เหรียญริปเปิล(XRP) ถูกแฮกเสียหาย 5,000 ล้านบาท – CZ ย้ำอุตสาหกรรมคริปโตเร่งป้องกัน Address Poisoning

มูลค่าความเสียหายจากการถูกแฮกของเหรียญริปเปิล(XRP) ล่าสุดพุ่งสูงถึง 5,000 ล้านบาท ขณะเดียวกัน ‘ชางเผิง เจา’ หรือ CZ ผู้ก่อตั้งไบแนนซ์ (Binance) ซึ่งเป็นที่รู้จักในฐานะผู้สนับสนุนประธานาธิบดีทรัมป์ ได้ออกมาเรียกร้องให้อุตสาหกรรมคริปโตนำระบบ ‘ป้องกันการปนเปื้อนของที่อยู่(Address Poisoning)’ มาใช้ในกระเป๋าเงินดิจิทัลโดยเร็ว

เมื่อวันที่ 24 ชางเผิง เจาเผยผ่านโซเชียลมีเดียของตนว่า “การป้องกันความเสียหายจาก Address Poisoning สามารถทำได้อย่างสมบูรณ์ หากเรามีระบบความปลอดภัยที่ดีในระดับกระเป๋าเงิน” ทั้งนี้ ความคิดเห็นของ CZ มีขึ้นหลังจากเกิดเหตุผู้เทรดรายหนึ่งสูญเสียทรัพย์สินมากถึง 4,999,950 USDT หรือราว 5,000 ล้านบาทจากกลโกงลักษณะนี้

เหตุการณ์เกิดขึ้นเมื่อวันที่ 20 ธันวาคม ภายหลังผู้เทรดรายหนึ่งได้ทำการถอนเหรียญจากไบแนนซ์ และทำธุรกรรมทดลองส่งเหรียญ 50 USDT ไปยังกระเป๋าเงินของตนเอง ทว่าในช่วงเวลานั้น ผู้ไม่หวังดีได้ใช้สคริปต์อัตโนมัติส่งธุรกรรมเล็กน้อยไปยังที่อยู่ปลอมที่‘เลียนแบบ’คล้ายของจริง ซึ่งเข้ามาปนอยู่ในประวัติการทำธุรกรรม ทำให้ผู้เสียหายเข้าใจผิดและคัดลอกที่อยู่ผิด ส่งเหรียญกว่า 5,000 ล้านบาทไปยังกระเป๋าของแฮกเกอร์ในอีก 26 นาทีถัดมา

เทคนิคนี้อาศัยจุดอ่อนของการแสดงรายการในกระเป๋าเงิน ที่มักย่อกลางของที่อยู่อย่าง “0x123…abcd” จนผู้ใช้สังเกตเห็นแค่ส่วนหัวและท้าย และเข้าใจผิดว่าเป็นที่อยู่เดิม

CZ จึงเสนอแนวคิดในการเพิ่ม *ระบบกรองอัตโนมัติ* ภายในกระเป๋าเงิน โดยระบุว่า “ระบบต้องสามารถตรวจสอบที่อยู่ก่อนการโอนและแจ้งเตือน หากพบว่าเป็นที่อยู่ที่เคยมีประวัติโกงหรือน่าสงสัย” นอกจากนั้น เขายังเรียกร้องให้อุตสาหกรรมสร้าง *เครือข่ายความร่วมมือด้านความปลอดภัย* สำหรับแบ่งปันรายการ *ที่อยู่ต้องสงสัย* แบบเรียลไทม์ พร้อมเสนอให้จัดทำบัญชีดำกลาง (Blacklist) ร่วมกัน

ปัจจุบันกระเป๋าเงินของไบแนนซ์ได้ฝังฟีเจอร์บางส่วนตามแนวคิดดังกล่าวแล้ว เช่น การแจ้งเตือนหากพบการส่งไปยังที่อยู่ที่น่าสงสัย และ CZ เชื่อว่าหากฟีเจอร์ระดับนี้ถูกนำไปใช้อย่างแพร่หลาย “ปัญหา Address Poisoning จะหายไปจากวงการได้จริง”

Address Poisoning ไม่ใช่เหตุการณ์ใหม่ และมีตัวอย่างความเสียหายที่ใหญ่ไม่แพ้กันเกิดขึ้นก่อนหน้านี้ ตัวอย่างเช่น ในเดือนพฤษภาคมที่ผ่านมา มีนักลงทุนรายหนึ่งตกเป็นเหยื่อของกลโกงเดียวกัน สูญเสียเหรียญแลปต์บิตคอยน์(WBTC) จำนวน 1,150 เหรียญ คิดเป็นมูลค่าราว 6,800 ล้านดอลลาร์ หรือกว่า 9.7 พันล้านบาท

สำหรับกรณีล่าสุดนี้ แฮกเกอร์ได้เปลี่ยนเหรียญ USDT ที่หลอกได้เป็น DAI ก่อนจะแลกกลับเป็นอีเธอเรียม(ETH) ถึง 16,690 เหรียญ จากนั้นโอนเข้า Tornado Cash ซึ่งเป็นบริการปั่นเหรียญเพื่อลบเลือนร่องรอยบนบล็อกเชน โดยผู้เสียหายได้โพสต์ข้อความผ่านเครือข่าย On-Chain เสนอรางวัลมูลค่า 1 ล้านดอลลาร์ (ราว 143 ล้านบาท) แก่ผู้ที่สามารถช่วยคืนทรัพย์สินได้ในลักษณะ White Hat

ความคิดเห็น: Address Poisoning เป็นการโจมตีที่อาศัยความผิดพลาดของมนุษย์เป็นหลัก ไม่ใช่เทคนิคที่ซับซ้อนมากนัก แต่ด้วยความเปิดเผยและความไม่สามารถย้อนกลับได้ของบล็อกเชน จึงสามารถสร้าง ‘ความเสียหายหลักพันล้าน’ ได้ในเวลาไม่กี่นาที

นี่จึงเป็นสัญญาณเตือนสำคัญว่า อุตสาหกรรมคริปโตต้องเร่งพัฒนา UX ของกระเป๋าเงินดิจิทัลให้ปลอดภัยยิ่งขึ้น โดยเฉพาะกลไกจัดการกับที่อยู่ปลอม และเพิ่มการแจ้งเตือนเมื่อเสี่ยงเกิดความผิดพลาดของผู้ใช้งาน ตั้งแต่ระดับโค้ดไปถึงอินเทอร์เฟซผู้ใช้ ซึ่งจะทำให้ทั้งนักเทรดหน้าใหม่และมืออาชีพ มีโอกาสรอดจากเหตุการณ์ลักษณะนี้มากขึ้นในอนาคต