ในหนึ่งในโจรกรรมคริปโตที่ใหญ่ที่สุดในประวัติศาสตร์ การโจมตีแบบวิศวกรรมสังคมที่ซับซ้อนนำไปสู่การขโมยเงินกว่า $282 ล้านดอลลาร์ใน Bitcoin และ Litecoin จากเหยื่อรายเดียวเมื่อวันที่ 10 มกราคม
ผู้โจมตี ซึ่งแสร้งทำเป็นฝ่ายสนับสนุนกระเป๋าเก็บข้อมูลฮาร์ดแวร์ หลอกลวงเหยื่อให้ยอมแพ้รหัสเมล็ดพันธุ์ของตน ทำให้กระเป๋าเก็บข้อมูลฮาร์ดแวร์ที่ “ไม่สามารถแฮ็กได้” กลายเป็นไร้ประโยชน์ ตามการติดตามแบบเรียลไทม์โดยนักสืบ ZachXBT เงินที่ถูกขโมยไปถูกล้างอย่างรวดเร็วผ่านเขาวงกตข้ามเชนที่เกี่ยวข้องกับ THORChain, Tornado Cash และ Monero เหตุการณ์นี้สะท้อนให้เห็นถึงการเปลี่ยนแปลงสำคัญในด้านความปลอดภัยของคริปโต: ในขณะที่โค้ดบนเชนมีความแข็งแกร่งขึ้น แต่ปัจจัยมนุษย์กลายเป็นจุดอ่อนสำคัญ การหลอกลวงในปัจจุบันมีอัตราเหนือกว่าการแฮ็กทางเทคนิคเป็นภัยคุกคามหลัก
โครงสร้างของการโจมตีแบบวิศวกรรมสังคมมูลค่า $282 ล้านดอลลาร์
การละเมิดไม่ได้เกิดจากข้อบกพร่องในเข้ารหัสบล็อกเชนหรือการโจมตีสมาร์ทคอนแทรกต์ แต่เป็นการดำเนินการผ่านการชั้นเชิงทางจิตวิทยาโดยมุ่งเป้าไปที่บุคคลที่อยู่เบื้องหลังกระเป๋า ผู้โจมตีสร้างภาพลักษณ์เป็นเจ้าหน้าที่สนับสนุนอย่างเป็นทางการของ “Trezor Value Wallet” ซึ่งเป็นเทคนิคที่รู้จักกันในชื่อการโจมตีซัพพลายเชนหรือการปลอมแปลงตัวตน โดยสร้างความไว้วางใจผ่านการสื่อสารที่น่าเชื่อถือ ผู้โจมตีสามารถโน้มน้าวให้เหยื่อเปิดเผยรหัสเมล็ดพันธุ์ลับ ซึ่งเป็นกุญแจหลัก 12 ถึง 24 คำที่ควบคุมกระเป๋าเงินคริปโต
เมื่อรหัสเมล็ดพันธุ์ถูกเปิดเผย โมเดลความปลอดภัยของกระเป๋าเก็บข้อมูลฮาร์ดแวร์ล่มสลายโดยสิ้นเชิง อุปกรณ์เหล่านี้ออกแบบมาเพื่อแยกกุญแจส่วนตัวออกจากอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต แต่ไม่สามารถป้องกันไม่ให้ผู้ใช้ยอมแพ้กุญแจที่สร้างขึ้นได้ ซึ่งทำให้ผู้โจมตีสามารถขโมย BTC จำนวน 1,459 และ LTC มูลค่ารวม $282 ล้านดอลลาร์ในขณะนั้น ขนาดของการโจมตีนี้น่าตกใจ ไม่ใช่แค่ในด้านมูลค่า แต่ยังรวมถึงความง่ายของวิธีการที่หลีกเลี่ยงความปลอดภัยทางเข้ารหัสหลายพันล้านดอลลาร์โดยการใช้ประโยชน์จากความไว้วางใจของมนุษย์และช่วงเวลาที่ความมั่นใจผิดพลาด
การโจมตีนี้เกิดขึ้นในบริบทตลาดที่วุ่นวาย โดยราคาคริปโตอยู่ในช่วงตกลงเนื่องจากผลกระทบทางภูมิรัฐศาสตร์ อย่างไรก็ตาม ความสำคัญของมันเกินกว่าความผันผวนของตลาด มันเป็นเกณฑ์ชี้วัดที่น่ากลัวในวิวัฒนาการของอาชญากรรมคริปโต แสดงให้เห็นว่าการป้องกันทางเทคนิคที่แข็งแกร่งที่สุดก็ไร้ประโยชน์หากผู้ใช้ถูกหลอก เหตุการณ์นี้ถูกติดตามแบบเรียลไทม์โดยนักสืบบล็อกเชนชื่อดัง ZachXBT และบริษัทด้านความปลอดภัย PeckShield ซึ่งให้ภาพรวมแบบเรียลไทม์ของขั้นตอนการล้างเงินคริปโตที่มีเดิมพันสูง
เขาวงกตการล้างเงิน: การแลกเปลี่ยนข้ามเชนและเครื่องมือความเป็นส่วนตัว
หลังจากการโจรกรรม ผู้โจมตีเผชิญกับความท้าทายในการถอนเงินหรือปกปิดแหล่งที่มาของเงินทุนที่บันทึกอยู่บนสมุดบัญชีสาธารณะ กลยุทธ์ของพวกเขาแสดงให้เห็นถึงความเข้าใจเชิงซับซ้อนในระบบนิเวศการเงินแบบกระจายศูนย์ ซึ่งเปลี่ยนเป็นเครื่องมือในการล้างเงิน ขั้นตอนสำคัญแรกคือการใช้ประโยชน์จาก THORChain ซึ่งเป็นโปรโตคอลสภาพคล่องแบบกระจายศูนย์ข้ามเชน
ต่างจากการแลกเปลี่ยนแบบรวมศูนย์ที่บังคับใช้การตรวจสอบ Know-Your-Customer (KYC), THORChain อนุญาตให้ทำการแลกเปลี่ยนข้ามเชนโดยไม่ต้องได้รับอนุญาต ผู้โจมตีใช้มันเพื่อแปลงประมาณ 928.7 BTC (มูลค่า $71 ล้านดอลลาร์) ไปเป็นสินทรัพย์อื่น เช่น Ethereum (ETH) และ XRP การเคลื่อนไหวสำคัญนี้ตัดการเชื่อมต่อโดยตรงบนเชนระหว่าง Bitcoin ที่ถูกขโมยและขั้นตอนต่อไปของผู้โจมตี พร้อมทั้งกระจายเงินทุนไปยังสภาพแวดล้อมบล็อกเชนต่าง ๆ เพื่อทำให้การติดตามซับซ้อนขึ้น
ขั้นตอนถัดไปของผู้โจมตีเน้นความเป็นส่วนตัวที่เพิ่มขึ้น:
- Tornado Cash: เงินบางส่วน รวมถึง 1,468.66 ETH (ประมาณ $4.9 ล้าน) ถูกส่งผ่านเครื่องมือผสมความเป็นส่วนตัวบน Ethereum นี้ เครื่องผสมเช่น Tornado Cash รวมธุรกรรมจากผู้ใช้หลายราย ทำให้ยากต่อการติดตามเส้นทางของเงินเฉพาะเจาะจง
- Monero (XMR): จำนวนเงินสำคัญถูกแลกเปลี่ยนเป็น Monero, สกุลเงินดิจิทัลที่ออกแบบมาเพื่อความเป็นส่วนตัวเป็นค่าเริ่มต้น บล็อกเชนของมันปกปิดรายละเอียดผู้ส่ง ผู้รับ และจำนวนเงิน การซื้อขายจำนวนมากนี้ทำให้ราคาของ Monero พุ่งขึ้นอย่างเห็นได้ชัด ซึ่งเป็นปรากฏการณ์ที่มักเกิดขึ้นเมื่อผู้มีอำนาจขนาดใหญ่แสวงหาความเป็นส่วนตัว
กระบวนการหลายขั้นตอนนี้—from การแลกเปลี่ยนข้ามเชน ไปจนถึงการผสมและการแปลงเป็นเหรียญความเป็นส่วนตัว—แสดงให้เห็นถึงแนวทางการล้างเงินคริปโตสมัยใหม่ ซึ่งใช้ประโยชน์จากคุณสมบัติของการกระจายศูนย์และความเป็นส่วนตัวที่ได้รับการยกย่องในวงการ เปลี่ยนเป็นอุปสรรคสำหรับนักสืบและเจ้าหน้าที่บังคับใช้กฎหมาย
การเปลี่ยนแปลงแนวคิด: ทำไม “การแฮ็กโดยคน” ถึงกลายเป็นภัยคุกคามที่ใหญ่ที่สุดในปัจจุบัน
การโจรกรรมมูลค่า $282 ล้านดอลลาร์นี้ไม่ใช่ความผิดปกติ แต่เป็นอาการของแนวโน้มในอุตสาหกรรมโดยรวม ข้อมูลจาก รายงานอาชญากรรมคริปโตปี 2026 ของ Chainalysis ยืนยันว่าผู้ร้ายกำลังเปลี่ยนจากการโจมตีโค้ดไปสู่การโจมตีคน ในปี 2025 มีคริปโตประมาณ $17 พันล้านดอลลาร์ สูญเสียไปกับการหลอกลวงและการฉ้อโกง ซึ่งการปลอมแปลงตัวตนเพิ่มขึ้นถึง 1,400% ต่อปี
Mitchell Amador ซีอีโอของแพลตฟอร์มความปลอดภัย Immunefi กล่าวว่า นี่เป็นความจริงที่ขัดแย้งกัน: “ความปลอดภัยบนเชนกำลังพัฒนาขึ้นอย่างมาก” เนื่องจากโปรแกรมบั๊กบอนนี่และการตรวจสอบความปลอดภัยกลายเป็นเรื่องปกติ การใช้ช่องโหว่ในสมาร์ทคอนแทรกต์จึงยากขึ้น ด้วยเหตุนี้ ผู้โจมตีจึงปรับตัว โดยพบว่าการ วิศวกรรมสังคม—การใช้จิตวิทยามาเป็นเครื่องมือ—ให้ผลตอบแทนสูงขึ้นโดยมีอุปสรรคทางเทคนิคต่ำลง อมาดอร์กล่าวอย่างชัดเจนว่า “ปัจจัยมนุษย์ตอนนี้คือจุดอ่อน”
การเปลี่ยนแปลงนี้เร่งขึ้นด้วย ปัญญาประดิษฐ์ (AI) ผู้หลอกลวงใช้ AI สร้างบุคคลปลอมที่น่าเชื่อถือขึ้น สร้างข้อความฟิชชิ่งที่สมบูรณ์แบบ และอัตโนมัติการโจมตีในระดับใหญ่ แพลตฟอร์ม Chainalysis ระบุว่า การหลอกลวงที่ใช้ AI ทำกำไรได้มากกว่าแบบดั้งเดิมถึง 450% ในปี 2025 แนวหน้าของการต่อสู้ด้านความปลอดภัยได้ย้ายจากบล็อกเชนไปยังกล่องจดหมายอีเมล โซเชียลมีเดีย DMs และโฆษณาในเครื่องมือค้นหา จุดอ่อนที่ใหญ่ที่สุดในคริปโตในปัจจุบันไม่ใช่ในโค้ดของโปรโตคอล แต่เป็นอคติทางความคิดของผู้ใช้ที่เผชิญกับเรื่องราวที่ถูกสร้างขึ้นอย่างสมบูรณ์แบบและหลอกลวง
พื้นที่โจมตีที่พัฒนาแล้ว: 2025 กับอนาคตใหม่
ตารางด้านล่างเปรียบเทียบภัยคุกคามด้านความปลอดภัยหลักในอดีตกับความท้าทายใหม่ที่ผู้เชี่ยวชาญคาดการณ์สำหรับปี 2026 และอนาคต:
| ช่องทางการโจมตี |
ภูมิทัศน์ปี 2025 (จุดสูงสุดของ “ปัญหาคน”) |
แนวหน้าใหม่ปี 2026+ (ยุค AI & อัตโนมัติ) |
| เป้าหมายหลัก |
ผู้ใช้รายบุคคล & พนักงาน (วิศวกรรมสังคม) |
เอเจนต์ AI บนเชน & โปรโตคอลอัตโนมัติ |
| วิธีหลัก |
การปลอมแปลงตัวตน, ฟิชชิ่ง, ฝ่ายสนับสนุนปลอม |
การพัฒนา exploit ด้วย AI, การจัดการตรรกะของเอเจนต์ |
| เครื่องมือสำคัญ |
เว็บไซต์ปลอม, ข้อมูลลูกค้าที่ถูกบุกรุก |
โมเดลภาษาขนาดใหญ่ (LLMs) สำหรับวิศวกรรมสังคม, ตัวสแกนช่องโหว่อัตโนมัติ |
| ช่องว่างด้านการป้องกัน |
การศึกษาให้ความรู้ผู้ใช้, 2FA, กระบวนการยืนยัน |
การรักษาความปลอดภัย ชั้นการตัดสินใจของเอเจนต์, การตรวจสอบ AI แบบเรียลไทม์ |
| ความพร้อมของอุตสาหกรรม |
ต่ำ (น้อยกว่า 10% ใช้เครื่องมือ AI ตรวจจับ) |
เริ่มต้นมาก (“เรายังอยู่ในช่วงเริ่มต้นของการเรียนรู้วิธีป้องกันเอเจนต์”) |
เสริมความแข็งแกร่งแนวหน้า: คำแนะนำด้านความปลอดภัยปี 2026 สำหรับผู้ใช้ทุกคน
ในยุคใหม่นี้ ความปลอดภัยต้องถูกนิยามใหม่เป็นแนวปฏิบัติแบบองค์รวมที่ครอบคลุมทั้งเทคโนโลยีและพฤติกรรม สำหรับผู้ถือครองรายบุคคล กฎพื้นฐานคือ: รหัสเมล็ดพันธุ์ของคุณเป็นสิ่งศักดิ์สิทธิ์ ห้ามพิมพ์ลงเว็บไซต์ ห้ามแชร์ผ่านข้อความ/อีเมล หรือเก็บไว้ในดิจิทัล ทีมสนับสนุนที่ถูกต้องตามกฎหมายจะไม่ขอรหัสนี้ กระเป๋าเก็บข้อมูลฮาร์ดแวร์ยังคงเป็นสิ่งสำคัญสำหรับการรักษาคีย์ส่วนตัว แต่ความแข็งแกร่งขึ้นอยู่กับวินัยของผู้ใช้เท่านั้น
นอกจากนี้ ความปลอดภัยเชิงปฏิบัติการ เป็นกุญแจสำคัญ:
- ตรวจสอบก่อนเชื่อใจ: ติดต่อฝ่ายสนับสนุนอย่างเป็นทางการผ่านเว็บไซต์ที่บันทึกไว้ (บุ๊กมาร์กไว้, ไม่ใช่ผ่านโฆษณาในเสิร์ชเอนจิน) ตรวจสอบ URL และแฮนเดิลโซเชียลมีเดียเพื่อหาตัวปลอม
- ใช้กระเป๋า Multi-Signature (Multisig): สำหรับการถือครองจำนวนมาก การตั้งค่าระบบหลายลายเซ็นต์ต้องการการอนุมัติหลายรายการสำหรับธุรกรรม ซึ่งเป็นอุปสรรคสำคัญต่อจุดล้มเหลวเดียว ไม่ว่าจะเป็นด้านเทคนิคหรือมนุษย์
- ใช้การจำลองธุรกรรม: ใช้เครื่องมือที่จำลองผลลัพธ์ของธุรกรรมก่อนลงนาม เพื่อเปิดเผยเจตนาร้ายที่ซ่อนอยู่ในสมาร์ทคอนแทรกต์
- ติดตามข่าวสาร: ติดตามนักสืบบล็อกเชนที่เชื่อถือได้ เช่น ZachXBT เพื่อเข้าใจเทคนิคการหลอกลวงในปัจจุบัน
สำหรับอุตสาหกรรม เส้นทางข้างหน้าคือการสร้างความปลอดภัยโดยเป็นค่าเริ่มต้น ผู้ให้บริการกระเป๋าและโปรโตคอลต้องลงทุนในอินเทอร์เฟซผู้ใช้ที่ใช้งานง่าย ซึ่งเตือนภัยจากความผิดพลาดทั่วไป รวมถึงการบูรณาการการตรวจสอบธุรกรรมและส่งเสริมทรัพยากรการศึกษา ดังที่ Mitchell Amador เตือน ความท้าทายต่อไปคือการรักษาความปลอดภัยให้กับเอเจนต์ AI บนเชน—โปรแกรมอัตโนมัติที่ดำเนินการตัดสินใจ การปกป้องชั้นควบคุมของพวกเขาจากการถูกบิดเบือนจะเป็น “หนึ่งในความท้าทายด้านความปลอดภัยที่สำคัญของรอบถัดไป” เป้าหมายคือการสร้างระบบที่ความปลอดภัยฝังอยู่ ไม่ใช่แค่เป็นตัวเลือกเสริม
คำถามที่พบบ่อย
Q1: การโจมตีแบบ “วิศวกรรมสังคม” ในคริปโตคืออะไร?
A: การวิศวกรรมสังคมเป็นการโจมตีที่ไม่ใช่ด้านเทคนิค ซึ่งอาศัยการโต้ตอบของมนุษย์และการบิดเบือนจิตวิทยา ในคริปโต มักเกี่ยวข้องกับกลโกงปลอมตัวเป็นบุคคลที่เชื่อถือได้ (ฝ่ายสนับสนุนการแลกเปลี่ยน, ผู้ให้บริการกระเป๋า, อินฟลูเอนเซอร์) เพื่อหลอกลวงเหยื่อให้เปิดเผยกุญแจส่วนตัว รหัสเมล็ดพันธุ์ หรือส่งเงินโดยตรง ซึ่งเป็นการใช้ประโยชน์จากความไว้วางใจ ความกลัว หรือความเร่งด่วน แทนที่จะเป็นช่องโหว่ในโค้ด
Q2: นักสืบเช่น ZachXBT ติดตามคริปโตที่ถูกขโมยได้อย่างไร?
A: นักสืบใช้เครื่องมือ วิเคราะห์บล็อกเชน เพื่อติดตามการเคลื่อนไหวของเงินบนสมุดบัญชีสาธารณะ พวกเขารวบกลุ่มที่อยู่ที่น่าจะควบคุมโดยบุคคลเดียวกัน ติดตามการไหลผ่านการแลกเปลี่ยนและเครื่องผสม และใช้รูปแบบพฤติกรรมอาชญากรรมที่รู้จัก แม้ว่า Tornado Cash และ Monero จะสร้างอุปสรรค แต่กิจกรรมข้ามเชนและจุดถอนเงิน (บนแพลตฟอร์ม KYC) ก็สามารถสร้างโอกาสในการระบุผู้กระทำผิดได้
Q3: วิธีที่ปลอดภัยที่สุดในการเก็บคริปโตคืออะไร?
A: 1) ใช้** กระเป๋าฮาร์ดแวร์** สำหรับเงินจำนวนมาก 2)** ห้ามเก็บรหัสเมล็ดพันธุ์ในรูปแบบดิจิทัลหรือแชร์**; เขียนบนเหล็กหรือกระดาษและเก็บไว้แบบออฟไลน์ 3) เปิดใช้งานคุณสมบัติด้านความปลอดภัยทั้งหมด (รหัสผ่าน, PIN) 4) สำหรับจำนวนมาก ควรใช้** กระเป๋าแบบหลายลายเซ็นต์** ที่ต้องการกุญแจหลายชุด 5) ตรวจสอบความถูกต้องของซอฟต์แวร์และอุปกรณ์ที่ใช้เป็นประจำ
Q4: ทำไมโปรโตคอลแบบกระจายศูนย์อย่าง THORChain ถึงถูกใช้ในการล้างเงิน?
A: โปรโตคอลแบบกระจายศูนย์มักดำเนินการโดยไม่มีการตรวจสอบ KYC ซึ่งอนุญาตให้ทำการแลกเปลี่ยนข้ามเชนแบบพฤตินัย ซึ่งช่วยให้ผู้ร้ายเคลื่อนย้ายเงินระหว่างบล็อกเชนต่าง ๆ ได้อย่างรวดเร็ว กระจายเส้นทางเงินไปยังสมุดบัญชีหลายระบบ ทำให้การติดตามซับซ้อนขึ้น
Q5: อุตสาหกรรมกำลังทำอะไรเพื่อรับมือกับการเพิ่มขึ้นของการหลอกลวงที่มุ่งเป้าไปที่มนุษย์?
A: ความพยายามเป็นหลายด้าน: แคมเปญการศึกษา เพื่อสร้างความตระหนักรู้ของผู้ใช้; การพัฒนา** ฟีเจอร์ความปลอดภัยในกระเป๋า** เช่น การจำลองธุรกรรมและคำเตือน; ความร่วมมือกับเจ้าหน้าที่บังคับใช้กฎหมาย เพื่อสืบสวนและยึดทรัพย์; และการพัฒนา** เครื่องมือเฝ้าระวังด้วย AI** เพื่อค้นหาและแจ้งเตือนเว็บไซต์ฟิชชิ่งและสมาร์ทคอนแทรกต์ที่น่าสงสัยในแบบเรียลไทม์
