Security ·

5 กลโกง Seed Phrase และวิธีป้องกันตัวเอง

การขโมย seed phrase เป็นวิธีโจมตีที่มีประสิทธิภาพที่สุดในคริปโตเคอร์เรนซี ต่างจากการใช้ประโยชน์จากบั๊ก smart contract หรือการโจมตี 51% การขโมย seed phrase นั้นง่าย ขยายขนาดได้ และให้ผู้โจมตีควบคุมเงินทุนของเหยื่อได้อย่างสมบูรณ์และย้อนกลับไม่ได้ กลโกง 5 อย่างที่อธิบายที่นี่รับผิดชอบต่อเหตุการณ์ขโมย seed phrase ส่วนใหญ่ การเข้าใจแต่ละอย่างและรู้วิธีป้องกันเป็นความรู้ที่จำเป็นสำหรับทุกคนที่ถือคริปโต

กลโกงทุกอย่างใช้ประโยชน์จากช่องว่างระหว่างสิ่งที่ผู้ใช้คิดว่าเกิดขึ้นกับสิ่งที่เกิดขึ้นจริง การป้องกันในทุกกรณีคือการตรวจสอบ

กลโกง 1: Seed Phrase Generator ปลอม

Seed phrase generator ปลอมเป็นเว็บไซต์หรือแอพที่ออกแบบมาให้ดูเหมือนเครื่องมือ BIP39 ที่ถูกต้อง แต่แอบบันทึกทุก seed phrase ที่สร้าง ผู้โจมตีอาจ hard-code ชุด seed phrase (ให้ทุกผู้ใช้ได้วลีที่ผู้โจมตีรู้แล้ว) หรือส่งวลีไปยังเซิร์ฟเวอร์

วิธีการทำงาน

ผู้โจมตีสร้างเว็บไซต์ที่ดูเป็นมืออาชีพที่ดูเหมือนสร้าง seed phrase แบบสุ่ม ในเวอร์ชันง่ายๆ ไซต์เลือกจากรายการวลีที่คำนวณไว้ล่วงหน้า ในเวอร์ชันซับซ้อนกว่า เครื่องมือสร้างวลีจริงโดยใช้ Web Crypto API แต่ส่ง entropy หรือวลีสุดท้ายไปยังเซิร์ฟเวอร์ผ่าน network request ที่ซ่อนไว้

วิธีป้องกันตัวเอง

  • ตรวจสอบว่าเครื่องมือเป็น client-side โหลดหน้า ตัดการเชื่อมต่ออินเทอร์เน็ต แล้วสร้างวลี หากเครื่องมือทำงานไม่ได้โดยไม่มีการเชื่อมต่อ ไม่ควรไว้วางใจ ดู Is Using an Online Seed Phrase Generator Safe?
  • ตรวจสอบ network traffic เปิด Developer Tools Network tab ก่อนสร้าง ไม่ควรมี outgoing request ใดๆ ระหว่างสร้าง
  • ใช้เครื่องมือ open-source Bitcoin Seed Phrase Generator และ Ethereum Seed Phrase Generator ของ SafeSeed เป็น open-source และ client-side ทั้งหมด
  • ตรวจสอบผลลัพธ์ข้ามกัน สร้างวลีแล้วตรวจว่าให้ address เดียวกันในเครื่องมือสองตัวขึ้นไป

กลโกง 2: เว็บฟิชชิ่งเลียนแบบ Wallet จริง

เว็บฟิชชิ่งจำลองอินเทอร์เฟซของกระเป๋ายอดนิยมเช่น MetaMask, Phantom เพื่อหลอกให้ผู้ใช้กรอก seed phrase ที่มีอยู่

วิธีการทำงาน

ผู้โจมตีจดทะเบียนโดเมนที่คล้ายกับเว็บไซต์กระเป๋าจริง: metamask-wallet.io แทน metamask.io พวกเขาโคลนการออกแบบและขอให้ผู้ใช้ "restore" หรือ "verify" กระเป๋าด้วยการกรอก seed phrase

เว็บฟิชชิ่งเหล่านี้แพร่กระจายผ่าน:

  • โฆษณา Google และ social media สำหรับคำค้นเกี่ยวกับกระเป๋า
  • ช่อง support ปลอมบน Telegram, Discord และ X (Twitter)
  • อีเมลที่อ้างว่ากระเป๋าต้อง "verification" หรือ "security update"

วิธีป้องกันตัวเอง

  • อย่ากรอก seed phrase บนเว็บไซต์ใดๆ ซอฟต์แวร์กระเป๋าที่ถูกต้องจะไม่ขอให้กรอก seed phrase ในเบราว์เซอร์
  • บุ๊กมาร์กเว็บไซต์ทางการ เข้าถึงอินเทอร์เฟซกระเป๋าผ่านบุ๊กมาร์กที่คุณตั้งเองเท่านั้น
  • ตรวจสอบ URL ทีละตัวอักษร โดเมนฟิชชิ่งใช้การแทนที่ตัวอักษร (l vs 1, rn vs m)
  • ใช้ hardware wallet สำหรับ recovery กู้คืนกระเป๋าบน hardware device เอง

กลโกง 3: Wallet Card สำเร็จรูป

กลโกงนี้เล็งเป้าผู้ใช้ใหม่ที่ยังไม่เข้าใจ private key ผู้โจมตีขายหรือแจกการ์ดทางกายภาพที่พิมพ์สวยงามที่มี seed phrase หรือ private key สำเร็จรูป

วิธีการทำงาน

ผู้โจมตีสร้าง seed phrase หลายพัน จดบันทึกทั้งหมด แล้วพิมพ์บนการ์ดที่ดูเป็นมืออาชีพ เหยื่อเชื่อว่ามี paper wallet ที่ปลอดภัย ส่งเงินไปยัง address ที่พิมพ์ ผู้โจมตีที่มีสำเนา seed phrase เดียวกันกวาดเงินออกตามสะดวก

วิธีป้องกันตัวเอง

  • สร้างคีย์ด้วยตัวเองเสมอ อย่าใช้ seed phrase หรือ private key ที่คนอื่นสร้าง
  • เข้าใจว่าคีย์คือความลับ หากใครเคยเห็น seed phrase ของคุณ ให้ถือว่าพวกเขามีสำเนา
  • สร้างแบบออฟไลน์ ใช้เครื่องมือ client-side ของ SafeSeed หรือ generator ที่เชื่อถือได้บน เครื่อง air-gapped

กลโกง 4: Clipboard Malware

Clipboard malware หรือ "clipper" เป็นซอฟต์แวร์อันตรายที่เฝ้าดู clipboard สำหรับข้อมูลเกี่ยวกับคริปโตและแทนที่ด้วยข้อมูลของผู้โจมตีอย่างเงียบๆ

วิธีการทำงาน

ตัวแปรที่พบบ่อยที่สุดเฝ้าดู address Bitcoin หรือ Ethereum บน clipboard เมื่อคุณคัดลอก address เพื่อส่งเงิน malware แทนที่ด้วย address ของผู้โจมตี ตัวแปรที่อันตรายกว่าเล็งเป้า seed phrase

วิธีป้องกันตัวเอง

  • อย่าคัดลอก seed phrase ไปยัง clipboard จดด้วยมือ
  • ตรวจสอบ address ที่วางเสมอ ก่อนยืนยันธุรกรรม เปรียบเทียบตัวอักษรหลายตัวแรกและสุดท้าย ใช้ address validator
  • ใช้ซอฟต์แวร์ที่ตรวจสอบแล้วเท่านั้น ดาวน์โหลดแอพกระเป๋าจากแหล่งทางการเท่านั้น
  • ใช้ antivirus ที่อัพเดต
  • ตรวจสอบเนื้อหา clipboard หลังคัดลอก address วางใน text editor เพื่อยืนยัน

กลโกง 5: Social Engineering

Social engineering เป็นการขโมยรูปแบบเก่าที่สุด ปรับให้เข้ากับยุคคริปโต ผู้โจมตีจัดการให้คุณเปิดเผย seed phrase โดยสมัครใจ

วิธีการทำงาน

Tech support ปลอม ผู้โจมตีแอบอ้างเป็นเจ้าหน้าที่ support ของผู้ให้บริการกระเป๋า อ้างว่าต้องการ seed phrase เพื่อ "วินิจฉัย" ปัญหา

เหยื่อ "เงินติด" ผู้โจมตีโพสต์ seed phrase สาธารณะ กระเป๋าที่เกี่ยวข้องมีเงินที่มองเห็นได้ เมื่อใครนำเข้าวลีเพื่อเอาเงิน จะพบว่า token อยู่บนเครือข่ายที่ต้องจ่ายค่า gas เมื่อฝาก gas token sweeper bot ของผู้โจมตีกวาดออกทันที

ที่ปรึกษาการลงทุน มิจฉาชีพสร้างความสัมพันธ์ผ่าน social media นำเหยื่อไปสู่ "โอกาสลงทุนพิเศษ"

Airdrop claim ข้อความเสนอ airdrop ฟรีที่ต้อง "connect wallet" กับ dApp อันตราย

วิธีป้องกันตัวเอง

  • ปฏิบัติต่อ seed phrase เหมือนรหัสปล่อยนิวเคลียร์ ไม่มีบริการ ทีม support เพื่อน หรือสมาชิกในครอบครัวที่ถูกต้องตามกฎหมายต้องการ seed phrase ของคุณ ไม่เคย ไม่ว่าด้วยเหตุผลใด
  • สงสัยความช่วยเหลือที่ไม่ได้ขอ
  • ยืนยันตัวตนผ่านช่องทางทางการ
  • เข้าใจเทคนิค "เงินติด" seed phrase ที่แชร์สาธารณะพร้อมเงินคือเหยื่อล่อ
  • ตรวจสอบสิทธิ์ smart contract

วิธีตรวจสอบเครื่องมือใดๆ

ความโปร่งใสของ Source Code

หากเครื่องมือไม่ใช่ open-source คุณไม่สามารถตรวจสอบว่ามันทำอะไร ให้ความสำคัญกับเครื่องมือ open-source สำหรับการดำเนินการที่เกี่ยวกับคีย์

การทำงานฝั่ง Client

ตรวจสอบการทำงาน client-side โดยตัดการเชื่อมต่อหลังโหลดหน้า หากเครื่องมือทำงานออฟไลน์ได้ การทำงานเข้ารหัสทำงานผ่าน Web Crypto API ในเบราว์เซอร์ อ่าน What Is Entropy in Crypto?

พฤติกรรมเครือข่าย

ใช้ Developer Tools เฝ้าดู network request ทั้งหมด ระหว่างการดำเนินการที่อ่อนไหว ไม่ควรมี outgoing request

การตรวจสอบ Domain และ Certificate

ก่อนกรอกข้อมูล ตรวจสอบชื่อโดเมนและ HTTPS

ชื่อเสียงในชุมชน

ตรวจสอบว่าเครื่องมือถูกตรวจสอบโดยนักวิจัยด้านความปลอดภัยอิสระหรือไม่

การตรวจสอบผลลัพธ์ข้ามกัน

เมื่อใช้ seed phrase generator ตรวจสอบผลลัพธ์โดย derive address เดียวกันด้วยเครื่องมือที่เชื่อถือได้ต่างตัว Bitcoin Address Generator หรือ Ethereum Address Generator บน SafeSeed เป็นจุดอ้างอิงได้

จุดแข็งที่ยิ่งใหญ่ที่สุดของระบบนิเวศคริปโต คือ self-custody เป็นจุดอ่อนที่ใหญ่ที่สุดด้วย ไม่มีแผนกฉ้อโกงให้โทร ไม่มี chargeback และไม่มีกระบวนการกู้คืนหลังเงินถูกขโมย การเข้าใจกลโกงทั้ง 5 นี้และสร้างนิสัยการตรวจสอบเป็นการลงทุนที่มีค่าที่สุดในความปลอดภัยคริปโตของคุณ สำหรับเนื้อหาเพิ่มเติม ดู Private Key Security Best Practices และ Seed Phrase vs Private Key