ตลอดประวัติศาสตร์ของ Crypto มีผู้สูญเสียสินทรัพย์เพราะการโจรกรรมแบบฟิชชิ่ง (phishing) มาแล้วมากมาย อย่างไรก็ตาม เหตุการณ์ครั้งนี้อาจเป็นการสูญเสียเงินจำนวนมากที่สุดจากการฟิชชิ่งบุคคลเพียงคนเดียว
เมื่อวันที่ 7 กันยายนที่ผ่านมา กระเป๋าเงินใบหนึ่งสูญเสีย Crypto รวมมูลค่าทั้งหมด 24.2 ล้านดอลลาร์ หรือราว ๆ 860 ล้านบาท โดยส่วนใหญ่เป็นเหรียญ LSD รวมไปถึง 4851 rETH และ 9579 stETH
ลิงก์ธุรกรรมที่เจ้ามือถูกขโมยเป็น ETH ที่ถูก Stake เอาไว้: etherscan.io
เกิดขึ้นได้อย่างไร?
เหตุการณ์ครั้งนี้ เกิดขึ้นจากการที่เหยื่อให้สิทธิ์แก่ฟิชเชอร์ (ผู้โจมตี phishing) ในการเข้าถึงกระเป๋าเงินของตัวเอง ด้วยการลงนามในธุรกรรมเพื่ออนุญาตสิทธิ์ (allowance transactions) ให้กับฟิชเชอร์ผ่านธุรกรรมนี้: etherscan.io
อธิบายง่าย ๆ คือ เหยื่อทำการเซ็นอนุมัติธุรกรรมที่สามารถเพิ่มขอบเขต “การอนุญาตการเข้าถึง” ให้กับฟิชเชอร์ โดยในระบบบล็อกเชน ผู้ใช้แต่ละคนจะมี private key สำหรับเข้าถึงกระเป๋าเงินของตน แต่ผู้ใช้สามารถมอบสิทธิ์การเข้าถึงกระเป๋าเงินให้บุคคลอื่นได้ ด้วยการเพิ่มขอบเขตการอนุญาตให้กับ public key ของบุคคลนั้น ซึ่งถ้าหากผู้ใช้เซ็นอนุมัติธุรกรรมดังกล่าวให้กับฟิชเชอร์ ก็เท่ากับว่าผู้ใช้กำลังอนุญาตให้ฟิชเชอร์สามารถเข้าถึงกระเป๋าเงินของตนได้
อีกกรณีหนึ่ง ฟิชเชอร์อาจหลอกเหยื่อให้คลิกลิงก์ปลอมหรือป้อนรหัสผ่านลงในเว็บไซต์ปลอม ซึ่งจะทำให้ฟิชเชอร์สามารถขโมย public key ของกระเป๋าเงินเหยื่อได้ จากนั้นฟิชเชอร์ก็ใช้ public key ดังกล่าวในการเซ็นอนุมัติธุรกรรมเพิ่มขอบเขตการอนุญาตให้กับตัวเอง เพื่อโอน Crypto ออกจากกระเป๋าเงินของเหยื่อ
ตามข้อมูลจาก NaturephilicReaction นักสืบบล็อกเชนบนแพลตฟอร์ม Reddit ระบุว่า หลังจากแปลงเหรียญที่ขโมยมาทั้งหมดเป็น ETH ผ่าน UniSwap ฟิชเชอร์ก็ได้โอน 10,000 ETH รวมมูลค่า 16.3 ล้านดอลลาร์มายังกระเป๋าเงินนี้:
https://etherscan.io/address/0x7023505ED4b696d174969AA318FBE47B98787e49
จากนั้น ฟิชเชอร์ก็ทำการโอน 2,000 ETH รวมมูลค่า 3.2 ล้านดอลลาร์มายังกระเป๋านี้:
https://etherscan.io/address/0x2ABdC2AB2B7e46E0C6Bb4e7C816eF64485f4f7Ad
อย่างไรก็ตาม ฟิชเชอร์ได้ Swap ETH บางส่วนไปเป็นเหรียญ DAI ก่อนจะโอนไปยัง FixFloat แพลตฟอร์มที่ช่วยให้ผู้ใช้สามารถ Swap เงินข้ามเครือข่ายต่าง ๆ ได้โดยไม่จำเป็นต้องทำการ KYC
ทั้งนี้ฟิชเชอร์รายดังกล่าวได้ทยอยโอนทั้งหมด 6 ครั้ง โดยมูลค่าของเหรียญที่โอนในแต่ละธุรกรรมคือ 25,000 ดอลลาร์, 25,000 ดอลลาร์, 100,000 ดอลลาร์, 100,000 ดอลลาร์, 100,000 ดอลลาร์ และ 100,000 ดอลลาร์
“หลังจากตรวจสอบหลาย ๆ chain ด้วยตนเอง ผมพบผลลัพธ์ที่ตรงกัน (ลบค่าธรรมเนียม FixedFloat) ที่โอนมาถึงที่อยู่ Bitcoin หลายแห่งภายในเวลาเดียวกัน” NaturephilicReaction กล่าว พร้อมแนบข้อมูลที่เขาพบ
เหตุการณ์ดังกล่าวไม่ใช่ครั้งแรกที่ฟิชเชอร์รายนี้สามารถฟิชชิ่งเหยื่อได้สำเร็จ เนื่องจากก่อนหน้านี้มีผู้ตกเป็นเหยื่อมาหลายรายแล้ว ซึ่งหมายความว่าพวกเขามีประสบการณ์และรู้วิธีหลอกขโมยเงินจากผู้คนเป็นอย่างดี โดยหนึ่งในที่อยู่กระเป๋าเงินของฟิชเชอร์คือ 0x4c10a462CD1e639Da8A062aE8a33a23401120ab1 และกระเป๋าเงินใบนี้ก็เกี่ยวข้องกับเว็บไซต์ crypto phishing อย่างน้อย 10 แห่ง
NaturephilicReaction เชื่อว่าเงินที่ถูกขโมยบางส่วน กำลังถูกเก็บไว้ในกระเป๋าเงิน Bitcoin เหล่านี้ :
- bc1qcp4f04l72yh72eyug2clc85elesc8vrufenncy
- bc1qnah73jx6pq9g6zaag2qay6ndg2d396sl0uw3en
- bc1qjvr2qk4nnjsrg59td7fq6hx0qqrx47zzpslexn
- bc1qlzcxyak6nzwcq07nmqughsmrn4lfwwvzcf5a9x
- bc1qtnh0vzlqzdhkhp9p3w70u5vkmnzkzadm0tppa8
- bc1q4vkhe77c9cjpa0f2xepgeuxvcl9y6nu6qxqvju
ที่มา: Reddit