“เอ็กซ์เชนจ์” ตื่นสกัดโดนแฮก "คริปโทฯ"
ระบบ Defi สะเทือน หลัง "เวิร์มโฮล" โดนแฮกเกอร์โจมตีขโมยเหรียญคริปโทเคอร์เรนซีมูลค่ากว่าหมื่นล้าน “เอ็กซ์เชนจ์” ไทยยันวางมาตรการป้องกันสกัดซ้ำรอย ขณะที่ "สตางค์ - บิทาซซ่า” ระบุศูนย์ซื้อขายฯ - โบรกเกอร์ในไทยไม่กระทบ เหตุอยู่คนละระบบ และ ก.ล.ต. กำกับเข้มคุ้มครองผู้ลงทุน
จากกรณี เวิร์มโฮล(Wormhole) โปรโตคอลที่เชื่อมต่อโซลานา (Solana) และบล็อกเชน DeFi อื่นๆ ได้ถูกแฮกเกอร์โจมตี และขโมยเงินคริปโทเคอร์เรนซีในระบบรวม 120,000 WETH หรือคิดเป็นมูลค่ารวม 320 ล้านดอลลาร์
สำนักข่าว “บลูมเบิร์ก” รายงานว่า การโจรกรรมครั้งนี้อาจเป็นการขโมยคริปโทเคอร์เรนซีจากโปรโตคอลครั้งใหญ่ที่สุดครั้งหนึ่ง ทีอาร์เอ็ม แล็บส์ (TRM Labs) บริษัทตรวจสอบบล็อกเชนระบุว่า มีการส่งเหรียญ WETH ที่ถูกขโมยไป 96,000 เหรียญ เข้าสู่บล็อกเชนอีเธอเรียมแล้ว แต่ยังไม่มีความเคลื่อนไหวเพิ่มเติม
ด้านทีมงานของเวิร์มโฮลได้เสนอเงินรางวัล 10 ล้านดอลลาร์สหรัฐ ให้กับแฮกเกอร์แลกกับการเปิดเผยช่องโหว่ที่ใช้โจมตี และคืนเงินคริปโทเคอร์เรนซีที่ขโมยไป
ทั้งนี้ทีมงานได้ทวีต ข้อความระบุว่า จะมีการเพิ่มเหรียญอีเธอเรียมเข้าสู่โปรโตคอลเพื่อใช้เป็นหลักอิงให้เหรียญ WETH และทำให้ระบบสามารถกลับมาใช้งานได้ แต่ไม่ได้เปิดเผยว่าเหรียญอีเธอเรียมในส่วนดังกล่าวมาจากที่ใด และต่อมาทีมงานได้ยืนยันว่า ขณะนี้มีการแก้ไขช่องโหว่ที่แฮกเกอร์ใช้โจมตีแล้ว
ด้านนายทอม โรบินสัน ผู้ร่วมก่อตั้งเอลลิปติก (Elliptic) บริษัทวิเคราะห์บล็อกเชน ออกมาให้ความคิดเห็นว่า เหตุการณ์ครั้งนี้แสดงให้เห็นว่า บริการ DeFi หลายเจ้ายังไม่มีระบบรักษาความปลอดภัยที่ดีพอ สำหรับการปกป้องสินทรัพย์มูลค่ามหาศาลที่เก็บไว้ และความโปร่งใสของบล็อกเชนก็ทำให้แฮกเกอร์สามารถค้นหา และใช้จุดอ่อนจากบั๊กต่างๆ โจมตีระบบได้
“อัพบิต” ชี้ Defi เสี่ยงฟาร์มแตก
นายพีรเดช ตันเรืองพร ประธานเจ้าหน้าที่บริหาร บริษัท อัพบิต เอ็กซ์เชนจ์ (ประเทศไทย) จำกัด ในฐานะของประธานสมาคมการค้าผู้ประกอบสินทรัพย์ดิจิทัลไทย เปิดเผยว่า การโจรกรรมครั้งนี้บนระบบ Defi มีปริมาณเงินค่อนข้างมาก และน่าจะมีการกระจายการใช้งานไปทั่วโลกแล้ว คาดว่าน่าจะส่งผลกระทบวงกว้างต่อแพลตฟอร์ม Defi ทั้งหมด ไม่ว่าจะอยู่ในต่างประเทศหรือในไทย
เพราะหากเวิร์มโฮล ไม่สามารถเพิ่มเหรียญอีเธอเรียมเข้าสู่โปรโตคอล เพื่อใช้เป็นหลักอิงให้เหรียญ WETH ได้ทั้งหมดตามที่ประกาศ จะทำให้เหรียญ WETH ที่กระจายไปแล้วตอนนี้ไม่รู้ว่าเป็นจริงหรือปลอม หากเป็นของปลอม แพลตฟอร์ม Defi อื่นๆ ที่มีการรับเหรียญดังกล่าวเข้าไปในระบบก็มีโอกาสผลขาดทุนหรือฟาร์มแตกได้
“เหตุการณ์ครั้งนี้ เหมือนกับว่า ตอนนี้มีเงินปลอมถูกปล่อยเข้ามาในแบงก์ และแบงก์ก็ปล่อยเงินปลอมออกไปสู่ในระบบ ไปใช้แลกเปลี่ยนกันไปแล้ว ผลกระทบเกิดเป็นวงกว้าง แต่หากสามารถนำเงินอีเธอเรียม มาอิงเหรียญ WETH ได้จริงๆ จะเป็นเรื่องที่ดี แต่ก็ทำให้แพลตฟอร์ม Defi เสียความน่าเชื่อถือ”
ถือ SOLANA ขาดทุนหนัก
ทางด้านผลกระทบแบ่งเป็น 2 ส่วนคือ นักลงทุนที่ถือเหรียญ solana จะขาดทุนจากราคาเหรียญที่ตอนนี้ปรับตัวลงราว 10% และแพลตฟอร์ม Defi ราคาปรับตัวลงตามไปด้วย
ขณะที่ศูนย์ซื้อขายฯ ไม่น่าจะได้รับกระทบมาก เพราะแม้จะมีเหรียญ Defi ที่เทรดในกระดานแต่เป็นเหรียญ ที่รับบน WETH ของจริงเท่านั้น และตามแนวทางการกำกับดูแลของ ก.ล.ต. มีมาตรการด้านความปลอดภัยคุ้มครองผู้ลงทุน
ในส่วนของบริษัทมีมาตรฐานด้านความปลอดภัยระดับโลก ISO 27001 และระบบการรักษาความปลอดภัยให้กับลูกค้าอย่างเข้มข้น ไม่ว่าจะเป็นการยืนยันตัวตนด้วยเครื่องมืออื่นๆ หลายชั้นนอกเหนือจากพาสเวิร์ดส่วนตัว
อย่างไรก็ตามอยากเตือนนักลงทุนคริปโทเคอร์เรนซีบน Defi ต้องตระหนักถึงความเสี่ยงมากกว่าผลตอบแทน เพราะนักลงทุนกลุ่มนี้รู้อยู่แล้ว Defi มีความเสี่ยงระดับสูงมาก แต่มักจะไม่ตระหนักถึงความเสี่ยง โดยมองที่ผลตอบแทนสูงก่อน อีกทั้ง Defi บางประเภทอยู่นอกเหนือการกำกับดูแลของก.ล.ต.อีกด้วย ทำให้มีโอกาสสูญเสียเงินทั้งหมดได้ หากจะลงทุนต้องเลือก Defi ที่มีความน่าเชื่อถือ
“สตางค์” ชี้ไม่กระทบ
นายสรัล ศิริพันธ์โนน ประธาน เจ้าหน้าที่บริหาร บริษัท สตางค์ คอร์ปอเรชั่น จำกัด เปิดเผยว่า ในเบื้องต้นแน่นอนว่า จะส่งผลกระทบเชิงลบต่อราคาเหรียญ Solana ปรับตัวลง แต่ไม่ได้ส่งผลต่อการลงทุนคริปโทเคอร์เรนซีในไทย เพราะปกติคนเทรดคริปโทเคอร์เรนซีกลุ่มนี้ จะมีการกระจายความเสี่ยงถือเหรียญคริปโทเคอร์เรนซีหลายสกุลอยู่แล้ว
สิ่งที่เกิดขึ้นครั้งนี้ ไม่เกี่ยวข้องกับศูนย์ซื้อขายสินทรัพย์ดิจิทัล และโบรกเกอร์สินทรัพย์ดิจิทัลในไทยที่ได้รับใบอนุญาตตามกฎหมายแต่อย่างใด เพราะว่าระบบที่ถูกแฮกเกอร์โจมตี เป็นระบบ Defi ที่สร้างด้วยบน Smart Contract ซึ่งเป็นคนละระบบกับทางศูนย์ซื้อขายสินทรัพย์ดิจิทัลในไทย ที่อยู่ภายใต้การกำกับดูแลของ ก.ล.ต. ที่ต้องเก็บบนกระเป๋าวอลเล็ต และคัสโตเดียน ดังนั้นจึงไม่ได้เข้าไปเกี่ยวข้อง
นอกจากนี้ ก.ล.ต. ยังมีการพิจารณาแนวทางคุ้มครองนักลงทุนคริปโทเคอร์เรนซี เพิ่มเติม เพื่อคุ้มครองนักลงทุน ขณะนี้มีการร่างหลักเกณฑ์และอยู่ระหว่างการเฮียริ่ง ได้แก่ การห้ามศูนย์สินทรัพย์ดิจิทัลในไทย โปรโมท Defi อยู่แล้ว หรือห้ามเข้าไปมีส่วนร่วมหรือเกี่ยวข้องกับ Defi และการห้ามนำสินทรัพย์ดิจิทัลของลูกค้าไปใช้หาผลตอบแทน เช่น ฝากที่ Defi ดังนั้น ทางศูนย์ซื้อขายฯ จะเป็นผู้เก็บอย่างเดียว และนำไปเก็บไว้กับคัสโตเดียนที่น่าเชื่อถือเท่านั้น
ในส่วนของบริษัท ที่เป็นศูนย์ซื้อขายฯ ได้รับมาตรฐานความปลอดภัยของข้อมูลระดับโลก ISO 27001 และ ISO 27701 ทำให้กระดานของเรามีความเสถียรและปลอดภัยของสินทรัพย์ของผู้ลงทุน อีกทั้งยังมีการเก็บสินทรัพย์ของลูกค้าไว้ในคัสโตเดียนที่น่าเชื่อถือ และมีการทำประกันภัยทรัพย์สินไว้ด้วย
"บริษัทมีการงานพัฒนาคุณภาพกระดานเทรดอย่างต่อเนื่อง การดูแลความปลอดภัยของบัญชีและข้อมูลส่วนตัวของลูกค้า เพื่อให้นักเทรดอุ่นใจว่าจะได้รับบริการที่ดี ปลอดภัย รวมไปถึงการให้ความรู้ด้านคริปโทเคอร์เรนซี และบล็อกเชน ตลอดจนร่วมมือกับทุกภาคส่วนเพื่อพัฒนาอุตสาหกรรมนี้ให้เติบโตอย่างยั่งยืนในประเทศไทย”
“บิทาซซ่า” ป้องกัน 2 ชั้น
นายกวิน พงษ์พันธ์เดชา ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่บริหาร บริษัท บิทาซซ่า จำกัด กล่าวว่า การแฮกครั้งนี้เกิดขึ้นที่ระบบสะพานเชื่อม ที่มีผู้ดูแลระบบไม่กี่คน มองว่ายังเป็นความเสี่ยงของระบบ Smart Contract ซึ่งยังเป็นสิ่งใหม่ ทำให้หลีกเลี่ยงความเสี่ยงที่จะถูกแฮกได้ยาก
ทางด้านผู้ประกอบการธุรกิจสินทรัพย์ดิจิทัลในไทย อย่างศูนย์ซื้อขายและโบรกเกอร์ ไม่ได้รับผลกระทบแน่นอน เพราะเป็นการแฮกคนละระบบกัน โดยธุรกิจสินทรัพย์ดิจิทัลในไทย อย่างศูนย์ซื้อขายและโบรกเกอร์ เก็บบนวอลเล็ต และคัสโตเดียน เหมือนฝากเงินไว้กับธนาคาร
ในส่วนของบริษัท มีระบบการรักษาความปลอดภัยสูงมากให้กับผู้ลงทุน ด้วยการยกระดับมาตรการความปลอดภัย 2 ชั้น ด้วยระบบ 2FA (2 Factor Authenticator) เพื่อถอนเงินบาทจะต้องกดยืนยันทางอีเมล์ และยังมีระบบการตรวจสอบการถอนเงินที่พบความผิดปกติจะสอบถามกลับไปยังลูกค้าว่าได้เป็นผู้ทำธุรกรรมที่เกิดขึ้นหรือไม่
แนะนักลงทุนบริหารความเสี่ยงคริปโทเคอร์เรนซี
นายปริญญา หอมอเนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์และระบบเทคโนโลยีสารสนเทศ กล่าวว่า ประเด็นนี้น่าสนใจมาก และจะส่งผลกระทบต่อความเชื่อมั่นของนักลงทุน ซึ่งผู้ประกอบการเอ็กซ์เชนจ์ในไทยต้องตื่นตัว และหาวิธีป้องกันเพราะเชื่อว่าจะเกิดกรณีการแฮกแบบนี้ขึ้นอีก
ทั้งนี้ปัจจุบันการโจมตีบล็อกเชน และคริปโทเคอร์เรนซี 3 แบบ ได้แก่
1.การแฮกวอลเล็ต โดยเฉพาะช่วงที่มีการขุดบิตคอยน์กันมากๆ ถ้าได้ยูสเซอร์แนม ไพรเวทคีย์ไปได้ ก็สามารถเข้าไปขโมยเงินในวอลเล็ตได้ปัจจุบันการแฮกวอลเล็ตยังมีอยู่ และมีการแก้ปัญหาหลายรูปแบบ เช่น การไปซื้อฮาร์ดแวร์วอลเล็ตมาเก็บ คล้ายกับยูเอสบี ไดร์ฟ ซึ่งส่วนใหญ่ที่โดนแฮกเพราะไปเก็บข้อมูลบนโน้ตบุ๊คในไดร์ฟต่างๆ ที่ง่ายต่อการแฮกมาก
2.ระบบบล็อกเชน ซึ่งเป็นระบบ Decentralize ใช้คอมพิวเตอร์ที่บ้านตัวเดียว มีไพรเวท คีย์ อยากจะฝาก ถอน โอน ก็ได้แค่คอนโทรลไพรเวท คีย์ของเราให้ดี แต่ระบบนี้เริ่มอัพเกรดมาทำการแฮกที่ใหญ่ขึ้นคือ การแฮกเอ็กซ์เชนจ์แฮกคริปโทเคอร์เรนซี เอ็กซ์เช้นจ์ พวกนี้ คือ ตัวกลางเวลาล็อกอินเข้าไปเทรดต้องใช้ไพรเวท คีย์ ซึ่งจะถูกเก็บไว้ที่ตัวเอ็กซ์เชนจ์
3.แฮกโปรโตคอล ที่เชื่อมระหว่าง คริปโทเคอร์เรนซีคนละตระกูลกัน เช่น บิตคอยน์ อีเธอร์เรียม โซโลนา ซึ่งมีช่องโหว่ หรือรูหนอน ซึ่งประเด็นล่าสุดคือ การแฮกรูปแบบนี้กระทบทำให้คนตกใจ นักลงทุนตื่นตระหนก ราคาเหรียญลง 50% เพราะถูกมองว่าไม่มีความปลอดภัย
“กระทบกับนักลงทุนบ้านเราแน่ เพราะช่องโหว่นี้ อาจจะเชื่อมไปยังเงินสกุลอื่นได้ ทำให้คนรู้สึกว่าฝากเงินไว้กับ Defi ตอนนี้ไม่ปลอดภัย ไม่ไว้ใจ การลงทุนในบิตคอยน์คือ การเก็งกำไรล้วนๆ เพราะทุกอย่างอยู่บนอากาศธาตุหมดเลย ไม่อยากให้คนรุ่นใหม่ไปหวังรวยทาวลัด รวยง่ายๆ แบบนี้”
อย่างไรก็ตาม นายปริญญา กล่าวว่า ทางแก้ปัญหาสำหรับนักลงทุน ต้องใช้หลักการบริการความเสี่ยง บริหารพอร์ต และอย่าโลภ เล่นเท่าที่รองรับความเสี่ยงได้ และจากนี้จะเกิดการโจมตีถี่ขึ้นอีกสำหรับคริปโทเคอร์เรนซี
นายนักรบ เนียมนามธรรม ประธานเจ้าหน้าที่บริหาร บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด (มหาชน) กล่าวว่า สิ่งที่จะเห็นได้คือ จากนี้การโจมตีคริปโทเคอร์เรนซี รวมถึงบล็อกเชนมีแนวโน้มเพิ่มขึ้นอย่างแน่นอน ดังนั้นผู้ให้บริการต่างๆ ต้องให้ความสำคัญกับการเก็บข้อมูลของลูกค้ามากขึ้น
ขณะที่ ผู้ที่ต้องการเข้าไปสู่ธุรกิจนี้ต้องวางมาตรการการป้องกันที่รัดกุมเป็นพิเศษกับทุกการเชื่อมต่อ ทุกสะพานที่เชื่อมโยงระหว่างระบบของทั้งตนเอง และพันธมิตร เพราะแม้ระบบของบริษัทจะแข็งแรงแต่ถ้าอีกทางหนึ่งหละหลวมก็มีโอกาสตกเป็นเหยื่อได้ไม่ต่างกัน
พิสูจน์อักษร โดย....สุรีย์ ศิลาวงษ์