ผู้เชี่ยวชาญด้านความปลอดภัยคริปโตกล่าวว่า การโจมตีคริปโตส่วนใหญ่ในปีหน้าจะไม่ได้เกิดจากช่องโหว่ zero-day ในโปรโตคอลโปรดของคุณ แต่จะเกิดจากตัวคุณเอง
นั่นเป็นเพราะปี 2025 แสดงให้เห็นว่าการแฮกส่วนใหญ่ไม่ได้เริ่มต้นด้วยโค้ดที่เป็นอันตราย แต่เริ่มจากการสนทนา Nick Percoco หัวหน้าเจ้าหน้าที่ความปลอดภัยของแพลตฟอร์มแลกเปลี่ยนคริปโต Kraken กล่าวกับ Cointelegraph
ข้อมูลจาก Chainalysis แสดงให้เห็นว่าตั้งแต่เดือนมกราคมถึงต้นเดือนธันวาคม 2025 อุตสาหกรรมคริปโตประสบการขโมยมูลค่ากว่า 3.4 พันล้านดอลลาร์ โดยการโจมตี Bybit ในเดือนกุมภาพันธ์คิดเป็นเกือบครึ่งหนึ่งของจำนวนทั้งหมด
มูลค่ากว่า 3.4 พันล้านดอลลาร์ถูกขโมยโดยผู้ไม่หวังดีในปีนี้ ที่มา: Chainalysisระหว่างการโจมตี ผู้ไม่หวังดีได้รับการเข้าถึงผ่าน social engineering และแทรกโค้ด JavaScript ที่เป็นอันตราย ซึ่งช่วยให้พวกเขาสามารถแก้ไขรายละเอียดธุรกรรมและดูดเงินออกไป
Social engineering คืออะไร?
Social engineering คือวิธีการโจมตีทางไซเบอร์ที่หลอกลวงผู้คนให้เปิดเผยข้อมูลที่เป็นความลับหรือดำเนินการที่ทำให้ความปลอดภัยถูกคุกคาม
Percoco กล่าวว่าสนามรบของความปลอดภัยคริปโตจะอยู่ในใจ ไม่ใช่ในโลกไซเบอร์
เคล็ดลับที่ 1: ใช้ระบบอัตโนมัติเท่าที่เป็นไปได้
การถูกโจมตีผ่าน supply chain ก็พิสูจน์แล้วว่าเป็นความท้าทายสำคัญในปีนี้เช่นกัน ตาม Percoco เนื่องจากการละเมิดเล็กน้อยที่ดูเหมือนไม่สำคัญอาจกลายเป็นภัยร้ายแรงในภายหลัง เพราะ "มันเหมือนหอคอยเจงก้าดิจิทัล และความสมบูรณ์ของทุกบล็อกมีความสำคัญ"
ในปีหน้า Percoco แนะนำให้ลดจุดที่ต้องพึ่งพาความไว้วางใจของมนุษย์ผ่านการดำเนินการเช่นการใช้ระบบป้องกันอัตโนมัติเท่าที่เป็นไปได้ และตรวจสอบทุกการโต้ตอบดิจิทัลผ่านการพิสูจน์ตัวตน ใน "การเปลี่ยนจากการป้องกันแบบตอบสนองไปสู่การป้องกันเชิงรุก"
"โดยเฉพาะในคริปโต จุดอ่อนที่สุดยังคงเป็นความไว้วางใจของมนุษย์ ซึ่งถูกขยายด้วยความโลภและ FOMO นั่นคือช่องโหว่ที่ผู้โจมตีใช้ประโยชน์ทุกครั้ง แต่ไม่มีเทคโนโลยีใดทดแทนนิสัยที่ดีได้" เขากล่าวเสริม
เคล็ดลับที่ 2: แยกโครงสร้างพื้นฐาน
Lisa หัวหน้าฝ่ายปฏิบัติการความปลอดภัยจาก SlowMist กล่าวว่าผู้ไม่หวังดีกำหนดเป้าหมายไปที่ระบบนิเวศของนักพัฒนามากขึ้นในปีนี้ ซึ่งเมื่อรวมกับการรั่วไหลของข้อมูลรับรองคลาวด์ สร้างโอกาสในการแทรกโค้ดที่เป็นอันตราย ขโมยข้อมูลลับ และทำลายการอัปเดตซอฟต์แวร์
"นักพัฒนาสามารถลดความเสี่ยงเหล่านี้ได้โดยการกำหนดเวอร์ชัน dependency ตรวจสอบความสมบูรณ์ของแพ็กเกจ แยกสภาพแวดล้อมการสร้าง และตรวจสอบการอัปเดตก่อนการปรับใช้" เธอกล่าว
เมื่อเข้าสู่ปี 2026 Lisa คาดการณ์ว่าภัยคุกคามที่สำคัญที่สุดจะเกิดจากการขโมยข้อมูลรับรองและการดำเนินการ social-engineering ที่ซับซ้อนมากขึ้น
ที่มา: SlowMist"ผู้คุกคามกำลังใช้ประโยชน์จากดีปเฟกที่สร้างด้วย AI การฟิชชิ่งที่ปรับแต่ง และแม้แต่การทดสอบการจ้างงานนักพัฒนาปลอมเพื่อขอกุญแจกระเป๋าเงิน ข้อมูลรับรองคลาวด์ และโทเค็นการลงนาม การโจมตีเหล่านี้กำลังเป็นอัตโนมัติและน่าเชื่อถือมากขึ้น และเราคาดว่าแนวโน้มนี้จะดำเนินต่อไป" เธอกล่าว
เพื่อความปลอดภัย Lisa แนะนำองค์กรให้นำการควบคุมการเข้าถึงที่เข้มแข็ง การหมุนเวียนกุญแจ การพิสูจน์ตัวตนที่สนับสนุนด้วยฮาร์ดแวร์ การแบ่งส่วนโครงสร้างพื้นฐาน และการตรวจจับและติดตามความผิดปกติมาใช้
บุคคลควรพึ่งพากระเป๋าเงินฮาร์ดแวร์ หลีกเลี่ยงการโต้ตอบกับไฟล์ที่ไม่ได้รับการตรวจสอบ ตรวจสอบข้อมูลประจำตัวผ่านช่องทางอิสระ และระมัดระวังลิงก์หรือการดาวน์โหลดที่ไม่ได้ขอ
เคล็ดลับที่ 3: การพิสูจน์ความเป็นมนุษย์เพื่อต่อสู้กับดีปเฟก AI
Steven Walbroehl ผู้ร่วมก่อตั้งและหัวหน้าเจ้าหน้าที่เทคโนโลยีของบริษัทรักษาความปลอดภัยบล็อกเชน Halborn คาดการณ์ว่า social engineering ที่เสริมด้วย AI จะมีบทบาทสำคัญในกลยุทธ์ของแฮกเกอร์คริปโต
ในเดือนมีนาคม ผู้ก่อตั้งคริปโตอย่างน้อยสามรายรายงานว่าได้ขัดขวางความพยายามจากแฮกเกอร์เกาหลีเหนือที่ถูกกล่าวหาในการขโมยข้อมูลที่ละเอียดอ่อนผ่านการโทร Zoom ปลอมที่ใช้ดีปเฟก
Walbroehl เตือนว่าแฮกเกอร์กำลังใช้ AI เพื่อสร้างการโจมตีที่ปรับแต่งอย่างสูงและตระหนักถึงบริบท ซึ่งหลีกเลี่ยงการฝึกอบรมการรับรู้ความปลอดภัยแบบดั้งเดิม
เพื่อต่อสู้กับสิ่งนี้ เขาแนะนำให้นำการพิสูจน์ความเป็นมนุษย์แบบเข้ารหัสลับสำหรับการสื่อสารที่สำคัญทั้งหมด การพิสูจน์ตัวตนที่ใช้ฮาร์ดแวร์พร้อมการผูกไบโอเมตริกซ์ ระบบตรวจจับความผิดปกติที่กำหนดพื้นฐานรูปแบบธุรกรรมปกติ และการสร้างโปรโตคอลการตรวจสอบโดยใช้ความลับหรือวลีที่แบ่งปันล่วงหน้ามาใช้
เคล็ดลับที่ 4: เก็บคริปโตของคุณไว้กับตัวเอง
Wrench attacks หรือการโจมตีทางกายภาพต่อผู้ถือคริปโต ก็เป็นประเด็นที่โดดเด่นของปี 2025 โดยมีอย่างน้อย 65 รายการที่บันทึกไว้ ตามรายการ GitHub ของ Bitcoin OG และ cypherpunk Jameson Lopps ช่วงจุดสูงสุดของตลาดกระทิงครั้งสุดท้ายในปี 2021 เคยเป็นปีที่แย่ที่สุดในประวัติศาสตร์ โดยมีการโจมตีที่บันทึกไว้ทั้งหมด 36 ครั้ง
ผู้ใช้ X ภายใต้ชื่อ Beau อดีตเจ้าหน้าที่ CIA กล่าวในโพสต์ X เมื่อวันที่ 2 ธันวาคมว่า wrench attacks ยังคงหายากค่อนข้างมาก แต่เขายังคงแนะนำให้ผู้ใช้คริปโตใช้ความระมัดระวังโดยไม่พูดถึงความมั่งคั่งหรือเปิดเผยการถือครองคริปโตหรือไลฟ์สไตล์ที่ฟุ่มเฟือยทางออนไลน์เป็นจุดเริ่มต้น
ที่มา: Beauเขายังแนะนำให้กลายเป็น "เป้าหมายที่ยาก" โดยใช้เครื่องมือทำความสะอาดข้อมูลเพื่อซ่อนข้อมูลส่วนบุคคลที่เป็นความลับ เช่น ที่อยู่บ้าน และลงทุนในการป้องกันบ้าน เช่น กล้องรักษาความปลอดภัยและสัญญาณเตือน
เคล็ดลับที่ 5: อย่าประหยัดกับเคล็ดลับความปลอดภัยที่ได้รับการพิสูจน์แล้ว
David Schwed ผู้เชี่ยวชาญด้านความปลอดภัยที่เคยทำงานที่ Robinhood ในตำแหน่งหัวหน้าเจ้าหน้าที่ความปลอดภัยสารสนเทศ กล่าวว่าเคล็ดลับสูงสุดของเขาคือการยึดติดกับธุรกิจที่มีชื่อเสียงที่แสดงการปฏิบัติด้านความปลอดภัยที่เข้มงวด รวมถึงการตรวจสอบความปลอดภัยจากบุคคลที่สามอย่างเข้มงวดและสม่ำเสมอของสแต็กทั้งหมด ตั้งแต่สมาร์ทคอนแทรกต์ไปจนถึงโครงสร้างพื้นฐาน
อย่างไรก็ตาม โดยไม่คำนึงถึงเทคโนโลยี Schwed กล่าวว่าผู้ใช้ควรหลีกเลี่ยงการใช้รหัสผ่านเดียวกันสำหรับหลายบัญชี เลือกใช้โทเค็นฮาร์ดแวร์เป็นวิธีการพิสูจน์ตัวตนแบบหลายปัจจัย และปกป้อง seed phrase โดยการเข้ารหัสอย่างปลอดภัยหรือจัดเก็บออฟไลน์ในตำแหน่งทางกายภาพที่ปลอดภัย
เขายังแนะนำให้ใช้กระเป๋าเงินฮาร์ดแวร์เฉพาะสำหรับการถือครองที่สำคัญและลดการถือครองในแพลตฟอร์มแลกเปลี่ยน
ที่เกี่ยวข้อง: Spear phishing เป็นกลยุทธ์หลักของแฮกเกอร์เกาหลีเหนือ: วิธีรักษาความปลอดภัย
"ความปลอดภัยขึ้นอยู่กับชั้นการโต้ตอบ ผู้ใช้ต้องเฝ้าระวังอย่างมากเมื่อเชื่อมต่อกระเป๋าเงินฮาร์ดแวร์กับแอปพลิเคชันเว็บใหม่และต้องตรวจสอบข้อมูลธุรกรรมที่แสดงบนหน้าจออุปกรณ์ฮาร์ดแวร์อย่างละเอียดก่อนลงนาม นี่จะป้องกัน 'การลงนามโดยไม่ทราบ' ของสัญญาที่เป็นอันตราย" Schwed กล่าวเสริม
Lisa กล่าวว่าเคล็ดลับที่ดีที่สุดของเธอคือใช้ซอฟต์แวร์ทางการเท่านั้น หลีกเลี่ยงการโต้ตอบกับ URL ที่ไม่ได้รับการตรวจสอบ และแยกเงินทุนไปยังการกำหนดค่าแบบร gorячий, อุ่น และเย็น
เพื่อต่อต้านความซับซ้อนที่เพิ่มขึ้นของการหลอกลวงเช่น social engineering และฟิชชิ่ง Percoco ของ Kraken แนะนำ "ความสงสัยอย่างรุนแรง" ตลอดเวลา โดยการตรวจสอบความถูกต้องและสมมติว่าทุกข้อความเป็นการทดสอบการรับรู้
"และความจริงสากลหนึ่งยังคงอยู่: ไม่มีบริษัท บริการ หรือโอกาสที่ถูกต้องตามกฎหมายใดที่จะขอ seed phrase หรือข้อมูลรับรองการเข้าสู่ระบบของคุณ ในขณะที่พวกเขาทำ คุณกำลังพูดคุยกับนักต้มตุ๋น" Percoco กล่าวเสริม
ในขณะเดียวกัน Walbroehl แนะนำให้สร้างกุญแจโดยใช้ตัวสร้างตัวเลขสุ่มที่ปลอดภัยทางการเข้ารหัสลับ การแบ่งแยกอย่างเข้มงวดระหว่างสภาพแวดล้อมการพัฒนาและการผลิต การตรวจสอบความปลอดภัยอย่างสม่ำเสมอ และการวางแผนการตอบสนองต่อเหตุการณ์ด้วยการซ้อมอย่างสม่ำเสมอ
นิตยสาร: เมื่อกฎหมายความเป็นส่วนตัวและ AML ขัดแย้งกัน: ทางเลือกที่เป็นไปไม่ได้ของโครงการคริปโต
ที่มา: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
