รู้จักนักวิจัยด้านความปลอดภัยบนบล็อกเชนชื่อดัง ZachXBT เมื่อเร็ว ๆ นี้เปิดเผยว่า การโจมตีแบบฟิชชิงที่มุ่งเป้าไปที่ผู้ใช้กระเป๋า MetaMask ได้ทำให้กระเป๋าเงินหลายร้อยใบได้รับความเสียหาย รวมความเสียหายสะสมมากกว่า 10.7 ล้านดอลลาร์สหรัฐ และยังคงเพิ่มขึ้นอย่างต่อเนื่อง ผู้โจมตีใช้ช่วงวันหยุดปีใหม่ ปลอมตัวเป็นทางการส่งอีเมลฟิชชิง “อัปเดตบังคับ” เพื่อหลอกให้ผู้ใช้เซ็นอนุญาตสัญญาอันตราย
เหตุการณ์นี้ร่วมกับกรณีช่องโหว่ของส่วนขยายเบราว์เซอร์ Trust Wallet ที่ถูกโจรกรรมอย่างน้อย 8.5 ล้านดอลลาร์ สะท้อนให้เห็นถึงความเปราะบางอย่างรุนแรงของความปลอดภัยในฝั่งผู้ใช้ในโลกคริปโต บทความนี้จะวิเคราะห์เชิงลึกเกี่ยวกับเทคนิคการโจมตีครั้งนี้ ให้คำแนะนำการรับมือฉุกเฉินในทันที และสร้างระบบป้องกันเชิงลึกสำหรับอนาคต
ภาพรวมของการโจมตี: การล่าเป้าหมายอย่างแม่นยำในช่วงวันหยุด
ในช่วงต้นปีใหม่ เมื่อผู้พัฒนาทั่วโลกและทีมสนับสนุนโครงการอยู่ในช่วงพักร้อนและมีบุคลากรน้อยที่สุด การโจมตีร่วมกันต่อกระเป๋าเงินคริปโตได้เริ่มต้นขึ้นอย่างเงียบ ๆ นักวิจัยด้านความปลอดภัย ZachXBT ได้ตรวจสอบบนบล็อกเชนพบว่า กระเป๋าเงินหลายร้อยใบบนหลายเครือข่าย EVM ที่มีทรัพย์สินถูกโจรกรรมอย่างต่อเนื่องในลักษณะเป็นจำนวนเล็กน้อยและกระจายกัน แต่ละรายเสียหายโดยเฉลี่ยต่ำกว่า 2,000 ดอลลาร์สหรัฐ และเงินที่โจรกรรมทั้งหมดก็ถูกโอนเข้าที่อยู่ที่น่าสงสัยเดียวกัน จนถึงเวลาที่รายงานนี้เผยแพร่ ยอดรวมความเสียหายได้ทะลุ 107,000 ดอลลาร์สหรัฐ และตัวเลขนี้ยังคงเพิ่มขึ้นเรื่อย ๆ
แม้ว่าสาเหตุหลักของการโจมตีนี้ยังอยู่ในระหว่างการสอบสวน แต่รายงานจากผู้ใช้หลายรายเปิดเผยช่องทางเข้าโจมตี: อีเมลฟิชชิงปลอมเป็น “อัปเดตบังคับ” จาก MetaMask ซึ่งได้รับการออกแบบอย่างดี ไม่เพียงแต่ใช้โลโก้ของ MetaMask ที่เป็นสัญลักษณ์ของจิ้งจอกเท่านั้น แต่ยังใส่หมวกปาร์ตี้ให้กับอีเมล หัวข้ออีเมลก็เขียนว่า “สวัสดีปีใหม่!” ซึ่งใช้กลยุทธ์ทางจิตวิทยาเพื่อผ่อนคลายความระวังของผู้ใช้ในช่วงเทศกาล ผู้โจมตีเลือกใช้ช่วงเวลานี้เพื่อโจมตี เพราะเป็นช่วงเวลาที่การตอบสนองช้าลงและความระวังลดลง
รูปแบบการโจรกรรมแบบ “หลายรายการเล็กน้อย” นี้มีความเป็นกลยุทธ์สูง มันชี้ให้เห็นอย่างชัดเจนว่า ในหลายกรณี ผู้โจมตีไม่ได้โจรกรรมรหัสเมมโมรี (Seed Phrase) ของผู้ใช้เพื่อควบคุมกระเป๋าโดยสมบูรณ์ แต่ใช้กลยุทธ์เดิมคือการหลอกให้ผู้ใช้เซ็นอนุญาตสัญญาอันตราย (Contract Approval) ซึ่งโดยปกติแล้ว การอนุญาตให้โทเค็นต่าง ๆ มีสิทธิ์ “ไม่จำกัด” อยู่แล้ว แต่ผู้โจมตีไม่ได้ล้างข้อมูลในกระเป๋าเงินทีเดียว แต่ควบคุมจำนวนเงินที่โจรกรรมในแต่ละครั้งให้อยู่ในระดับต่ำ เพื่อหลีกเลี่ยงการกระตุ้นให้ผู้เสียหายตื่นตัวและดำเนินการทันที ขณะเดียวกันก็สามารถขยายการโจมตีไปยังหลายร้อยกระเป๋า จนกลายเป็นยอดรวมที่น่าตกใจในระดับหกหลัก
ZachXBT เผยข้อมูลสำคัญของเหตุการณ์ฟิชชิง
ระยะเวลาการโจมตี: ตลอดช่วงวันหยุดปีใหม่ ช่วงเวลาที่แน่นอนรอการยืนยัน
จำนวนกระเป๋าที่ได้รับผลกระทบ: หลายร้อยใบ (ตัวเลขยังเพิ่มขึ้นเรื่อย ๆ)
ความเสียหายเฉลี่ยต่อกระเป๋า: มักต่ำกว่า 2,000 ดอลลาร์สหรัฐ
ยอดความเสียหายรวมที่ยืนยันแล้ว: เกิน 107,000 ดอลลาร์สหรัฐ
เครือข่ายที่เกี่ยวข้อง: หลายเครือข่าย EVM (เช่น Ethereum, Polygon, Arbitrum ฯลฯ)
เทคนิคการโจมตี: อีเมลฟิชชิงชักชวนให้เซ็นอนุญาตสัญญาอันตราย
วิเคราะห์จุดบกพร่อง 4 จุดของอีเมลฟิชชิง “มีประสิทธิภาพ”
ทำไมผู้ใช้คริปโตที่มีประสบการณ์จำนวนมากถึงถูกหลอก? อีเมลฟิชชิงที่มีหัวข้อเป็น MetaMask นี้ ถือเป็นตัวอย่าง “ตำราเรียน” ของการทำ Social Engineering ซึ่งความสำเร็จของมันชี้ให้เห็นจุดอ่อนทั่วไปของพฤติกรรมด้านความปลอดภัยของผู้ใช้ธรรมดา อย่างไรก็ตาม ไม่ว่าจะปลอมแปลงอย่างไร ก็ยังมีจุดที่อาจหลุดรอดออกมาได้ หากสามารถสังเกตสัญญาณสำคัญ 4 ข้อนี้ ก็สามารถหยุดยั้งภัยคุกคามได้ก่อนเกิดความเสียหาย
ประการแรก และที่เห็นได้ชัดที่สุด คือ “ชื่อแบรนด์และผู้ส่งไม่ตรงกันอย่างรุนแรง” ในเหตุการณ์นี้ อีเมลแสดงชื่อผู้ส่งเป็น “MetaLiveChain” ซึ่งฟังดูคล้ายกับชื่อที่เกี่ยวข้องกับ DeFi แต่จริง ๆ แล้วไม่มีความเกี่ยวข้องกับ MetaMask เลย ซึ่งเป็นหลักฐานโดยตรงที่ผู้โจมตีปลอมแปลงเทมเพลตอีเมลทางการตลาดที่ถูกต้องตามกฎหมาย หัวข้ออีเมลยังมีลิงก์ยกเลิกการรับข่าวสารที่ชี้ไปยัง “reviews@yotpo .com” ซึ่งยิ่งเผยให้เห็นถึงลักษณะของสแปม
ประการที่สอง “ความรู้สึกเร่งด่วนที่สร้างขึ้นเอง” เป็นกลยุทธ์คลาสสิกของอีเมลฟิชชิง เนื้อหาในอีเมลเน้นว่า การอัปเดตนี้เป็น “บังคับ” ต้องดำเนินการทันที มิฉะนั้นอาจส่งผลต่อการใช้งานกระเป๋า นี่ขัดกับแนวทางความปลอดภัยของ MetaMask อย่างชัดเจน MetaMask ระบุชัดเจนว่า “จะไม่มี” การร้องขอให้ผู้ใช้ยืนยันหรืออัปเดตผ่านอีเมลโดยไม่ได้รับคำขอใด ๆ คำร้องขออัปเดตฉุกเฉินจากแหล่งทางการใด ๆ ควรถือเป็นสัญญาณเตือนสีแดงทันที
จุดที่สามคือ “ลิงก์ที่หลอกลวง” อีเมลฟิชชิงมักมีปุ่มหรือข้อความลิงก์ที่แสดงเป็นคำว่า “อัปเดตทันที” ซึ่งจริง ๆ แล้วชี้ไปยังโดเมนที่ไม่ตรงกับชื่อองค์กรที่อ้างอิง ผู้ใช้สามารถวางเมาส์เหนือปุ่มลิงก์บนเดสก์ท็อปเพื่อดู URL จริงของลิงก์ได้ หากพบว่าไม่ใช่ metamask.io หรือโดเมนลูกของมัน ควรตั้งข้อสงสัยอย่างสูง
ประการสุดท้าย “การขอข้อมูลสำคัญหรือสิทธิ์เข้าถึง” เป็นเส้นแดงสุดท้าย MetaMask และตัวแทนที่ถูกต้องตามกฎหมายจะไม่เคยขอให้คุณเปิดเผย “รหัสกู้คืนลับ” (Secret Recovery Phrase) ผ่านอีเมล ข้อความ หรือโทรศัพท์ และการเซ็นชื่อในข้อความ off-chain ที่ไม่สามารถตรวจสอบได้ก็อาจเป็นกับดัก ในเหตุการณ์ที่ ZachXBT เปิดเผย ผู้เสียหายอาจถูกชักชวนให้เซ็นอนุญาตสัญญาโทเค็นอันตราย ซึ่งเท่ากับเปิดประตูให้โจรกรรมทรัพย์สินของคุณโดยตรง
คำแนะนำการรับมือฉุกเฉิน: ยกเลิกการอนุญาตและลดความเสียหาย
เมื่อรู้ตัวว่าอาจคลิกลิงก์ฟิชชิงหรือเซ็นอนุญาตที่น่าสงสัย ควรใจเย็นและรีบดำเนินการควบคุมความเสียหาย สิ่งแรกคือ “ตัดสิทธิ์การเข้าถึงของผู้โจมตี” โชคดีที่ปัจจุบันมีเครื่องมือหลายอย่างที่ช่วยจัดการและยกเลิกการอนุญาตสัญญาได้ง่าย ๆ สำหรับผู้ใช้ MetaMask สามารถดูและจัดการการอนุญาตทั้งหมดได้โดยตรงใน หน้า Portfolio ของ MetaMask นอกจากนี้ เว็บไซต์มืออาชีพเช่น Revoke.cash ก็ให้บริการง่าย ๆ ในการเชื่อมต่อกระเป๋า เลือกเครือข่าย แล้วจะแสดงรายการการอนุญาตของกระเป๋าให้คุณตรวจสอบและยกเลิกได้ทีละรายการ สำหรับการดำเนินการด้วยตนเอง ก็สามารถใช้หน้า Token Approvals บน Etherscan เพื่อยกเลิกการอนุญาตของ ERC-20, ERC-721 และมาตรฐานอื่น ๆ ได้อย่างรวดเร็ว การดำเนินการอย่างรวดเร็วเป็นกุญแจสำคัญในการป้องกันไม่ให้โจรกรรมล้างกระเป๋า
อย่างไรก็ตาม การดำเนินการที่ถูกต้องขึ้นอยู่กับการประเมินระดับการโจมตีอย่างแม่นยำ จุดสำคัญคือ “การอนุญาตสัญญาถูกโจรกรรม” กับ “รหัสเมมโมรีถูกเปิดเผยโดยสมบูรณ์” หากเป็นกรณีแรก การยกเลิกการอนุญาตก็สามารถช่วยรักษาการควบคุมกระเป๋าไว้ได้ แต่ถ้าเป็นกรณีหลัง หมายความว่าโจรได้ควบคุมกระเป๋าอย่างสมบูรณ์แล้ว การดำเนินการใด ๆ ก็อาจถูกขัดขวางหรือถูกโจรกรรมซ้ำได้
แนวทางความปลอดภัยของ MetaMask ระบุชัดเจนว่า “หากสงสัยว่ารหัสกู้คืนถูกเปิดเผยแล้ว ควรหยุดใช้กระเป๋านั้นทันที” ควรสร้างกระเป๋าใหม่บนอุปกรณ์ที่ปลอดไวรัสและปลอดภัย แล้วโอนทรัพย์สินที่ยังไม่ถูกโจรกรรมไปยังที่อยู่ใหม่ โดยลบรหัสเดิมอย่างถาวรและไม่ใช้ซ้ำอีก การตัดสินใจแบบเด็ดขาดนี้เป็นวิธีเดียวที่จะรับมือกับสถานการณ์ร้ายที่สุด
สร้างระบบป้องกันเชิงลึก: จากการป้องกันจุดเดียวสู่ระบบความปลอดภัยแบบครบวงจร
ไม่ว่าจะเป็นการโจมตีแบบฟิชชิงครั้งนี้ หรือกรณีช่องโหว่ของส่วนขยาย Trust Wallet ที่ทำให้สูญเสีย 8.5 ล้านดอลลาร์ ก็ล้วนชี้ให้เห็นว่า การพึ่งพามาตรการป้องกันเพียงอย่างเดียวเป็นอันตราย ในยุคที่ภัยคุกคามพัฒนาขึ้นเรื่อย ๆ ผู้ใช้ทั่วไปควรสร้างระบบป้องกันเชิงลึก (Defense-in-Depth) จากหลายชั้น เพื่อสร้างอุปสรรคและจำกัดความเสียหายให้อยู่ในระดับที่รับได้
ชั้นแรก: การตั้งค่าฟังก์ชันและนิสัยการใช้งานกระเป๋า กระเป๋าเงินผู้ให้บริการต่าง ๆ เริ่มรวมฟีเจอร์ด้านความปลอดภัย เช่น MetaMask ส่งเสริมให้ผู้ใช้ตั้งค่าขีดจำกัดการใช้จ่ายเมื่ออนุญาตให้โทเค็นต่าง ๆ แทนที่จะปล่อยให้เป็น “ไม่จำกัด” และควรตรวจสอบและลบการอนุญาตเก่าเป็นประจำ ซึ่งเป็นเรื่องสำคัญเทียบเท่ากับการใช้ฮาร์ดแวร์วอลเล็ต MetaMask ยังมีการเปิดใช้งาน Blockaid ซึ่งเป็นระบบแจ้งเตือนความปลอดภัยก่อนที่คุณจะเซ็นอนุญาตธุรกรรมที่น่าสงสัย ซึ่งเป็นแนวป้องกันที่มักถูกมองข้าม
ชั้นที่สอง: การแบ่งระดับความเสี่ยงของทรัพย์สินและการแยกกระเป๋า เป็นวิธีที่มีประสิทธิภาพสูงสุดในการรับมือกับการโจมตีต่าง ๆ ควรใช้โมเดลกระเป๋าเงินแบบ “เย็น-อุ่น-ร้อน”:
- Cold Wallet (เก็บระยะยาว): ใช้ฮาร์ดแวร์วอลเล็ต เช่น Ledger, Trezor สำหรับเก็บทรัพย์สินสำคัญและจำนวนมาก
- Warm Wallet (ใช้งานประจำ): เก็บทรัพย์สินจำนวนเล็กน้อยในวอลเล็ตซอฟต์แวร์บนมือถือหรือคอมพิวเตอร์ เช่น MetaMask สำหรับการเทรด การ staking ฯลฯ
- Hot Wallet (ทดลองใช้งาน): สร้างวอลเล็ต “เผา” สำหรับทดลองกับโปรโตคอล DeFi หรือ NFT ที่ยังไม่ผ่านการตรวจสอบ
โมเดลนี้เพิ่มความยุ่งยากในการจัดการ แต่ ความยุ่งยากคือหัวใจของความปลอดภัย การโจมตีแบบฟิชชิงที่สำเร็จ หากโจมตีแค่ “วอลเล็ตเผา” ก็อาจเสียเงินไม่กี่ร้อยหรือพันดอลลาร์ แต่ถ้าทรัพย์สินทั้งชีวิตอยู่ในวอลเล็ตเดียวที่เชื่อมต่อกับอินเทอร์เน็ต การโจมตีเดียวกันอาจทำลายล้างได้
ชั้นที่สาม: การศึกษาและสร้างความตระหนักอย่างต่อเนื่อง ในวงการมักกล่าวว่าช่องโหว่ด้านความปลอดภัยมาจากความไม่รู้ของผู้ใช้ แต่ข้อมูลจาก Chainalysis ระบุว่า ในปี 2025 มีการโจรกรรมกระเป๋าเงินส่วนตัวประมาณ 158,000 ครั้ง ส่งผลกระทบต่อผู้ใช้ไม่น้อยกว่า 80,000 คน ซึ่งแสดงให้เห็นว่า ผู้โจมตีพัฒนาวิธีการอย่างรวดเร็วกว่าอัตราการเรียนรู้ของผู้ใช้เสมอ ดังนั้น ควรปลูกฝังแนวคิด “สงสัยอยู่เสมอ” เช่น ควรไม่เชื่อข้อมูลใด ๆ จากผู้ให้บริการโดยไม่ตรวจสอบ ควรถือว่าสัญญาอนุญาตใด ๆ เป็นอันตราย เวลาที่จะเข้าใจว่าความสะดวกของคริปโตคือจุดอ่อนที่อาจถูกโจมตีได้ในอนาคต
การเปิดเผยของ ZachXBT นี้ แม้จะถูกบล็อกโดยการติดป้ายชื่อที่อยู่และการระงับฝากเงินใน CEX ชั้นนำ แต่ในสัปดาห์หน้า ก็อาจมีเครื่องมือโจมตีใหม่ ๆ กลับมาอีกด้วย ด้วยเทมเพลตและที่อยู่สัญญาใหม่ ๆ ในวงจรนี้ การป้องกันที่ดีที่สุดคือการไม่ประมาทและสร้างระบบป้องกันเชิงลึกของตัวเอง เพื่อให้สามารถควบคุมความเสี่ยงและทรัพย์สินได้อย่างมั่นใจในระยะยาว
