รายงานประจำเดือนกรกฎาคมจาก CER แพลตฟอร์มรับรองความปลอดภัยทางไซเบอร์ ระบุว่า แบรนด์กระเป๋าเงินดิจิทัลส่วนใหญ่ไม่เคยว่าจ้างทีมผู้เชี่ยวชาญจากภายนอกมาทำการทดสอบเจาะระบบ
CER พบว่า มีกระเป๋าเงินดิจิทัลเพียง 6 จาก 45 แบรนด์เท่านั้นที่ผ่านการทดสอบเจาะระบบเพื่อค้นหาช่องโหว่ด้านความปลอดภัย หรือคิดเป็น 13.3% ของแบรนด์กระเป๋าเงินดิจิทัลทั้งหมด และในจำนวนนี้ ก็มีเพียงครึ่งเดียวเท่านั้นที่ทำการทดสอบผลิตภัณฑ์เวอร์ชันล่าสุดของแบรนด์
สามแบรนด์ที่ทำการทดสอบการเจาะระบบล่าสุด ได้แก่ MetaMask, ZenGo และ Trust Wallet ทั้งนี้ตามรายงานระบุว่า Rabby และ Bifrost ทำการทดสอบเจาะระบบในซอฟต์แวร์เวอร์ชันเก่า ส่วนแบรนด์ Ledger Live ได้ทำการทดสอบใน ”เวอร์ชันที่ไม่รู้จัก” (ถูกระบุเป็น “ไม่มี” ในรายงาน) และแบรนด์อื่น ๆ ทั้งหมดที่ระบุไว้ก็ไม่ได้แสดงหลักฐานว่าได้ทำการทดสอบขั้นตอนเหล่านี้
การทดสอบเจาะระบบคืออะไร?
การทดสอบการเจาะระบบ (Penetration testing) เป็นวิธีการค้นหาช่องโหว่ด้านความปลอดภัยในระบบคอมพิวเตอร์หรือซอฟต์แวร์ โดยนักวิจัยด้านความปลอดภัยจะพยายามเจาะเข้าไปในอุปกรณ์หรือซอฟต์แวร์ และในกรณีส่วนใหญ่ เครื่องทดสอบการเจาะระบบจะให้ข้อมูลเกี่ยวกับวิธีการทำงานของผลิตภัณฑ์เพียงเล็กน้อย หรืออาจไม่มีข้อมูลเลย ซึ่งกระบวนการนี้จะใช้เพื่อจำลองการแฮ็กในโลกแห่งความเป็นจริงเพื่อแก้ไขช่องโหว่ก่อนที่ผลิตภัณฑ์จะวางจำหน่าย
CER พบว่า 39 จาก 45 แบรนด์กระเป๋าเงินดิจิทัลนั้นไม่ได้ทำการทดสอบการเจาะระบบเลย แม้แต่ในซอฟต์แวร์เวอร์ชันเก่าก็ตาม โดย CER สันนิษฐานว่า เหตุผลอาจเป็นเพราะกระบวนการทดสอบเหล่านี้มีราคาแพง และถ้าหากบริษัททำการอัปเกรดผลิตภัณฑ์ของตนบ่อยครั้ง ก็หมายความว่าจะต้องเสียเงินค่าทดสอบบ่อยครั้งเช่นกัน
“เราระบุว่าการทดสอบดังกล่าวมาจากจำนวนการอัปเดตที่แอปทั่วไปมี ซึ่งการอัปเดตใหม่แต่ละครั้งอาจตัดสิทธิ์การทดสอบที่ทำไว้ก่อนหน้านี้” CER ระบุในรายงาน
CER พบว่า แบรนด์กระเป๋าเงินที่ได้รับความนิยมสูงสุดมักจะดำเนินการตรวจสอบด้านความปลอดภัย รวมถึงการทดสอบการเจาะระบบแล้ว เนื่องจากพวกเขามักจะมีเงินทุนในการดำเนินการดังกล่าว:
“โดยพื้นฐานแล้ว กระเป๋าเงินยอดนิยมมักจะนำมาตรการรักษาความปลอดภัยที่แข็งแกร่งมาใช้เพื่อให้สามารถปกป้องผู้ใช้ได้มากขึ้น ซึ่งสิ่งนี้ดูสมเหตุสมผล และฐานผู้ใช้ที่สูงก็ขึ้นมักจะสอดคล้องกับเงินทุนจำนวนมากที่สามารถนำไปใช้เพื่อเสริมความปลอดภัย” CER ระบุ “และแบรนด์กระเป๋าเงินที่ปลอดภัยกว่าก็จะสามารถดึงดูดผู้ใช้ใหม่ได้มากกว่าแบรนด์ที่มีความปลอดภัยน้อยกว่า”
กระเป๋าเงินดิจิทัลที่ปลอดภัยที่สุด
รายงานของ CER ยังได้มีการจัดอันดับความปลอดภัยโดยรวมของกระเป๋าเงินแต่ละแบรนด์อีกด้วย โดยระบุว่ากระเป๋าเงินดิจิทัลที่ปลอดภัยที่สุด ได้แก่ MetaMask, ZenGo, Rabby, Trust Wallet และ Coinbase Wallet
อันดับความปลอดภัยของกระเป๋าเงิน ที่มา: CER
ทั้งนี้การจัดอันดับกระเป๋าเงินดิจิทัลของ CER จะขึ้นอยู่กับปัจจัยต่าง ๆ เช่น การให้รางวัล bug bounties เหตุการณ์ในอดีต และฟีเจอร์ด้านความปลอดภัย เช่น วิธีการคืนค่าและข้อกำหนดด้านรหัสผ่าน
แม้ว่าแบรนด์กระเป๋าเงินส่วนใหญ่จะไม่ได้ทำการทดสอบการเจาะระบบ แต่ CER ระบุว่าหลายแบรนด์นั้นพึ่งพาการตรวจจับข้อผิดพลาดเพื่อค้นหาช่องโหว่ ซึ่งมักจะเป็นวิธีที่มีประสิทธิภาพในการป้องกันการแฮ็ก
บริษัทให้คะแนนกระเป๋าเงินดิจิทัล 47 รายการจากทั้งหมด 159 รายการว่า “ปลอดภัย” ซึ่งหมายความว่ากระเป๋าเงินเหล่านี้มีคะแนนความปลอดภัยสูงกว่า 60 อย่างไรก็ตาม กระเป๋าเงิน 159 รายการเหล่านี้จะรวมถึงกระเป๋าเงินรูปแบบอื่น ๆ ของกระเป๋าเงินที่มาจากแบรนด์เดียวกันด้วย ตัวอย่างเช่น MetaMask สำหรับเบราว์เซอร์ Edge จะถือเป็นกระเป๋าเงินที่แตกต่างจาก MetaMask สำหรับ Android
ความปลอดภัยของ Wallet กลายเป็นปัญหาที่ต้องแก้ไขอย่างเร่งด่วนในปี 2023 เนื่องจากเงินกว่า 100 ล้านดอลลาร์หายไปจากการแฮ็ก Atomic Wallet เมื่อวันที่ 3 มิถุนายน โดยทางทีมงาน Atomic ได้คาดเดาว่าการแฮ็กครั้งนั้นอาจเกิดจากไวรัสหรือการปล่อยมัลแวร์เข้าไปในโครงสร้างพื้นฐานของบริษัท แต่ขณะนี้ก็ยังไม่ทราบว่าช่องโหว่ที่แท้จริงคืออะไร นอกจากนี้ Web wallet MyAlgo ก็ได้ประสบปัญหาด้านความปลอดภัยเมื่อช่วงปลายเดือนกุมภาพันธ์ จนส่งผลให้ผู้ใช้สูญเสียเงินไปกว่า 9 ล้านดอลลาร์
ที่มา: cointelegraph