ในวันที่ 22 สิงหาคม 2025 เกิดเหตุการณ์หลอกลวงเกี่ยวกับสกุลเงินดิจิทัลที่สร้างความตกตะลึง และเป็นการเตือนอย่างชัดเจนถึงความเสี่ยงในDeFiพื้นที่ดังกล่าว โดยอ้างอิงจากแพลตฟอร์มด้านความปลอดภัย ScamSniffer มีผู้ใช้รายหนึ่งสูญเสียโทเค็นและNFTsมูลค่าประมาณ 1 ล้านดอลลาร์สหรัฐ หลังจากลงนามในธุรกรรมที่เป็นอันตรายซึ่งปลอมตัวเป็นการแลกเปลี่ยนของUniswap
เหตุการณ์นี้เป็นตัวอย่างที่ชัดเจนของการหลอกลวงประเภทฟิชชิ่งและการลงนามธุรกรรมที่ใช้ประโยชน์จากความสะดวกของการซื้อขายแบบกระจายศูนย์และความไม่ระวังของผู้ใช้
**วิธีการทำงานของการหลอกลวงฟิชชิ่ง: การล่อลวงให้ลงนามในธุรกรรมปลอม**
การหลอกลวงนี้มีความซับซ้อนและอันตรายเนื่องจากการดำเนินการที่แนบเนียน ซึ่งแบ่งออกเป็นขั้นตอนสำคัญไม่กี่ขั้นตอน:
-
**อินเทอร์เฟซปลอม แต่หลอกลวงจริง:** ผู้โจมตีสร้างเว็บไซต์ปลอมที่ดูเหมือนกับอินเทอร์เฟซของ Uniswap อย่างสมบูรณ์แบบ เว็บไซต์นี้มักถูกเผยแพร่ผ่านลิงก์ฟิชชิ่ง ซึ่งอาจพบได้ในโฆษณาปลอม โพสต์ที่เป็นอันตรายในโซเชียลมีเดีย หรือแม้แต่ข้อความส่วนตัวที่ดูเหมือนถูกต้อง ผู้ใช้มักจะถูกนำเข้าสู่เว็บไซต์ปลอมโดยไม่ทันระวัง
-
**ลวงให้คุณลงนามในธุรกรรมที่เป็นอันตราย:** เมื่อผู้ใช้เริ่มต้นธุรกรรมบนเว็บไซต์ปลอม (เช่น การแลกเปลี่ยนโทเค็น) เว็บไซต์จะสร้างคำขอธุรกรรมที่เป็นอันตรายซึ่งกระตุ้นให้ผู้ใช้ลงนาม คำขอนี้ไม่ใช่ลายเซ็นธุรกรรมปกติของ Uniswap แต่เป็นลายเซ็นสำหรับสัญญาที่เป็นอันตรายที่แฝงไว้ด้วย"การอนุมัติธุรกรรมแบบกลุ่ม"หรือสิทธิ์พิเศษที่ซ่อนอื่นๆ
-
**การโอนทรัพย์สินแบบเงียบ ๆ:** เมื่อผู้ใช้ลงนามในคำขอที่เป็นอันตรายนี้ โดยไม่รู้ตัว พวกเขาได้มอบสิทธิ์ให้ผู้โจมตีดำเนินการกับสินทรัพย์ในกระเป๋าเงินของพวกเขาเป็นจำนวนมาก จากนั้นผู้โจมตีสามารถใช้สิทธิ์นี้ในการโอนสินทรัพย์ที่มีมูลค่าสูง รวมถึงโทเค็นและ NFTs ออกมาจากกระเป๋าเงินของเหยื่อได้ โดยไม่ต้องการการอนุมัติเพิ่มเติมจากผู้ใช้
ในกรณีนี้ เหยื่อได้ลงนามในคำขอ "การชำระบัญชีแบบกลุ่ม" ปลอมที่ปลอมตัวเป็นการแลกเปลี่ยนง่ายๆ ซึ่งส่งผลให้กระเป๋าเงินของพวกเขาถูกระบายจนหมด การโจมตีประเภทนี้มีความอันตรายอย่างยิ่งเพราะดูเหมือนกระบวนการ DeFi ปกติ แต่โค้ดที่ซ่อนอยู่ถูกออกแบบมาเพื่อขโมยเงินเพียงอย่างเดียว
วิธีปกป้องคริปโตของคุณ: ขั้นตอนสำคัญเพื่อหลีกเลี่ยงการหลอกลวงด้วยลายเซ็น
การหลอกลวงด้วยลายเซ็นเป็นเรื่องปกติในโลกคริปโตแต่คุณสามารถลดความเสี่ยงได้อย่างมากโดยทำตามขั้นตอนง่ายๆ ดังนี้:
-
ตรวจสอบโดเมนเสมอ:เข้าถึงแพลตฟอร์มซื้อขายแบบกระจายอำนาจผ่านช่องทางอย่างเป็นทางการหรือบุ๊กมาร์กของคุณเท่านั้น ก่อนดำเนินการใดๆ ตรวจสอบ URL ในแถบที่อยู่ของเบราว์เซอร์เพื่อให้แน่ใจว่าเป็นโดเมนทางการที่ถูกต้อง.
-
ระมัดระวังทุกครั้งที่มีคำขอลายเซ็น:อย่ารีบร้อนที่จะคลิก "ยืนยัน" เมื่อคำขอลายเซ็นปรากฏขึ้นในกระเป๋าเงินของคุณ อ่านคำขออย่างรอบคอบ หากคุณใช้กระเป๋าเงิน EVM เช่น MetaMask มักจะมีรายละเอียดการทำธุรกรรมแสดงอยู่ หากมีสิ่งใดที่ดูน่าสงสัยหรือคุณไม่รู้จักสัญญาอัจฉริยะที่ขออนุญาต ให้ยกเลิกคำขอทันที.
-
ใช้เครื่องมือจำลองการทำธุรกรรม:กระเป๋าเงินหลายประเภทและเครื่องมือรักษาความปลอดภัยบุคคลที่สาม (เช่น ScamSniffer) มีฟีเจอร์จำลองการทำธุรกรรม. ใช้การจำลองเพื่อดูผลลัพธ์ของการทำธุรกรรมก่อนที่คุณจะเซ็น หากการจำลองแสดงให้เห็นว่าเงินของคุณจะถูกโอนไปยังที่อยู่ที่ไม่รู้จัก นั่นเป็นคำเตือนชัดเจนว่าเป็นการหลอกลวง.
-
ตรวจสอบสิทธิ์การใช้งานของกระเป๋าเงินเป็นประจำ:การหลอกลวงหลายประเภทพึ่งพาการอนุญาตระยะยาว ฝึกนิสัยในการตรวจสอบและเพิกถอนสิทธิ์การใช้งานที่ไม่จำเป็นหรือดูน่าสงสัยเป็นประจำ คุณสามารถใช้เครื่องมืออย่าง Etherscan หรือบริการรักษาความปลอดภัยกระเป๋าเงินอื่นๆ เพื่อจัดการการอนุมัติสัญญาของคุณ
-
ใช้กระเป๋าเงินแยกต่างหาก:อย่าเก็บสินทรัพย์ที่มีมูลค่าสูงทั้งหมดไว้ในกระเป๋าเงินเดียว ใช้กระเป๋าเงิน "ฮอตวอลเล็ท" สำหรับการเชื่อมต่อกับ dApps และการทำธุรกรรม และเก็บสินทรัพย์ส่วนใหญ่ไว้ในกระเป๋าเงินที่ปลอดภัยกว่าและใช้งานน้อยกว่า เช่นกระเป๋าเงินเย็น
ในโลกของ Web3 ลายเซ็นของคุณคือตัวตนของคุณ และการอนุญาตของคุณคือคำสั่ง ปกป้องลายเซ็นของคุณเป็นวิธีที่ดีที่สุดในการปกป้องสินทรัพย์ของคุณ อย่าลืมระมัดระวัง และอย่าปล่อยให้การคลิกครั้งเดียวกลายเป็นจุดเริ่มต้นของการสูญเสียหลายล้านบาท.