งศัตรู" ไม่เชื่อในความคิดแบบมีแต่ความปรารถนาหรือแรงบันดาลเร็ว และระวังตัวเองจากกับกับกับช่างกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับ
หากผู้ใช้ค้นพบว่ากระเป๋าเงินของตนถูกกำหนดค่าให้เป็นบัญชีมัลติซิกอย่างที่ทำให้เสี่ยงต่อการโจมตี จะควรตัดการเชื่อมต่อจากอินเทอร์เน็ตทันที และตัดการเชื่อมต่อของอุปกรณ์ที่เชื่อมต่อออกจากกระเป๋าเงินที่ถูกขโมย และเพิกถอนสิทธิ์ผ่านตาข่ายบล็อกเชน และติดต่อทีมความปลอดภัยมืออาชีพโดยเร็วที่สุดเพื่อขอความช่วยเหลือ
แน่นอนว่า นอกจากผู้ใช้รายบุคคลแล้ว กลไก multisig ต้องพัฒนาต่อไปอย่างต่อเนื่องเพื่อป้องกันการโจมตีที่มีความซับซ้อนมากขึ้น ตัวอย่างเช่น การรวม MPC (Multi-Party Computation) เพื่อเปิดใช้งานลายเซ็นเบิกที่ไม่มีกุญแจ ทำให้ผู้ใช้สามารถเซ็นร่วมธุรกรรมโดยไม่ต้องเปิดเผยกุญแจส่วนตัวทั้งหมด การนำเข้าการป้องกันแบบไดนามิกที่ปรับกฎลายเซ็นในเวลาจริงตามข้อมูลความเสี่ยง และการสร้างระบบการตรวจสอบอัตโนมัติที่ใช้เครื่องมือตรวจจับ AI เพื่อล็อคธุรกรรมที่น่าสงสัยและเรียกใช้การแจ้งเตือน
อย่างไรก็ตาม หน่วยงานกำกับการ ยังเริ่มใช้บังคับข้อกำหนดการปฏิบัติตามสำหรับบริการกระเป๋าเก็บเงินสำหรับลูกค้า รวมถึงกระเป๋ามัลติซิกด้วย ตัวอย่างเช่น กฎหมาย Markets in Crypto-Assets (MiCA) ของสหภาพยุโรป - ที่เป็นประการตรง - กำหนดอย่างชัดเจนว่าสถาบันที่ให้บริการในการเก็บเงินเช่นกระเป๋ามัลติซิก จะต้องปฏิบัติตามข้อกำหนดในการออกใบอนุญาต บททุน และความจำแยกสินทรัพย์ และต้องปฏิบัติตามมาตรฐานการปฏิบัติงานที่เข้มงวด
เมื่อกรอบกฎหมายระดับโลกสำหรับการเก็บรักษาสินทรัพย์ดิจิทัลกำลังกลายเป็นชัดเจนและเข้มงวดมากขึ้น กฎเหล่านี้—ซึ่งหมายความว่าจะเพิ่มค่าใช้จ่ายเพิ่มเติมให้ผู้ให้บริการ—ในที่สุดจะมีส่วนช่วยเสริมสร้างให้ระบบนิเวศดิจิทัลที่โปร่งใส น่าเชื่อถือมากขึ้น และเพิ่มประสิทธิภาพในการรักษาความปลอดภัยของสินทรัพย์ของผู้ใช้อย่างมีนัยสำคัญ
สรุป
กลไกการทำมัลติซิกได้เพิ่มความปลอดภัยและความยืดหยุ่นของการเก็บรักษาสกุลเงินดิจิทัลอย่างมาก โดยการกำจัดความเสี่ยงที่เกี่ยวข้องกับกุญแจส่วนตัวเดียว มันเป็นฐานที่มั่นที่สำคัญสำหรับการจัดการสินทรัพย์ การใช้งานขององค์กร และบริการทางการเงินนวัตกรรม อย่างไรก็ตาม เหมือนกับระบบที่ซับซ้อนใด ๆ การทำมัลติซิกก็ยังมีความเสี่ยงต่อการใช้งานที่ไม่ถูกต้องและการหลอกลวงที่เน้นไปที่มันก็กำลังเป็นสิ่งที่พบได้มากขึ้น
เป็นผู้ใช้สกุลเงินดิจิทัล สิ่งที่สำคัญคือการปรับปรุงความตระหนักรู้ด้านความปลอดภัยอย่างต่อเนื่อง ระวังต่อข้อเสนอที่น่าสนใจและกับกำลังที่ซ่อนอยู่ และไม่เคยทำให้ผลกำไรระยะสั้นนำไปสู่ความเสียหายระยะยาว นอกจากนี้ ผู้ใช้ควรเรียนรู้การใช้เครื่องมือสกุลเงินดิจิทัลต่าง ๆ อย่างเชี่ยวชาญเพื่อป้องกันความเสี่ยงได้อย่างมีประสิทธิภาพมากขึ้น
Artikel terkait
ศึกษาด้วยตัวคุณเอง (DYOR)?
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?