แก๊งดูดเงินดิจิทัลสูบ USDC 3 ล้านเหรียญ

เล่าให้ฟังนะทุกคน มีนักลงทุนคริปโตคนนึงซวยสุดๆ โดนพวกแฮกเกอร์หลอกเอาเงินไป 3 ล้านกว่าเหรียญดอลลาร์! เรื่องมันเกิดจากการโดนฟิชชิ่งแบบเนียนๆ เลยอ่ะ คือนักลงทุนคนนี้เผลอไปอนุมัติสัญญาอะไรบางอย่างที่มันอันตราย โดยที่ไม่รู้ตัวเลย

ZachXBT นักสืบแห่งวงการบล็อกเชน เป็นคนแรกที่ออกมาเตือนเรื่องนี้ เค้าบอกว่ากระเป๋าเงินของเหยื่อโดนดูดเงิน USDC ออกไปหมดเกลี้ยง พวกแฮกเกอร์รีบแปลงเป็น Ethereum แล้วโยนเข้า Tornado Cash แบบไวๆ เลย ที่ต้องทำแบบนี้ก็เพราะว่า Tornado Cash เนี่ยมันช่วยปกปิดร่องรอยเงินที่ขโมยมาไงล่ะ

Yu Xian จาก SlowMist เค้าอธิบายว่า กระเป๋าเงินที่โดนแฮกเนี่ย มันเป็นกระเป๋าแบบ multi-signature ที่ต้องใช้หลายคนอนุมัติถึงจะทำธุรกรรมได้ ปัญหาคือ แฮกเกอร์มันสร้างที่อยู่ปลอมที่เหมือนกับที่อยู่ที่เหยื่อตั้งใจจะโอนเงินให้มากๆ คือตัวอักษรแรกกับตัวสุดท้ายเหมือนกันเป๊ะๆ อ่ะ ใครจะไปจับได้! แล้วพวกแฮกเกอร์ยังใช้กลไก Safe Multi Send ในการอำพรางการอนุมัติที่ผิดปกตินี้ด้วยนะ คือมันเนียนจนดูเหมือนเป็นการอนุมัติปกติทั่วไปเลย

Scam Sniffer เค้าบอกว่า พวกแฮกเกอร์เตรียมการมาดีมาก เปิดตัวสัญญาปลอมที่ Etherscan ตรวจสอบแล้ว ตั้งแต่เกือบสองอาทิตย์ก่อนหน้านี้แล้วนะ แถมยังใส่ฟังก์ชัน “การชำระเงินเป็นชุด” เข้าไปด้วย เพื่อให้ดูเหมือนสัญญาที่ถูกต้องตามกฎหมายจริงๆ วันที่ลงมือ พวกแฮกเกอร์ก็ใช้แอป Request Finance นี่แหละ เป็นช่องทางเข้าถึงเงินของเหยื่อ

ทาง Request Finance ก็ออกมาบอกว่า ใช่ มีคนร้ายสร้างสัญญา Batch Payment ปลอมจริงๆ แต่มีลูกค้าแค่คนเดียวที่โดนผลกระทบ แล้วเค้าก็แก้ช่องโหว่นี้ไปแล้วด้วย

แต่ Scam Sniffer เค้าก็ยังเตือนนะว่า อย่าประมาท เพราะการโจมตีแบบนี้มันอาจจะเกิดขึ้นได้จากหลายช่องทางเลย ไม่ว่าจะเป็นช่องโหว่ของแอป มัลแวร์ ส่วนขยายเบราว์เซอร์ที่แอบแก้ไขธุรกรรม หรือแม้แต่การจี้ DNS ที่สำคัญคือ พวกแฮกเกอร์มันพัฒนาวิธีการของมันไปเรื่อยๆ เพื่อที่จะหลีกเลี่ยงการตรวจสอบของผู้ใช้ให้ได้มากที่สุด เราก็ต้องระวังตัวกันให้ดีๆ นะทุกคน!