มัลติซิกหลอกลวงคืออะไร และผู้ใช้จะป้องกันตัวอย่างไร
ในป่ามืดของโลก crypto เหตุการณ์การแฮ็กยังคงเกิดขึ้นทีละครั้ง จากข้อมูลของ PeckShield บริษัทรักษาความปลอดภัยบล็อกเชน เหตุการณ์การแฮ็กสกุลเงินดิจิทัลมากกว่า 300 ครั้งเกิดขึ้นในปี 2024 ส่งผลให้ขาดทุนรวม 2.15 พันล้าน USD ซึ่งเพิ่มขึ้น 30% เมื่อเทียบกับ 1.51 พันล้าน USD ในปี 2023 แฮกเกอร์ปฏิบัติต่อภาคส่วนต่าง ๆ ในฐานะเครื่องจักร ATM ส่วนตัวของพวกเขาโดยการฉ้อโกงที่เกี่ยวข้องกับกระเป๋าเงินนั้นอาละวาดเป็นพิเศษรวมถึงการหลอกลวงแบบมัลติซิก
การโกง multisig เป็นรูปแบบหนึ่งของการหลอกลวงที่ทำให้บัญชีกระเป๋าเงินถูกควบคุมโดยการใช้ช่องทาง multisignature (หรือที่เรียกว่า multi-sig) ซึ่งทำให้ผู้ใช้สูญเสียการควบคุมกระเป๋าเงินและถูกขโมยทรัพย์สินของพวกเขา ในขณะที่วัตถุประสงค์เดิมของระบบ multisig คือเพื่อเสริมความปลอดภัยของกระเป๋าเงิน ความซับซ้อนที่มีอยู่ภายในมักจะกลายเป็นจุดที่เข้าถึงของมือปลอม บทความนี้จะสำรวจอย่างละเอียดเกี่ยวกับกลไก multisig - สำรวจวิธีการทำงาน ข้อดีและข้อเสีย กรณีศึกษาจริง ๆ และให้ผู้ใช้กลยุทธ์การป้องกันเพื่อป้องกันทรัพย์สินในกระเป๋าเงินดิจิทัลของพวกเขาได้อย่างดี
กลไก Multisig คืออะไร
กลไก multisignature (multisig) เป็นเทคนิคการรักษาความปลอดภัยที่ได้รับการยอมรับอย่างกว้างขวางในพื้นที่สกุลเงินดิจิทัลและบล็อกเชน ต้องใช้ผู้ถือคีย์ส่วนตัวหลายรายเพื่อร่วมกันอนุญาตการทําธุรกรรมหรือดําเนินการที่สําคัญทําให้ผู้ใช้หลายคนสามารถจัดการและควบคุมการเข้าถึงกระเป๋าเงินคริปโตเดียวร่วมกันได้ เมื่อเทียบกับระบบคีย์เดียว multisig ให้ความปลอดภัยและความยืดหยุ่นที่มากขึ้นอย่างมากผ่านการอนุญาตแบบกระจาย เหมาะอย่างยิ่งสําหรับสถานการณ์ต่างๆ เช่น การทํางานร่วมกันเป็นทีม การจัดการสินทรัพย์ของสถาบัน และการกํากับดูแล DAO
เพื่ออธิบายง่าย มัลติซิกคือการล็อกความปลอดภัยระดับสูง ที่ต้องใช้กุญแจหลายตัวเพื่อปลดล็อก นี่หมายความว่า แม้แต่กุญแจส่วนตัวหรือหลายกุญแจจะสูญหายหรือถูกบุกรุก ทรัพย์สินของกระเป๋าเงินก็ยังอาจยังคงปลอดภัย
ขั้นตอนสำคัญในการพัฒนากลไก Multisig
- 2012: โปรโตคอล P2SH (Pay-to-Script-Hash) ของ Bitcoin นำเสนอความสามารถในการฝังสคริปต์มัลติซิกลงในธุรกรรมผ่านการทำแฮช
- ปี 2016: แลกเปลี่ยนคริปโต Bitfinex นำโซลูชัน Multisig ของ BitGo มาใช้จัดการทรัพย์สินของผู้ใช้ อย่างไรก็ตาม เนื่องจากการกำหนดค่าผิดพลาดในกระเป๋าเงินร้อน ถูกขโมยไป 120,000 BTC
- 2017: กระเป๋าเงิน Parity แบบมัลติซิก ถูกโจมตีเนื่องจากช่องโหว่ของโค้ด ทำให้มีการถอนถูกขโมยประมาณ 150,000 ETH
- ปี 2020: ทีม Gnosis officially เปิดตัว Gnosis Safe, โซลูชันกระเป๋าตัวเลือกมาตรฐานแรกในระบบ Ethereum ภายใน. ในปีเดียวกัน, Ethereum’s EIP-3074 นำเสนอ opcodes AUTH และ AUTHCALL, ซึ่งอนุญาตให้บัญชีที่เป็นเจ้าของภายนอก (EOAs) ให้อนุญาตให้สัญญาดำเนินการธุรกรรมในนามของตน, ให้การสนับสนุนพื้นฐานสำหรับ มัลติซิก
- 2021: อีเทอเรียม EIP-4337 ข้อเสนอการแยกบัญชีผ่านสมาร์ทคอนแทรค เพื่อให้การจัดการสิทธิการอนุญาตสำหรับกระเป๋าเงินมัลติซิกยืดหยุ่นมากขึ้น
- 2023: EIP-4337 ถูกนํามาใช้อย่างเป็นทางการ ในปีเดียวกันนั้นช่องโหว่ของสัญญาถูกค้นพบใน Safe (เดิมชื่อ Gnosis Safe) ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในตรรกะการตรวจสอบลายเซ็นเพื่อปลอมแปลงธุรกรรม multisig และขโมยเงิน ในการตอบสนองทีม Safe ได้แก้ไขปัญหาทันทีแนะนํากรอบการตรวจสอบความปลอดภัยแบบแยกส่วนและเปิดตัวคุณสมบัติ "การดําเนินการล่าช้า" ใหม่
- 2024: ข้อเสนอ EIP-7702 ช่วยให้ที่อยู่ EOA สามารถได้รับความสามารถของสัญญาอัจฉริยะชั่วคราวภายในธุรกรรมเดียว โดยทำให้ตรรกะมัลติซิกง่ายขึ้นอีกต่อไป
วิธีการทำงานของกระเป๋าเงิน Multisig
ที่มีความสำคัญที่สุดของกลไกลายลักษณ์หลายเซ็นเซอร์คือแนวคิดของลายเซ็นเขต ซึ่งหมายความว่าธุรกรรมนั้นสามารถดำเนินการเสร็จสิ้นได้เฉพาะเมื่อครบตามจำนวนลายเซ็นที่ถูกกำหนดไว้ (เกณฑ์ความสามารถ) นั้น โดยทั่วไปแล้วแสดงออกมาในรูปแบบ "m จาก n" โดยที่ m คือจำนวนของลายเซ็นที่จำเป็น และ n คือจำนวนรวมของคีย์ส่วนตัวที่เข้ามา ในกรณีเช่น เช่นในกระเป๋าเงินแบบ 2 จาก 3 มัลติซิก มีการกำหนดคีย์ส่วนตัวสามตัว แต่คีย์ส่วนตัวสองตัวใดก็พอที่จะอนุญาตให้ดำเนินธุรกรรม
เรียกตัวอย่างเช่นกระเป๋าสตางค์ TronLink ซึ่งรองรับมัลติซิก การทำงานของเครื่องมือดำเนินการดังนี้:
1) การจัดการและการกระจายสำคัญส่วนตัว
หลังจากสร้างหรือนำเข้าวอลเล็ตผู้ใช้จะนำทางไปที่ส่วน 'การจัดการสิทธิ์' ภายใต้ 'การจัดการวอลเล็ต' ระบบสิทธิการแบ่งรหัสของ TRON กำหนดสามระดับการเข้าถึง: เจ้าของ, พยาน และ ใช้งาน, แต่ละระดับมีฟังก์ชั่นที่แตกต่างกัน:
- เจ้าของ: นี่คือระดับที่สูงที่สุดของอำนาจในบัญชี มันควบคุมการถือครอง จัดการโครงสร้างการอนุญาต และสามารถดำเนินการสัญญาใด ๆ ได้ เมื่อสร้างบัญชีใหม่ บทบาทนี้จะถูกกำหนดโดยค่าเริ่มต้นไปยังบัญชีเอง
- พยาน: ระดับนี้เฉพาะกับ Super Representatives และใช้ในการจัดการโหนดการผลิตบล็อก ไม่สามารถใช้ได้สำหรับผู้ใช้ทั่วไป หลังจากที่การอนุญาตถูกแก้ไขแล้ว โหนดการผลิตบล็อกจะต้องถูกกำหนดค่าใหม่
- Active: ระดับสิทธิ์นี้ถูกตั้งค่าและแก้ไขโดยเจ้าของ มีการใช้เพื่อดำเนินการงานที่เฉพาะเจาะจง เช่น การโอนเงิน การลงคะแนนเสียง การจ่ายเงินต่อเนื่อง การเปิดตัวสินทรัพย์และการสร้างสัญญาฉลาก
แหล่งที่มา: TronLink
ผู้ใช้สามารถปรับเปลี่ยนสิทธิ์ เพิ่มที่อยู่คีย์ส่วนตัวที่ถือโดยฝ่ายต่างๆ และกำหนดค่าความสามารถสูงสุดตามความต้องการของพวกเขา จำนวนของคีย์ส่วนตัวต้องเท่ากับหรือมากกว่าค่าความสามารถสูงสุด ตัวอย่างเช่น ในการตั้งค่า 3-of-5 ผู้ใช้เพิ่มคีย์ส่วนตัวห้าตัว และต้องมีอย่างน้อยสามตัวเพื่อลงนามในธุรกรรมเพื่อให้ถูกต้อง
2) การเซ็นรายการธุรกรรมและดำเนินการ
เมื่อการตั้งค่าเสร็จสมบูรณ์ ผู้ใช้ A เริ่มขอการโอนเงิน โดยกระตุ้นระบบให้สร้างธุรกรรมที่ยังไม่ได้รับลายเซ็น จากนั้น ผู้ใช้ A ลงลายเซ็นธุรกรรมโดยใช้กุญแจส่วนตัวของตน เมื่อนั้นผู้ใช้ B, ผู้ใช้ C หรือผู้ครอบครองกุญแจอื่นๆ ลงลายเซ็นเป็นลำดับจนกรอบเงื่อนไขของจำนวนลายเซ็นที่ต้องการถูกเก็บรวบรวม เมื่อครบขั้นต่ำแล้ว ธุรกรรมจึงได้รับการตรวจสอบและถูกส่งออกไปยังเครือข่ายบล็อกเชนเพื่อดำเนินการ
ข้อดีและข้อเสียของกลไก Multisig
โดยลิขสิทธิ์ที่การทำงานของกลไกลายมีผลประโยชน์ที่ชัดเจนและโดดเด่น:
1) การเสริมความปลอดภัยที่สำคัญ
- ป้องกันจุดเดียวของความล้มเหลว: เมื่อธุรกรรมต้องการลายเซ็นต์หลายรายการ การครอบครองของกุญแจส่วนตัวเพียงหนึ่งรายการหรือความล้มเหลวของอุปกรณ์หนึ่งไม่ทำให้เกิดความสูญเสียทรัพย์สิน
- ป้องกันการขาดความไว้วางใจด้านใน: ในสภาพแวดล้อมทีม การต้องการการอนุมัติหลายรายการ จะลดความเสี่ยงของบุคคลคนเดียวที่ใช้เงินผิด
- ลดความเสี่ยงจากการโจมตี: ผู้โจมตีจำเป็นต้องบุกรุกกุญแจส่วนตัวหลายตัวหรืออุปกรณ์พร้อมกันเพื่อทำให้การเข้าถึงโดยไม่ได้รับอนุญาตยากขึ้นมาก
2) การบริหารจัดการสินทรัพย์อย่างยืดหยุ่น
- การอนุญาตแบบชั้นเชิง: สามารถตั้งค่าค่าเข้ากันได้ที่แตกต่างกันสำหรับสถานการณ์ที่แตกต่างกันได้ (เช่น: 2 จาก 3 สำหรับธุรกรรมปกติมูลค่าต่ำ และ 3 จาก 5 สำหรับการโอนมูลค่าสูง)
- การบริหารจัดการคีย์แบบกระจาย: ผู้ใช้สามารถเก็บคีย์ส่วนตัวได้ทั้งในหลายอุปกรณ์ (เช่น สมาร์ทโฟน วอลเล็ทฮาร์ดแวร์ ฯลฯ) หรือในสถานที่ทางกายภาพต่าง ๆ โดยการกระจายความเสี่ยงอย่างมีประสิทธิภาพ
3) การโปร่งใสและการตรวจสอบที่ดีขึ้น
ข้อมูลที่เกี่ยวข้องกับลายเซ็นทั้งหมด เช่น ที่อยู่ เวลาที่บันทึกไว้และอื่น ๆ ถูกบันทึกอย่างเป็นสาธารณะและสามารถติดตามได้ ทำให้การตรวจสอบหลังเหตุการณ์และความรับผิดชอบง่ายขึ้นมาก
อย่างไรก็ตามความซับซ้อนของกลไก multisig ยังเปิดโอกาสให้เกิดความท้าทายหลายประการ เช่น:
1) การจัดการคีย์ที่ซับซ้อน
ในขณะที่ลายเซ็นเกณฑ์ให้ความยืดหยุ่น พวกเขายังสร้างการพึ่งพาในระดับสูง ผู้ใช้ต้องตรวจสอบให้แน่ใจว่าคีย์ส่วนตัวทุกคีย์ได้รับการจัดเก็บและเข้าถึงได้อย่างปลอดภัย หากผู้ถือกุญแจอย่างน้อยหนึ่งรายไม่สามารถเข้าถึงได้อาจเป็นไปไม่ได้ที่จะปฏิบัติตามเกณฑ์ลายเซ็นที่ต้องการซึ่งอาจนําไปสู่การล็อคเงินอย่างถาวร นอกจากนี้ ผู้โจมตีอาจใช้ประโยชน์จากกลวิธีทางวิศวกรรมสังคม—จัดการความไว้วางใจของมนุษย์โดยการแอบอ้างแหล่งข่าวที่ถูกต้องตามกฎหมายเพื่อหลอกให้ผู้ลงนามรายอื่นให้อนุญาต ซึ่งอาจส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาตและการโจรกรรมเงิน
2) การเข้าถึงสูงสำหรับผู้ใช้
เนื่องจากธุรกรรมต้องการความ Coordination ระหว่างหลายฝ่ายในการลงลายมือ, สิ่งนี้อาจทำให้เกิดความล่าช้าหรือความผิดพลาดโดยเฉพาะในสถานการณ์เร่งด่วน
3) ค่าใช้จ่ายในเครือข่ายสูง
ในเชื่อมโยงเช่น Ethereum สัญญา multisig ต้องการการตรวจสอบลายเซ็นที่หลายรอบ เปรียบเทียบกับธุรกรรมลายเซ็นเดียว สิ่งนี้ทำให้ค่า gas สูงขึ้นอย่างมีนัยสำคัญ
4) ความเสี่ยงจากช่องโหว่ทางเทคนิค
Multisig ไม่สามารถเข้าใจผิดได้โดยเนื้อแท้ หากการรวมระบบกระเป๋าเงินหรือสัญญามีข้อบกพร่องด้านความปลอดภัยแฮกเกอร์อาจใช้ประโยชน์จากพวกเขาเพื่อขโมยเงิน
กระบวนการโจมตี Bybit (แหล่งที่มา: ทีมด้านความปลอดภัย SlowMist)
ตัวอย่างเช่นเมื่อวันที่ 21 กุมภาพันธ์ 2024 กระเป๋าเงิน multisig ของการแลกเปลี่ยน crypto Bybit ถูกกําหนดเป้าหมายและละเมิดโดยเฉพาะ แฮกเกอร์ใช้ประโยชน์จากฟังก์ชัน deleGate.iocall ในสัญญากระเป๋าเงิน Safe multisig โดยฉีดสัญญาที่เป็นอันตรายเพื่อแทนที่ตรรกะที่ถูกต้อง สิ่งนี้ทําให้ธุรกรรมฉ้อโกงปรากฏถูกต้องตามกฎหมายในส่วนหน้าหลอกลวงผู้ลงนาม เป็นผลให้ผู้โจมตีข้ามกระบวนการตรวจสอบ multisig และโอนทรัพย์สินเกือบ 1.5 พันล้าน USD ไปยังที่อยู่กระเป๋าเงินที่ไม่ระบุชื่อได้สําเร็จ
วิธีการทั่วไปที่ใช้ในการโกง Multisig คือ?
ที่แท้จริงการหลอกลวง Multisig มักเกี่ยวข้องกับการรั่วไหลของคีย์ส่วนตัวหรือการเปลี่ยนแปลงสิทธิ์การเข้าถึงกระเป๋าสตางค์โดยไม่ได้รับอนุญาต ของผู้ใช้ ที่โกงได้เข้าถึงคีย์ส่วนตัวหรือวลีมนาม ผ่านทางต่าง ๆ แล้วแก้ไขสิทธิ์การเข้าถึงกระเป๋าสตางค์โดยการเพิ่มที่อยู่ของตนเองเป็นผู้ควบคุมร่วมของบัญชี Multisig ในกรณีเช่นนี้ผู้ใช้ยังสามารถรับเงินเข้ากระเป๋าได้โดยไม่มีปัญหา แต่เมื่อพยายามโอนเงินออก พบว่าพวกเขาไม่สามารถทำได้ ด้วยการตั้งค่าที่ซ่อนเร้นนี้ ผู้ใช้มักไม่เข้าใจว่าพวกเขาได้สูญเสียการควบคุมกระเป๋าสตางค์ไปแล้ว โจรมักทำเกมที่ยาวนาน โดยรอให้สินทรัพย์สะสมก่อนระบายกระเป๋าสตางค์
ดังนั้น ในสถานการณ์ใดที่กระเป๋าเงินมักตกเป็นเหยื่อของการตั้งค่ามัลติซิกที่ไม่ดี?
1) การจัดการคีย์ที่ไม่เหมาะสมโดยผู้ใช้: บางผู้ใช้เก็บคีย์ส่วนตัวหรือวลีมนติกด้วยการถ่ายภาพหน้าจอ อัพโหลดไปยังคลาวด์ไดรฟ์ หรือบันทึกไว้บนอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต ฮากเกอร์สามารถหามาได้ผ่านการโจมตีไซเบอร์ และเมื่อเข้าถึงแล้ว พวกเขาสามารถกำหนดสิทธิการใช้งานแบบมัลติซิกที่ไม่ดีทันที
2) การโจมตีทางวิศวกรรมสังคม: สิ่งเหล่านี้มาในรูปแบบต่างๆ กลยุทธ์ทั่วไป ได้แก่ ลิงก์ฟิชชิ่งจากเว็บไซต์ของบุคคลที่สามการอ้างสิทธิ์ airdrop ปลอมการล่อลวงผู้ใช้ด้วยการเติมเงินต้นทุนต่ําการแอบอ้างเป็นฝ่ายสนับสนุนด้านเทคนิคหรือวางตัวเป็นสมาชิกในทีมเพื่อหลอกให้ผู้ใช้ให้สิทธิ์ วิธีการเหล่านี้อาจทําให้ผู้ใช้เปิดเผยคีย์ส่วนตัวของกระเป๋าเงินโดยรู้ตัวหรือไม่รู้ตัว หรือเรียกใช้รหัสสัญญาอัจฉริยะที่เป็นอันตรายซึ่งเปลี่ยนแปลงสิทธิ์ของกระเป๋าเงิน ซึ่งส่งผลให้กระเป๋าเงินถูกกําหนดค่าเป็นมัลติซิกภายใต้การควบคุมของนักต้มตุ๋น
3) การเปิดเผยคีย์อย่างประมาทโดยบุคคลอื่น: ในบางกรณี ของโกหกเสแม่นที่พวกเขาไม่รู้จะดำเนินการกระเป๋าสตางค์และให้คีย์ส่วนตัวของพวกเขาแก่ผู้ใช้เพื่อช่วยเหลือในการโอนเงิน อย่างไรก็ตาม กระเป๋าสตางค์ได้รับการตั้งค่าไว้เป็นมัลติซิกแล้ว และเมื่อผู้ใช้โอนเงินดิจิทัลไปยังนั้น สินทรัพย์จะสูญหายอย่างไม่สามารถกลับไปได้—ถูกควบคุมโดยผู้โกหกผ่านการอนุญาตมัลติซิก
ผู้ใช้สามารถป้องกันตัวได้อย่างไร?
เพื่อใช้ประโยชน์จากประโยชน์ด้านความปลอดภัยของกลไกมัลติซิกอย่างสมบูรณ์ พร้อมลดความเสี่ยงให้น้อยที่สุด ผู้ใช้ควรนำเสนอวิธีการสอง: การรวมกันของมาตรการป้องกันทางเทคนิคกับปฏิบัติที่ดีที่สุดในด้านพฤติกรรม
มาตรการทางเทคนิค:
- เลือกบริการมัลติซิกที่น่าเชื่อถือ: ควรให้ความสำคัญกับกระเป๋าเงินมัลติซิกโอเพ่นซอร์สที่ผ่านการตรวจสอบความปลอดภัยจากบุคคลที่สาม ควรเลือกให้บริการหรือแพลตฟอร์มกระเป๋าเงินที่มีชื่อเสียงแข็งแรงและมีประวัติการรักษาความปลอดภัยที่ได้รับการยืนยัน
- ปรับใช้ชั้นความปลอดภัยหลายชั้น: นอกจากมัลติซิกแล้วผู้ใช้ยังควรเปิดใช้เครื่องมือป้องกันเสริมเช่น กระเป๋าสตางค์ฮาร์ดแวร์ (เช่น Ledger, Trezor), การรับรองความถูกต้องสองชั้น (2FA), ซอฟต์แวร์ป้องกันไวรัส และส่วนขยายบราวเซอร์เช่น Scam Sniffer เพื่อบล็อกอุปสรรคการโจมตีด้วยการล้อกข้อมูล
ปฏิบัติทางพฤติกรรม:
- รักษาคีย์ส่วนตัวอย่างเหมาะสม: อย่าแชร์คีย์ส่วนตัวกับผู้ใด หลีกเลี่ยงความเสี่ยงทางออนไลน์ จัดเก็บคีย์ส่วนตัวหรือวลีมนติกออฟไลน์ โดยที่ดีที่สุดคือเขียนลงบนกระดาษทนทานและปิดป้องอย่างมั่นคงในที่ตั้งที่เป็นกาย
- ระวังดำเนินการที่น่าสงสัยและลิงก์: อย่าคลิกที่ลิงก์ที่ไม่รู้จักหรือดาวน์โหลดแอปที่ไม่เป็นทางการ ตรวจสอบการแจ้งเตือน airdrop และการสื่อสารอื่น ๆ ผ่านแหล่งที่เป็นทางการเสมอ ก่อนอนุมัติการทำสัญญาใด ๆ ตรวจสอบสิทธิที่ร้องขออย่างรอบคอบ - เช่น การอนุญาตโทเค็นหรือการอัปเกรดบัญชี - และปฏิเสธสิ่งที่น่าสงสัย
- ตรวจสอบสถานะการให้สิทธิ์กระเป๋าเงินเป็นประจำ: ใช้เครื่องมือเช่น Revoke.cash เพื่อตรวจสอบและยกเลิกการให้สิทธิ์กระเป๋าเงินที่ไม่ได้รับอนุญาตใด ๆ
การนําทางในโลกของ crypto ต้องการความระมัดระวังอย่างต่อเนื่อง ผู้ใช้ควรใช้ความคิดแบบ "zero trust" หลีกเลี่ยงความคิดที่ปรารถนาหรือจินตนาการที่ร่ํารวยอย่างรวดเร็วและตื่นตัวกับกับดักทั่วไป สิ่งที่สําคัญไม่แพ้กันคือการรับทราบข้อมูล: เรียนรู้เกี่ยวกับการพัฒนาเทคนิคการหลอกลวงและสร้างการรับรู้ความเสี่ยงที่แข็งแกร่งขึ้น
หากผู้ใช้ค้นพบว่ากระเป๋าเงินของตนได้รับการกำหนดค่าอย่างทรมานเป็นบัญชีมัลติซิก ควรตัดการเชื่อมต่อจากอินเทอร์เน็ตทันที ตัดการเชื่อมต่อของอุปกรณ์ทั้งหมดออกจากการทำงานกับกระเป๋าเงินที่ถูกบุกรุก ยกเลิกสิทธิ์ผ่านเบราว์เซอร์บล็อกเชน และติดต่อทีมความปลอดภัยมืออาชีพโดยเร็วเท่าที่เป็นไปได้เพื่อขอความช่วยเหลือ
แน่นอนว่านอกเหนือจากผู้ใช้รายบุคคลแล้วกลไก multisig เองก็ต้องพัฒนาต่อไปเพื่อป้องกันการโจมตีที่ซับซ้อนมากขึ้น ตัวอย่างเช่นการรวม MPC (Multi-Party Computation) เพื่อเปิดใช้งานลายเซ็น "keyless" ทําให้ผู้ใช้สามารถลงนามธุรกรรมร่วมกันได้โดยไม่ต้องเปิดเผยคีย์ส่วนตัวที่สมบูรณ์ การใช้การป้องกันแบบไดนามิกที่ปรับกฎลายเซ็นแบบเรียลไทม์ตามข่าวกรองภัยคุกคาม และสร้างระบบตรวจสอบอัตโนมัติที่ใช้ประโยชน์จากเครื่องมือตรวจจับ AI เพื่อหยุดธุรกรรมที่น่าสงสัยและเรียกใช้การแจ้งเตือน
จากทางอื่น ๆ หน่วยงานกำกับกฎหมายก็เริ่มใช้บังคับข้อกำหนดทางด้านความเป็นไปได้ในการให้บริการกระเป๋าเก็บเงิน รวมถึงกระเป๋า multisig นอกจากนี้ ตัวอย่างเช่น การระดมทุนในสหภาพยุโรป (MiCA) กฎหมายเกี่ยวกับตลาดในสกุลเงินดิจิตอล - ที่เป็นผลให้มีข้อบังคับอย่างเป็นทางการ - กำหนดไว้ชัดเจนว่า สถาบันที่ให้บริการเก็บเงินโดยใช้กระเป๋าหลายคนต้องได้รับใบอนุญาต ต้องมีทุน และมีข้อกำหนดในการแยกเงินทรัพย์ และต้องปฏิบัติตามมาตรฐานการปฏิบัติงานที่เข้มงวด
เนื่องจากกรอบกฎหมายระดับโลกสำหรับการจัดเก็บเหรียญดิจิทัลยังคงกลายเป็นชัดเจนและเป็นที่ยอมรับมากขึ้น กฎเหล่านี้—ซึ่งเพิ่มค่าใช้จ่ายเพิ่มเติมให้ผู้ให้บริการ—จะสร้างสรรค์สู่ระบบนิเวศดิจิทัลที่โปร่งใสและน่าเชื่อถือมากขึ้น ซึ่งสร้างประสิทธิภาพให้กับความปลอดภัยของสินทรัพย์ของผู้ใช้อย่างมีนัยสำคัญ
สรุป
กลไก multisig ได้เสริมความปลอดภัยและความยืดหยุ่นของการจัดเก็บสกุลเงินดิจิทัลอย่างมาก โดยการกำจัดความเสี่ยงที่เกี่ยวข้องกับกุญแจส่วนตัวเดียว มันสร้างพื้นฐานที่แข็งแกร่งสำหรับการจัดการสินทรัพย์ แอพพลิเคชันขององค์กร และบริการทางการเงินนวัตกรรม อย่างไรก็ตาม เหมือนกับระบบที่ซับซ้อนอื่น ๆ มัลติซิกก็ไม่ได้ปลอดภัยจากการถูกหลอกลวง และการฉ้อโกงที่เน้นมาที่มันกำลังกลายเป็นสิ่งที่พบได้บ่อยขึ้น
เป็นผู้ใช้สกุลเงินดิจิทัล การปรับปรุงความตระหนักด้านความปลอดภัยอย่างต่อเนื่อง การระวังต่อข้อเสนอที่น่าตะลึงและกับดักที่ซ่อนอยู่ และไม่ให้กำไรชั่วระยะสั้นนำไปสู่ขาดทุนในระยะยาว เป็นสิ่งสำคัญ นอกจากนี้ ผู้ใช้ควรเชี่ยวชาญในการใช้เครื่องมือสกุลเงินดิจิทัลต่าง ๆ เพื่อป้องกันอันตรายได้อย่างมีประสิทธิภาพมากขึ้น
Artigos relacionados
ศึกษาด้วยตัวคุณเอง (DYOR)?
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?
โซลานาคืออะไร?
มัลติซิกหลอกลวงคืออะไร และผู้ใช้จะป้องกันตัวอย่างไร
กลไก Multisig คืออะไร?
ขั้นตอนสำคัญในการพัฒนากลไกมัลติซิก
วิธีการทำงานของกระเป๋าเงิน Multisig
ข้อดีและข้อเสียของกลไก Multisig
วิธีการโกงที่ใช้บ่อยในฉ้อฉ้อการ Multisig คืออะไร?
ผู้ใช้จะป้องกันตัวได้อย่างไร?
สรุป
ในป่ามืดของโลก crypto เหตุการณ์การแฮ็กยังคงเกิดขึ้นทีละครั้ง จากข้อมูลของ PeckShield บริษัทรักษาความปลอดภัยบล็อกเชน เหตุการณ์การแฮ็กสกุลเงินดิจิทัลมากกว่า 300 ครั้งเกิดขึ้นในปี 2024 ส่งผลให้ขาดทุนรวม 2.15 พันล้าน USD ซึ่งเพิ่มขึ้น 30% เมื่อเทียบกับ 1.51 พันล้าน USD ในปี 2023 แฮกเกอร์ปฏิบัติต่อภาคส่วนต่าง ๆ ในฐานะเครื่องจักร ATM ส่วนตัวของพวกเขาโดยการฉ้อโกงที่เกี่ยวข้องกับกระเป๋าเงินนั้นอาละวาดเป็นพิเศษรวมถึงการหลอกลวงแบบมัลติซิก
การโกง multisig เป็นรูปแบบหนึ่งของการหลอกลวงที่ทำให้บัญชีกระเป๋าเงินถูกควบคุมโดยการใช้ช่องทาง multisignature (หรือที่เรียกว่า multi-sig) ซึ่งทำให้ผู้ใช้สูญเสียการควบคุมกระเป๋าเงินและถูกขโมยทรัพย์สินของพวกเขา ในขณะที่วัตถุประสงค์เดิมของระบบ multisig คือเพื่อเสริมความปลอดภัยของกระเป๋าเงิน ความซับซ้อนที่มีอยู่ภายในมักจะกลายเป็นจุดที่เข้าถึงของมือปลอม บทความนี้จะสำรวจอย่างละเอียดเกี่ยวกับกลไก multisig - สำรวจวิธีการทำงาน ข้อดีและข้อเสีย กรณีศึกษาจริง ๆ และให้ผู้ใช้กลยุทธ์การป้องกันเพื่อป้องกันทรัพย์สินในกระเป๋าเงินดิจิทัลของพวกเขาได้อย่างดี
กลไก Multisig คืออะไร
กลไก multisignature (multisig) เป็นเทคนิคการรักษาความปลอดภัยที่ได้รับการยอมรับอย่างกว้างขวางในพื้นที่สกุลเงินดิจิทัลและบล็อกเชน ต้องใช้ผู้ถือคีย์ส่วนตัวหลายรายเพื่อร่วมกันอนุญาตการทําธุรกรรมหรือดําเนินการที่สําคัญทําให้ผู้ใช้หลายคนสามารถจัดการและควบคุมการเข้าถึงกระเป๋าเงินคริปโตเดียวร่วมกันได้ เมื่อเทียบกับระบบคีย์เดียว multisig ให้ความปลอดภัยและความยืดหยุ่นที่มากขึ้นอย่างมากผ่านการอนุญาตแบบกระจาย เหมาะอย่างยิ่งสําหรับสถานการณ์ต่างๆ เช่น การทํางานร่วมกันเป็นทีม การจัดการสินทรัพย์ของสถาบัน และการกํากับดูแล DAO
เพื่ออธิบายง่าย มัลติซิกคือการล็อกความปลอดภัยระดับสูง ที่ต้องใช้กุญแจหลายตัวเพื่อปลดล็อก นี่หมายความว่า แม้แต่กุญแจส่วนตัวหรือหลายกุญแจจะสูญหายหรือถูกบุกรุก ทรัพย์สินของกระเป๋าเงินก็ยังอาจยังคงปลอดภัย
ขั้นตอนสำคัญในการพัฒนากลไก Multisig
- 2012: โปรโตคอล P2SH (Pay-to-Script-Hash) ของ Bitcoin นำเสนอความสามารถในการฝังสคริปต์มัลติซิกลงในธุรกรรมผ่านการทำแฮช
- ปี 2016: แลกเปลี่ยนคริปโต Bitfinex นำโซลูชัน Multisig ของ BitGo มาใช้จัดการทรัพย์สินของผู้ใช้ อย่างไรก็ตาม เนื่องจากการกำหนดค่าผิดพลาดในกระเป๋าเงินร้อน ถูกขโมยไป 120,000 BTC
- 2017: กระเป๋าเงิน Parity แบบมัลติซิก ถูกโจมตีเนื่องจากช่องโหว่ของโค้ด ทำให้มีการถอนถูกขโมยประมาณ 150,000 ETH
- ปี 2020: ทีม Gnosis officially เปิดตัว Gnosis Safe, โซลูชันกระเป๋าตัวเลือกมาตรฐานแรกในระบบ Ethereum ภายใน. ในปีเดียวกัน, Ethereum’s EIP-3074 นำเสนอ opcodes AUTH และ AUTHCALL, ซึ่งอนุญาตให้บัญชีที่เป็นเจ้าของภายนอก (EOAs) ให้อนุญาตให้สัญญาดำเนินการธุรกรรมในนามของตน, ให้การสนับสนุนพื้นฐานสำหรับ มัลติซิก
- 2021: อีเทอเรียม EIP-4337 ข้อเสนอการแยกบัญชีผ่านสมาร์ทคอนแทรค เพื่อให้การจัดการสิทธิการอนุญาตสำหรับกระเป๋าเงินมัลติซิกยืดหยุ่นมากขึ้น
- 2023: EIP-4337 ถูกนํามาใช้อย่างเป็นทางการ ในปีเดียวกันนั้นช่องโหว่ของสัญญาถูกค้นพบใน Safe (เดิมชื่อ Gnosis Safe) ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในตรรกะการตรวจสอบลายเซ็นเพื่อปลอมแปลงธุรกรรม multisig และขโมยเงิน ในการตอบสนองทีม Safe ได้แก้ไขปัญหาทันทีแนะนํากรอบการตรวจสอบความปลอดภัยแบบแยกส่วนและเปิดตัวคุณสมบัติ "การดําเนินการล่าช้า" ใหม่
- 2024: ข้อเสนอ EIP-7702 ช่วยให้ที่อยู่ EOA สามารถได้รับความสามารถของสัญญาอัจฉริยะชั่วคราวภายในธุรกรรมเดียว โดยทำให้ตรรกะมัลติซิกง่ายขึ้นอีกต่อไป
วิธีการทำงานของกระเป๋าเงิน Multisig
ที่มีความสำคัญที่สุดของกลไกลายลักษณ์หลายเซ็นเซอร์คือแนวคิดของลายเซ็นเขต ซึ่งหมายความว่าธุรกรรมนั้นสามารถดำเนินการเสร็จสิ้นได้เฉพาะเมื่อครบตามจำนวนลายเซ็นที่ถูกกำหนดไว้ (เกณฑ์ความสามารถ) นั้น โดยทั่วไปแล้วแสดงออกมาในรูปแบบ "m จาก n" โดยที่ m คือจำนวนของลายเซ็นที่จำเป็น และ n คือจำนวนรวมของคีย์ส่วนตัวที่เข้ามา ในกรณีเช่น เช่นในกระเป๋าเงินแบบ 2 จาก 3 มัลติซิก มีการกำหนดคีย์ส่วนตัวสามตัว แต่คีย์ส่วนตัวสองตัวใดก็พอที่จะอนุญาตให้ดำเนินธุรกรรม
เรียกตัวอย่างเช่นกระเป๋าสตางค์ TronLink ซึ่งรองรับมัลติซิก การทำงานของเครื่องมือดำเนินการดังนี้:
1) การจัดการและการกระจายสำคัญส่วนตัว
หลังจากสร้างหรือนำเข้าวอลเล็ตผู้ใช้จะนำทางไปที่ส่วน 'การจัดการสิทธิ์' ภายใต้ 'การจัดการวอลเล็ต' ระบบสิทธิการแบ่งรหัสของ TRON กำหนดสามระดับการเข้าถึง: เจ้าของ, พยาน และ ใช้งาน, แต่ละระดับมีฟังก์ชั่นที่แตกต่างกัน:
- เจ้าของ: นี่คือระดับที่สูงที่สุดของอำนาจในบัญชี มันควบคุมการถือครอง จัดการโครงสร้างการอนุญาต และสามารถดำเนินการสัญญาใด ๆ ได้ เมื่อสร้างบัญชีใหม่ บทบาทนี้จะถูกกำหนดโดยค่าเริ่มต้นไปยังบัญชีเอง
- พยาน: ระดับนี้เฉพาะกับ Super Representatives และใช้ในการจัดการโหนดการผลิตบล็อก ไม่สามารถใช้ได้สำหรับผู้ใช้ทั่วไป หลังจากที่การอนุญาตถูกแก้ไขแล้ว โหนดการผลิตบล็อกจะต้องถูกกำหนดค่าใหม่
- Active: ระดับสิทธิ์นี้ถูกตั้งค่าและแก้ไขโดยเจ้าของ มีการใช้เพื่อดำเนินการงานที่เฉพาะเจาะจง เช่น การโอนเงิน การลงคะแนนเสียง การจ่ายเงินต่อเนื่อง การเปิดตัวสินทรัพย์และการสร้างสัญญาฉลาก
แหล่งที่มา: TronLink
ผู้ใช้สามารถปรับเปลี่ยนสิทธิ์ เพิ่มที่อยู่คีย์ส่วนตัวที่ถือโดยฝ่ายต่างๆ และกำหนดค่าความสามารถสูงสุดตามความต้องการของพวกเขา จำนวนของคีย์ส่วนตัวต้องเท่ากับหรือมากกว่าค่าความสามารถสูงสุด ตัวอย่างเช่น ในการตั้งค่า 3-of-5 ผู้ใช้เพิ่มคีย์ส่วนตัวห้าตัว และต้องมีอย่างน้อยสามตัวเพื่อลงนามในธุรกรรมเพื่อให้ถูกต้อง
2) การเซ็นรายการธุรกรรมและดำเนินการ
เมื่อการตั้งค่าเสร็จสมบูรณ์ ผู้ใช้ A เริ่มขอการโอนเงิน โดยกระตุ้นระบบให้สร้างธุรกรรมที่ยังไม่ได้รับลายเซ็น จากนั้น ผู้ใช้ A ลงลายเซ็นธุรกรรมโดยใช้กุญแจส่วนตัวของตน เมื่อนั้นผู้ใช้ B, ผู้ใช้ C หรือผู้ครอบครองกุญแจอื่นๆ ลงลายเซ็นเป็นลำดับจนกรอบเงื่อนไขของจำนวนลายเซ็นที่ต้องการถูกเก็บรวบรวม เมื่อครบขั้นต่ำแล้ว ธุรกรรมจึงได้รับการตรวจสอบและถูกส่งออกไปยังเครือข่ายบล็อกเชนเพื่อดำเนินการ
ข้อดีและข้อเสียของกลไก Multisig
โดยลิขสิทธิ์ที่การทำงานของกลไกลายมีผลประโยชน์ที่ชัดเจนและโดดเด่น:
1) การเสริมความปลอดภัยที่สำคัญ
- ป้องกันจุดเดียวของความล้มเหลว: เมื่อธุรกรรมต้องการลายเซ็นต์หลายรายการ การครอบครองของกุญแจส่วนตัวเพียงหนึ่งรายการหรือความล้มเหลวของอุปกรณ์หนึ่งไม่ทำให้เกิดความสูญเสียทรัพย์สิน
- ป้องกันการขาดความไว้วางใจด้านใน: ในสภาพแวดล้อมทีม การต้องการการอนุมัติหลายรายการ จะลดความเสี่ยงของบุคคลคนเดียวที่ใช้เงินผิด
- ลดความเสี่ยงจากการโจมตี: ผู้โจมตีจำเป็นต้องบุกรุกกุญแจส่วนตัวหลายตัวหรืออุปกรณ์พร้อมกันเพื่อทำให้การเข้าถึงโดยไม่ได้รับอนุญาตยากขึ้นมาก
2) การบริหารจัดการสินทรัพย์อย่างยืดหยุ่น
- การอนุญาตแบบชั้นเชิง: สามารถตั้งค่าค่าเข้ากันได้ที่แตกต่างกันสำหรับสถานการณ์ที่แตกต่างกันได้ (เช่น: 2 จาก 3 สำหรับธุรกรรมปกติมูลค่าต่ำ และ 3 จาก 5 สำหรับการโอนมูลค่าสูง)
- การบริหารจัดการคีย์แบบกระจาย: ผู้ใช้สามารถเก็บคีย์ส่วนตัวได้ทั้งในหลายอุปกรณ์ (เช่น สมาร์ทโฟน วอลเล็ทฮาร์ดแวร์ ฯลฯ) หรือในสถานที่ทางกายภาพต่าง ๆ โดยการกระจายความเสี่ยงอย่างมีประสิทธิภาพ
3) การโปร่งใสและการตรวจสอบที่ดีขึ้น
ข้อมูลที่เกี่ยวข้องกับลายเซ็นทั้งหมด เช่น ที่อยู่ เวลาที่บันทึกไว้และอื่น ๆ ถูกบันทึกอย่างเป็นสาธารณะและสามารถติดตามได้ ทำให้การตรวจสอบหลังเหตุการณ์และความรับผิดชอบง่ายขึ้นมาก
อย่างไรก็ตามความซับซ้อนของกลไก multisig ยังเปิดโอกาสให้เกิดความท้าทายหลายประการ เช่น:
1) การจัดการคีย์ที่ซับซ้อน
ในขณะที่ลายเซ็นเกณฑ์ให้ความยืดหยุ่น พวกเขายังสร้างการพึ่งพาในระดับสูง ผู้ใช้ต้องตรวจสอบให้แน่ใจว่าคีย์ส่วนตัวทุกคีย์ได้รับการจัดเก็บและเข้าถึงได้อย่างปลอดภัย หากผู้ถือกุญแจอย่างน้อยหนึ่งรายไม่สามารถเข้าถึงได้อาจเป็นไปไม่ได้ที่จะปฏิบัติตามเกณฑ์ลายเซ็นที่ต้องการซึ่งอาจนําไปสู่การล็อคเงินอย่างถาวร นอกจากนี้ ผู้โจมตีอาจใช้ประโยชน์จากกลวิธีทางวิศวกรรมสังคม—จัดการความไว้วางใจของมนุษย์โดยการแอบอ้างแหล่งข่าวที่ถูกต้องตามกฎหมายเพื่อหลอกให้ผู้ลงนามรายอื่นให้อนุญาต ซึ่งอาจส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาตและการโจรกรรมเงิน
2) การเข้าถึงสูงสำหรับผู้ใช้
เนื่องจากธุรกรรมต้องการความ Coordination ระหว่างหลายฝ่ายในการลงลายมือ, สิ่งนี้อาจทำให้เกิดความล่าช้าหรือความผิดพลาดโดยเฉพาะในสถานการณ์เร่งด่วน
3) ค่าใช้จ่ายในเครือข่ายสูง
ในเชื่อมโยงเช่น Ethereum สัญญา multisig ต้องการการตรวจสอบลายเซ็นที่หลายรอบ เปรียบเทียบกับธุรกรรมลายเซ็นเดียว สิ่งนี้ทำให้ค่า gas สูงขึ้นอย่างมีนัยสำคัญ
4) ความเสี่ยงจากช่องโหว่ทางเทคนิค
Multisig ไม่สามารถเข้าใจผิดได้โดยเนื้อแท้ หากการรวมระบบกระเป๋าเงินหรือสัญญามีข้อบกพร่องด้านความปลอดภัยแฮกเกอร์อาจใช้ประโยชน์จากพวกเขาเพื่อขโมยเงิน
กระบวนการโจมตี Bybit (แหล่งที่มา: ทีมด้านความปลอดภัย SlowMist)
ตัวอย่างเช่นเมื่อวันที่ 21 กุมภาพันธ์ 2024 กระเป๋าเงิน multisig ของการแลกเปลี่ยน crypto Bybit ถูกกําหนดเป้าหมายและละเมิดโดยเฉพาะ แฮกเกอร์ใช้ประโยชน์จากฟังก์ชัน deleGate.iocall ในสัญญากระเป๋าเงิน Safe multisig โดยฉีดสัญญาที่เป็นอันตรายเพื่อแทนที่ตรรกะที่ถูกต้อง สิ่งนี้ทําให้ธุรกรรมฉ้อโกงปรากฏถูกต้องตามกฎหมายในส่วนหน้าหลอกลวงผู้ลงนาม เป็นผลให้ผู้โจมตีข้ามกระบวนการตรวจสอบ multisig และโอนทรัพย์สินเกือบ 1.5 พันล้าน USD ไปยังที่อยู่กระเป๋าเงินที่ไม่ระบุชื่อได้สําเร็จ
วิธีการทั่วไปที่ใช้ในการโกง Multisig คือ?
ที่แท้จริงการหลอกลวง Multisig มักเกี่ยวข้องกับการรั่วไหลของคีย์ส่วนตัวหรือการเปลี่ยนแปลงสิทธิ์การเข้าถึงกระเป๋าสตางค์โดยไม่ได้รับอนุญาต ของผู้ใช้ ที่โกงได้เข้าถึงคีย์ส่วนตัวหรือวลีมนาม ผ่านทางต่าง ๆ แล้วแก้ไขสิทธิ์การเข้าถึงกระเป๋าสตางค์โดยการเพิ่มที่อยู่ของตนเองเป็นผู้ควบคุมร่วมของบัญชี Multisig ในกรณีเช่นนี้ผู้ใช้ยังสามารถรับเงินเข้ากระเป๋าได้โดยไม่มีปัญหา แต่เมื่อพยายามโอนเงินออก พบว่าพวกเขาไม่สามารถทำได้ ด้วยการตั้งค่าที่ซ่อนเร้นนี้ ผู้ใช้มักไม่เข้าใจว่าพวกเขาได้สูญเสียการควบคุมกระเป๋าสตางค์ไปแล้ว โจรมักทำเกมที่ยาวนาน โดยรอให้สินทรัพย์สะสมก่อนระบายกระเป๋าสตางค์
ดังนั้น ในสถานการณ์ใดที่กระเป๋าเงินมักตกเป็นเหยื่อของการตั้งค่ามัลติซิกที่ไม่ดี?
1) การจัดการคีย์ที่ไม่เหมาะสมโดยผู้ใช้: บางผู้ใช้เก็บคีย์ส่วนตัวหรือวลีมนติกด้วยการถ่ายภาพหน้าจอ อัพโหลดไปยังคลาวด์ไดรฟ์ หรือบันทึกไว้บนอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต ฮากเกอร์สามารถหามาได้ผ่านการโจมตีไซเบอร์ และเมื่อเข้าถึงแล้ว พวกเขาสามารถกำหนดสิทธิการใช้งานแบบมัลติซิกที่ไม่ดีทันที
2) การโจมตีทางวิศวกรรมสังคม: สิ่งเหล่านี้มาในรูปแบบต่างๆ กลยุทธ์ทั่วไป ได้แก่ ลิงก์ฟิชชิ่งจากเว็บไซต์ของบุคคลที่สามการอ้างสิทธิ์ airdrop ปลอมการล่อลวงผู้ใช้ด้วยการเติมเงินต้นทุนต่ําการแอบอ้างเป็นฝ่ายสนับสนุนด้านเทคนิคหรือวางตัวเป็นสมาชิกในทีมเพื่อหลอกให้ผู้ใช้ให้สิทธิ์ วิธีการเหล่านี้อาจทําให้ผู้ใช้เปิดเผยคีย์ส่วนตัวของกระเป๋าเงินโดยรู้ตัวหรือไม่รู้ตัว หรือเรียกใช้รหัสสัญญาอัจฉริยะที่เป็นอันตรายซึ่งเปลี่ยนแปลงสิทธิ์ของกระเป๋าเงิน ซึ่งส่งผลให้กระเป๋าเงินถูกกําหนดค่าเป็นมัลติซิกภายใต้การควบคุมของนักต้มตุ๋น
3) การเปิดเผยคีย์อย่างประมาทโดยบุคคลอื่น: ในบางกรณี ของโกหกเสแม่นที่พวกเขาไม่รู้จะดำเนินการกระเป๋าสตางค์และให้คีย์ส่วนตัวของพวกเขาแก่ผู้ใช้เพื่อช่วยเหลือในการโอนเงิน อย่างไรก็ตาม กระเป๋าสตางค์ได้รับการตั้งค่าไว้เป็นมัลติซิกแล้ว และเมื่อผู้ใช้โอนเงินดิจิทัลไปยังนั้น สินทรัพย์จะสูญหายอย่างไม่สามารถกลับไปได้—ถูกควบคุมโดยผู้โกหกผ่านการอนุญาตมัลติซิก
ผู้ใช้สามารถป้องกันตัวได้อย่างไร?
เพื่อใช้ประโยชน์จากประโยชน์ด้านความปลอดภัยของกลไกมัลติซิกอย่างสมบูรณ์ พร้อมลดความเสี่ยงให้น้อยที่สุด ผู้ใช้ควรนำเสนอวิธีการสอง: การรวมกันของมาตรการป้องกันทางเทคนิคกับปฏิบัติที่ดีที่สุดในด้านพฤติกรรม
มาตรการทางเทคนิค:
- เลือกบริการมัลติซิกที่น่าเชื่อถือ: ควรให้ความสำคัญกับกระเป๋าเงินมัลติซิกโอเพ่นซอร์สที่ผ่านการตรวจสอบความปลอดภัยจากบุคคลที่สาม ควรเลือกให้บริการหรือแพลตฟอร์มกระเป๋าเงินที่มีชื่อเสียงแข็งแรงและมีประวัติการรักษาความปลอดภัยที่ได้รับการยืนยัน
- ปรับใช้ชั้นความปลอดภัยหลายชั้น: นอกจากมัลติซิกแล้วผู้ใช้ยังควรเปิดใช้เครื่องมือป้องกันเสริมเช่น กระเป๋าสตางค์ฮาร์ดแวร์ (เช่น Ledger, Trezor), การรับรองความถูกต้องสองชั้น (2FA), ซอฟต์แวร์ป้องกันไวรัส และส่วนขยายบราวเซอร์เช่น Scam Sniffer เพื่อบล็อกอุปสรรคการโจมตีด้วยการล้อกข้อมูล
ปฏิบัติทางพฤติกรรม:
- รักษาคีย์ส่วนตัวอย่างเหมาะสม: อย่าแชร์คีย์ส่วนตัวกับผู้ใด หลีกเลี่ยงความเสี่ยงทางออนไลน์ จัดเก็บคีย์ส่วนตัวหรือวลีมนติกออฟไลน์ โดยที่ดีที่สุดคือเขียนลงบนกระดาษทนทานและปิดป้องอย่างมั่นคงในที่ตั้งที่เป็นกาย
- ระวังดำเนินการที่น่าสงสัยและลิงก์: อย่าคลิกที่ลิงก์ที่ไม่รู้จักหรือดาวน์โหลดแอปที่ไม่เป็นทางการ ตรวจสอบการแจ้งเตือน airdrop และการสื่อสารอื่น ๆ ผ่านแหล่งที่เป็นทางการเสมอ ก่อนอนุมัติการทำสัญญาใด ๆ ตรวจสอบสิทธิที่ร้องขออย่างรอบคอบ - เช่น การอนุญาตโทเค็นหรือการอัปเกรดบัญชี - และปฏิเสธสิ่งที่น่าสงสัย
- ตรวจสอบสถานะการให้สิทธิ์กระเป๋าเงินเป็นประจำ: ใช้เครื่องมือเช่น Revoke.cash เพื่อตรวจสอบและยกเลิกการให้สิทธิ์กระเป๋าเงินที่ไม่ได้รับอนุญาตใด ๆ
การนําทางในโลกของ crypto ต้องการความระมัดระวังอย่างต่อเนื่อง ผู้ใช้ควรใช้ความคิดแบบ "zero trust" หลีกเลี่ยงความคิดที่ปรารถนาหรือจินตนาการที่ร่ํารวยอย่างรวดเร็วและตื่นตัวกับกับดักทั่วไป สิ่งที่สําคัญไม่แพ้กันคือการรับทราบข้อมูล: เรียนรู้เกี่ยวกับการพัฒนาเทคนิคการหลอกลวงและสร้างการรับรู้ความเสี่ยงที่แข็งแกร่งขึ้น
หากผู้ใช้ค้นพบว่ากระเป๋าเงินของตนได้รับการกำหนดค่าอย่างทรมานเป็นบัญชีมัลติซิก ควรตัดการเชื่อมต่อจากอินเทอร์เน็ตทันที ตัดการเชื่อมต่อของอุปกรณ์ทั้งหมดออกจากการทำงานกับกระเป๋าเงินที่ถูกบุกรุก ยกเลิกสิทธิ์ผ่านเบราว์เซอร์บล็อกเชน และติดต่อทีมความปลอดภัยมืออาชีพโดยเร็วเท่าที่เป็นไปได้เพื่อขอความช่วยเหลือ
แน่นอนว่านอกเหนือจากผู้ใช้รายบุคคลแล้วกลไก multisig เองก็ต้องพัฒนาต่อไปเพื่อป้องกันการโจมตีที่ซับซ้อนมากขึ้น ตัวอย่างเช่นการรวม MPC (Multi-Party Computation) เพื่อเปิดใช้งานลายเซ็น "keyless" ทําให้ผู้ใช้สามารถลงนามธุรกรรมร่วมกันได้โดยไม่ต้องเปิดเผยคีย์ส่วนตัวที่สมบูรณ์ การใช้การป้องกันแบบไดนามิกที่ปรับกฎลายเซ็นแบบเรียลไทม์ตามข่าวกรองภัยคุกคาม และสร้างระบบตรวจสอบอัตโนมัติที่ใช้ประโยชน์จากเครื่องมือตรวจจับ AI เพื่อหยุดธุรกรรมที่น่าสงสัยและเรียกใช้การแจ้งเตือน
จากทางอื่น ๆ หน่วยงานกำกับกฎหมายก็เริ่มใช้บังคับข้อกำหนดทางด้านความเป็นไปได้ในการให้บริการกระเป๋าเก็บเงิน รวมถึงกระเป๋า multisig นอกจากนี้ ตัวอย่างเช่น การระดมทุนในสหภาพยุโรป (MiCA) กฎหมายเกี่ยวกับตลาดในสกุลเงินดิจิตอล - ที่เป็นผลให้มีข้อบังคับอย่างเป็นทางการ - กำหนดไว้ชัดเจนว่า สถาบันที่ให้บริการเก็บเงินโดยใช้กระเป๋าหลายคนต้องได้รับใบอนุญาต ต้องมีทุน และมีข้อกำหนดในการแยกเงินทรัพย์ และต้องปฏิบัติตามมาตรฐานการปฏิบัติงานที่เข้มงวด
เนื่องจากกรอบกฎหมายระดับโลกสำหรับการจัดเก็บเหรียญดิจิทัลยังคงกลายเป็นชัดเจนและเป็นที่ยอมรับมากขึ้น กฎเหล่านี้—ซึ่งเพิ่มค่าใช้จ่ายเพิ่มเติมให้ผู้ให้บริการ—จะสร้างสรรค์สู่ระบบนิเวศดิจิทัลที่โปร่งใสและน่าเชื่อถือมากขึ้น ซึ่งสร้างประสิทธิภาพให้กับความปลอดภัยของสินทรัพย์ของผู้ใช้อย่างมีนัยสำคัญ
สรุป
กลไก multisig ได้เสริมความปลอดภัยและความยืดหยุ่นของการจัดเก็บสกุลเงินดิจิทัลอย่างมาก โดยการกำจัดความเสี่ยงที่เกี่ยวข้องกับกุญแจส่วนตัวเดียว มันสร้างพื้นฐานที่แข็งแกร่งสำหรับการจัดการสินทรัพย์ แอพพลิเคชันขององค์กร และบริการทางการเงินนวัตกรรม อย่างไรก็ตาม เหมือนกับระบบที่ซับซ้อนอื่น ๆ มัลติซิกก็ไม่ได้ปลอดภัยจากการถูกหลอกลวง และการฉ้อโกงที่เน้นมาที่มันกำลังกลายเป็นสิ่งที่พบได้บ่อยขึ้น
เป็นผู้ใช้สกุลเงินดิจิทัล การปรับปรุงความตระหนักด้านความปลอดภัยอย่างต่อเนื่อง การระวังต่อข้อเสนอที่น่าตะลึงและกับดักที่ซ่อนอยู่ และไม่ให้กำไรชั่วระยะสั้นนำไปสู่ขาดทุนในระยะยาว เป็นสิ่งสำคัญ นอกจากนี้ ผู้ใช้ควรเชี่ยวชาญในการใช้เครื่องมือสกุลเงินดิจิทัลต่าง ๆ เพื่อป้องกันอันตรายได้อย่างมีประสิทธิภาพมากขึ้น
Artigos relacionados
ศึกษาด้วยตัวคุณเอง (DYOR)?
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?