21ล้านดอลลาร์ถูกขโมย! เหตุผลที่ 80% แฮกเน้นคีย์กระเป๋าเงิน
การไหลออกของ 21 พันล้านดอลลาร์
ในเดือนมิถุนายน 2025 TRM Labs เผยรายงานสั่นสะเทือนวงการ DeFi: มีการขโมยทรัพย์สินดิจิทัลรวมกว่า 2.1 พันล้านดอลลาร์ภายในแค่หกเดือน ไม่ใช่แค่มากกว่าเลขจำนวน—แต่มันคือไฟกระพริบเตือนจากทุก explorer และจุดสำคัญ? สูงถึง 80% มาจากภัยคุกคามระดับโครงสร้างพื้นฐาน—not เบื้องหลังสมาร์ตคอนแทรกต์หรือแผนปล้นแบบ Rug Pull, แต่เป็นการเจาะเข้าระบบโดยแอบซ่อนรหัสส่วนตัวหรือแทรกโค้ดในหน้าเว็บ ผมยอมรับว่าเมื่อเห็นข้อมูลนี้ ผมรู้สึกตกใจ… เราทำแบบนี้อยู่อีกเหรอ? เมื่อหลายปีแล้วเราเชิดชูความกระจายอำนาจและความรับผิดชอบเอง—but เราเสียเงินพันล้านเพราะใครบางคนเผลอเขียนรหัสฟังก์ชันไว้บนสมุดโน้ตหรือโปรแกรมเมอร์พลาดใส่วงเล็กให้โค้ดผ่านได้ง่ายๆ? ใช่ และแย่กว่านั้น? การโจมตีระดับโครงสร้างพื้นฐานแต่ละครั้งเสียหายมากกว่าชนิดอื่นถึงสิบเท่า
เหตุผลที่คีย์เฉพาะของคุณยังคงเป็นจุดอ่อนหลัก
มาพูดตรงๆ: private key เป็นเหมือนรหัสควบคุมธนาคาร—แต่วางไว้ในกระเป๋าแล้วใช้งานตลอดเวลาโดยไม่มีใครรู้ว่าใครจะมองเห็น การโจมตีหน้าเว็บ (frontend) อิงจากความจริงง่ายๆ: คนเราไม่ได้มีปฏิสัมพันธ์กับบล็อกเชนมือเปล่า เราใช้งานผ่านเว็บไซต์หรือแอปพลิเคชัน d หากแฮกเกอร์ควบคุมอินเทอร์เฟซเหล่านี้ (เช่น เพิ่ม JavaScript อันตราย) ก็สามารถเปลี่ยนปลายทางเงินไปได้ก่อนที่จะกด “ส่ง” เรื่องแบบนี้ไม่ใช่อภิปราย—เพียงเดือนเดียว มี DEX กว่าสามรายถูกโจมตีผ่านการแทรกโค้ดแบบ supply chain เพราะใช้แพ็กเกจ npm ที่เคยโดนแฮกร่วมกับคนอื่น ขณะเดียวกัน การรั่วไหลของ private key ก็ยังแพร่อยู่ เช่น “ฉันจะเขียนไว้นะบนสมุดเหนียว” หรือ “ฉันไว้วางใจสำรองคลาวด์” ไม่น่าแปลกใจเลยที่ถึง 67% การโจรกรรมขนาดเล็กเริ่มจากการกระทำพวกนี้
มูลค่างานเสียไม่ใช่มูลค่าวางเงินเพียงอย่างเดียว
นอกจากเงินจำนวนมากที่หายไปแล้ว สภาพจิตใจของผู้ใช้งานเสียหายอย่างมาก เมื่อมองเห็นหน้าเว็บปลอมหรือโดนหลอกให้ออกเงินเพราะรหัสผ่านรั่ว — niềmเชื่อมั่นมลายหายไป และเรื่องสำคัญ? Web3 เขาสร้างมาไม่ได้มองแค่วาจาความสะดวกสบาย —แต่มากกว่านั้นมันสร้างบนระบบที่ ไร้อนาคม โดย เรา เป็นคนควบคุมทรัพยากรของเราเอง แต่อีกก็ตาม หากภัยปลอดภัยเกิดจากข้อผิดพลาดของมนุษย์หรือการออกแบบหน้าเว็บที่ไม่มั่นคง…แล้วใครแน่นอนว่าเป็นเจ้าของระบบนี้? เราจำเป็นต้องมีเครื่องมือใหม่อย่างมาก: การตรวจสอบหน้าเว็บอย่างบังคับ (แม้อยู่ในโปรเจกต์เล็ก), เครื่องขยายเบราวเซอร์ตรวจจับการแทรกซึม (เช่น MetaMask จะทำได้อย่างไร), และแคมเปญสอนความปลอดภัยให้มือใหม่อย่างจริงจัง—not เพียงแค่นักพัฒนาเท่านั้นครับ
สิทธิประโยชน์ใดบ้างสำหรับคนธรรมดา (นอกจากการตกใจ)?
รายการตรวจสอบฉบับตรงไปตรงมา:
- ใช้อุปกรณ์ฮาร์ดแวร์สำหรับทรัพยากรเกิน $500
- อย่าลองวางรหัสฟังก์ชันไว้อะไรเลย—even ใน Notepad ก็ตาม
- กรอก URL เว็บไซต์ให้แน่นอนเสมอ ก่อนเชื่อมกระเป๋าเงิน (คำสะกดผิดเพียงคำอาจทำให้มูลค่าใหญ่มาก)
- ใช้อุปกรณือย่าง OpenZeppelin Defender เพื่อดูแลโปรเจกตฺคอนแทรกตอนและตรวจจับพฤติกรรมแปลกๆ ก่อนเกิดเหตุ
- หากกำลังสร้างแอปพลิกเคชัน: พฤพฤตนกรรมแบบ ‘สมมุตน้ำตาลอัด’ โดยมองว่าคอมโพเน้นใดๆ ก็สามารถโดนโจมตีได้อยู่แล้ว
สุดท้าย:โครงสร้างพื้นฐานสำคัญเสมอ—and เรากำลังทำลายเขาเอง
The most dangerous vulnerabilities aren’t in smart contracts anymore — they’re in how we expose them to real people through flawed interfaces and poor security hygiene. The next wave of crypto innovation won’t come from faster L1s or new tokenomics models… it’ll come from systems so secure at the foundation level that even a careless user can’t break them by accident.
BlockchainSheriff
ความคิดเห็นยอดนิยม (4)
Chỉ cần copy-paste mật khẩu vào Notepad là bạn đã mất cả chục triệu rồi! Người ta nghĩ dùng ví phần mềm là an toàn, nhưng ai ngờ rằng… cái seed phrase lại bị dính vào cái màn hình điện thoại của người yêu thích cà phê sáng sớm! Đừng tin vào cloud backup — hãy dùng ví phần cứng đi! Có ai dám click “Send” sau khi thấy URL sai không? Cứ thử một lần là mất cả tài sản luôn!
Ay naku! Ang dami kong nakita sa TRM report — $21 bilyon nawala dahil sa mga ‘sticky note’ na seed phrase? 😱 Seryoso ba talaga? Parang sinabi mo lang: ‘Ano ba ang pangalan ng aso mo?’ tapos biglang nawala ang lahat.
Pero totoo naman: 80% ng hack ay galing sa frontend at private keys. Hindi bug, hindi rug pull… puro “Ahh, ako lang ang nag-verify”.
Kaya nga sabihin ko: Hardware wallet ka na, o maghahanap ka ng sarili mong palengke para mabuhay?
Ano po ang ginawa mo nung nabasa mo yung ‘I’ll just save it in Google Drive’? Comment mo na! 🤣
کیفیت کلید؟ نہیں، میرا سیڈ فریز بھی گھوم گیا! حضرت والے نے اپنا سینٹ پھرے کو نوٹ پیڈ میں کاپئ کر دے دتا… اب تو خدا کو بھول بنا دے؟ تیرا وائلٹ تو صرف اک علامت نہیں، بلکہ تیرا خوابِش جنّتِ! اس لئے زندہ رکھو، اور آن لائن پر ‘اسلامِ فنانس’ کو قابلِ بنائو — ورنہ تمہارا رُبَّڑ پول صرف تمہارے سینٹ سے شروع ہوگا۔
