สิ่งที่ควรตรวจสอบก่อนที่คุณจะ 'อัปเดต'

นักวิจัยด้านความปลอดภัยออนเชน ZachXBT ได้ตั้งธงเตือนกระเป๋าเงินหลายร้อยรายการข้ามเชน EVM หลายเชนที่ถูกดูดเงินออกไปในจำนวนเล็กน้อย โดยทั่วไปน้อยกว่า $2,000 ต่อเหยื่อหนึ่งราย ไหลเข้าสู่แอดเดรสที่น่าสงสัยเพียงแอดเดรสเดียว

ยอดรวมของการขโมยปีนขึ้นเกิน $107,000 และยังคงเพิ่มขึ้นอยู่ สาเหตุที่แท้จริงยังไม่เป็นที่ทราบแน่ชัด แต่ผู้ใช้รายงานว่าได้รับอีเมลฟิชชิ่งที่ปลอมตัวเป็นการอัปเกรด MetaMask ที่บังคับ พร้อมด้วยโลโก้สุนัขจิ้งจอกสวมหมวกปาร์ตี้และหัวข้อ "Happy New Year!"

การโจมตีครั้งนี้เกิดขึ้นในช่วงที่นักพัฒนาอยู่ในวันหยุด ช่องทางการสนับสนุนมีพนักงานเพียงไม่กี่คน และผู้ใช้กำลังเลื่อนดูกล่องจดหมายที่เต็มไปด้วยโปรโมชันปีใหม่

ผู้โจมตีใช้ประโยชน์จากช่วงเวลานั้น จำนวนเงินต่อเหยื่อที่เล็กน้อยบ่งชี้ว่าผู้ดูดเงินทำงานผ่านการอนุมัติสัญญามากกว่าการประนีประนอม seed phrase แบบเต็มรูปแบบในหลายกรณี ซึ่งทำให้การสูญเสียของแต่ละรายอยู่ต่ำกว่าเกณฑ์ที่เหยื่อจะเตือนภัยทันที แต่ก็ช่วยให้ผู้โจมตีสามารถขยายไปยังกระเป๋าเงินหลายร้อยรายการได้

อุตสาหกรรมยังคงประมวลผลเหตุการณ์แยกต่างหากของส่วนขยายเบราว์เซอร์ Trust Wallet ที่โค้ดที่เป็นอันตรายในส่วนขยาย Chrome v2.68 เก็บเกี่ยว private key และดูดเงินอย่างน้อย $8.5 ล้านจาก 2,520 กระเป๋าเงินก่อนที่ Trust Wallet จะแพตช์เป็น v2.69

สองการแสวงหาประโยชน์ที่แตกต่างกัน บทเรียนเดียวกัน: จุดปลายทางของผู้ใช้ยังคงเป็นจุดอ่อนที่สุด

กายวิภาคของอีเมลฟิชชิ่งที่ได้ผล

อีเมลฟิชชิ่งที่มีธีม MetaMask แสดงให้เห็นว่าทำไมการโจมตีเหล่านี้จึงประสบความสำเร็จ

ตัวตนผู้ส่งแสดง "MetaLiveChain" ซึ่งเป็นชื่อที่ฟังดูเกี่ยวข้องกับ DeFi คลุมเครือแต่ไม่มีความเชื่อมโยงกับ MetaMask

ส่วนหัวของอีเมลมีลิงก์ยกเลิกการสมัครสำหรับ "[email protected]" เผยให้เห็นว่าผู้โจมตีได้ยกเทมเพลตจากแคมเปญการตลาดที่ถูกกฎหมาย ส่วนเนื้อหามีโลโก้สุนัขจิ้งจอกของ MetaMask สวมหมวกปาร์ตี้ ผสมผสานความร่าเริงในช่วงเทศกาลกับความเร่งด่วนที่สร้างขึ้นเกี่ยวกับ "การอัปเดตที่บังคับ"

การผสมผสานนั้นเลี่ยงผ่านการตัดสินที่ผู้ใช้ส่วนใหญ่ใช้กับการหลอกลวงที่ชัดเจน

อีเมลฟิشชิ่งปลอมเป็น MetaMask ด้วยโลโก้สุนัขจิ้งจอกสวมหมวกปาร์ตี้ โดยอ้างอย่างเท็จว่าจำเป็นต้องมีการอัปเกรดระบบ 2026 ที่ "บังคับ" เพื่อเข้าถึงบัญชี

เอกสารความปลอดภัยอย่างเป็นทางการของ MetaMask กำหนดกฎที่ชัดเจน อีเมลการสนับสนุนมาจากแอดเดรสที่ได้รับการยืนยันเท่านั้น เช่น [email protected] และไม่เคยมาจากโดเมนของบุคคลที่สาม

ผู้ให้บริการกระเป๋าเงินไม่ส่งอีเมลที่ไม่ได้ร้องขอซึ่งเรียกร้องการยืนยันหรือการอัปเกรด

นอกจากนี้ ตัวแทนจะไม่มีทางขอ Secret Recovery Phrase เลย แต่อีเมลเหล่านี้ได้ผลเพราะพวกเขาใช้ประโยชน์จากช่องว่างระหว่างสิ่งที่ผู้ใช้รู้ทางสติปัญญาและสิ่งที่พวกเขาทำโดยสะท้อนกลับเมื่อข้อความที่ดูเป็นทางการมาถึง

สัญญาณสี่อย่างเปิดเผยฟิชชิ่งก่อนที่ความเสียหายจะเกิดขึ้น

อย่างแรก การไม่ตรงกันระหว่างแบรนด์และผู้ส่ง เนื่องจากแบรนด์ MetaMask จาก "MetaLiveChain" เป็นสัญญาณของการขโมยเทมเพลต อย่างที่สอง ความเร่งด่วนที่สร้างขึ้นเกี่ยวกับการอัปเดตที่บังคับซึ่ง MetaMask กล่าวอย่างชัดเจนว่าจะไม่ส่ง

อย่างที่สาม URL ปลายทางที่ไม่ตรงกับโดเมนที่อ้าง การวางเมาส์ก่อนคลิกจะเปิดเผยเป้าหมายที่แท้จริง อย่างที่สี่ คำขอที่ละเมิดกฎหลักของกระเป๋าเงิน เช่น การขอ seed phrase หรือการแจ้งให้ลงนามในข้อความออฟเชนที่ไม่โปร่งใส

กรณี ZachXBT แสดงให้เห็นกลไกฟิชชิ่งการลงนาม เหยื่อที่คลิกลิงก์อัปเกรดปลอมอาจลงนามในการอนุมัติสัญญาที่ให้สิทธิ์ผู้ดูดเงินในการย้ายโทเค็น

การลงนามเพียงครั้งเดียวนั้นเปิดประตูสู่การขโมยอย่างต่อเนื่องข้ามหลายเชน ผู้โจมตีเลือกจำนวนเงินต่อกระเป๋าเงินที่เล็กเพราะการอนุมัติสัญญามักมีขีดจำกัดการใช้จ่ายแบบไม่จำกัดตามค่าเริ่มต้น แต่การดูดทุกอย่างจะกระตุ้นให้มีการสืบสวนทันที

การกระจายการขโมยไปยังเหยื่อหลายร้อยรายที่ $2,000 ต่อรายบินต่ำกว่าเรดาร์ของแต่ละบุคคลในขณะที่สะสมยอดรวมหลักหกหลัก

การเพิกถอนการอนุมัติและลดรัศมีการระเบิด

เมื่อคลิกลิงก์ฟิชชิ่งหรือลงนามการอนุมัติที่เป็นอันตรายแล้ว ความสำคัญจะเปลี่ยนไปที่การควบคุม MetaMask ตอนนี้ให้ผู้ใช้ดูและเพิกถอนการอนุญาตโทเค็นได้โดยตรงภายใน MetaMask Portfolio

Revoke.cash แนะนำผู้ใช้ผ่านกระบวนการง่ายๆ: เชื่อมต่อกระเป๋าเงินของคุณ ตรวจสอบการอนุมัติต่อเครือข่าย และส่งธุรกรรมเพิกถอนสำหรับสัญญาที่ไม่น่าเชื่อถือ

หน้า Token Approvals ของ Etherscan เสนอฟังก์ชันเดียวกันสำหรับการเพิกถอนการอนุมัติ ERC-20, ERC-721 และ ERC-1155 ด้วยตนเอง เครื่องมือเหล่านี้สำคัญเพราะเหยื่อที่ดำเนินการอย่างรวดเร็วสามารถตัดการเข้าถึงของผู้ดูดเงินก่อนที่จะสูญเสียทุกอย่าง

ความแตกต่างระหว่างการประนีประนอมการอนุมัติและการประนีประนอม seed phrase จะกำหนดว่ากระเป๋าเงินสามารถกู้คืนได้หรือไม่ คู่มือความปลอดภัยของ MetaMask ลากเส้นแข็ง: หากคุณสงสัยว่า Secret Recovery Phrase ของคุณถูกเปิดเผย ให้หยุดใช้กระเป๋าเงินนั้นทันที

สร้างกระเป๋าเงินใหม่บนอุปกรณ์ใหม่ โอนสินทรัพย์ที่เหลืออยู่ และถือว่า seed ดั้งเดิมถูกทำลายอย่างถาวร การเพิกถอนการอนุมัติช่วยได้เมื่อผู้โจมตีถือเพียงสิทธิ์ของสัญญา หาก seed ของคุณหายไป กระเป๋าเงินทั้งหมดต้องถูกละทิ้ง

Chainalysis จัดทำเอกสารการประนีประนอมกระเป๋าเงินส่วนบุคคลประมาณ 158,000 รายที่ส่งผลกระทบต่อผู้คนอย่างน้อย 80,000 คนในปี 2025 แม้ว่ามูลค่ารวมที่ถูกขโมยลดลงเหลือประมาณ $713 ล้าน

การสูญเสียกระเป๋าเงินส่วนบุคคลในฐานะส่วนแบ่งของการขโมยคริปโตทั้งหมดปีนขึ้นจากประมาณ 10% ในปี 2022 เป็นเกือบ 25% ในปี 2025 ตามข้อมูล Chainalysis

ผู้โจมตีโจมตีกระเป๋าเงินมากขึ้นในจำนวนเงินที่น้อยลง รูปแบบที่ ZachXBT ระบุ ผลกระทบเชิงปฏิบัติ: การจัดระเบียบกระเป๋าเงินเพื่อจำกัดรัศมีการระเบิดมีความสำคัญเท่ากับการหลีกเลี่ยงฟิชชิ่ง

กระเป๋าเงินที่ถูกประนีประนอมเพียงรายการเดียวไม่ควรหมายถึงการสูญเสียพอร์ตโฟลิโอทั้งหมด

การสร้างการป้องกันแบบเชิงลึก

ผู้ให้บริการกระเป๋าเงินได้เปิดตัวฟีเจอร์ที่จะควบคุมการโจมตีนี้ได้หากนำมาใช้

MetaMask ตอนนี้สนับสนุนให้ตั้งค่าขีดจำกัดการใช้จ่ายในการอนุมัติโทเค็นแทนที่จะยอมรับสิทธิ์ "ไม่จำกัด" เริ่มต้น Revoke.cash และแดชบอร์ด Shield ของ De.Fi สนับสนุนให้ถือว่าการทบทวนการอนุมัติเป็นสุขอนามัยประจำควบคู่กับการใช้กระเป๋าเงินฮาร์ดแวร์สำหรับการถือครองระยะยาว

MetaMask เปิดใช้งานการแจ้งเตือนความปลอดภัยธุรกรรมจาก Blockaid ตามค่าเริ่มต้น ตั้งธงเตือนสัญญาที่น่าสงสัยก่อนที่การลงนามจะถูกดำเนินการ

เหตุการณ์ส่วนขยาย Trust Wallet เสริมความจำเป็นในการป้องกันแบบเชิงลึก การแสวงหาประโยชน์นั้นเลี่ยงผ่านการตัดสินใจของผู้ใช้ และโค้ดที่เป็นอันตรายในรายการ Chrome อย่างเป็นทางการเก็บเกี่ยวคีย์โดยอัตโนมัติ

ผู้ใช้ที่แยกการถือครองข้ามกระเป๋าเงินฮาร์ดแวร์ (cold storage) กระเป๋าเงินซอฟต์แวร์ (ธุรกรรมอุ่น) และกระเป๋าเงินทิ้ง (โปรโตคอลทดลอง) จำกัดการเปิดเผย

โมเดลสามระดับนั้นสร้างแรงเสียดทาน แต่แรงเสียดทานคือจุดประสงค์ อีเมลฟิชชิ่งที่จับกระเป๋าเงินทิ้งได้ต้นทุนหลักร้อยหรือหลักพันดอลลาร์ การโจมตีแบบเดียวกันกับกระเป๋าเงินเดียวที่ถือพอร์ตโฟลิโอทั้งหมดต้นทุนเงินที่เปลี่ยนชีวิต

ผู้ดูดเงิน ZachXBT ประสบความสำเร็จเพราะมันกำหนดเป้าหมายรอยต่อระหว่างความสะดวกสบายและความปลอดภัย ผู้ใช้ส่วนใหญ่เก็บทุกอย่างไว้ใน MetaMask อินสแตนซ์เดียวเพราะการจัดการกระเป๋าเงินหลายรายการรู้สึกยุ่งยาก

ผู้โจมตีเดิมพันว่าอีเมลที่ดูเป็นมืออาชีพในวันปีใหม่จะจับคนได้เพียงพอที่จะสร้างปริมาณที่ทำกำไรได้ การเดิมพันนั้นได้ผล ด้วย $107,000 และยังนับต่อไป

คำแนะนำอย่างเป็นทางการของ MetaMask ระบุธงสีแดงฟิชชิ่งสามอย่าง: แอดเดรสผู้ส่งที่ผิด ความต้องการอัปเกรดเร่งด่วนที่ไม่ได้ร้องขอ และคำขอสำหรับ Secret Recovery Phrases หรือรหัสผ่าน

สิ่งที่เสี่ยง

เหตุการณ์นี้ตั้งคำถามที่ลึกขึ้น: ใครรับผิดชอบต่อความปลอดภัยของจุดปลายทางในโลกที่เก็บรักษาเอง?

ผู้ให้บริการกระเป๋าเงินสร้างเครื่องมือต้านฟิชชิ่ง นักวิจัยเผยแพร่รายงานภัยคุกคาม และหน่วยงานกำกับดูแลเตือนผู้บริโภค แต่ผู้โจมตีต้องการเพียงอีเมลปลอม โลโก้ที่โคลน และสัญญาดูดเงินเพื่อประนีประนอมกระเป๋าเงินหลายร้อยรายการ

โครงสร้างพื้นฐานที่เปิดใช้งานการเก็บรักษาเอง ธุรกรรมที่ไม่ต้องได้รับอนุญาต แอดเดรสนามแฝง และการโอนที่ไม่สามารถย้อนกลับได้ก็ทำให้มันไม่อภัย

อุตสาหกรรมถือว่านี่เป็นปัญหาการศึกษา: หากผู้ใช้ยืนยันแอดเดรสผู้ส่ง วางเมาส์เหนือลิงก์ และเพิกถอนการอนุมัติเก่า การโจมตีจะล้มเหลว

แต่ข้อมูลของ Chainalysis เกี่ยวกับการประนีประนอม 158,000 รายชี้ให้เห็นว่าการศึกษาเพียงอย่างเดียวไม่ขยาย ผู้โจมตีปรับตัวเร็วกว่าผู้ใช้เรียนรู้ อีเมลฟิชชิ่ง MetaMask พัฒนาจากเทมเพลต "Your wallet is locked!" ที่หยาบคายไปสู่แคมเปญฤดูกาลที่ขัดเกลา

การแสวงหาประโยชน์จากส่วนขยาย Trust Wallet พิสูจน์ว่าแม้แต่ผู้ใช้ที่ระมัดระวังก็สามารถสูญเสียเงินทุนได้หากช่องทางการแจกจ่ายถูกประนีประนอม

สิ่งที่ได้ผล: กระเป๋าเงินฮาร์ดแวร์สำหรับการถือครองที่มีความหมาย การเพิกถอนการอนุมัติอย่างไร้ความปรานี การแยกกระเป๋าเงินตามโปรไฟล์ความเสี่ยง และความสงสัยต่อข้อความใดๆ ที่ไม่ได้ร้องขอจากผู้ให้บริการกระเป๋าเงิน

สิ่งที่ไม่ได้ผล: การสันนิษฐานว่าอินเทอร์เฟซกระเป๋าเงินปลอดภัยตามค่าเริ่มต้น การถือว่าการอนุมัติเป็นการตัดสินใจครั้งเดียว หรือการรวมสินทรัพย์ทั้งหมดในกระเป๋าเงินร้อนเดียวเพื่อความสะดวกสบาย ผู้ดูดเงิน ZachXBT จะถูกปิดเพราะแอดเดรสถูกตั้งธง และแลกเปลี่ยนจะแช่แข็งการฝาก

แต่ผู้ดูดเงินอื่นจะเปิดตัวในสัปดาห์หน้าด้วยเทมเพลตที่แตกต่างกันเล็กน้อยและแอดเดรสสัญญาใหม่

วงจรดำเนินต่อไปจนกว่าผู้ใช้จะซึมซับว่าความสะดวกสบายของคริปโตสร้างพื้นผิวการโจมตีที่ในที่สุดจะถูกใช้ประโยชน์ ทางเลือกไม่ได้อยู่ระหว่างความปลอดภัยและความสามารถในการใช้งาน แต่ค่อนข้างอยู่ระหว่างแรงเสียดทานตอนนี้และการสูญเสียในภายหลัง