ระวัง NFT และสินทรัพย์ที่ไม่คาดคิดในกระเป๋าของคุณ - พวกเขาอาจขโมยเงินของคุณทั้งหมด
ภาพรวม
กับการพัฒนาที่รวดเร็วของสกุลเงินดิจิทัลและเทคโนโลยีบล็อกเชน NFT (ตัวแทนที่ไม่สามารถแทนที่) ในฐานะสินทรัพย์ดิจิทัลที่ไม่ซ้ำซ้อน ได้ดึงดูดนักลงทุนและผู้สะสมไปมากมาย อย่างไรก็ตาม พร้อมกับตลาดที่กำลังขยายอยู่ ยังมีความเสี่ยงที่เพิ่มขึ้น
คุณเคยสังเกตเห็น NFT หรือสินทรัพย์ที่ไม่คาดคิดอื่น ๆ ปรากฏขึ้นในกระเป๋าของคุณหรือไม่? ไอเทมดิจิทัลที่ดูเหมือนไม่อันตรายเหล่านี้อาจเป็นพายุภัยความปลอดภัยที่ร้ายแรง — แม้กระทั้งทำให้เสียเงินทุนทั้งหมดได้ เรื่องนี้จะเปิดเผยความเสี่ยงที่ซ่อนอยู่ข้างหลังของสถานการณ์เหล่านี้และให้คำแนะนำด้านความปลอดภัยที่เป็นประโยชน์เพื่อช่วยคุณป้องกันสินทรัพย์ดิจิทัลของคุณได้อย่างมีประสิทธิภาพมากขึ้น
ในปัจจุบันมูลค่าตลาดรวมของสกุลเงินดิจิทัลและ NFT ได้เกิน 3 ล้านล้านเหรียญดอลลาร์ โดยมีผู้เข้าร่วมกิจกรรมมากกว่า 300 ล้านคนทั่วโลก อย่างไรก็ตาม ซึ่งตลาดเพิ่มเติมมีการเป็นเป้าหมายหลักสำหรับผู้โจมตีและมือปลอม ตามข้อมูลจาก Comparitech (ณ วันที่ 13 มีนาคม 2025) การหลอกลวงที่เกี่ยวข้องกับคริปโตและ NFT ได้ทำให้เกิดความสูญเสียมูลค่า 27 พันล้านดอลลาร์และยอดยังเพิ่มมากขึ้น
แหล่งที่มา:https://www.comparitech.com/crypto/cryptocurrency-scams/ (13 มีนาคม 2025)
ทำไมเจ้าของ NFT เป็นเป้าหมายหลักของฮากเกอร์
1. ความลุ้นลุยของสินทรัพย์มูลค่าสูง
NFT มักจะมีมูลค่าสูง — โดยเฉพาะอย่างยิ่งสำหรับสิ่งที่มีจำนวนจำกัดหรือมีชื่อเสียง เช่น Bored Ape Yacht Club หรือ CryptoPunks ที่หนึ่งชิ้นอาจมีมูลค่าเป็นร้อยพันหรือแม้กระทั้งล้านเหรียญ
สินทรัพย์ดิจิทัลมูลค่าสูงเหล่านี้เป็นเหมืองทองในโลกเสมือน ซึ่งจะดึงดูดความสนใจของฮากเกอร์อย่างธรรมชาติ เมื่อเทียบกับสินทรัพย์ทางการเงินแบบดั้งเดิม การทำธุรกรรม NFT จะเร็วกว่าและยากต่อการติดตามมากขึ้น หลังจากถูกขโมยไปแล้ว ฮากเกอร์สามารถเร่งด่วนและรวดเร็วในการแลกเปลี่ยนสินทรัพย์
แหล่งที่มา: https://opensea.io/collection/boredapeyachtclub
2. ความเป็นส่วนตัวและความไม่สามารถย้อนกลับของบล็อกเชน
ลักษณะที่ไม่ระบุชื่อของบล็อกเชนมอบความเป็นส่วนตัวให้ผู้ใช้ แต่ก็สร้างสถานที่ที่ปลอดภัยสำหรับฮา๊กเกอร์ด้วย หลังจากที่ NFT หรือโทเค็นถูกขโมยไปแล้ว ขี้ขโมยก็สามารถโอนมันไปยังกระเป๋าอื่นๆ หรือซักรับเงินได้โดยใช้เครื่องผสมอย่าง Tornado Cash อย่างรวดเร็ว
เนื่องจากธุรกรรมบล็อกเชนเป็นระบบที่ไม่สามารถย้อนกลับได้ ผู้เสียหายมีโอกาสน้อยมากหรือไม่มีโอกาสในการกู้คืน เว้นแต่ผู้แฮกเกอร์จะสมควรคืนสินทรัพย์โดยสมัครใจหรือถูกจับตามกฎหมาย นี้ทำให้การโจมตีเจ้าของ NFT เป็นกลยุทธ์ที่มีความเสี่ยงต่ำและมีรางวัลสูงสำหรับผู้ก่อการร้ายทางไซเบอร์
3. การรับรู้ด้านความปลอดภัยทั่วไปของผู้ใช้มีระดับต่ำ
ผู้ใช้ NFT มากมักเป็นผู้เริ่มต้นในเทคโนโลยีบล็อกเชนและคริปโต ซึ่งขาดความตระหนักด้านความปลอดภัยอย่างเหมาะสม พวกเขาอาจจะไม่เข้าใจถึงความสำคัญของคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์ หรือรู้จะการจดจำเว็บไซต์ล่อลวง และสัญญาที่มีความร้ายแรง
เช่น เช่นบางผู้ใช้คลิกลิงก์ที่น่าสงสัยโดยไม่ลังเล หรือเก็บกุญแจส่วนตัวของพวกเขาในที่ไม่ปลอดภัย เช่น บันทึกโทรศัพท์หรือบริการคลาวด์ — ซึ่งทั้งหมดเปิดระเบียงสำหรับฮากเกอร์
4. ระบบนิเวศึกษาที่ซับซ้อนเพิ่มโอกาส
โลกภูมิศาสตร์ NFT ครอบคลุมกระเป๋าเงิน แพลตฟอร์มการซื้อขาย (เช่น OpenSea) สัญญาฉลาด และโซเชียลมีเดีย (เช่น Discord และ Twitter) ทุกส่วนประกอบเป็นจุดเสียดสีที่เป็นไปได้
5. ชุมชนที่มีกิจกรรมมากและการกระจ敎ข้อมูลอย่างรวดเร็ว
ผู้ใช้ NFT 通常มีกิจกรรมอยู่บนแพลตฟอร์มเช่น Twitter และ Discord โดยบ่อยครั้งแบ่งปันคอลเลกชันของตน บันทึกรายการซื้อขาย หรือมีส่วนร่วมในกิจกรรมต่าง ๆ ประเภทนี้ของการมีปรากฏตัวในที่สาธารณะทำให้เป็นเป้าหมายที่ง่าย ๆ ตัวอย่างเช่น การโชว์ NFT มูลค่าล้านดอลลาร์บน Twitter อาจดึงดูดผู้แฮกเกอร์ที่จะส่งลิงก์การจูงใจหรือแอบเป็นตัวแทนสนับสนุนปลอม
6. ค่ายานพลังงานสูงที่เชิญชวนให้เกิดข้อผิดพลาด
การติดต่อกับ NFT ต้องใช้ระดับความรู้ทางเทคนิคบางระดับ - เช่น การใช้ MetaMask, เข้าใจค่าธรรมเนียมในการใช้งาน, และการเซ็นสัญญาสมาร์ท สำหรับผู้ใช้ที่ไม่คุ้นเคยกับกระบวนการเหล่านี้ มันง่ายที่จะเกิดข้อผิดพลาดที่สำคัญ บางคนอาจทำให้ให้สิทธิ์โดยไม่รู้ตัวให้สัญญาที่อันตราย หรือดำเนินการในสภาพแวดล้อมเครือข่ายที่ไม่ปลอดภัย ซึ่งอาจทำให้เกิดการถูกขโมย
7. ต้นทุนต่ำ ผลตอบแทนสูงสำหรับฮักเกอร์
เมื่อเปรียบเทียบกับการโจมตีไซเบอร์แบบดั้งเดิมเช่นการบุกรุกระบบธนาคาร การเป้าหมายที่ผู้ใช้ NFT มีค่าใช้จ่ายน้อยมาก เฮ็กเกอร์อาจต้องทำเพียงการติดตั้งเว็บไซต์ปลอม ส่งอีเมลล์ช่องเหยียบหรือกระจายลิงก์ที่อันตรายในโซเชียลมีเดียเท่านั้น - และพวกเขาอาจได้เข้าถึงกระเป๋าที่มีมูลค่าได้เมื่อประสบความสำเร็จ การได้รับรางวัลสามารถเป็นพันล้านเหรียญ การตั้งค่าที่มีผลตอบแทนสูง ความเสี่ยงต่ำนี้ทำให้ผู้ใช้ NFT เป็นเป้าหมายหลัก
วิธีการปล้น NFT ทั่วไป
สัญญาอัจฉริยะที่ไม่ดี
NFT มักเชื่อมโยงกับสมาร์ทคอนแทรคซึ่งควบคุมการเป็นเจ้าของ การโอน และปฏิสัมพันธ์ต่างๆ ผู้ใช้โดยทั่วไปจะได้รับ NFT จากแหล่งที่ไม่รู้จัก เช่น โซเชียลมีเดีย แอร์ดรอป หรือเว็บไซต์
ในขณะที่ NFT ด้วยตัวเองอาจดูเหมือนไม่เป็นอันตราย แต่สัญญาอัจฉริยะซึ่งอยู่เบื้องหลังอาจมีโค้ดที่เป็นอันตราย ฮากเกอร์สามารถใช้โค้ดนี้เพื่อได้สิทธิ์ในกระเป๋าเงินของคุณโดยไม่รู้จัก ทำให้ถูกถอนทรัพย์สินทั้งหมดจากกระเป๋าของคุณในที่สุด
แหล่งที่มา: https://trezor.io/support/a/malicious-smart-contracts
การโจมตีการหลอกลวงและวิศวกรรมสังคม
แฮกเกอร์มักจะสร้างเว็บไซต์อีเมลหรือข้อความโซเชียลมีเดียปลอมเพื่อหลอกให้ผู้ใช้ป้อนคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรืออนุมัติสัญญาอัจฉริยะที่ไม่รู้จัก ตัวอย่างเช่น คุณอาจได้รับ "การแจ้งเตือน OpenSea" ปลอมที่ขอให้คุณ "ยืนยันกระเป๋าเงินของคุณ" แต่เมื่อคุณคลิกลิงก์และให้สิทธิ์การเข้าถึง NFT และโทเค็นของคุณสามารถถูกขโมยได้ทันที
นอกจากนี้ ฮากเกอร์ใช้เทคนิคการจู่โจมและวิธีการวิศวกรรมสังคมเพื่อส่ง NFT ที่เป็นอันตรายโดยตรงไปยังกระเป๋าของผู้ใช้ การดูหรือปฏิสัมพันธ์กับหนึ่งใน NFT เหล่านี้อาจทำให้ฮากเกอร์สามารถใช้ช่องโหว่ของสมาร์ทคอนแทรคท์เพื่อควบคุมกระเป๋าหรือหลอกผู้ใช้ให้ลงนามในธุรกรรมที่เสี่ยงอันตราย ตรวจสอบแหล่งที่มาของ NFT ทุกครั้ง — อย่าตอบสนองกับสินทรัพย์ที่ไม่รู้จักหรือน่าสงสัย
บนแพลตฟอร์มเช่น Discord และ Telegram มีผู้แอบอ้างตัวเป็นพนักงานสนับสนุน นักพัฒนา หรือสมาชิกในชุมชน โดยอ้างว่าพวกเขาสามารถช่วย “แก้ไข” ปัญหากระเป๋าเงิน จากนั้นเขาจะโน้มน้าวผู้ใช้ให้เปิดเผยวลีดระดับ และสุดท้ายขโมยทรัพย์สินของพวกเขา
โครงการ NFT ชั้นนำส่วนใหญ่ตอนนี้รวมช่อง "รายงานการหลอกลวง" ในเซิร์ฟเวอร์ของพวกเขา ตั้งแต่กรกฎาคม 2021 เป็นต้นมา มีการบันทึกข้อความมากกว่า 75,000 ข้อความในช่องเหล่านี้ทั่วโลกในแพลตฟอร์ม NFT ต่าง ๆ - โดยมี 76% ของพวกเขาถูกส่งในปี 2022 เท่านั้น
แหล่งที่มา: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/
เจ้าของร้านด้วยใช้เทคนิค “การเซ็นที่ละเอียด” ผ่าน eth_sign เพื่อขโมยสินทรัพย์ ไม่เหมือนธุรกรรมการลวดลามที่แสดงข้อมูลการทำธุรกรรมชัดเจนและเกิดค่าธรรมเนียมในการใช้ gas การเซ็นที่ละเอียดจะแสดงเฉพาะข้อความที่มัว — ทำให้มีลวดลามอย่างมาก เมื่อผู้ใช้เซ็นต์แล้ว ผู้โจมตีสามารถโอนโทเค็นได้ทันทีจากกระเป๋า
โครงการ NFT เทียม
มีผู้แฮ็กเกอร์บางรายปลอมตัวเป็นโครงการ NFT ยอดนิยมเพื่อล่อผู้ใช้ให้ซื้อหรือโต้ตอบกับแพลตฟอร์มปลอม ทันทีที่คุณเชื่อมต่อกระเป๋าเงินของคุณกับหนึ่งในเว็บไซต์ที่เป็นอันตรายเหล่านี้ มันอาจเรียกใช้สมาร์ทคอนแทร็คที่ออกแบบมาเพื่อขโมยสินทรัพย์ของคุณ
คนโกงมักใช้ฟังก์ชัน SetApprovalForAll() ในมาตรฐาน ERC-721 และ ERC-1155 เพื่อหลอกเหยื่อให้ให้สิทธิ์ควบคุมเต็มรูปแบบของ NFT โดยไม่รู้ตัว หลังจากได้รับการอนุมัติแล้ว แฮ็กเกอร์สามารถโอนสินทรัพย์ได้ตลอดเวลาโดยไม่ต้องมีการกรอกข้อมูลเพิ่มเติมจากผู้ใช้ ดังนั้น ก่อนที่จะโต้ตอบกับโปรเจค NFT ใดๆ ควรตรวจสอบความถูกต้องของมันเสมอ และใช้เครื่องมือเช่นRevoke.cashตรวจสอบและลบการอนุมัติที่ไม่จำเป็น
แหล่งที่มา: https://playtoearn.com/news/metamask-is-now-testing-setapprovalforall-confirmation-window-to-curb-nft-scams
รหัสที่ไม่ดี, ซอฟต์แวร์ และการโจมตีที่ซ่อนเร้น
การติดตั้งซอฟต์แวร์ที่ไม่รู้จักหรือส่วนขยายของเบราว์เซอร์ (เช่นปลั๊กอิน MetaMask เทียบ) สามารถติดเชื้อเครื่องของคุณด้วยมัลแวร์ที่สามารถขโมยคีย์ส่วนตัวหรือติดตามกิจกรรมของคุณ
นอกจากสมาร์ทคอนแทรคที่ทำผิดในบางกรณี บาง NFT และสินทรัพย์ดิจิทัลอาจมีสคริปต์ที่ทำงานเมื่อมองหรือจับมือ. ตัวอย่างเช่นการคลิกเพียงแค่บน NFT เหล่านี้อาจเรียกใช้โค้ดที่โอนสินทรัพย์ไปยังที่อยู่ที่ควบคุมโดยฮากเกอร์ได้. แม้ว่าสคริปต์เหล่านี้จะไม่ทำลายความปลอดภัยของอุปกรณ์โดยตรง แต่มันสามารถดูดเงินในกระเป๋าของคุณอย่างเงียบๆ
การโกง NFT พร้อมของปลอม
ฮากเกอร์ บ่อยครั้งสร้างจำนวนมากของ NFT เท็จ ซึ่งรวมถึงของปลอมคุณภาพสูง หรือ NFT ซึ่งฝังอยู่กับสัญญาที่เป็นอันตราย จำนวนมากนี้สร้างแรงดึงดูดผู้ใช้ด้วยราคาถูกและสัญญาว่าจะประหยัดค่าธรรมเนียมในการใช้งาน gas อย่างไรก็ตาม การเริ่มทำธุรกรรมอาจทำให้มีการอนุญาตให้ใช้ SetApprovalForAll() โดยเงียบๆ ทำให้ฮากเกอร์มีควบคุมแบบเต็มร้อยเมื่อใช้งานกระเป๋าเงินของผู้ใช้
ตัวอย่างเช่น เมื่อซื้อห่วง NFT บน OpenSea เสมอตรวจสอบแหล่งที่มาของแต่ละ NFT และสัญญาที่เกี่ยวข้อง ค่าใช้จ่ายในการส่งเสริมก็สามารถกลายเป็นข้อผิดพลาดที่ทำให้เสียค่าใช้จ่ายได้
ที่มา: https://opensea.io/collection/boredapeyachtclub
โกงปั๊มและดัมพ์
มือโกงเพิ่มราคา NFT โดยการเสริมโปรเจคผ่านโซเชียลมีเดียหรือการอวยพรจากคนดัง เพื่อสร้างความต้องการที่เท็จๆ เมื่อราคาสูงสุด ผู้เข้าของขายหุ้นของตน ทำให้ตลาดล่มและทิ้งผู้ซื้อกับสินทรัพย์ที่ค่าเหลือน้อย
เพื่อหลีกเลี่ยงแผนการ ตรวจสอบประวัติการทำธุรกรรมของ NFT เสมอ ซึ่ง NFT ที่ถูกต้องมักจะมีฐานลูกค้าที่หลากหลายและกิจกรรมชีวมากขึ้น
การดึงพรม
ในการหลอกลวงเหล่านี้ นักพัฒนาดึงดูดผู้ใช้ให้ซื้อ NFT ด้วยสัญญาใหญ่ ๆ เพียงเท่านั้น และหลังจากได้รับเงินแล้วก็จะหายไป ส่วนใหญ่เกี่ยวข้องกับทีมที่ไม่ระบุชื่อด้วยแผนผังที่โดดเด่นและไม่มีเจตนาจริงที่จะนำเสนอ
ตัวอย่างเช่นในปี 2021 ผู้สร้างของ Evil Ape หายตัวหลังจากที่ได้ระดมเงินเกือบ 3 ล้านเหรียญ โดยในปี 2022 โครงการ NFT ของ Frosties ได้หลอกลวงนักลงทุนไปเกือบ 1.3 ล้านเหรียญ แม้ว่าผู้กระทำความผิดได้ถูกจับกุมและโดนฟ้อง แต่ NFT และเงินที่ถูกขโมยไม่เคยได้รับคืน
เพื่อหลีกเลี่ยงการถูกดึงดูดใจ ควรให้ลำดับความสำคัญกับโครงการที่มีทีมงานที่โปร่งใส มีความรับผิดชอบและมีแผนการที่สมเหตุสมผล ตรวจสอบว่าการพัฒนากำลังก้าวหน้าตามที่ได้สัญญา
แหล่งที่มา: https://www.cbr.com/evolved-apes-nft-disappears-3-million/
ข้อเสนอ NFT เท็จ
มัลแวร์อาจแอบเสมือนแพลตฟอร์มที่ถูกต้องและส่งอีเมลล์ฉ้อโกงไปยังผู้ถือ NFT โดยส่งโปรโมทข้อเสนอหรือส่วนลดปลอม อีเมลล์เหล่านี้จะนำไปสู่เว็บไซต์ฉ้อโกงที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวเข้าสู่ระบบหรือวลีเมล็ลูกบพลาส
เพื่อป้องกันตัวเอง คุณควรทำการตรวจสอบที่อยู่อีเมลของผู้ส่งและนำทางไปที่แพลตฟอร์มอย่างเป็นทางการของ Gate.io ด้วยตนเองในเบราว์เซอร์ อย่าคลิกที่ลิงค์ที่เป็นสมมติจากอีเมล แม้แต่ถ้ามันดูเหมือนถูกต้อง
กรณีการหลอกลวง NFT ในโลกจริง
1. การโต้ตอบกับ NFT ที่น่าสงสัย - AJ สูญเสีย $41,300 (2021)
ในวันที่ 21 กันยายน 2021 ผู้ใช้ X AJ ( @babbler_dabbler) ทวีตว่ากระเป๋าเงินของเขาถูกบุกรุก รวมถึงการถอนเงิน The Currency, NFT โดยศิลปินชื่อดัง Damien Hirst ตามที่ AJ กล่าวว่า ข้อผิดพลาดเดียวของเขาคือการตอบสนองกับ NFT ที่ไม่คุ้นเคยที่ปรากฏขึ้นในกระเป๋าเงินของเขาอย่างกะทันหัน การกระทำนั้นทำให้เกิดการบุกรุกกระเป๋าเงินซึ่งส่งผลให้สูญเสีย ETH 13.75 ประมาณ $41,300
ต้นฐาน: https://x.com/babbler_dabbler/status/1439987074594217986
2. ศิลปิน Jay Chou ถูกขโมย NFT ชาวเลียนด์หน้าโง่ (2022)
ในเดือนเมษายน 2022 นักร้องเพ็ญเพญจาย โชว์ ไต้หวันเปิดเผยในโซเชียลมีเดียว่า NFT จาก Bored Ape Yacht Club ของเขาถูกขโมย NFT โดยประมาณมูลค่าประมาณ 500,000 ดอลลาร์ โชว์กล่าวว่าการขโมยเกิดขึ้นหลังจากที่เขาคลิกลิงค์การล่อลวงโดยไม่รู้ตัว
ฮักเกอร์เป็นไปได้ว่าใช้เทคนิคโซเชียลอิงซีนีย์ อาจจะปลอมตัวเป็นแฟนหรือบุคลากรโครงการเพื่อส่งลิงก์ที่เป็นอันตราย หลังจากคลิกลิงก์นั้น ชู ได้อนุมัติสัญญาฉลาดที่เป็นอันตรายโดยไม่รู้ตัว ทำให้ฮักเกอร์สามารถโอน NFT ได้ ทรัพย์สินถูกขายต่อไปหลายครั้งอย่างรวดเร็ว ทำให้มันยากมากที่จะติดตาม
Source: https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766
3. การโจมตีการหลอกลวง OpenSea (2022)
ในช่วงต้นปี 2022 ผู้ใช้งานของ OpenSea ตลาด NFT ตกเป็นเหยื่อของการโจมตีการจราจรทรัพย์สินขนาดใหญ่ ฮากเกอร์ส่งอีเมลปลอมและตั้งเว็บไซต์ปลอมเพื่อล่อผู้ใช้เข้าสู่การเซ็นสัญญาสมาร์ทที่อันตราย ในเวลาไม่กี่ชั่วโมง ผู้โจมตีขโมย NFT 254 รายการมูลค่าประมาณ 2.5 ล้านดอลลาร์ รวมถึงสินค้ามูลค่าสูงจาก Bored Ape Yacht Club และ Decentraland
มือปลอมแอบแสดงตัวเป็น OpenSea ในอีเมล แจ้งเตือนผู้ใช้เกี่ยวกับ "ปัญหาความปลอดภัยบัญชี" และกระตุ้นให้ "ตรวจสอบ" หรือ "ย้าย" NFT ของพวกเขา ผู้ใช้มากมายไม่สามารถตรวจสอบความถูกต้องของลิงก์และถูกนำไปยังเว็บไซต์ปลอมข้อมูลเขาไม่รู้ตัวที่เห็นและอนุญาตสัญญาที่เป็นอันตรายที่ทำให้ขโมยทรัพย์
Source: https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022
4. โกง Moonbirds NFT - 1.5 ล้านดอลลาร์ถูกขโมย (พฤษภาคม 2022)
ฮากเกอร์ได้กระจายลิงก์ที่อันตรายซึ่งหลอกผู้ใช้ให้เซ็นธุรกรรม สิ่งนี้ส่งผลให้การโจมตีขโมย 29 Moonbirds NFTs มูลค่าประมาณ 750 ETH — ประมาณ 1.5 ล้านดอลลาร์ในเวลานั้น
ที่มา:https://x.com/CirrusNFT/status/1529296043547865088
5. การหลอกลวงด้วยเสียง AI Deepfake (2023)
ในช่วงกลางปี 2023 แฮ็กเกอร์ใช้ AI ลอกเสียงของผู้บริหารบริษัทและหลอกสมาชิกทีมการเงินให้โอนเงินจำนวนมาก ตามรายงานปี 2023 จาก TRM Labs และบริษัทวิเคราะห์บล็อกเชน Chainalysis กลุ่มเงินทุน ที่รวมมูลค่าหลายล้านดอลลาร์ ถูกฟอกเงินผ่านเครื่องผสมคริปโต
6. โปรโตคอล Cross-Chain ของ Orbit Bridge ถูก Hack — ถูกขโมย $80 ล้าน (31 ธันวาคม 2566)
ในวันส่งท้ายปี 2023 ฮากเกอร์โจมตีช่องโหว่ในสะพานเครือข่ายต่างๆ Orbit Bridge โจมตีและขโมยเงินกว่า 80 ล้านเหรียญในสกุลเงินดิจิตอล (รวมถึง ETH และ USDC) การเจาะระบบถูกสงสัยว่าเป็นเหตุจากการรั่วไหลของคีย์ภายใน ส่วนหนึ่งของเงินที่ถูกขโมยถูกล้างผ่านโพรโตคอลที่ไม่มีศูนย์กลาง
แหล่งที่มา: https://x.com/bitinning/status/1741783830372155620
7. การรั่วคีย์ส่วนตัว Bitcoin ของ DMM - การปล้น 300 ล้านเหรียญ (31 พ.ค. 2024)
บอกเล่าว่า อีกซึ่งเป็นประวัติการบุกรุกที่มีความยาวนานของ DMM Bitcoin ของประเทศญี่ปุ่น เมื่อฮากเกอร์ใช้กุญแจส่วนตัวที่ถูกหลุดออกมา เพื่อโอน Bitcoin มูลค่า 300 ล้านเหรียญสู่ที่อยู่กว่า 10 แห่ง แลกเปลี่ยนพยายามติดตามบนเชนและแช่แข็งสินทรัพย์ แต่ผู้โจมตีใช้เครื่องผสมเงินเพื่อซักล้างเงิน โดยเน้นให้เห็นถึงความอ่อนแออย่างรุนแรงในเรื่องความปลอดภัยของกุญแจส่วนตัวและปฏิบัติการเก็บรักษาของลูกค้า
ที่มา:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak
วิธีการป้องกันสินทรัพย์ดิจิทัลของคุณ
ในโลกบล็อกเชน อันตรายด้านความปลอดภัยมีทุกที่ การสร้างระบบป้องกันแบบชั้นเชิง — ประกอบด้วยการแยกกั้นทางกา physical, มาตรการป้องกันการดำเนินการ, และการตอบสนองฉุกเฉิน — สามารถลดความเสี่ยงในการถูกขโมยทรัพย์สินได้มากขึ้น
เลเยอร์ 1: การแยกจากกันทางกายภาพ (กระเป๋าฮาร์ดแวร์ & การแบ่งเบาสินทรัพย์)
- ใช้ กระเป๋า ฮาร์ดแวร์ (เช่น Ledger, Trezor) เก็บสินทรัพย์มูลค่าสูง
- กระเป๋าฮาร์ดแวร์ถูกแยกจากอินเทอร์เน็ตและอนุญาตให้ทำธุรกรรมเท่านั้นเมื่อเชื่อมต่อทางกายภาพและได้รับการยืนยัน ลดความเสี่ยงจากการโจมตีระยะไกลอย่างมาก
- หลีกเลี่ยงการเก็บจำนวนมากของสกุลเงินดิจิทัลในกระเป๋าร้อน (เช่น MetaMask) ในระยะเวลายาว
- กระจายสินทรัพย์ของคุณในหลาย ๆ กระเป๋าเพื่อป้องกันจุดเสียของเดียว
- กระเป๋าสตางค์ที่แยกตามการใช้งาน (เช่น กระเป๋าสำหรับซื้อขาย, กระเป๋าสำหรับเก็บรักษาในระยะยาว, กระเป๋าสำหรับใช้ประจำ)
- เก็บสินทรัพย์สำคัญในกระเป๋าเย็น (การเก็บรักษาแบบออฟไลน์) เพื่อป้องกันการโจมตีออนไลน์
แหล่งที่มา:https://www.ledger.com/
เลเยอร์ 2: มาตรการป้องกันการดำเนินการ (การอนุมัติอย่างระมัดระวัง & การตรวจสอบสมาร์ทคอนแทรค)
ระวังลิงก์และหลีกเลี่ยงการหลอกลวง
ระวังการโจมตีการหลอกลวง:
ทีมทางการจะไม่เคยขอรหัสส่วนตัวหรือวลีมีทรัพยากรผ่านทางเทเลเกรม ดิสคอร์ด หรือ DM บนทวิตเตอร์ การขอข้อมูลดังกล่าวเป็นการโกงยืนยันความถูกต้องของโครงการ:
ก่อนที่จะทำการติดต่อ ควรตรวจสอบโซเชียลมีเดียโปรเจคต์ ประกาศทางการ และแหล่งข้อมูล เพื่อให้แน่ใจว่าถูกต้องจัดการการอนุมัติสัญญาฉลาดอย่างระมัดระวัง
ตรวจสอบ URL เว็บไซต์และที่อยู่สัญญาก่อนที่จะเชื่อมต่อกระเป๋าเงินหรือลงนามใด ๆ ในการทำธุรกรรม มีเว็บไซต์ปลอมและสัญญาที่เป็นอันตรายมาก
ใช้เครื่องมือเช่น Revoke.cash หรือ Etherscan's Token Approval Checker เพื่อเพิกถอนสิทธิ์ของสัญญาอัจฉริยะที่ไม่จำเป็นอย่างสม่ำเสมอ จำกัดศักยภาพในการโจมตีของฮาโก้ที่ใช้สัญญาที่ได้รับอนุมัติล่วงหน้าการตรวจสอบความปลอดภัยของสัญญาอัจฉริยะ
ก่อนที่จะเข้าร่วมการสร้าง NFT หรือโครงการ DeFi ให้ใช้เครื่องมือตรวจสอบ (เช่น CertiK, PeckShield, SlowMist) เพื่อประเมินความปลอดภัยของสมาร์ทคอนแทรค ซึ่งจะช่วยป้องกันไม่ให้เกิดการเปิดเผยต่อโค้ดที่ไม่ดีหรือช่องโหว่ที่สามารถโจมตีได้
แหล่งที่มา:https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d
ชั้นที่ 3: การตอบสนองฉุกเฉิน (หากกระเป๋าเงินของคุณถูกคัดค้าน)
หากคุณสังเกตเห็นกิจกรรมที่น่าสงสัยหรือทรัพย์สินถูกขโมย กรุณาดำเนินการทันที:
- สร้างกระเป๋าใหม่: สร้างกุญแจส่วนตัวใหม่และเก็บวลีซีดของกระเป๋าใหม่อย่างปลอดภัยโดยใช้ฮาร์ดแวร์วอลเล็ต
- เพิกถอนการอนุมัติสัญญาที่เป็นอันตราย: ใช้Revoke.cashหรือหน้าอนุมัติโทเค็นของ Etherscan เพื่อยกเลิกการอนุญาตสำหรับสัญญาที่เรียกว่าเป็นเป็นสิ่งที่น่าสงสัยเพื่อป้องกันความเสียหายเพิ่มเติม
- โอนสินทรัพย์ที่เหลือ: ย้ายเงินที่เหลือจากกระเป๋าเงินที่ถูกบุกรุกไปยังกระเป๋าเงินที่ปลอดภัยที่คุณสร้างขึ้นใหม่อย่างรวดเร็ว
- ตรวจสอบอุปกรณ์ของคุณเพื่อมัลแวร์: ให้ทำการสแกนไวรัสและมัลแวร์อย่างละเอียดบนคอมพิวเตอร์และโทรศัพท์ของคุณเพื่อให้แน่ใจว่าอุปกรณ์ของคุณไม่ได้ถูกติดเชื้อ
- เปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA): เปิดใช้งาน 2FA สำหรับบัญชีที่เกี่ยวข้องกับสกุลเงินดิจิทัลทั้งหมด รวมถึงบัญชีแลกเปลี่ยนและบริการกระเป๋าเงิน เพื่อเพิ่มชั้นความปลอดภัยเพิ่มเติม
แหล่งที่มา:https://revoke.cash/
ความมุ่งมั่น — เลี่ยงกับดัก FOMO
อย่าไปตามกระแสอย่างบรรลัง: ก่อนเข้าร่วมโครงการใดๆ ควรประเมินค่าระยะยาวของมัน แทนที่จะเป็นผลการรบกวนโดยอารมณ์ของตลาดเท่านั้น
ตรวจสอบข้อมูลการลงนามอย่างรอบคอบ: เมื่อลงนามธุรกรรม ควรตรวจสอบเนื้อหาของลายเซ็นเพื่อให้แน่ใจว่ามันไม่เปิดเผยคีย์ส่วนตัวของคุณหรือให้สิทธิ์ที่เป็นอันตราย
ในโลกคริปโต ความปลอดภัยคือความสำคัญที่สุด การทราบระบบป้องกันที่มี 3 ชั้นนี้จะเสริมสร้างการป้องกันทรัพย์สินของคุณอย่างมีประสิทธิภาพและลดความเสี่ยงที่ไม่จำเป็น
สรุป
NFT และสินทรัพย์ดิจิตอลนำเสนอโอกาสที่ไม่เคยมีมาก่อน แต่พวกเขายังมาพร้อมกับปัญหาด้านความปลอดภัยที่ร้ายแรงด้วย ในโลกดิจิตอลนี้ การรักษาความปลอดภัยของกระเป๋าของคุณเท่าเทียมกับการป้องกันบัญชีธนาคารในโลกทางกายภาพ ในขณะที่ฮากเกอร์กันเปลี่ยนแปลงกลยุทธ์ของพวกเขาอยู่ตลอดเวลา การระวังและเข้าใจปฏิบัติการรักษาความปลอดภัยขั้นพื้นฐานสามารถลดความเสี่ยงได้อย่างมีประสิทธิภาพ
แฮกเกอร์กําหนดเป้าหมายผู้ใช้ NFT เป็นหลักเนื่องจากเสน่ห์ของสินทรัพย์ที่มีมูลค่าสูงการกลับไม่ได้ของธุรกรรมบล็อกเชนและการรับรู้ความปลอดภัยของผู้ใช้ที่อ่อนแอโดยทั่วไป เพื่อรับมือกับความเสี่ยงเหล่านี้ คุณจําเป็นต้องสร้างรากฐานด้านความปลอดภัยที่มั่นคง เช่น ใช้กระเป๋าเงินเย็น ตรวจสอบสิทธิ์เป็นประจํา และเก็บคีย์ส่วนตัวของคุณไว้อย่างปลอดภัย ความปลอดภัยยังคงเป็นแนวป้องกันที่สําคัญที่สุดในระบบนิเวศ NFT การตื่นตัวเท่านั้นที่คุณจะสามารถปกป้องความมั่งคั่งทางดิจิทัลของคุณได้อย่างแท้จริง
相关文章
ศึกษาด้วยตัวคุณเอง (DYOR)?
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?
โซลานาคืออะไร?
ระวัง NFT และสินทรัพย์ที่ไม่คาดคิดในกระเป๋าของคุณ - พวกเขาอาจขโมยเงินของคุณทั้งหมด
ภาพรวม
ทำไมผู้ถือ NFT เป็นเป้าหมายหลักของฮา๊กเกอร์
วิธีการปล้น NFT ที่พบบ่อย
กรณีการหลอกลวง NFT ในโลกจริง
วิธีการป้องกันสินทรัพย์ดิจิทัลของคุณ
สรุป
ภาพรวม
กับการพัฒนาที่รวดเร็วของสกุลเงินดิจิทัลและเทคโนโลยีบล็อกเชน NFT (ตัวแทนที่ไม่สามารถแทนที่) ในฐานะสินทรัพย์ดิจิทัลที่ไม่ซ้ำซ้อน ได้ดึงดูดนักลงทุนและผู้สะสมไปมากมาย อย่างไรก็ตาม พร้อมกับตลาดที่กำลังขยายอยู่ ยังมีความเสี่ยงที่เพิ่มขึ้น
คุณเคยสังเกตเห็น NFT หรือสินทรัพย์ที่ไม่คาดคิดอื่น ๆ ปรากฏขึ้นในกระเป๋าของคุณหรือไม่? ไอเทมดิจิทัลที่ดูเหมือนไม่อันตรายเหล่านี้อาจเป็นพายุภัยความปลอดภัยที่ร้ายแรง — แม้กระทั้งทำให้เสียเงินทุนทั้งหมดได้ เรื่องนี้จะเปิดเผยความเสี่ยงที่ซ่อนอยู่ข้างหลังของสถานการณ์เหล่านี้และให้คำแนะนำด้านความปลอดภัยที่เป็นประโยชน์เพื่อช่วยคุณป้องกันสินทรัพย์ดิจิทัลของคุณได้อย่างมีประสิทธิภาพมากขึ้น
ในปัจจุบันมูลค่าตลาดรวมของสกุลเงินดิจิทัลและ NFT ได้เกิน 3 ล้านล้านเหรียญดอลลาร์ โดยมีผู้เข้าร่วมกิจกรรมมากกว่า 300 ล้านคนทั่วโลก อย่างไรก็ตาม ซึ่งตลาดเพิ่มเติมมีการเป็นเป้าหมายหลักสำหรับผู้โจมตีและมือปลอม ตามข้อมูลจาก Comparitech (ณ วันที่ 13 มีนาคม 2025) การหลอกลวงที่เกี่ยวข้องกับคริปโตและ NFT ได้ทำให้เกิดความสูญเสียมูลค่า 27 พันล้านดอลลาร์และยอดยังเพิ่มมากขึ้น
แหล่งที่มา:https://www.comparitech.com/crypto/cryptocurrency-scams/ (13 มีนาคม 2025)
ทำไมเจ้าของ NFT เป็นเป้าหมายหลักของฮากเกอร์
1. ความลุ้นลุยของสินทรัพย์มูลค่าสูง
NFT มักจะมีมูลค่าสูง — โดยเฉพาะอย่างยิ่งสำหรับสิ่งที่มีจำนวนจำกัดหรือมีชื่อเสียง เช่น Bored Ape Yacht Club หรือ CryptoPunks ที่หนึ่งชิ้นอาจมีมูลค่าเป็นร้อยพันหรือแม้กระทั้งล้านเหรียญ
สินทรัพย์ดิจิทัลมูลค่าสูงเหล่านี้เป็นเหมืองทองในโลกเสมือน ซึ่งจะดึงดูดความสนใจของฮากเกอร์อย่างธรรมชาติ เมื่อเทียบกับสินทรัพย์ทางการเงินแบบดั้งเดิม การทำธุรกรรม NFT จะเร็วกว่าและยากต่อการติดตามมากขึ้น หลังจากถูกขโมยไปแล้ว ฮากเกอร์สามารถเร่งด่วนและรวดเร็วในการแลกเปลี่ยนสินทรัพย์
แหล่งที่มา: https://opensea.io/collection/boredapeyachtclub
2. ความเป็นส่วนตัวและความไม่สามารถย้อนกลับของบล็อกเชน
ลักษณะที่ไม่ระบุชื่อของบล็อกเชนมอบความเป็นส่วนตัวให้ผู้ใช้ แต่ก็สร้างสถานที่ที่ปลอดภัยสำหรับฮา๊กเกอร์ด้วย หลังจากที่ NFT หรือโทเค็นถูกขโมยไปแล้ว ขี้ขโมยก็สามารถโอนมันไปยังกระเป๋าอื่นๆ หรือซักรับเงินได้โดยใช้เครื่องผสมอย่าง Tornado Cash อย่างรวดเร็ว
เนื่องจากธุรกรรมบล็อกเชนเป็นระบบที่ไม่สามารถย้อนกลับได้ ผู้เสียหายมีโอกาสน้อยมากหรือไม่มีโอกาสในการกู้คืน เว้นแต่ผู้แฮกเกอร์จะสมควรคืนสินทรัพย์โดยสมัครใจหรือถูกจับตามกฎหมาย นี้ทำให้การโจมตีเจ้าของ NFT เป็นกลยุทธ์ที่มีความเสี่ยงต่ำและมีรางวัลสูงสำหรับผู้ก่อการร้ายทางไซเบอร์
3. การรับรู้ด้านความปลอดภัยทั่วไปของผู้ใช้มีระดับต่ำ
ผู้ใช้ NFT มากมักเป็นผู้เริ่มต้นในเทคโนโลยีบล็อกเชนและคริปโต ซึ่งขาดความตระหนักด้านความปลอดภัยอย่างเหมาะสม พวกเขาอาจจะไม่เข้าใจถึงความสำคัญของคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์ หรือรู้จะการจดจำเว็บไซต์ล่อลวง และสัญญาที่มีความร้ายแรง
เช่น เช่นบางผู้ใช้คลิกลิงก์ที่น่าสงสัยโดยไม่ลังเล หรือเก็บกุญแจส่วนตัวของพวกเขาในที่ไม่ปลอดภัย เช่น บันทึกโทรศัพท์หรือบริการคลาวด์ — ซึ่งทั้งหมดเปิดระเบียงสำหรับฮากเกอร์
4. ระบบนิเวศึกษาที่ซับซ้อนเพิ่มโอกาส
โลกภูมิศาสตร์ NFT ครอบคลุมกระเป๋าเงิน แพลตฟอร์มการซื้อขาย (เช่น OpenSea) สัญญาฉลาด และโซเชียลมีเดีย (เช่น Discord และ Twitter) ทุกส่วนประกอบเป็นจุดเสียดสีที่เป็นไปได้
5. ชุมชนที่มีกิจกรรมมากและการกระจ敎ข้อมูลอย่างรวดเร็ว
ผู้ใช้ NFT 通常มีกิจกรรมอยู่บนแพลตฟอร์มเช่น Twitter และ Discord โดยบ่อยครั้งแบ่งปันคอลเลกชันของตน บันทึกรายการซื้อขาย หรือมีส่วนร่วมในกิจกรรมต่าง ๆ ประเภทนี้ของการมีปรากฏตัวในที่สาธารณะทำให้เป็นเป้าหมายที่ง่าย ๆ ตัวอย่างเช่น การโชว์ NFT มูลค่าล้านดอลลาร์บน Twitter อาจดึงดูดผู้แฮกเกอร์ที่จะส่งลิงก์การจูงใจหรือแอบเป็นตัวแทนสนับสนุนปลอม
6. ค่ายานพลังงานสูงที่เชิญชวนให้เกิดข้อผิดพลาด
การติดต่อกับ NFT ต้องใช้ระดับความรู้ทางเทคนิคบางระดับ - เช่น การใช้ MetaMask, เข้าใจค่าธรรมเนียมในการใช้งาน, และการเซ็นสัญญาสมาร์ท สำหรับผู้ใช้ที่ไม่คุ้นเคยกับกระบวนการเหล่านี้ มันง่ายที่จะเกิดข้อผิดพลาดที่สำคัญ บางคนอาจทำให้ให้สิทธิ์โดยไม่รู้ตัวให้สัญญาที่อันตราย หรือดำเนินการในสภาพแวดล้อมเครือข่ายที่ไม่ปลอดภัย ซึ่งอาจทำให้เกิดการถูกขโมย
7. ต้นทุนต่ำ ผลตอบแทนสูงสำหรับฮักเกอร์
เมื่อเปรียบเทียบกับการโจมตีไซเบอร์แบบดั้งเดิมเช่นการบุกรุกระบบธนาคาร การเป้าหมายที่ผู้ใช้ NFT มีค่าใช้จ่ายน้อยมาก เฮ็กเกอร์อาจต้องทำเพียงการติดตั้งเว็บไซต์ปลอม ส่งอีเมลล์ช่องเหยียบหรือกระจายลิงก์ที่อันตรายในโซเชียลมีเดียเท่านั้น - และพวกเขาอาจได้เข้าถึงกระเป๋าที่มีมูลค่าได้เมื่อประสบความสำเร็จ การได้รับรางวัลสามารถเป็นพันล้านเหรียญ การตั้งค่าที่มีผลตอบแทนสูง ความเสี่ยงต่ำนี้ทำให้ผู้ใช้ NFT เป็นเป้าหมายหลัก
วิธีการปล้น NFT ทั่วไป
สัญญาอัจฉริยะที่ไม่ดี
NFT มักเชื่อมโยงกับสมาร์ทคอนแทรคซึ่งควบคุมการเป็นเจ้าของ การโอน และปฏิสัมพันธ์ต่างๆ ผู้ใช้โดยทั่วไปจะได้รับ NFT จากแหล่งที่ไม่รู้จัก เช่น โซเชียลมีเดีย แอร์ดรอป หรือเว็บไซต์
ในขณะที่ NFT ด้วยตัวเองอาจดูเหมือนไม่เป็นอันตราย แต่สัญญาอัจฉริยะซึ่งอยู่เบื้องหลังอาจมีโค้ดที่เป็นอันตราย ฮากเกอร์สามารถใช้โค้ดนี้เพื่อได้สิทธิ์ในกระเป๋าเงินของคุณโดยไม่รู้จัก ทำให้ถูกถอนทรัพย์สินทั้งหมดจากกระเป๋าของคุณในที่สุด
แหล่งที่มา: https://trezor.io/support/a/malicious-smart-contracts
การโจมตีการหลอกลวงและวิศวกรรมสังคม
แฮกเกอร์มักจะสร้างเว็บไซต์อีเมลหรือข้อความโซเชียลมีเดียปลอมเพื่อหลอกให้ผู้ใช้ป้อนคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรืออนุมัติสัญญาอัจฉริยะที่ไม่รู้จัก ตัวอย่างเช่น คุณอาจได้รับ "การแจ้งเตือน OpenSea" ปลอมที่ขอให้คุณ "ยืนยันกระเป๋าเงินของคุณ" แต่เมื่อคุณคลิกลิงก์และให้สิทธิ์การเข้าถึง NFT และโทเค็นของคุณสามารถถูกขโมยได้ทันที
นอกจากนี้ ฮากเกอร์ใช้เทคนิคการจู่โจมและวิธีการวิศวกรรมสังคมเพื่อส่ง NFT ที่เป็นอันตรายโดยตรงไปยังกระเป๋าของผู้ใช้ การดูหรือปฏิสัมพันธ์กับหนึ่งใน NFT เหล่านี้อาจทำให้ฮากเกอร์สามารถใช้ช่องโหว่ของสมาร์ทคอนแทรคท์เพื่อควบคุมกระเป๋าหรือหลอกผู้ใช้ให้ลงนามในธุรกรรมที่เสี่ยงอันตราย ตรวจสอบแหล่งที่มาของ NFT ทุกครั้ง — อย่าตอบสนองกับสินทรัพย์ที่ไม่รู้จักหรือน่าสงสัย
บนแพลตฟอร์มเช่น Discord และ Telegram มีผู้แอบอ้างตัวเป็นพนักงานสนับสนุน นักพัฒนา หรือสมาชิกในชุมชน โดยอ้างว่าพวกเขาสามารถช่วย “แก้ไข” ปัญหากระเป๋าเงิน จากนั้นเขาจะโน้มน้าวผู้ใช้ให้เปิดเผยวลีดระดับ และสุดท้ายขโมยทรัพย์สินของพวกเขา
โครงการ NFT ชั้นนำส่วนใหญ่ตอนนี้รวมช่อง "รายงานการหลอกลวง" ในเซิร์ฟเวอร์ของพวกเขา ตั้งแต่กรกฎาคม 2021 เป็นต้นมา มีการบันทึกข้อความมากกว่า 75,000 ข้อความในช่องเหล่านี้ทั่วโลกในแพลตฟอร์ม NFT ต่าง ๆ - โดยมี 76% ของพวกเขาถูกส่งในปี 2022 เท่านั้น
แหล่งที่มา: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/
เจ้าของร้านด้วยใช้เทคนิค “การเซ็นที่ละเอียด” ผ่าน eth_sign เพื่อขโมยสินทรัพย์ ไม่เหมือนธุรกรรมการลวดลามที่แสดงข้อมูลการทำธุรกรรมชัดเจนและเกิดค่าธรรมเนียมในการใช้ gas การเซ็นที่ละเอียดจะแสดงเฉพาะข้อความที่มัว — ทำให้มีลวดลามอย่างมาก เมื่อผู้ใช้เซ็นต์แล้ว ผู้โจมตีสามารถโอนโทเค็นได้ทันทีจากกระเป๋า
โครงการ NFT เทียม
มีผู้แฮ็กเกอร์บางรายปลอมตัวเป็นโครงการ NFT ยอดนิยมเพื่อล่อผู้ใช้ให้ซื้อหรือโต้ตอบกับแพลตฟอร์มปลอม ทันทีที่คุณเชื่อมต่อกระเป๋าเงินของคุณกับหนึ่งในเว็บไซต์ที่เป็นอันตรายเหล่านี้ มันอาจเรียกใช้สมาร์ทคอนแทร็คที่ออกแบบมาเพื่อขโมยสินทรัพย์ของคุณ
คนโกงมักใช้ฟังก์ชัน SetApprovalForAll() ในมาตรฐาน ERC-721 และ ERC-1155 เพื่อหลอกเหยื่อให้ให้สิทธิ์ควบคุมเต็มรูปแบบของ NFT โดยไม่รู้ตัว หลังจากได้รับการอนุมัติแล้ว แฮ็กเกอร์สามารถโอนสินทรัพย์ได้ตลอดเวลาโดยไม่ต้องมีการกรอกข้อมูลเพิ่มเติมจากผู้ใช้ ดังนั้น ก่อนที่จะโต้ตอบกับโปรเจค NFT ใดๆ ควรตรวจสอบความถูกต้องของมันเสมอ และใช้เครื่องมือเช่นRevoke.cashตรวจสอบและลบการอนุมัติที่ไม่จำเป็น
แหล่งที่มา: https://playtoearn.com/news/metamask-is-now-testing-setapprovalforall-confirmation-window-to-curb-nft-scams
รหัสที่ไม่ดี, ซอฟต์แวร์ และการโจมตีที่ซ่อนเร้น
การติดตั้งซอฟต์แวร์ที่ไม่รู้จักหรือส่วนขยายของเบราว์เซอร์ (เช่นปลั๊กอิน MetaMask เทียบ) สามารถติดเชื้อเครื่องของคุณด้วยมัลแวร์ที่สามารถขโมยคีย์ส่วนตัวหรือติดตามกิจกรรมของคุณ
นอกจากสมาร์ทคอนแทรคที่ทำผิดในบางกรณี บาง NFT และสินทรัพย์ดิจิทัลอาจมีสคริปต์ที่ทำงานเมื่อมองหรือจับมือ. ตัวอย่างเช่นการคลิกเพียงแค่บน NFT เหล่านี้อาจเรียกใช้โค้ดที่โอนสินทรัพย์ไปยังที่อยู่ที่ควบคุมโดยฮากเกอร์ได้. แม้ว่าสคริปต์เหล่านี้จะไม่ทำลายความปลอดภัยของอุปกรณ์โดยตรง แต่มันสามารถดูดเงินในกระเป๋าของคุณอย่างเงียบๆ
การโกง NFT พร้อมของปลอม
ฮากเกอร์ บ่อยครั้งสร้างจำนวนมากของ NFT เท็จ ซึ่งรวมถึงของปลอมคุณภาพสูง หรือ NFT ซึ่งฝังอยู่กับสัญญาที่เป็นอันตราย จำนวนมากนี้สร้างแรงดึงดูดผู้ใช้ด้วยราคาถูกและสัญญาว่าจะประหยัดค่าธรรมเนียมในการใช้งาน gas อย่างไรก็ตาม การเริ่มทำธุรกรรมอาจทำให้มีการอนุญาตให้ใช้ SetApprovalForAll() โดยเงียบๆ ทำให้ฮากเกอร์มีควบคุมแบบเต็มร้อยเมื่อใช้งานกระเป๋าเงินของผู้ใช้
ตัวอย่างเช่น เมื่อซื้อห่วง NFT บน OpenSea เสมอตรวจสอบแหล่งที่มาของแต่ละ NFT และสัญญาที่เกี่ยวข้อง ค่าใช้จ่ายในการส่งเสริมก็สามารถกลายเป็นข้อผิดพลาดที่ทำให้เสียค่าใช้จ่ายได้
ที่มา: https://opensea.io/collection/boredapeyachtclub
โกงปั๊มและดัมพ์
มือโกงเพิ่มราคา NFT โดยการเสริมโปรเจคผ่านโซเชียลมีเดียหรือการอวยพรจากคนดัง เพื่อสร้างความต้องการที่เท็จๆ เมื่อราคาสูงสุด ผู้เข้าของขายหุ้นของตน ทำให้ตลาดล่มและทิ้งผู้ซื้อกับสินทรัพย์ที่ค่าเหลือน้อย
เพื่อหลีกเลี่ยงแผนการ ตรวจสอบประวัติการทำธุรกรรมของ NFT เสมอ ซึ่ง NFT ที่ถูกต้องมักจะมีฐานลูกค้าที่หลากหลายและกิจกรรมชีวมากขึ้น
การดึงพรม
ในการหลอกลวงเหล่านี้ นักพัฒนาดึงดูดผู้ใช้ให้ซื้อ NFT ด้วยสัญญาใหญ่ ๆ เพียงเท่านั้น และหลังจากได้รับเงินแล้วก็จะหายไป ส่วนใหญ่เกี่ยวข้องกับทีมที่ไม่ระบุชื่อด้วยแผนผังที่โดดเด่นและไม่มีเจตนาจริงที่จะนำเสนอ
ตัวอย่างเช่นในปี 2021 ผู้สร้างของ Evil Ape หายตัวหลังจากที่ได้ระดมเงินเกือบ 3 ล้านเหรียญ โดยในปี 2022 โครงการ NFT ของ Frosties ได้หลอกลวงนักลงทุนไปเกือบ 1.3 ล้านเหรียญ แม้ว่าผู้กระทำความผิดได้ถูกจับกุมและโดนฟ้อง แต่ NFT และเงินที่ถูกขโมยไม่เคยได้รับคืน
เพื่อหลีกเลี่ยงการถูกดึงดูดใจ ควรให้ลำดับความสำคัญกับโครงการที่มีทีมงานที่โปร่งใส มีความรับผิดชอบและมีแผนการที่สมเหตุสมผล ตรวจสอบว่าการพัฒนากำลังก้าวหน้าตามที่ได้สัญญา
แหล่งที่มา: https://www.cbr.com/evolved-apes-nft-disappears-3-million/
ข้อเสนอ NFT เท็จ
มัลแวร์อาจแอบเสมือนแพลตฟอร์มที่ถูกต้องและส่งอีเมลล์ฉ้อโกงไปยังผู้ถือ NFT โดยส่งโปรโมทข้อเสนอหรือส่วนลดปลอม อีเมลล์เหล่านี้จะนำไปสู่เว็บไซต์ฉ้อโกงที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวเข้าสู่ระบบหรือวลีเมล็ลูกบพลาส
เพื่อป้องกันตัวเอง คุณควรทำการตรวจสอบที่อยู่อีเมลของผู้ส่งและนำทางไปที่แพลตฟอร์มอย่างเป็นทางการของ Gate.io ด้วยตนเองในเบราว์เซอร์ อย่าคลิกที่ลิงค์ที่เป็นสมมติจากอีเมล แม้แต่ถ้ามันดูเหมือนถูกต้อง
กรณีการหลอกลวง NFT ในโลกจริง
1. การโต้ตอบกับ NFT ที่น่าสงสัย - AJ สูญเสีย $41,300 (2021)
ในวันที่ 21 กันยายน 2021 ผู้ใช้ X AJ ( @babbler_dabbler) ทวีตว่ากระเป๋าเงินของเขาถูกบุกรุก รวมถึงการถอนเงิน The Currency, NFT โดยศิลปินชื่อดัง Damien Hirst ตามที่ AJ กล่าวว่า ข้อผิดพลาดเดียวของเขาคือการตอบสนองกับ NFT ที่ไม่คุ้นเคยที่ปรากฏขึ้นในกระเป๋าเงินของเขาอย่างกะทันหัน การกระทำนั้นทำให้เกิดการบุกรุกกระเป๋าเงินซึ่งส่งผลให้สูญเสีย ETH 13.75 ประมาณ $41,300
ต้นฐาน: https://x.com/babbler_dabbler/status/1439987074594217986
2. ศิลปิน Jay Chou ถูกขโมย NFT ชาวเลียนด์หน้าโง่ (2022)
ในเดือนเมษายน 2022 นักร้องเพ็ญเพญจาย โชว์ ไต้หวันเปิดเผยในโซเชียลมีเดียว่า NFT จาก Bored Ape Yacht Club ของเขาถูกขโมย NFT โดยประมาณมูลค่าประมาณ 500,000 ดอลลาร์ โชว์กล่าวว่าการขโมยเกิดขึ้นหลังจากที่เขาคลิกลิงค์การล่อลวงโดยไม่รู้ตัว
ฮักเกอร์เป็นไปได้ว่าใช้เทคนิคโซเชียลอิงซีนีย์ อาจจะปลอมตัวเป็นแฟนหรือบุคลากรโครงการเพื่อส่งลิงก์ที่เป็นอันตราย หลังจากคลิกลิงก์นั้น ชู ได้อนุมัติสัญญาฉลาดที่เป็นอันตรายโดยไม่รู้ตัว ทำให้ฮักเกอร์สามารถโอน NFT ได้ ทรัพย์สินถูกขายต่อไปหลายครั้งอย่างรวดเร็ว ทำให้มันยากมากที่จะติดตาม
Source: https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766
3. การโจมตีการหลอกลวง OpenSea (2022)
ในช่วงต้นปี 2022 ผู้ใช้งานของ OpenSea ตลาด NFT ตกเป็นเหยื่อของการโจมตีการจราจรทรัพย์สินขนาดใหญ่ ฮากเกอร์ส่งอีเมลปลอมและตั้งเว็บไซต์ปลอมเพื่อล่อผู้ใช้เข้าสู่การเซ็นสัญญาสมาร์ทที่อันตราย ในเวลาไม่กี่ชั่วโมง ผู้โจมตีขโมย NFT 254 รายการมูลค่าประมาณ 2.5 ล้านดอลลาร์ รวมถึงสินค้ามูลค่าสูงจาก Bored Ape Yacht Club และ Decentraland
มือปลอมแอบแสดงตัวเป็น OpenSea ในอีเมล แจ้งเตือนผู้ใช้เกี่ยวกับ "ปัญหาความปลอดภัยบัญชี" และกระตุ้นให้ "ตรวจสอบ" หรือ "ย้าย" NFT ของพวกเขา ผู้ใช้มากมายไม่สามารถตรวจสอบความถูกต้องของลิงก์และถูกนำไปยังเว็บไซต์ปลอมข้อมูลเขาไม่รู้ตัวที่เห็นและอนุญาตสัญญาที่เป็นอันตรายที่ทำให้ขโมยทรัพย์
Source: https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022
4. โกง Moonbirds NFT - 1.5 ล้านดอลลาร์ถูกขโมย (พฤษภาคม 2022)
ฮากเกอร์ได้กระจายลิงก์ที่อันตรายซึ่งหลอกผู้ใช้ให้เซ็นธุรกรรม สิ่งนี้ส่งผลให้การโจมตีขโมย 29 Moonbirds NFTs มูลค่าประมาณ 750 ETH — ประมาณ 1.5 ล้านดอลลาร์ในเวลานั้น
ที่มา:https://x.com/CirrusNFT/status/1529296043547865088
5. การหลอกลวงด้วยเสียง AI Deepfake (2023)
ในช่วงกลางปี 2023 แฮ็กเกอร์ใช้ AI ลอกเสียงของผู้บริหารบริษัทและหลอกสมาชิกทีมการเงินให้โอนเงินจำนวนมาก ตามรายงานปี 2023 จาก TRM Labs และบริษัทวิเคราะห์บล็อกเชน Chainalysis กลุ่มเงินทุน ที่รวมมูลค่าหลายล้านดอลลาร์ ถูกฟอกเงินผ่านเครื่องผสมคริปโต
6. โปรโตคอล Cross-Chain ของ Orbit Bridge ถูก Hack — ถูกขโมย $80 ล้าน (31 ธันวาคม 2566)
ในวันส่งท้ายปี 2023 ฮากเกอร์โจมตีช่องโหว่ในสะพานเครือข่ายต่างๆ Orbit Bridge โจมตีและขโมยเงินกว่า 80 ล้านเหรียญในสกุลเงินดิจิตอล (รวมถึง ETH และ USDC) การเจาะระบบถูกสงสัยว่าเป็นเหตุจากการรั่วไหลของคีย์ภายใน ส่วนหนึ่งของเงินที่ถูกขโมยถูกล้างผ่านโพรโตคอลที่ไม่มีศูนย์กลาง
แหล่งที่มา: https://x.com/bitinning/status/1741783830372155620
7. การรั่วคีย์ส่วนตัว Bitcoin ของ DMM - การปล้น 300 ล้านเหรียญ (31 พ.ค. 2024)
บอกเล่าว่า อีกซึ่งเป็นประวัติการบุกรุกที่มีความยาวนานของ DMM Bitcoin ของประเทศญี่ปุ่น เมื่อฮากเกอร์ใช้กุญแจส่วนตัวที่ถูกหลุดออกมา เพื่อโอน Bitcoin มูลค่า 300 ล้านเหรียญสู่ที่อยู่กว่า 10 แห่ง แลกเปลี่ยนพยายามติดตามบนเชนและแช่แข็งสินทรัพย์ แต่ผู้โจมตีใช้เครื่องผสมเงินเพื่อซักล้างเงิน โดยเน้นให้เห็นถึงความอ่อนแออย่างรุนแรงในเรื่องความปลอดภัยของกุญแจส่วนตัวและปฏิบัติการเก็บรักษาของลูกค้า
ที่มา:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak
วิธีการป้องกันสินทรัพย์ดิจิทัลของคุณ
ในโลกบล็อกเชน อันตรายด้านความปลอดภัยมีทุกที่ การสร้างระบบป้องกันแบบชั้นเชิง — ประกอบด้วยการแยกกั้นทางกา physical, มาตรการป้องกันการดำเนินการ, และการตอบสนองฉุกเฉิน — สามารถลดความเสี่ยงในการถูกขโมยทรัพย์สินได้มากขึ้น
เลเยอร์ 1: การแยกจากกันทางกายภาพ (กระเป๋าฮาร์ดแวร์ & การแบ่งเบาสินทรัพย์)
- ใช้ กระเป๋า ฮาร์ดแวร์ (เช่น Ledger, Trezor) เก็บสินทรัพย์มูลค่าสูง
- กระเป๋าฮาร์ดแวร์ถูกแยกจากอินเทอร์เน็ตและอนุญาตให้ทำธุรกรรมเท่านั้นเมื่อเชื่อมต่อทางกายภาพและได้รับการยืนยัน ลดความเสี่ยงจากการโจมตีระยะไกลอย่างมาก
- หลีกเลี่ยงการเก็บจำนวนมากของสกุลเงินดิจิทัลในกระเป๋าร้อน (เช่น MetaMask) ในระยะเวลายาว
- กระจายสินทรัพย์ของคุณในหลาย ๆ กระเป๋าเพื่อป้องกันจุดเสียของเดียว
- กระเป๋าสตางค์ที่แยกตามการใช้งาน (เช่น กระเป๋าสำหรับซื้อขาย, กระเป๋าสำหรับเก็บรักษาในระยะยาว, กระเป๋าสำหรับใช้ประจำ)
- เก็บสินทรัพย์สำคัญในกระเป๋าเย็น (การเก็บรักษาแบบออฟไลน์) เพื่อป้องกันการโจมตีออนไลน์
แหล่งที่มา:https://www.ledger.com/
เลเยอร์ 2: มาตรการป้องกันการดำเนินการ (การอนุมัติอย่างระมัดระวัง & การตรวจสอบสมาร์ทคอนแทรค)
ระวังลิงก์และหลีกเลี่ยงการหลอกลวง
ระวังการโจมตีการหลอกลวง:
ทีมทางการจะไม่เคยขอรหัสส่วนตัวหรือวลีมีทรัพยากรผ่านทางเทเลเกรม ดิสคอร์ด หรือ DM บนทวิตเตอร์ การขอข้อมูลดังกล่าวเป็นการโกงยืนยันความถูกต้องของโครงการ:
ก่อนที่จะทำการติดต่อ ควรตรวจสอบโซเชียลมีเดียโปรเจคต์ ประกาศทางการ และแหล่งข้อมูล เพื่อให้แน่ใจว่าถูกต้องจัดการการอนุมัติสัญญาฉลาดอย่างระมัดระวัง
ตรวจสอบ URL เว็บไซต์และที่อยู่สัญญาก่อนที่จะเชื่อมต่อกระเป๋าเงินหรือลงนามใด ๆ ในการทำธุรกรรม มีเว็บไซต์ปลอมและสัญญาที่เป็นอันตรายมาก
ใช้เครื่องมือเช่น Revoke.cash หรือ Etherscan's Token Approval Checker เพื่อเพิกถอนสิทธิ์ของสัญญาอัจฉริยะที่ไม่จำเป็นอย่างสม่ำเสมอ จำกัดศักยภาพในการโจมตีของฮาโก้ที่ใช้สัญญาที่ได้รับอนุมัติล่วงหน้าการตรวจสอบความปลอดภัยของสัญญาอัจฉริยะ
ก่อนที่จะเข้าร่วมการสร้าง NFT หรือโครงการ DeFi ให้ใช้เครื่องมือตรวจสอบ (เช่น CertiK, PeckShield, SlowMist) เพื่อประเมินความปลอดภัยของสมาร์ทคอนแทรค ซึ่งจะช่วยป้องกันไม่ให้เกิดการเปิดเผยต่อโค้ดที่ไม่ดีหรือช่องโหว่ที่สามารถโจมตีได้
แหล่งที่มา:https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d
ชั้นที่ 3: การตอบสนองฉุกเฉิน (หากกระเป๋าเงินของคุณถูกคัดค้าน)
หากคุณสังเกตเห็นกิจกรรมที่น่าสงสัยหรือทรัพย์สินถูกขโมย กรุณาดำเนินการทันที:
- สร้างกระเป๋าใหม่: สร้างกุญแจส่วนตัวใหม่และเก็บวลีซีดของกระเป๋าใหม่อย่างปลอดภัยโดยใช้ฮาร์ดแวร์วอลเล็ต
- เพิกถอนการอนุมัติสัญญาที่เป็นอันตราย: ใช้Revoke.cashหรือหน้าอนุมัติโทเค็นของ Etherscan เพื่อยกเลิกการอนุญาตสำหรับสัญญาที่เรียกว่าเป็นเป็นสิ่งที่น่าสงสัยเพื่อป้องกันความเสียหายเพิ่มเติม
- โอนสินทรัพย์ที่เหลือ: ย้ายเงินที่เหลือจากกระเป๋าเงินที่ถูกบุกรุกไปยังกระเป๋าเงินที่ปลอดภัยที่คุณสร้างขึ้นใหม่อย่างรวดเร็ว
- ตรวจสอบอุปกรณ์ของคุณเพื่อมัลแวร์: ให้ทำการสแกนไวรัสและมัลแวร์อย่างละเอียดบนคอมพิวเตอร์และโทรศัพท์ของคุณเพื่อให้แน่ใจว่าอุปกรณ์ของคุณไม่ได้ถูกติดเชื้อ
- เปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA): เปิดใช้งาน 2FA สำหรับบัญชีที่เกี่ยวข้องกับสกุลเงินดิจิทัลทั้งหมด รวมถึงบัญชีแลกเปลี่ยนและบริการกระเป๋าเงิน เพื่อเพิ่มชั้นความปลอดภัยเพิ่มเติม
แหล่งที่มา:https://revoke.cash/
ความมุ่งมั่น — เลี่ยงกับดัก FOMO
อย่าไปตามกระแสอย่างบรรลัง: ก่อนเข้าร่วมโครงการใดๆ ควรประเมินค่าระยะยาวของมัน แทนที่จะเป็นผลการรบกวนโดยอารมณ์ของตลาดเท่านั้น
ตรวจสอบข้อมูลการลงนามอย่างรอบคอบ: เมื่อลงนามธุรกรรม ควรตรวจสอบเนื้อหาของลายเซ็นเพื่อให้แน่ใจว่ามันไม่เปิดเผยคีย์ส่วนตัวของคุณหรือให้สิทธิ์ที่เป็นอันตราย
ในโลกคริปโต ความปลอดภัยคือความสำคัญที่สุด การทราบระบบป้องกันที่มี 3 ชั้นนี้จะเสริมสร้างการป้องกันทรัพย์สินของคุณอย่างมีประสิทธิภาพและลดความเสี่ยงที่ไม่จำเป็น
สรุป
NFT และสินทรัพย์ดิจิตอลนำเสนอโอกาสที่ไม่เคยมีมาก่อน แต่พวกเขายังมาพร้อมกับปัญหาด้านความปลอดภัยที่ร้ายแรงด้วย ในโลกดิจิตอลนี้ การรักษาความปลอดภัยของกระเป๋าของคุณเท่าเทียมกับการป้องกันบัญชีธนาคารในโลกทางกายภาพ ในขณะที่ฮากเกอร์กันเปลี่ยนแปลงกลยุทธ์ของพวกเขาอยู่ตลอดเวลา การระวังและเข้าใจปฏิบัติการรักษาความปลอดภัยขั้นพื้นฐานสามารถลดความเสี่ยงได้อย่างมีประสิทธิภาพ
แฮกเกอร์กําหนดเป้าหมายผู้ใช้ NFT เป็นหลักเนื่องจากเสน่ห์ของสินทรัพย์ที่มีมูลค่าสูงการกลับไม่ได้ของธุรกรรมบล็อกเชนและการรับรู้ความปลอดภัยของผู้ใช้ที่อ่อนแอโดยทั่วไป เพื่อรับมือกับความเสี่ยงเหล่านี้ คุณจําเป็นต้องสร้างรากฐานด้านความปลอดภัยที่มั่นคง เช่น ใช้กระเป๋าเงินเย็น ตรวจสอบสิทธิ์เป็นประจํา และเก็บคีย์ส่วนตัวของคุณไว้อย่างปลอดภัย ความปลอดภัยยังคงเป็นแนวป้องกันที่สําคัญที่สุดในระบบนิเวศ NFT การตื่นตัวเท่านั้นที่คุณจะสามารถปกป้องความมั่งคั่งทางดิจิทัลของคุณได้อย่างแท้จริง
相关文章
ศึกษาด้วยตัวคุณเอง (DYOR)?
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?