ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
แพลตฟอร์มออกโทเคนมีมบนพื้นฐานของเหรียญ ‘봉크(BONK)’ อย่าง ‘bonk.fun’ ถูกแฮ็กระบบโดเมนและอินเทอร์เฟซหน้าเว็บ ส่งผลให้มีความพยายามโจรกรรมสินทรัพย์จากกระเป๋าคริปโตของผู้ใช้ผ่านการแฝง ‘ดริเนอร์(Drainer)’ ที่อาศัยขั้นตอน ‘อนุมัติกระเป๋า’ เป็นช่องทางดูดเงิน โดยไม่ได้เกิดจากช่องโหว่ของสมาร์ตคอนแทร็กต์ แต่เป็นการโจมตีโครงสร้างพื้นฐานเว็บหรือ ‘เว็บ2 อินฟรา’ เต็มรูปแบบ
เมื่อวันที่ 12 (เวลาท้องถิ่น) ผู้ดูแลแพลตฟอร์ม bonk.fun ที่ใช้ชื่อว่า ทอม(@SolportTom) โพสต์บนโซเชียลมีเดีย X ระบุว่าโดเมนหลักของแพลตฟอร์มถูกยึดควบคุม พร้อมเตือนผู้ใช้ไม่ให้ ‘มีปฏิสัมพันธ์ใดๆ กับเว็บไซต์’ จนกว่าจะมีประกาศเพิ่มเติม บัญชีทางการของ bonk.fun ซึ่งเป็นแพลตฟอร์มออกโทเคนบนโซลานา(SOL) ที่ได้รับการสนับสนุนจากชุมชน 봉크(BONK) และ โปรโตคอล DeFi เลยเดียม(Raydium) ก็ยืนยันเหตุแฮ็กครั้งนี้และออกคำเตือนในทิศทางเดียวกัน
ตามคำอธิบายของทีมงาน แฮ็กเกอร์ได้ฉีดหน้าต่าง ‘ขอให้เซ็นยอมรับข้อตกลงการใช้บริการ (TOS)’ ปลอมเข้าไปในหน้าเว็บหลัก รูปแบบการโจมตีคือทำให้ผู้ใช้เข้าใจผิดว่ากำลังเซ็นยอมรับข้อกำหนดตามปกติ แต่ในความเป็นจริง การเซ็นดังกล่าวเป็นการมอบสิทธิ์ให้สัญญาของผู้โจมตีสามารถเข้าถึงและเคลื่อนย้ายสินทรัพย์ในกระเป๋าได้โดยตรง หรือก็คือการแปลงขั้นตอน UX ที่ผู้ใช้คุ้นชินให้กลายเป็น ‘ช่องทางปล้น’ แบบแนบเนียน
ทอมระบุว่า ‘เฉพาะผู้ใช้ที่เผลอเซ็นข้อตกลงปลอมเท่านั้นที่ได้รับผลกระทบ’ ส่วนผู้ใช้ที่เคยเพียงเชื่อมกระเป๋ากับแพลตฟอร์มในอดีต หรือเทรดโทเคน 봉크(BONK) ผ่านเทอร์มินัลภายนอกโดยไม่ไปแตะหน้าเว็บที่ถูกแฮ็ก จะไม่ได้รับผลกระทบ นอกจากนี้ การตรวจพบความผิดปกติค่อนข้างเร็วช่วยจำกัดความเสียหาย ทำให้มูลค่าความเสียหายที่ยืนยันแล้วในตอนนี้ยังอยู่ในระดับ ‘จำกัด’
เหตุการณ์ครั้งนี้ชี้ให้เห็นชัดว่า ‘แพลตฟอร์ม 봉크(BONK) และเลยเดียม’ ไม่ได้มีปัญหาช่องโหว่ในสมาร์ตคอนแทร็กต์ แต่เป็นการเจาะยึดโดเมนและฟรอนต์เอนด์ของเว็บไซต์ หรือที่หลายคนเรียกว่า ‘การโจมตีโครงสร้างพื้นฐานเว็บ2’ แฮ็กเกอร์อาศัยการควบคุมหน้าเว็บเพื่อสร้างอินเทอร์เฟซที่ดูเหมือนหน้าต่างยืนยันธุรกรรมปกติของกระเป๋า และใช้ช่องนี้ล่อให้ผู้ใช้กดอนุมัติ เมื่อผู้ใช้ยืนยัน สิทธิ์ในการเคลื่อนย้ายโทเคนก็ถูกโอนไปยังที่อยู่ของผู้โจมตีทันที
รูปแบบ ‘ฟิชชิ่งผ่านหน้าต่างอนุมัติ (Approval phishing)’ และ ‘UI ปลอม’ แบบนี้กำลังเพิ่มขึ้นอย่างรวดเร็วในระบบนิเวศดีไฟ(DeFi) และตลาดมีมโทเคน เพราะไม่ต้องเสียเวลาหาช่องโหว่ในโค้ดสมาร์ตคอนแทร็กต์ แต่หันมาเจาะจุดที่อ่อนแอกว่าอย่าง ‘ความเชื่อใจของผู้ใช้ต่ออินเทอร์เฟซ’ แทน
ตามข้อมูลของบริษัทวิเคราะห์บล็อกเชน เชนแอลลิซิส(Chainalysis) เม็ดเงินที่ไหลเข้าสู่กระเป๋าของกลุ่มมิจฉาชีพบนเชนตลอดปี 2025 อยู่ที่ราว 14,000 ล้านดอลลาร์ และเมื่อมีการระบุตัวกระเป๋าที่เกี่ยวข้องเพิ่มเติม นักวิเคราะห์เตือนว่าตัวเลขรวมอาจขยายขึ้นไปเกิน 17,000 ล้านดอลลาร์ได้อย่างไม่ยาก ปัจจัยสำคัญคือการขยายตัวของเครื่องมือปลอมแปลงตัวตนด้วย AI, อินเทอร์เฟซเลียนแบบของจริง และการยึดโดเมนหรือบัญชีทางการมาสร้างแคมเปญหลอกลวง
เมื่อทิศทางการโจมตีเปลี่ยนจาก ‘แฮ็กโค้ด’ มาสู่ ‘แฮ็กอินเทอร์เฟซและโครงสร้างพื้นฐาน’ จึงเริ่มมีมุมมองในตลาดว่า จุดโฟกัสด้านความปลอดภัยของคริปโตไม่ได้อยู่แค่ในสมาร์ตคอนแทร็กต์อีกต่อไป แต่ต้องครอบคลุมไปถึงโดเมน, ฟรอนต์เอนด์เว็บไซต์, บัญชีโซเชียล และแม้แต่กระบวนการตัดสินใจของผู้ใช้เอง
ตัวอย่างในอดีตสะท้อนภาพนี้ค่อนข้างชัด เช่น เมื่อเดือนกุมภาพันธ์ปีก่อน แพลตฟอร์มออกมีมโทเคนชื่อดังอย่าง ปัมป์ฟัน(Pump.fun) เคยถูกแฮ็กบัญชี X ทางการเพื่อนำไปใช้โปรโมตโทเคนปลอมให้ผู้ใช้หลงซื้อ ขณะที่นักเทรดคริปโตชื่อดัง ‘ซิลลีทูนา(Sillytuna)’ ก็เคยสูญเสียสินทรัพย์มูลค่าหลายล้านดอลลาร์จากกรณีที่การโจมตีปนเปื้อนที่อยู่ (address poisoning) บนโลกออนไลน์ถูกนำไปเชื่อมกับอาชญากรรมในโลกจริง จนสุดท้ายเจ้าตัวตัดสินใจออกจากวงการ
‘ความคิดเห็น’ ผู้เชี่ยวชาญด้านความปลอดภัยในตลาดระบุว่า ภูมิทัศน์ความเสี่ยงของคริปโตในปัจจุบันขยายจากสมาร์ตคอนแทร็กต์ไปสู่การแย่งชิงโดเมน, การยึดบัญชีโซเชียลมีเดีย, การออกแบบ UI ให้ผู้ใช้กดผิด และการปั่นหัวผู้ใช้ให้เร่งตัดสินใจโดยไม่ตรวจสอบให้ถี่ถ้วน ซึ่งทำให้เส้นแบ่งระหว่าง ‘ข้อผิดพลาดของโค้ด’ กับ ‘การหลอกใช้ความไว้ใจ’ เลือนรางลงเรื่อยๆ
ทีมงานแพลตฟอร์ม 봉크(BONK) แนะนำให้ผู้ใช้ที่ต้องการลดความเสี่ยง หันมาโต้ตอบกับสมาร์ตคอนแทร็กต์โดยตรงผ่านอินเทอร์เฟซที่เชื่อถือได้ หรือผู้ให้บริการที่ผ่านการตรวจสอบแล้ว ควบคู่ไปกับการเข้าไปตรวจเช็กและยกเลิกสิทธิ์อนุมัติโทเคนที่ไม่จำเป็นบนกระเป๋าอย่างสม่ำเสมอ เพื่อไม่เปิดช่องให้สิทธิ์เก่าถูกนำไปใช้โจมตีในภายหลัง รวมถึงระวังการเซ็นธุรกรรมหรือข้อตกลงใดๆ ที่ไม่เข้าใจรายละเอียดให้ชัดเจนก่อนทุกครั้ง
ความคิดเห็น 0