สรุปข่าว
- มิจฉาชีพเริ่มใช้วิธี Supply Chain Attack ดัดแปลง Hardware Wallet ตั้งแต่ขั้นตอนก่อนการขนส่ง หรือก่อนถึงมือผู้ซื้อ โดยเฉพาะในร้านค้าบุคคลที่สามบนแอปอีคอมเมิร์ซ
- เหยื่อสูญเงินกว่า 1 ล้านบาท หลังใช้เครื่องที่ถูกสอดไส้ Seed Phrase ล่วงหน้ามาในกล่อง ซึ่งมีหน้าตาแนบเนียนเหมือนของแท้ทุกประการ
- ผู้เชี่ยวชาญย้ำว่า กระเป๋าเงินฮาร์ดแวร์ของแท้ ต้องสุ่มสร้างชุดคำกู้คืน 24 คำผ่านหน้าจอเครื่องเท่านั้น ห้ามใช้ชุดคำที่มีการพิมพ์ใส่กระดาษหรือแผ่นขูดมาให้ล่วงหน้าเด็ดขาด
แนวโน้มผลกระทบต่อราคา: Neutral
ข่าวนี้เป็นเรื่องของความปลอดภัยเฉพาะบุคคล และการเลือกใช้อุปกรณ์เก็บรักษาทรัพย์สิน จึงไม่ส่งผลกระทบต่อราคาเหรียญในตลาดโดยตรง
อย่างไรก็ตาม อาจสร้างความกังวลชั่วคราวให้แก่นักลงทุนหน้าใหม่ที่กำลังมองหาวิธีเก็บรักษาเหรียญด้วยตัวเอง แต่ในระยะยาวจะส่งผลดีต่อความมั่นใจในระบบนิเวศหากนักลงทุนมีความรู้ในการป้องกันตัวเองจากมิจฉาชีพที่ซับซ้อนขึ้น
วลีเด็ดประจำวงการคริปโตอย่าง “Not your keys, not your coins” ทำให้นักลงทุนหลายคนหันมาเก็บรักษาสินทรัพย์ดิจิทัลไว้ในกระเป๋าเงินฮาร์ดแวร์ (Hardware Wallet) หรือ Cold Wallet กันมากขึ้น เพราะเชื่อว่าเป็นป้อมปราการที่ปลอดภัยที่สุดจากการถูกแฮ็กบนโลกออนไลน์
แต่ความตั้งใจที่จะปกป้องเงินเก็บทั้งชีวิตอาจพังทลายลงในพริบตา หากคุณเผลอไปกดสั่งซื้อกระเป๋าเงินราคาถูกลดกระหน่ำจากร้านค้าบุคคลที่สามบนแพลตฟอร์มอีคอมเมิร์ซชื่อดัง เพราะขณะนี้แก๊งมิจฉาชีพกำลังระบาดหนัก ด้วยการนำอุปกรณ์ที่ถูกดัดแปลงมาสอดไส้วางขายปะปนกับของแท้
เปิดเคสตัวอย่าง: บทเรียนราคาแพง สูญเงินกว่า 1 ล้านบาท!
มีกรณีศึกษาจากผู้ใช้ Reddit รายหนึ่งที่ชื่อ “moodyrocket” ได้สั่งซื้อ Ledger จากผู้ขายที่มีเครดิตดีบน eBay ตัวเครื่องดูใหม่เอี่ยม และมีการซีลกล่องมาอย่างดี จนไม่น่าสงสัย เขาใช้งานได้ตามปกติเป็นเวลา 4 สัปดาห์ จนกระทั่งยอดเงินสะสมเพิ่มขึ้นเป็น 25,000 ปอนด์ (หรือประมาณ 1.1 ล้านบาท)
แต่แล้วฝันร้ายก็มาถึง เมื่อเขาพบว่า เหรียญทั้งหมดถูกโอนออกไปจนเป็นศูนย์ ในเวลาไล่เลี่ยกัน จากการตรวจสอบพบว่า อุปกรณ์ดังกล่าวถูกสอดไส้ไว้แล้วตั้งแต่ต้น โดยมิจฉาชีพได้ตั้งค่า Seed Phrase ไว้ล่วงหน้าแล้ว และแนบ “การ์ดกู้คืนปลอม” ที่มีแถบขูด (Scratch Card) มาในกล่อง เพื่อหลอกให้เหยื่อใช้คำเหล่านั้นในการตั้งค่า แทนที่จะให้ตัวเครื่องสร้างคำขึ้นมาใหม่เอง
กลโกง Supply Chain Attack แนบเนียนจนแยกไม่ออก
ที่มาภาพ : x-phy
การโจมตีลักษณะนี้เรียกว่า Supply Chain Attack ซึ่งเป็นการดัดแปลงอุปกรณ์ในระหว่างขั้นตอนการขนส่ง หรือก่อนถึงมือผู้ซื้อ ซึ่งมิจฉาชีพมีวิธีการหลัก ๆ ดังนี้:
- ดัดแปลงซอฟต์แวร์หรือฮาร์ดแวร์ภายใน: แม้ภายนอกจะดูเหมือนเครื่องแท้ แต่ไส้ในอาจถูกฝังรหัสอันตราย เพื่อดักจับ Private Key
- สร้างอุปกรณ์เลียนแบบ: ทำออกมาให้หน้าตา UI และโลโก้เหมือนของจริง จนผู้ใช้ทั่วไปแยกไม่ออก
- สอดไส้ Seed Phrase ล่วงหน้า: หลอกให้เหยื่อใช้ชุดคำกู้คืนที่มิจฉาชีพรู้รหัสอยู่แล้ว เพื่อให้พวกเขาสามารถเข้าถึงเงินในกระเป๋าได้ทุกเมื่อ
วิธีเช็คให้ชัวร์ ! ก่อนตกเป็นเหยื่อกระเป๋าดูดเงิน
เพื่อความปลอดภัยสูงสุดของสินทรัพย์ดิจิทัล ผู้เชี่ยวชาญแนะนำขั้นตอนการตรวจสอบดังนี้ :
- ต้องซื้อจากแหล่งที่เป็นทางการเท่านั้น: ควรซื้อโดยตรงจากเว็บไซต์ผู้ผลิตหรือตัวแทนจำหน่ายที่ได้รับการรับรอง หากซื้อผ่าน Amazon หรือแอปอื่น ต้องตรวจสอบให้แน่ใจว่าเป็นร้าน Official Store
- ตัวเครื่องต้องสะอาดเมื่อเริ่มใช้: เมื่อเปิดเครื่องครั้งแรก เครื่องต้องไม่ตั้งรหัส PIN ไว้ก่อน และต้องไม่มีการให้ชุดคำ Seed Phrase มาให้ล่วงหน้า
- สร้าง Seed Phrase ด้วยตัวเองผ่านหน้าจออุปกรณ์: วลีกู้คืน (24 คำ) จะต้องถูกสุ่มสร้างขึ้นใหม่จากหน้าจอของ Hardware Wallet เท่านั้น ห้ามใช้คำที่ขูดจากกระเป๋าหรือพิมพ์ใส่กระดาษมาให้เด็ดขาด
- ใช้ระบบ Genuine Check: แอปพลิเคชันอย่าง Ledger Live มีระบบตรวจสอบความแท้ของอุปกรณ์ (Genuine Check) ผ่าน Secure Server หากเครื่องถูกดัดแปลงจะผ่านการทดสอบนี้ไม่ได้
สุดท้ายแม้ Hardware Wallet จะเป็นวิธีที่ปลอดภัยที่สุดในการเก็บคริปโต แต่ความประมาทในการเลือกซื้อจากร้านค้าที่ไม่เป็นทางการ เพียงเพื่อประหยัดเงินไม่กี่ร้อยบาท อาจทำให้คุณหมดตัวได้ในชั่วพริบตา
ที่มา : Reddit,cointelegraph,reddit,reddit,cryptoconsulting,moneysmart
มุมมองผู้เขียน : การใช้กระเป๋าเงินฮาร์ดแวร์คือ วิธีที่ปลอดภัยที่สุดในการเก็บคริปโตก็จริง แต่ความประหยัดเพียงไม่กี่ร้อยบาทจากการซื้อร้านทั่วไป อาจทำให้คุณหมดตัวได้เลยทีเดียว
การยอมจ่ายแพงกว่าเพื่อซื้อจาก Official Store หรือตัวแทนทางการในไทยที่ได้รับการรับรอง ถือเป็นค่าประกันความเสี่ยงที่คุ้มค่าที่สุด และจำไว้เสมอว่า Seed Phrase คือความลับสูงสุดที่เครื่องต้องสร้างให้เราเท่านั้น ไม่ใช่มาในรูปแบบกระดาษขูด
