ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
ผู้ใช้คริปโตสูญเงินกว่า 108 ล้านบาท จากการโจมตีฟิชชิงอาศัยฟังก์ชันอนุมัติการใช้งานกระเป๋าสตางค์
นักลงทุนรายหนึ่งสูญเสียเงินดิจิทัลคิดเป็นมูลค่ากว่า *3.05 ล้านดอลลาร์สหรัฐ* หรือประมาณ *108 ล้านบาท* จากการโจมตีฟิชชิงที่ซับซ้อน โดยคนร้ายใช้ประโยชน์จาก ‘ลายเซ็นอนุมัติ’ เพียงครั้งเดียว เพื่อสั่งถ่ายโอน *aEthUSDT* ซึ่งเป็นโทเคนที่อยู่บนโปรโตคอล *Aave* จากกระเป๋าเงินของเหยื่อออกหมด
จากข้อมูลของบริษัทความปลอดภัยบนบล็อกเชนอย่าง *Lookonchain*, *PeckShield* และ *Scam Sniffer* เหยื่อตอบสนองต่อคำขออนุมัติแบบที่แฝงฟังก์ชันการโอนทรัพย์สินไว้ล่วงหน้า แม้ไม่ได้ทำธุรกรรมใด ๆ โดยตรง แต่การคลิกเพียงครั้งเดียวก็เป็นการให้สิทธิและสั่งการให้ระบบถ่ายโอนทรัพย์สินโดยสมบูรณ์ ความเสียหายครั้งนี้เกิดจากปฏิสัมพันธ์ระหว่างกระเป๋าสตางค์บน *Ethereum* กับสมาร์ตคอนแทรกต์ที่ฝังโค้ดฟิชชิงมาอย่างแนบเนียน
ที่น่าสนใจกว่านั้นคือ การโจมตีครั้งนี้เชื่อมโยงกับ *การใช้มาตรฐาน EIP-7702* ซึ่งอำนวยความสะดวกในการทำ ‘*batch transfer*’ หรือการส่งหลายธุรกรรมพร้อมกัน ภายในธุรกรรมที่ดูเหมือนจะเป็นการแลกเปลี่ยนโทเคนปกติบน *Uniswap* ซึ่งในความเป็นจริงคือกระบวนการขโมยโทเคนอย่างแนบเนียน ไม่ใช่เหยื่อเพียงรายเดียวเท่านั้น เพราะยังมีรายงานว่าอีกสองรายสูญเงินไป *146,551 ดอลลาร์สหรัฐ* (ประมาณ *5.1 ล้านบาท*) และ *66,000 ดอลลาร์สหรัฐ* (ประมาณ *2.3 ล้านบาท*) ตามลำดับ ภายในระยะเวลาใกล้เคียงกัน
‘Scam Sniffer’ ยังเตือนเพิ่มเติมว่า *แม้เวลาจะผ่านไปนานหลายเดือน* นับจากการให้สิทธิ์ ระบบก็ยังสามารถถูกใช้เพื่อขโมยสินทรัพย์ได้ ตัวอย่างมีผู้เสียหายรายหนึ่งที่ได้รับอนุมัติตั้งแต่ *15 เดือนก่อน* กลับมาถูกขโมยทรัพย์สินจำนวน *908,000 ดอลลาร์สหรัฐ* (ประมาณ *31 ล้านบาท*) เมื่อไม่กี่วันก่อน ซึ่งแสดงให้เห็นว่า *สิทธิ์ที่อนุมัติไว้ล่วงหน้าอาจกลายเป็นช่องโหว่ถาวรหากไม่ถูกยกเลิก*
ในรายงานของบริษัทด้านข้อมูลบล็อกเชน *Bitget* ระบุว่า *ความเสียหายจากการหลอกลวงในวงการคริปโตปี 2024 สูงถึง 4.6 พันล้านดอลลาร์สหรัฐ* (ประมาณ *1.6 แสนล้านบาท*) โดย *40% ของอาชญากรรมเหล่านี้มีต้นตอมาจาก AI และเทคโนโลยีภาพปลอม (deepfake)* ที่ใช้หลอกลวงเพิ่มความน่าเชื่อถือให้กับแผนการโกง
ผู้เชี่ยวชาญแนะนำว่า *ผู้ใช้งานควรตรวจสอบ URL แหล่งที่มาทุกครั้งก่อนอนุมัติลายเซ็น* โดยเฉพาะกรณีที่มีการร้องขอสิทธิ์แบบ *batch transfer*, การขอเข้าถึงผ่าน dApp หรือหน้าตรวจสอบ KYC แม้จะดูเหมือนเป็นเรื่องยุ่งยากก็ตาม เพราะความเสียหายที่เกิดขึ้นจากลายเซ็นเพียงครั้งเดียวอาจมีมูลค่าสูงถึงหลายสิบล้านบาท
ในขณะเดียวกัน บริษัทความปลอดภัยไซเบอร์อย่าง *Bitget*, *SlowMist* และ *Elliptic* กำลังเร่งสร้างศูนย์ต่อต้านการหลอกลวง (Anti-Scam Hub) มูลค่ารวมกว่า *300 ล้านดอลลาร์สหรัฐ* (ประมาณ *1.1 หมื่นล้านบาท*) แต่ก็ยอมรับว่า *ยังไม่สามารถป้องกันการโจมตีได้ทั้งหมดแบบเรียลไทม์*
ผู้เชี่ยวชาญสรุปคำเตือนไว้อย่างชัดเจนว่า *“ทุกการอนุมัติลายเซ็นบนบล็อกเชนควรเริ่มต้นจากความสงสัย”*
ความคิดเห็น 0