ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
‘어드레스 포이즈닝(address poisoning)’ หรือการวางยา ‘ที่อยู่กระเป๋า’ กำลังกลายเป็นกลโกงคริปโตที่สร้างความเสียหายอย่างหนัก โดยแทบไม่แตะเรื่องความปลอดภัยของ ‘คีย์ส่วนตัว(Private Key)’ เลยแม้แต่น้อย มิจฉาชีพไม่ได้เจาะโครงสร้างบล็อกเชนหรือระบบเข้ารหัส แต่ใช้วิธี ‘จัดฉากประวัติธุรกรรม’ ให้ผู้ใช้เข้าใจผิดว่าเป็นที่อยู่เดิมที่คุ้นตา แล้วโอนเหรียญไปยังที่อยู่ปลอมโดยสมัครใจเอง
ในปี 2025 เคยมีผู้ใช้คนหนึ่งโอน เทเธอร์(USDt) มูลค่า 50 ล้านดอลลาร์สหรัฐ หรือราว 7,231.5 พันล้านวอน ไปยังที่อยู่ที่คัดลอกมาผิดเพียงครั้งเดียว ก่อนที่ในเดือนกุมภาพันธ์ 2026 จะเกิดเหตุแคมเปญฟิชชิ่งที่เจาะฟีเจอร์แชตของกระเป๋า แฟนทัม(Phantom) และใช้เทคนิค ‘อ드레스 포이즈닝’ ดูดเอา wBTC (บิตคอยน์ห่อหุ้ม) ไปได้ราว 3.5 BTC คิดเป็นประมาณ 264,000 ดอลลาร์สหรัฐ หรือราว 3,818 ล้านวอน แค่ ‘การลวงด้วยหน้าตาอินเทอร์เฟซ’ ก็สามารถทำให้เหรียญหายไปหลักหลายพันล้านถึงหลายแสนล้านวอนได้อย่างชัดเจน
เมื่อเหตุลักษณะนี้เกิดถี่ขึ้น บุคคลในวงการอย่าง ชางเผิง จาว(Changpeng Zhao, CZ) ผู้ร่วมก่อตั้ง ไบนานซ์(Binance) ก็ออกมาเรียกร้องให้บริการกระเป๋าเงินเพิ่มกลไกป้องกันที่รัดกุมกว่านี้ ‘ความคิดเห็น’ จุดสำคัญไม่ใช่ปัญหาคีย์ส่วนตัวรั่วไหล แต่คือรูปแบบพฤติกรรมผู้ใช้และการออกแบบหน้าจอกระเป๋าที่เปิดช่องให้คนพลาดได้ง่ายต่างหาก
‘ไม่แตะคีย์ส่วนตัว’ ใช้แค่การจัดฉาก ‘ประวัติธุรกรรม’
‘어드레스 포이즈닝’ ต่างจากการแฮ็กแบบดั้งเดิมตรงที่ไม่ได้พยายามขโมยคีย์ส่วนตัวหรือไล่เจาะช่องโหว่สมาร์ตคอนแทรค แต่มุ่งใช้ข้อมูลที่เปิดสาธารณะบนบล็อกเชนรวมกับ ‘นิสัย’ การใช้งานของคนธรรมดาเป็นหลัก รูปแบบโดยทั่วไปจะเดินเกมตามลำดับนี้
ขั้นแรก สแกมเมอร์จะไล่วิเคราะห์ข้อมูลออนเชนเพื่อคัดกระเป๋าที่ถือครองสินทรัพย์มูลค่าสูงออกมาก่อน จากนั้นจะไล่ดูว่ากระเป๋าเหยื่อมักโอนไปหาที่อยู่ไหนบ่อยที่สุด แล้วสร้างกระเป๋าใหม่ที่ ‘หน้าตาเกือบเหมือน’ ที่อยู่นั้นเป๊ะๆ เช่น บนเครือข่าย อีเธอเรียม(ETH) ที่อยู่กระเป๋าจะอยู่ในรูป ‘0x’ ตามด้วยตัวอักษรและตัวเลขรวม 42 ตัว แต่ในอินเทอร์เฟซของกระเป๋าส่วนใหญ่จะโชว์แค่ ‘ตัวต้นไม่กี่ตัว + … + ตัวท้ายไม่กี่ตัว’ เท่านั้น มิจฉาชีพก็อาศัยจุดนี้ สร้างที่อยู่ที่ ‘ต้นเหมือน ท้ายเหมือน แต่ตรงกลางเปลี่ยน’ ขึ้นมาจงใจให้ดูคล้าย
จากนั้นคือขั้นตอน ‘ส่งดัสต์(dust)’ หรือโทเคนจำนวนน้อยมากเข้าไปยังเหยื่อ มิจฉาชีพจะโอนโทเคนมูลค่าจิ๋วๆ หรือแม้แต่ธุรกรรมมูลค่า 0 เข้าไปยังที่อยู่ของเหยื่อ เพื่อให้ ‘ที่อยู่ปลอม’ นี้ไปโผล่อยู่ในหน้าจอ ‘ประวัติธุรกรรมล่าสุด’ ของกระเป๋าอย่างแนบเนียน ผ่านไปสักพัก เมื่อผู้ใช้ย้อนดูประวัติแล้วกดคัดลอกที่อยู่เพื่อโอนซ้ำ ก็มักเผลอเลือกที่อยู่ปลอมเพราะเข้าใจว่าเป็นที่อยู่เดิมที่ใช้ประจำ
ทั้งหมดนี้เกิดขึ้นโดยที่กระเป๋าและ ‘คีย์ส่วนตัว’ ของเหยื่อไม่ถูกแตะต้องเลย ระบบเข้ารหัสของบล็อกเชนก็ยังทำงานสมบูรณ์ การโจมตีอาศัยแค่ ‘ความผิดพลาดของมนุษย์’ และความรู้สึกว่า ‘หน้าตาคุ้นๆ น่าจะใช่เจ้าเดิม’ เท่านั้น
การเติบโตของโซลูชันเลเยอร์2 บนอีเธอเรียมยิ่งทำให้วิธีนี้แพร่ระบาดง่ายขึ้น เพราะค่าธรรมเนียมถูกลงมาก การโปรยธุรกรรมดัสต์ทีละหลายพันหรือหลายหมื่นครั้งเพื่อปั่นประวัติธุรกรรมจึงไม่ใช่ภาระต้นทุนใหญ่สำหรับมิจฉาชีพอีกต่อไป
เทคนิคแฝงตัวใน UI: ทำอย่างไรให้ ‘ดูเหมือนที่อยู่เดิม’
หัวใจของ ‘어드레스 포이즈닝’ คือการทำให้ที่อยู่ปลอม ‘ดูคุ้น’ สำหรับสายตาคน บนเชนที่รองรับอีเธอเรียม ที่อยู่กระเป๋ามักเป็นสตริงเลขฐาน 16 ยาว 42 ตัว ให้ผู้ใช้ตรวจทุกตัวอักษรทุกครั้งเป็นเรื่องแทบเป็นไปไม่ได้ กระเป๋าส่วนใหญ่จึงเลือกแสดงแบบย่อ เช่น ‘0x85c…4b7’ ซึ่งการ ‘ย่อ’ แบบนี้แหละที่กลายเป็นช่องโหว่ให้คนร้าย
ลองดูตัวอย่างที่อยู่จริงสมมุติหนึ่งชุด
0x742d35Cc6634C0532925a3b844Bc454e4438f44e
มิจฉาชีพสามารถสร้างที่อยู่เลียนแบบขึ้นมาอย่างเช่น
0x742d35Cc6634C0532925a3b844Bc454e4438f4Ae
ถ้ามองเผินๆ หรือบน UI ที่แสดงแบบย่อ ต้นกับท้ายแทบจะเหมือนกันเป๊ะ แต่ตรงกลางเปลี่ยนไปเล็กน้อย พอถูกย่อเหลือแค่ ‘ตัวต้น…ตัวท้าย’ คนทั่วไปแทบไม่มีทางแยกออก เพื่อให้สร้าง ‘ที่อยู่คล้าย’ ได้เป็นกองๆ แฮกเกอร์มักใช้เครื่องมือสร้าง ‘เบนิทีแอดเดรส’ ที่รันบน GPU ซึ่งสามารถไล่หาที่อยู่ที่มีแพตเทิร์นใกล้เคียงกันนับพันนับหมื่นชุดในเวลาแค่ไม่กี่นาที
ตอนนี้บล็อกเชนเอ็กซ์พลอเรอร์บางรายเริ่มติดตั้งฟีเจอร์ตรวจจับธุรกรรมดัสต์โดยอัตโนมัติและติดป้ายว่าเป็น ‘สแปม’ หรือ ‘ธุรกรรมน่าสงสัย’ แต่ปัญหาคือผู้ใช้ส่วนใหญ่ไม่ได้เปิดเอ็กซ์พลอเรอร์มาดูทีละดีเทลอยู่แล้ว พออยู่ในแอปกระเป๋าทั่วไป ประวัติธุรกรรมที่มาจากดัสต์เหล่านี้ก็ยังถูกโชว์เหมือนธุรกรรมปกติแทบแยกไม่ออก
ทำไมหลอกคนได้ง่าย: ขีดจำกัดมนุษย์และ UX
ความอันตรายของ ‘어드레스 포이즈닝’ อยู่ที่มันไม่ซับซ้อนด้านเทคนิค แต่มักให้ผลสำเร็จสูง เพราะชนหลายปัจจัยด้านจิตวิทยากับการออกแบบ
หนึ่งคือข้อจำกัดของมนุษย์เอง การจะตรวจสตริงฐาน 16 ยาว 42 ตัวทุกครั้งอย่างละเอียดแทบเป็นไปไม่ได้ คนส่วนใหญ่จะเช็กแค่ ‘ต้นกับท้าย’ แล้วสรุปว่า ‘น่าจะใช่’ ซึ่งตรงกับสิ่งที่มิจฉาชีพออกแบบมาเป๊ะ
สองคือ ‘ด้านกลับ’ ของฟีเจอร์ช่วยอำนวยความสะดวก หลายกระเป๋ามีปุ่มคัดลอกที่อยู่ข้างรายชื่อคู่ธุรกรรมล่าสุด ทำให้คนที่โอนซ้ำๆ แค่กดครั้งเดียวได้เลย แต่ถ้าบรรทัดที่ถูกจัดฉากด้วยดัสต์โผล่มาปนในลิสต์นี้เมื่อไร เกมก็เปลี่ยนทันที นักวิเคราะห์ออนเชนอย่าง แซ็กซ์บีที(ZachXBT) เคยชี้ว่าหลายเคสเหยื่อยอมรับเองว่าใช้ปุ่ม ‘คัดลอกจากธุรกรรมล่าสุด’ แล้วเผลอเลือกที่อยู่ปลอม
สามคือธรรมชาติของบล็อกเชนแบบ ‘permissionless’ ที่ใครก็ส่งหาใครได้โดยไม่ต้องขออนุญาต และหลายกระเป๋าแสดงธุรกรรมทุกอย่างแบบไม่กรอง ผู้ใช้จึงมักคิดไปเองว่า ‘ที่อยู่ที่โชว์ในประวัติกระเป๋า’ = ‘ที่อยู่ที่เชื่อถือได้’ ทั้งที่มันอาจเป็นแค่สแปมดัสต์จากมิจฉาชีพ หน้างานที่ถูกโจมตีจึงไม่ใช่โปรโตคอลหรือคีย์ แต่คือ ‘พฤติกรรม’ ของผู้ใช้และ ‘ดีไซน์หน้าจอ’ ของกระเป๋า
แก่นของกลโกงนี้อยู่ที่ ‘ขั้นตอนตรวจสอบที่อยู่ปลายทาง’ ไม่ใช่การเก็บคีย์ส่วนตัว เพราะ ‘คีย์ส่วนตัว’ ทำหน้าที่เพียงยืนยันว่า ‘เจ้าของยอมเซ็นธุรกรรมนี้แล้ว’ เท่านั้น มันไม่ได้บอกว่า ‘ที่อยู่ปลายทางถูกคนหรือไม่’ เมื่อธุรกรรมถูกเซ็นและถูกบันทึกลงบล็อกแล้ว ก็ย้อนกลับไม่ได้ และบล็อกเชนจะเก็บหลักฐานนี้ไว้ถาวร ระบบทำงานถูกต้องตามแบบ แต่ถ้าคนกดเซ็นผิดปลายทาง ความเสียหายก็ถูกเขียนลงออนเชนอย่างแก้ไขไม่ได้
วิธีป้องกัน: ทั้งฝั่งผู้ใช้และฝั่งทีมพัฒนากระเป๋า
เพราะ ‘어드레스 포이즈닝’ เจาะจงเล่นกับ ‘รูปแบบพฤติกรรม’ มากกว่าช่องโหว่เทคนิค ‘ความคิดเห็น’ แค่ปรับนิสัยการใช้งานเล็กน้อยก็ช่วยลดความเสี่ยงได้มาก โดยไม่ต้องมีความรู้เชิงเทคนิคสูงมากนัก
ฝั่งผู้ใช้ สิ่งสำคัญที่สุดคือ ‘การจัดการที่อยู่’ คู่โอนที่โอบ่อยควรถูกบันทึกไว้ใน ‘สมุดที่อยู่’ หรือ ‘รายการไวต์ลิสต์’ ภายในกระเป๋า แล้วเลือกโอนจากลิสต์นี้เท่านั้น แทนที่จะไล่คัดลอกจากประวัติธุรกรรมทุกครั้ง ก่อนกดส่งควรตรวจสอบทั้งสตริงที่อยู่ตั้งแต่ต้นจนจบ หรืออย่างน้อยก็ใช้เครื่องมือเปรียบเทียบที่อยู่ทีละตัวเพื่อให้แน่ใจว่าไม่มีตัวอักษรสลับหรือแทรก
การ ‘คัดลอกที่อยู่จากธุรกรรมล่าสุด’ ควรหลีกเลี่ยงให้มากที่สุด แม้จะสะดวกแต่แทบจะเป็นเส้นทางหลักของการโจมตีแบบนี้ ถ้าเห็นธุรกรรมมูลค่าจิ๋วหรือธุรกรรมมูลค่า 0 จากที่ไม่รู้จักปรากฏในกระเป๋า ควรมองเป็น ‘สัญญาณเตือนภัย’ มากกว่าของฟรี และไม่ควรนำที่อยู่นั้นมาใช้ต่อ
ฝั่งนักพัฒนากระเป๋า ยังมีเครื่องมือช่วยผู้ใช้ได้อีกหลายอย่าง เช่น การซ่อนธุรกรรมดัสต์หรือธุรกรรมมูลค่า 0 โดยอัตโนมัติ หรือย้ายไปอยู่ในแท็บ ‘สแปม’ แยกต่างหาก การคำนวณ ‘ความคล้ายกันของสตริงที่อยู่’ แล้วแจ้งเตือนผู้ใช้เมื่อกำลังจะส่งไปยังที่อยู่ใหม่ที่หน้าตาใกล้เคียงกับที่อยู่เดิมแต่ไม่ตรงกัน ก็ช่วยลดความเสี่ยงการสับสนได้
การทำ ‘จำลองธุรกรรมก่อนเซ็น’ (simulation) แล้วเปรียบเทียบที่อยู่ปลายทางกับลิสต์ที่อยู่ที่เคยถูกบันทึกว่า ‘เชื่อถือได้’ ถ้าพบความผิดปกติหรือความคล้ายที่น่าสงสัย ก็เด้งคำเตือนเพิ่มอีกชั้น หรือเชื่อมต่อกับบริการตรวจจับออนเชนและแบล็กลิสต์ที่แชร์กันในอุตสาหกรรม เพื่อให้กระเป๋าแจ้งเตือนอัตโนมัติเมื่อที่อยู่ปลายทางเคยถูกระบุว่าเกี่ยวข้องกับการ ‘어드레스 포이즈닝’ ก็เป็นทางเลือกที่ควรพิจารณา
ท้ายที่สุด ‘어드레스 포이즈닝’ คือผลข้างเคียงของ ‘ความโปร่งใสและเปิดเสรี’ ของบล็อกเชนผสมกับ ‘ฟีเจอร์อำนวยความสะดวก’ ใน UI ของกระเป๋า ไม่ใช่การเจาะระบบเข้ารหัสโดยตรง เมื่อแนวคิดที่ว่า ‘แค่รักษาคีย์ส่วนตัวให้ดีทุกอย่างก็ปลอดภัย’ เริ่มใช้ไม่ได้ในทุกสถานการณ์ ผู้ใช้และผู้ให้บริการจึงจำเป็นต้องหันมาย้ำเรื่องพื้นฐานอย่าง ‘การตรวจสอบที่อยู่ปลายทาง’ ให้มากขึ้น ‘ความคิดเห็น’ กลโกงนี้ไม่ได้ชนะด้วยการทำลายเทคโนโลยีบล็อกเชน แต่ชนะด้วยการเล่นงาน ‘ความผิดพลาดของมนุษย์’ และ ‘ฟังก์ชันอินเทอร์เฟซ’ ที่เราเคยชินจนเผลอเชื่อใจนั่นเอง
ความคิดเห็น 0