มีรายงานว่านักลงทุนคริปโตสูญเสีย 783 Bitcoin ซึ่งมีมูลค่ากว่า $91 ล้าน ในหนึ่งในการฉ้อโกงทางวิศวกรรมสังคมที่ใหญ่ที่สุดในประวัติศาสตร์สมัยใหม่ เหตุการณ์เมื่อวันที่ 19 สิงหาคมซึ่งถูกเปิดเผยโดยนักสืบ on-chain ZachXBT เน้นให้เห็นถึงความเปราะบางของมนุษย์ในความปลอดภัยของคริปโต แม้กระทั่งผู้ใช้ที่มีประสบการณ์
ในขณะที่ข่าวคริปโตส่วนใหญ่เน้นเรื่องการโจมตี smart contract และการแฮ็กการแลกเปลี่ยน การโจมตีครั้งนี้ เป็นตัวอย่างที่ชัดเจนว่าผู้โจมตีสามารถข้ามระบบที่ซับซ้อนได้โดยอาศัยการหลอกลวงด้วยความไว้วางใจ
ในกรณีนี้ ผู้โจมตีแอบอ้างเป็นฝ่ายสนับสนุนลูกค้าทั้งจากการแลกเปลี่ยนคริปโตและผู้ให้บริการกระเป๋าฮาร์ดแวร์ โดยทำให้เหยื่อเข้าใจว่าต้องมอบข้อมูลสำคัญภายใต้ชื่อของความช่วยเหลือทางเทคนิค
ขนาดของการโจมตี - หนึ่งในขโมยคริปโตที่รู้จักกันมากที่สุดในวิศวกรรมสังคมจนถึงปัจจุบัน เป็นการเตือนที่ชัดเจนว่า ลิงก์ที่อ่อนแอที่สุดในห่วงโซ่ความปลอดภัยมักไม่ใช่โค้ด แต่เป็นพฤติกรรมของมนุษย์
ขโมย $91 ล้าน: สิ่งที่เรารู้จนถึงตอนนี้
เหตุการณ์นี้เปิดเผยขึ้นเมื่อ ZachXBT รายงานการเคลื่อนไหวอย่างฉับพลันของจำนวน BTC จำนวนมาก ตามข้อมูลบนบล็อกเชนและทวีตของ ZachXBT เมื่อวันที่ 21 สิงหาคม BTC ที่ถูกขโมย 783 BTC ถูกย้ายไปในทันทีหลังจากการละเมิด โดยมีการจัดการผ่าน Wasabi Wallet ซึ่งเป็นบริการมิกซ์คริปโตที่รู้จักกันว่ามีคุณสมบัติเพิ่มความเป็นส่วนตัว
“เหยื่อเมื่อเร็ว ๆ นี้สูญเสีย 783 BTC (~$91M) จากการหลอกลวงทางวิศวกรรมสังคม และมีการเคลื่อนย้ายเงินผ่าน Wasabi ในสัปดาห์นี้” ZachXBT เขียนบน X (เดิม Twitter)
แม้จะยังไม่มีการเปิดเผยตัวตนของเหยื่อ ขนาดของการโจรกรรมบ่งชี้ว่ากลุ่มเป้าหมายน่าจะเป็นบุคคลที่มีมูลค่าสุทธิมากหรือเป็นนักลงทุนสถาบัน วิธีการของผู้โจมตี - แอบอ้างเป็นผู้แทนแลกเปลี่ยนและช่างเทคนิคกระเป๋าเงินฮาร์ดแวร์ ดูเหมือนถูกออกแบบมาเพื่อใช้ประโยชน์จากความไว้วางใจและความสับสน
มีรายงานว่าการหลอกลวงครั้งนี้เกี่ยวข้องกับการหลอกลวงหลายชั้นและเทคนิคหลอกลวง ซึ่งผู้โจมตีเริ่มต้นการติดต่อและค่อยๆ โน้มน้าวให้เหยื่อเปิดเผยข้อมูลรับรองที่สำคัญ อาจรวมถึงรหัสส่วนตัวหรือคำตั้งต้น
วิศวกรรมสังคมคืออะไร - และทำไมมันถึงอันตรายมาก?
การโจมตีวิศวกรรมสังคมไม่พึ่งพาการเจาะเข้าสู่ระบบ แต่เน้นการหลอกลวงให้คนมอบการเข้าถึงด้วยตนเอง ในโลกของคริปโต สิ่งนี้มักปรากฏในรูปแบบของ:
- การหลอกออนไลน์สนับสนุนเทคนิคเพื่อติดต่อลูกค้าแก้ไข “ปัญหาบัญชี”
- ผู้แอบอ้างตัวเพื่อเป็นสมาชิกทีมใน Discord, Telegram หรืออีเมลที่อ้างว่าเป็นผู้ให้บริการกระเป๋าเงิน
- ลิงค์โทษหรือดาวน์โหลดที่ส่งโดยหน่วยงานที่ดูน่าเชื่อถือ
- การฟังก์หรือพยานเสียงเทียมเพื่อเลียนแบบเจ้าหน้าที่จริง
ไม่เหมือนการแฮกรหัสทันทีหรือการหักล้าง smart contract วิศวกรรมสังคมต้องการไม่มีการละเมิดทางเทคนิค ทำให้ตรวจไม่พบจนกระทั่งสายเกินไป
และด้วยธุรกรรมคริปโตที่ไม่สามารถย้อนกลับได้ เมื่อลบเงินออกจากกระเป๋าแล้ว แทบจะเป็นไปไม่ได้ที่จะกู้คืน - โดยเฉพาะเมื่อมันถูกฟอกผ่านเครื่องมือความเป็นส่วนตัวอย่าง Wasabi หรือเครื่องผสมเช่น ChipMixer และ Tornado Cash
ประวัติศาสตร์ซ้ำ: ความก้องของการเจาะ Genesis ปี 2024
การขโมย $91 ล้านในสัปดาห์นี้ยังเกิดขึ้นเกือบตรงขวบปีหลังจากการหลอกลวงครั้งยิ่งใหญ่อีก โดยผู้โจมตีขโมย $243 ล้านจากเจ้าหนี้ของ Genesis ด้วยวิธีการวิศวกรรมสังคม ในกรณีนั้น ผู้โจมตีแอบอ้างเป็นผู้ดูแลที่เชื่อถือได้และโน้มน้าวผู้ใช้งานให้เซ็นธุรกรรมที่มีอันตรายหรือมอบคำตั้งต้น
เวลาที่เลือกนี้ได้เรียกความสนใจจากนักวิเคราะห์ความปลอดภัยบางคนที่เสนอมาว่า การหลอกลวงขนาดใหญ่เหล่านี้อาจวางแผนให้ตรงกับวันสำคัญ - การครบรอบของการโจมตีในอดีต เหตุการณ์ตลาดใหญ่ หรือการอัปเกรดโปรโตคอล - ซึ่งการฟุ้งซ่านและภาระการรับรู้มากกว่าปกติสามารถลดการเฝ้าระวังลงได้
ในขณะที่อุตสาหกรรมคริปโตได้ทำความก้าวหน้าอย่างมากในด้านการจัดเก็บข้อมูลเย็น กำหนดลายเซ็นหลายลาย อุปกรณ์ฮาร์ดแวร์ และการเข้าถึงด้วยลายนิ้วมือ แต่ไม่มีเครื่องมือเหล่านี้สามารถปกป้องกับชั้นมนุษย์ได้เต็มที่ ตามข้อมูลจาก Chainalysis และ CertiK วิศวกรรมสังคมสูงถึงกว่า 25% ของการสูญเสียคริปใหญ่ในปี 2024 รองลงมาก็คือข้อบกพร่องของ smart contract
และเหยื่อล้วนไม่ใช่มือใหม่ “เรากำลังเห็นนักลงทุนที่มีความชำนาญตกเป็นเหยื่อของการหลอกลวงเหล่านี้” คริส เบลกผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กล่าวว่า “ผู้แอบอ้างเหล่านี้มักจะอดทน รับรู้ข้อมูล และมีทักษะในการจัดการทางจิตวิทยา พวกเขาไม่ได้สุ่มใส่รหัสผ่าน - พวกเขากำลังได้รับความไว้วางใจ”
ธงแดงและบทเรียนสำหรับนักลงทุน
เหตุการณ์ล่าสุดนี้เป็นกรณีศึกษาที่น่ากลัวเกี่ยวกับความจำเป็นในการเฝ้าระวัง ความสงสัย และโปรโตคอลการตรวจสอบสถานการณ ผู้เชี่ยวชาญแนะนำวิธีปฏิบัติที่ดีที่สุดดังนี้:
- ไม่เคยแบ่งปันคำตั้งต้นหรือกุญแจส่วนตัว - ไม่มีบริการที่ถูกต้องตามกฎหมายต้องการสิ่งนี้
- ตรวจสอบการติดต่อฝ่ายสนับสนุนไว้ด้วยตนเอง - ใช้เว็บไซต์ทางการ ไม่ใช่ลิงก์ที่ส่งทาง DM หรืออีเมล
- เปิดการแจ้งเตือนการทำธุรกรรมและการยืนยันกระเป๋าฮาร์ดแวร์สำหรับทุกธุรกรรมที่ส่งออก
- ใช้การตั้งค่าการหาลายเซ็นหลายลายที่ไม่มีใครสามารถเคลื่อนย้ายเงินได้เพียงลำพัง
- ให้การศึกษาสมาชิกทีมและครอบครัว - โดยเฉพาะผู้ที่มีส่วนในการจัดการกระเป๋าหรือกระเป๋าสถาบันร่วมกัน
ผู้ให้บริการกระเป๋า, การแลกเปลี่ยน และแพลตฟอร์ม DeFi ก็มีความรับผิดชอบเช่นกัน หลายคนในปัจจุบันได้ใช้การเตือนการแอบอ้างสนับสนุน การแจ้งเตือนการหลอกหลวงแบบเรียลไทม์และแคมเปญการศึกษาแก่ผู้ใช้เพื่อป้องกันเหตุการณ์เหล่านี้ แต่กรณีนี้แสดงให้เห็นว่ายังมีงานต้องทำอีกมาก
ทำไมเครื่องมือความเป็นส่วนตัวซับซ้อนการฟื้นคืน
หนึ่งในความท้าทายที่ใหญ่ที่สุดในการฟื้นคืนคริปโตที่ถูกขโมยคือการซ่อนเร้นผ่านกระเป๋าความเป็นส่วนตัวและเครื่องผสม ในกรณีนี้ BTC ที่ถูกขโมยส่วนใหญ่ถูกส่งไปยัง Wasabi Wallet แพลตฟอร์มที่ใช้ CoinJoin
- โปรโตคอลผสมที่รวมการทำธุรกรรมของผู้ใช้หลาย ๆ คนเพื่อสร้างความสะบัดให้กับการติดตาม
ในขณะที่เครื่องมือความเป็นส่วนตัวมีวัตถุประสงค์ถูกต้อง เช่นการปกป้องกองทุนแห่งกิจกรรมและป้องกันตัวตนของผู้ใช้จากการสอดส่อง แต่มันสามารถถูกใช้ในการฟอกเงินที่ผิดกฎหมายและทำให้พวกฟอกเงินเข้ามาท้าทาย
ผลที่ตามมาก็คือ กฎหมายเจอข้อจำกัดอย่างมากในการติดตามหรือแช่แข็งคริปโตที่ถูกขโมย เว้นแต่ผู้โจมตีทำผิดพลาดหรือพยายามเปลี่ยนเงินผ่านการแลกเปลี่ยนที่อยู่ภายใต้การกำกับดูแล
การตรวจตราของ ZachXBT อาจช่วยติดตามการเคลื่อนไหวลงสู่ส่วนล่าง แต่ว่าโดยปราศจากตัวตนจริง หรือการมีส่วนร่วมในการยืนยันตนเองจากการแลกเปลี่ยน โอกาสการฟื้นฟูก็ยังคงน้อยนิด
การตอบสนองของอุตสาหกรรม: การศึกษา, UX และการตรวจจับการหลอกลวงด้วย AI
ในการตอบโต้หลังจากการโจมตี ผู้เชี่ยวชาญด้านความปลอดภัยได้เรียกร้องให้ปรับปรุงการแนะนำผู้ใช้ใหม่ รวมถึงการจำลองการหลอก, การฝึกอินเตอร์แอคทีฟ และระบบตรวจจับการหลอกลวงที่ใช้ AI ที่แจ้งเตือนพฤติกรรมมีข้อสงสัยก่อนที่เงินจะถูกทำให้เสีย
บริษัท อย่าง Ledger, Trezor, Coinbase และ MetaMask ได้เริ่มรวมการแจ้งเตือนการหลอกลวงแบบเรียลไทม์ การรวมการเข้าสู่บัญชีดำการหลอกลวง และการตรวจสอบการสนับสนุนในกระเป๋าแล้ว แต่ระบบนี้ส่วนใหญ่ยังคงเป็นตัวเลือก
- และยังไม่ฟูลฟรูฟ
บางคนเสนอให้สร้างเลเยอร์ตัวตนกระจายและชื่อเสียงกระเป๋าในโปรโตคอลอนาคต ทำให้ผู้ใช้สามารถตรวจสอบตัวแทนสนับสนุนที่ถูกต้อง หรือสร้างคะแนนความไว้วางใจสำหรับที่อยู่กระเป๋าแต่สิ่งเหล่านี้ยังอยู่ในช่วงแรกของการพัฒนา
ข้อสรุปสุดท้าย
การสูญเสีย 783 BTC จากการโจมตีทางวิศวกรรมสังคม เป็นหนึ่งในการเตือนสิ่งที่ใหญ่ที่สุดและทำให้เราหวนนึกถึงความจริงว่าความปลอดภัยของคริปโตไม่ได้อยู่ในด้านเทคนิค
- มันเป็นเรื่องของมนุษย์อย่างลึกซึ้ง ขณะที่การยอมรับ Web3 เติบโตขึ้น ความซับซ้อนของกลโกงก็พัฒนาตาม
แม้ว่าการตรวจโค้ด, การตั้งค่าหาลายเซ็นหลายลาย และเลเยอร์ความเป็นส่วนจะมีความสำคัญ การป้องกันที่สำคัญที่สุดยังคงเป็นการศึกษาและการระมัดระวัง ในระบบการเงินแบบไม่กั๊กและไม่สามารถย้อนกลับได้ ความผิดพลาดครั้งเดียวสามารถลบล้างการออมที่สะสมมาตลอดชีวิต
จนกว่าอุตสาหกรรมจะพบวิธีที่ดีกว่าในการปกป้องผู้ใช้จากตัวเอง วิศวกรรมสังคมจะยังคงเป็นภัยคุกคามที่ยืนยงที่สุดของคริปโตอย่างแน่นอน