โนมินิสชี้ภัยคริปโตเปลี่ยนเป้า ‘โจมตีคนไม่ใช่โค้ด’ แม้มูลค่าความเสียหายกุมภาพันธ์ร่วง 87%

บริษัทด้านความปลอดภัยบล็อกเชน โนมินิส(Nominis) เปิดเผยว่า มูลค่าความเสียหายจาก ‘การโจมตีคริปโต’ ตลอดเดือนกุมภาพันธ์ลดลงอย่างมาก แต่รูปแบบการโจมตีกลับเปลี่ยนทิศ จากการไล่เจาะ ‘ช่องโหว่โค้ด’ ไปสู่การเล็งเป้าเล่นงาน ‘ตัวคน’ มากขึ้น ทั้งผู้ใช้งานทั่วไปและผู้ดูแลโครงการ

ตามรายงานของโนมินิส ความเสียหายจากการโจมตีสินทรัพย์ดิจิทัลในเดือนกุมภาพันธ์อยู่ที่ราว 4,930 ล้านดอลลาร์สหรัฐ (ประมาณ 739 ล้านบาท) ลดลงราว ‘87%’ เมื่อเทียบกับเดือนมกราคมที่ตัวเลขพุ่งสูงถึง 385 ล้านดอลลาร์ (ประมาณ 5,771 ล้านบาท) ตัวเลขผิวเผินอาจดูเหมือนสถานการณ์ ‘ปลอดภัยขึ้น’ แต่โนมินิสชี้ว่า หากมองลึกลงไปในโครงสร้างและ ‘วิธีโจมตี’ จะเห็นว่าภัยคุกคามไม่ได้ลดลง เพียงแค่ถูกย้ายสมรภูมิจากโค้ด มาสู่พฤติกรรมของผู้ใช้งานและผู้ดูแลระบบมากกว่าเดิม

เมื่อมองเข้าไปในรายละเอียด ‘การโจมตีคริปโต’ ครั้งใหญ่สุดของเดือนกุมภาพันธ์มาจากแพลตฟอร์มดีไฟบนเครือข่ายโซลานา(SOL) อย่างสเต็ป ไฟแนนซ์(Step Finance) ที่ถูกโจมตีคิดเป็นกว่า 60% ของความเสียหายรวมทั้งเดือน

จากการสอบสวนเบื้องต้น คาดว่าผู้โจมตีแฮ็กอุปกรณ์ของทีมปฏิบัติงานหลักของโปรเจกต์ แล้วสวมรอยเข้าถึง ‘คีย์ส่วนตัว’ หรือสิทธิ์อนุมัติธุรกรรม ก่อนจะทำการ ‘ย้ายและถอนล็อก (unstake)’ โทเคน 261,854 SOL ออกจากกระเป๋าโปรเจกต์ไปยังกระเป๋าภายนอก คิดเป็นมูลค่าราว 40 ล้านดอลลาร์ (ประมาณ 599 ล้านบาทในขณะนั้น)

แรงสะเทือนจากเหตุการณ์นี้ทำให้สเต็ป ไฟแนนซ์ต้อง ‘หยุดให้บริการ’ แพลตฟอร์มหลักชั่วคราว ขณะเดียวกันบริการที่เกี่ยวข้องอย่าง โซลานาฟลอร์(SolanaFloor) และ เรโมรา มาร์เก็ต(Remora Markets) ก็ถูกระงับการดำเนินการไปพร้อมกัน

แม้แนวโน้มการโจมตีจะขยับมาเน้นที่ ‘คน’ มากขึ้น แต่ช่องโหว่ ‘สมาร์ตคอนแทรกต์’ ก็ยังเป็นปัญหาใหญ่อยู่

โปรโตคอลบริดจ์ข้ามเชน ครอสเคิร์ฟ(CrossCurve) ถูกแฮ็กเสียหายไปประมาณ 3 ล้านดอลลาร์ (ราว 45 ล้านบาท) จากการที่ผู้โจมตีอาศัยช่องโหว่ในโลจิกการตรวจสอบของสมาร์ตคอนแทรกต์ ซึ่งใช้จัดการข้อความที่ส่งมาจากเครือข่าย Axelar เมื่อการตรวจสอบไม่รัดกุม ผู้โจมตีก็สามารถเลี่ยงกลไกความปลอดภัยและดูดสินทรัพย์ออกไปได้

ฝั่งแพลตฟอร์มให้กู้ยืมดีไฟอย่าง ยิลด์บล็อกซ์(YieldBlox) ก็หนีไม่พ้น โดยถูกโจมตีสร้างความเสียหายราว 10.2 ล้านดอลลาร์ (ประมาณ 153 ล้านบาท) จุดอ่อนอยู่ที่ ‘โลจิกคำนวณราคาหลักประกัน’ ถูกจัดการให้ผิดเพี้ยน ทำให้ผู้โจมตีสามารถกู้ยืมเงินได้เกินกว่าขีดจำกัดความเสี่ยงที่แพลตฟอร์มกำหนดไว้

ขณะเดียวกัน ‘การโจมตีที่เจาะจงเล่นงานผู้ใช้รายย่อย’ ก็เกิดขึ้นถี่ยิบ หนึ่งในเทคนิคที่ถูกพูดถึงมากคือ ‘การปนเปื้อนที่อยู่ (Address Poisoning)’ ซึ่งผู้โจมตีจะสร้าง ‘ที่อยู่กระเป๋า’ ที่คล้ายกับที่ผู้ใช้เคยโอนเงินไป แล้วส่งธุรกรรมเล็กน้อยเข้ามาในกระเป๋าเหยื่อ เมื่อผู้ใช้เผลอคัดลอกที่อยู่ปลอมนี้จากประวัติธุรกรรมไปใช้ ก็จะกลายเป็นคนส่งเงินเข้ากระเป๋าของแฮ็กเกอร์เอง โดยมูลค่าความเสียหายต่อตั้งแต่ประมาณ 1 แสนดอลลาร์ไปจนถึง 6 แสนดอลลาร์ต่อราย

ยังมีเคสที่ผู้ใช้เผลอ ‘กดอนุมัติโทเคน’ จากธุรกรรมที่แนบโค้ดอันตราย โดยคิดว่าเป็นการโอนหรืออินเทอร์แอคต์ตามปกติ แต่ความจริงคือกำลังมอบสิทธิ์ให้ผู้โจมตีสามารถดึงสินทรัพย์ออกจากกระเป๋าได้อย่างเสรี

แนวโน้ม ‘โจมตีคนไม่ใช่โค้ด’ ยังสะท้อนในผลการสืบสวนและงานวิจัยด้านความปลอดภัยที่เผยแพร่ในเดือนกุมภาพันธ์ด้วย

บริษัทด้านความปลอดภัยบล็อกเชน สโลว์มิสต์(SlowMist) เผยแพร่รายงานวิเคราะห์แคมเปญฟิชชิ่งที่มุ่งเล่นงาน ‘ผู้จัดการโปรเจกต์คริปโต’ โดยเฉพาะ กลยุทธ์หลักคือสร้างบริการปลอมที่เลียนแบบ ‘เครื่องมือจัดการการปลดล็อกโทเคน (vesting tool)’ เพื่อหลอกให้ผู้ดูแลโปรเจกต์เชื่อมต่อกระเป๋าและมอบสิทธิ์เข้าถึงสมาร์ตคอนแทรกต์ จากนั้นผู้โจมตีก็จะฉวยโอกาสสั่งย้ายหรือปลดล็อกโทเคนตามใจ

ในฝั่งเกาหลีใต้ หน่วยงานสืบสวนกำลังสอบปากคำคดีที่กระเป๋าเงินคริปโตถูก ‘ยึดคืน’ เพราะคำ ‘seed phrase’ ปรากฏอยู่ในภาพถ่ายเพียงใบเดียว เมื่อผู้โจมตีสังเกตเห็นชุดคำกู้คืนในภาพ ก็สามารถนำไปกู้กระเป๋าและย้ายสินทรัพย์คริปโตรวมมูลค่าราว 5 ล้านดอลลาร์ (ประมาณ 75 ล้านบาท) ออกไปอย่างหมดจด

สหรัฐอเมริกาก็เดินหน้าปราบปรามการฉ้อโกงคริปโตเช่นกัน เมื่อกระทรวงยุติธรรมสหรัฐเปิดเผยว่า สามารถยึดสินทรัพย์ดิจิทัลมูลค่าประมาณ 61 ล้านดอลลาร์ (ราว 914 ล้านบาท) ที่เกี่ยวข้องกับกลโกงลงทุนแบบ ‘Pig Butchering’ ได้สำเร็จ เจ้าหน้าที่ใช้การติดตามธุรกรรมบนบล็อกเชนเพื่อไล่เส้นทางเงิน ก่อนจะเข้าสู่ขั้นตอนการยึดทรัพย์ตามกฎหมาย

โนมินิสสรุปในรายงานว่า ‘ภูมิทัศน์ภัยคุกคาม’ ของโลกคริปโตวันนี้แตกต่างจากไม่กี่ปีก่อนอย่างชัดเจน เดิมที ‘ช่องโหว่สมาร์ตคอนแทรกต์’ และปัญหาทางเทคนิคของโปรโตคอลคือเป้าหมายอันดับหนึ่งของแฮ็กเกอร์ แต่ปัจจุบันเหตุโจมตีส่วนใหญ่กลับมาจาก

- การยึดครองบัญชี (account takeover)

- การล่อให้ผู้ใช้อนุมัติธุรกรรมหรือสิทธิ์ที่มองไม่เห็นเบื้องหลัง

- ความสับสนเรื่อง ‘ที่อยู่กระเป๋า’ และอินเทอร์เฟซที่ใช้งานยาก

รายงานระบุชัดว่า “จุดเปราะบางที่สุดของระบบคริปโตในตอนนี้ ‘ไม่ใช่บล็อกเชน’ แต่คือ ‘วิธีที่คนใช้งานและดูแลรักษาความปลอดภัยของตัวเอง’”

‘ความคิดเห็น’ สำหรับผู้ใช้งานคริปโตทั่วไป ภาพรวมตัวเลขความเสียหายอาจดูดีขึ้นในระยะสั้น แต่ตราบใดที่พฤติกรรมการใช้งานและนิสัยด้านความปลอดภัยยังไม่เปลี่ยน โลกคริปโตยังห่างไกลจากคำว่า “ปลอดภัย” อย่างแท้จริง การป้องกันตัวเองตั้งแต่ขั้นพื้นฐาน เช่น ไม่ถ่ายรูป seed phrase, ตรวจสอบที่อยู่ทุกครั้งก่อนโอน, และอ่านรายละเอียดสิทธิ์ก่อนกดอนุมัติธุรกรรม อาจเป็นเกราะชั้นแรกที่สำคัญยิ่งกว่าการปรับปรุงโค้ดเสียอีก