ประวัติแฮ็ค
ในบทเรียนสุดท้ายนี้ เราจะพิจารณาการโจมตีแบบ crypto-space ต่อบุคคลซึ่งแพร่หลายมากที่สุด รวมถึงตัวอย่างล่าสุดของการโจมตีที่ประสบความสำเร็จบนแพลตฟอร์มและโครงการต่างๆ นอกจากนี้ เราจะสำรวจวิธีการหลีกเลี่ยงการโจมตีเหล่านี้และเสนอแนวทางปฏิบัติที่ดีที่สุดสำหรับบุคคลที่จะปฏิบัติตามในอนาคตเพื่อป้องกันตนเองจากการโจมตีที่คล้ายกัน บุคคลสามารถลดโอกาสที่จะตกเป็นเหยื่อของการโจมตีประเภทนี้ได้อย่างมากโดยการเรียนรู้กลยุทธ์ที่ผู้โจมตีใช้และใช้ความพยายามเชิงรุกเพื่อรักษาความปลอดภัยทรัพย์สินและข้อมูลส่วนตัวของพวกเขา ไม่ว่าคุณจะเป็นผู้ใช้ crypto ที่มีประสบการณ์หรือเพิ่งเริ่มต้น สิ่งสำคัญคือต้องรับทราบข้อมูลและตระหนักถึงความเสี่ยงและแนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัย crypto
การโจมตีบุคคล
ประเภท : การหลอกลวงแบบฟิชชิ่ง
การหลอกลวงแบบฟิชชิงเป็นหนึ่งในประเภทการโจมตีที่ได้รับความนิยมสูงสุดต่อบุคคลในขอบเขตของการเข้ารหัสลับ ผู้โจมตีส่งอีเมลหรือข้อความปลอมที่ดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ เช่น การแลกเปลี่ยนสกุลเงินดิจิตอลหรือผู้ให้บริการกระเป๋าเงิน เพื่อพยายามหลอกให้ผู้รับเปิดเผยข้อมูลรับรองการเข้าสู่ระบบหรือโอนเงินไปยังกระเป๋าเงินของผู้โจมตี
อาจหลีกเลี่ยงได้อย่างไร
วิธีหนึ่งในการหลีกเลี่ยงการหลอกลวงแบบฟิชชิงคือการยืนยันความถูกต้องของอีเมลหรือข้อความทุกครั้งก่อนดำเนินการ ซึ่งสามารถทำได้โดยการยืนยันที่อยู่อีเมลของผู้ส่งหรือติดต่อบริษัทโดยตรงเพื่อยืนยันความจริงของข้อความ ผู้ใช้ควรหลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดไฟล์แนบจากแหล่งที่ไม่คุ้นเคยหรือน่าสงสัย เนื่องจากอาจมีมัลแวร์หรือโปรแกรมอันตรายอื่นๆ รวมอยู่ด้วย
ประเภท: การแลกเปลี่ยนซิม
การแลกเปลี่ยน SIM เป็นอีกหนึ่งการโจมตีที่แพร่หลายในผู้คนในพื้นที่ crypto ผู้โจมตีใช้การหลอกลวงเพื่อโน้มน้าวผู้ให้บริการมือถือให้โอนหมายเลขโทรศัพท์ของเหยื่อไปยังอุปกรณ์ที่ควบคุมโดยผู้โจมตี ทำให้พวกเขาสามารถสกัดกั้นโทเค็นการตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้ SMS และเข้าถึงกระเป๋าเงินดิจิตอลของเหยื่อ
อาจหลีกเลี่ยงได้อย่างไร
ผู้ใช้สามารถป้องกันการโจมตีด้วยการสลับ SIM ได้โดยการตั้งค่า PIN หรือรหัสผ่านกับผู้ให้บริการมือถือ ใช้กระเป๋าเงินฮาร์ดแวร์ทางกายภาพเพื่อเก็บ Bitcoin และใช้แอปพลิเคชันยืนยันตัวตนหรือการยืนยันตัวตนแบบสองปัจจัยประเภทอื่นๆ ที่ไม่ต้องพึ่งพารหัสทาง SMS
ประเภท: วิศวกรรมสังคม
การโจมตีแบบวิศวกรรมสังคมทำให้ผู้โจมตีหลอกลวงและชักใยเหยื่อให้เปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการที่เป็นอันตรายต่อความปลอดภัยของพวกเขา การโจมตีแบบวิศวกรรมสังคมในเวที cryptocurrency อาจเกี่ยวข้องกับผู้โจมตีที่แอบอ้างเป็นผู้ติดต่อที่เชื่อถือได้หรือใช้ข้อเสนอการจ้างงานหรือโอกาสการลงทุนที่ฉ้อฉลเพื่อเข้าถึง bitcoin ของเหยื่อ
อาจหลีกเลี่ยงได้อย่างไร
ผู้ใช้ควรระวังข้อความไม่พึงประสงค์หรือคำขอข้อมูลที่ละเอียดอ่อนเสมอ และไม่ควรให้คีย์ส่วนตัวหรือวลีเริ่มต้นแก่ใครก็ตาม นอกจากนี้ ผู้ใช้ควรยืนยันตัวตนของใครก็ตามที่ร้องขอการเข้าถึงสกุลเงินดิจิตอลหรือข้อมูลส่วนบุคคล และพวกเขาควรศึกษาทางเลือกในการลงทุนหรือโอกาสในการทำงานผ่านแหล่งข้อมูลที่เชื่อถือได้
การโจมตีบริษัท/โปรโตคอล
Mt. Gox: การเพิ่มขึ้นและลดลงของการแลกเปลี่ยนที่ใหญ่ที่สุดของ Bitcoin
ในปี 2014 ภูเขา Gox ซึ่งครั้งหนึ่งเคยเป็นบริษัทแลกเปลี่ยน Bitcoin ที่ใหญ่ที่สุดในโลก ยื่นฟ้องล้มละลายหลังจากสูญเสีย Bitcoin ไปประมาณ 850,000 Bitcoin ซึ่งมีมูลค่าประมาณ 450 ล้านดอลลาร์ในขณะนั้น บริษัทระบุว่าความสูญเสียเกิดจากความพยายามแฮ็กข้อมูลระยะยาวที่เกิดขึ้นเป็นเวลาหลายปี
ป้องกันได้อย่างไร
หนึ่งในสาเหตุหลักที่ทำให้ภูเขา การแฮ็ก Gox ประสบความสำเร็จอย่างมากเนื่องจากบริษัทไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตัวอย่างเช่น บริษัทเก็บ Bitcoins ไว้ในกระเป๋าเงินร้อนซึ่งเชื่อมต่อกับอินเทอร์เน็ต ดังนั้นจึงมีความอ่อนไหวต่อการพยายามแฮ็คมากกว่า หากบริษัทเก็บ Bitcoins ไว้ในกระเป๋าเงินเย็น ซึ่งไม่ได้เชื่อมต่อกับอินเทอร์เน็ต การแฮ็กอาจไม่สำเร็จ นอกจากนี้ บริษัทไม่ได้ทำการตรวจสอบความปลอดภัยตามปกติหรืออัปเดตซอฟต์แวร์ ทำให้มีความเสี่ยงต่อช่องโหว่ที่รู้จักในซอฟต์แวร์ Bitcoin หากบริษัทปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอและทดสอบมาตรการรักษาความปลอดภัยเป็นประจำ บริษัทอาจสามารถตรวจจับและป้องกันการโจมตีได้ก่อนที่จะส่งผลให้เกิดการสูญเสียครั้งใหญ่
Bitfinex Hack: ช่องโหว่ของกระเป๋าเงินหลายลายเซ็นนำไปสู่การขโมย Bitcoin มูลค่า 72 ล้านเหรียญ
ในปี 2559 Bitfinex หนึ่งในบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดในโลก สูญเสีย Bitcoin มูลค่าประมาณ 72 ล้านดอลลาร์อันเป็นผลมาจากการแฮ็ก ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์กระเป๋าเงินหลายลายเซ็นของบริษัท ซึ่งทำให้พวกเขาสามารถขโมย Bitcoin ที่เก็บไว้ในกระเป๋าเงินได้
ป้องกันได้อย่างไร
หนึ่งในเหตุผลหลักที่ทำให้การแฮ็ก Bitfinex ประสบความสำเร็จคือบริษัทพึ่งพาซอฟต์แวร์กระเป๋าเงินแบบหลายลายเซ็นมากเกินไป แม้ว่ากระเป๋าเงินแบบหลายลายเซ็นจะปลอดภัยกว่ากระเป๋าเงินประเภทอื่น แต่ก็ไม่รอดพ้นจากการโจมตี หากบริษัทได้ใช้มาตรการรักษาความปลอดภัยอื่นๆ เช่น การจัดเก็บ Bitcoins ไว้ในกระเป๋าเงินเย็นหรือใช้กระเป๋าเงินร้อนและกระเป๋าเย็นร่วมกัน ก็อาจสามารถป้องกันการโจมตีได้
การละเมิดความปลอดภัยของ DAO: Ethereum มูลค่า 50 ล้านดอลลาร์ถูกขโมยในปี 2559
ในปี 2559 องค์กรอิสระแบบกระจายอำนาจ (DAO) ที่เรียกว่า DAO ซึ่งสร้างขึ้นบน Ethereum blockchain ถูกแฮ็ก ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในรหัสสัญญาอัจฉริยะของ DAO ซึ่งทำให้พวกเขาสามารถขโมย Ethereum มูลค่าประมาณ 50 ล้านดอลลาร์ได้
ป้องกันได้อย่างไร
สาเหตุหลักประการหนึ่งที่ทำให้การแฮ็ก DAO ประสบความสำเร็จคือรหัสสัญญาอัจฉริยะไม่ได้รับการตรวจสอบอย่างถูกต้องก่อนที่จะนำไปใช้งาน หาก DAO ทำการตรวจสอบโค้ดสัญญาอัจฉริยะอย่างละเอียดถี่ถ้วน อาจตรวจพบและแก้ไขช่องโหว่ก่อนที่ผู้โจมตีจะนำไปใช้ประโยชน์ได้ Ethereum blockchain ไม่ได้ออกแบบมาเพื่อจัดการกับช่องโหว่ของสัญญาอัจฉริยะ ซึ่งทำให้ยากต่อการกู้คืนเงินที่ถูกขโมยไป หากนักพัฒนา Ethereum ได้สร้างกลไกสำหรับการกู้คืนเงินที่ถูกขโมยไปในกรณีที่ถูกแฮ็ก การสูญเสียอาจไม่รุนแรงเท่านี้
Poly Network: Cross-Chain Protocol ถูกแฮ็กมูลค่า $600M
ในเดือนสิงหาคม พ.ศ. 2564 Poly Network ซึ่งเป็นโปรโตคอลการทำงานร่วมกันแบบข้ามสายโซ่ ถูกเจาะข้อมูลมูลค่ากว่า 600 ล้านดอลลาร์ของสกุลเงินดิจิตอล ซึ่งรวมถึง Ethereum, Binance Smart Chain และ Polygon แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะของโปรโตคอล ทำให้พวกเขาสามารถโอนเงินไปยังกระเป๋าเงินของตนเองได้
ป้องกันได้อย่างไร
สาเหตุหลักประการหนึ่งที่ทำให้การแฮ็ก Poly Network ประสบความสำเร็จคือรหัสสัญญาอัจฉริยะไม่ได้รับการตรวจสอบอย่างถูกต้องก่อนที่จะนำไปใช้งาน หากบริษัททำการตรวจสอบโค้ดสัญญาอัจฉริยะอย่างละเอียดถี่ถ้วน บริษัทอาจสามารถตรวจจับและแก้ไขช่องโหว่ได้ก่อนที่ผู้โจมตีจะถูกโจมตี นอกจากนี้ บริษัทยังไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมในการตรวจจับและป้องกันการโจมตี หากบริษัทใช้มาตรการรักษาความปลอดภัยอื่นๆ เช่น การตรวจสอบธุรกรรมที่ผิดปกติหรือการใช้กระเป๋าเงินแบบหลายลายเซ็น ก็อาจสามารถป้องกันการโจมตีได้ก่อนที่จะส่งผลให้เกิดการสูญเสียครั้งใหญ่
BAYC ประสบปัญหาการแฮ็กครั้งใหญ่ Ether มูลค่า 750,000 ดอลลาร์ถูกขโมยไป
ในเดือนพฤศจิกายน 2021 Bored Ape Yacht Club ( BAYC ) ซึ่งเป็นโปรเจ็กต์ NFT ยอดนิยม ถูกแฮ็ก Ether มูลค่ากว่า 750,000 ดอลลาร์ ผู้โจมตีใช้ประโยชน์จากช่องโหว่บนเว็บไซต์ของโครงการ ซึ่งทำให้พวกเขาสามารถเข้าถึงคีย์ส่วนตัวของกระเป๋าเงินของโครงการได้
ป้องกันได้อย่างไร
หนึ่งในสาเหตุหลักที่ทำให้การแฮ็ก Bored Ape Yacht Club ประสบความสำเร็จคือโครงการไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมในการปกป้องคีย์ส่วนตัว หากโปรเจกต์เก็บคีย์ส่วนตัวไว้ในกระเป๋าสตางค์ออฟไลน์ที่ปลอดภัย การแฮ็กอาจไม่สำเร็จ
Cream Finance: การใช้สัญญาอย่างชาญฉลาดนำไปสู่การแฮ็คมูลค่า 25 ล้านเหรียญ
ในเดือนกันยายน 2564 Cream Finance ซึ่งเป็นโปรโตคอลการให้กู้ยืมเงินแบบกระจายอำนาจ (DeFi) ถูกแฮ็กด้วยเงินดิจิทัลมูลค่ากว่า 25 ล้านดอลลาร์ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในรหัสสัญญาอัจฉริยะของโปรโตคอล ทำให้พวกเขาสามารถโอนเงินไปยังกระเป๋าเงินของตนเองได้
ป้องกันได้อย่างไร
สาเหตุหลักประการหนึ่งที่ทำให้การแฮ็ก Cream Finance ประสบความสำเร็จคือรหัสสัญญาอัจฉริยะไม่ได้รับการตรวจสอบอย่างถูกต้องก่อนที่จะนำไปใช้งาน หากบริษัททำการตรวจสอบรหัสสัญญาอัจฉริยะอย่างละเอียดถี่ถ้วน บริษัทอาจสามารถตรวจจับและแก้ไขช่องโหว่ได้ก่อนที่ผู้โจมตีจะถูกโจมตี
บทสรุป
โดยสรุป ตัวอย่างต่างๆ ของการแฮ็กและการหลอกลวงที่กล่าวถึงในบทเรียนนี้เป็นเรื่องราวเตือนใจสำหรับบุคคลและบริษัทในพื้นที่การเข้ารหัสลับ สิ่งสำคัญคือต้องเรียนรู้จากการโจมตีเหล่านี้และใช้มาตรการเชิงรุกเพื่อรักษาความปลอดภัยทรัพย์สินและข้อมูลส่วนตัว
แนวทางปฏิบัติที่ดีที่สุดตามที่เห็นในบทที่ 2 - การโจมตีแบบวิศวกรรมสังคม เช่น การยืนยันความถูกต้องของอีเมลหรือข้อความ การใช้ฮาร์ดแวร์วอลเล็ท และการตรวจสอบซอฟต์แวร์อย่างสม่ำเสมอ สามารถลดความเสี่ยงของการตกเป็นเหยื่อของการโจมตีได้อย่างมาก
บริษัทต่างๆ ควรจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัย เช่น การจัดเก็บเงินในกระเป๋าเงินเย็น ดำเนินการตรวจสอบความปลอดภัยเป็นประจำ และตรวจสอบรหัสสัญญาอัจฉริยะอย่างเหมาะสมก่อนปรับใช้ การรับทราบข้อมูลและตระหนักถึงความเสี่ยงและแนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัย crypto เป็นสิ่งสำคัญสำหรับผู้ใช้ cryptocurrencies ทั้งเก่าและใหม่
นอกจากตัวอย่างเฉพาะของการแฮ็กและการหลอกลวงที่กล่าวถึงแล้ว สิ่งสำคัญสำหรับแต่ละบุคคลคือการตระหนักถึงความเสี่ยงและความท้าทายทั่วไปในพื้นที่การเข้ารหัสลับ ลักษณะการกระจายอำนาจและมักจะไม่ระบุตัวตนของ cryptocurrencies สามารถทำให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จากบุคคลที่ไม่สงสัยได้ง่ายขึ้น นอกจากนี้ ลักษณะที่ผันผวนสูงของตลาด crypto หมายความว่าบุคคลต่างๆ จะต้องเตรียมพร้อมสำหรับความเป็นไปได้ของการสูญเสียที่สำคัญ สิ่งสำคัญคือต้องเข้าหา crypto ด้วยความระมัดระวังและศึกษาโครงการหรือการลงทุนอย่างถี่ถ้วนก่อนที่จะมีส่วนร่วม
อ่านเพิ่มเติม
หากคุณกำลังเข้าใกล้โลกของสกุลเงินดิจิทัลเป็นครั้งแรก เราขอแนะนำให้คุณตรวจสอบหลักสูตรอื่นๆ ของเรา Crypto Investing : หลักสูตรนี้เหมาะสำหรับผู้ที่ต้องการเรียนรู้วิธีลงทุนในสกุลเงินดิจิทัล รวมถึงวิธีการวิจัยและประเมินโครงการต่างๆ วิธีกระจายความเสี่ยง พอร์ตโฟลิโอ crypto และวิธีการจัดการความเสี่ยง
ประวัติแฮ็ค
ในบทเรียนสุดท้ายนี้ เราจะพิจารณาการโจมตีแบบ crypto-space ต่อบุคคลซึ่งแพร่หลายมากที่สุด รวมถึงตัวอย่างล่าสุดของการโจมตีที่ประสบความสำเร็จบนแพลตฟอร์มและโครงการต่างๆ นอกจากนี้ เราจะสำรวจวิธีการหลีกเลี่ยงการโจมตีเหล่านี้และเสนอแนวทางปฏิบัติที่ดีที่สุดสำหรับบุคคลที่จะปฏิบัติตามในอนาคตเพื่อป้องกันตนเองจากการโจมตีที่คล้ายกัน บุคคลสามารถลดโอกาสที่จะตกเป็นเหยื่อของการโจมตีประเภทนี้ได้อย่างมากโดยการเรียนรู้กลยุทธ์ที่ผู้โจมตีใช้และใช้ความพยายามเชิงรุกเพื่อรักษาความปลอดภัยทรัพย์สินและข้อมูลส่วนตัวของพวกเขา ไม่ว่าคุณจะเป็นผู้ใช้ crypto ที่มีประสบการณ์หรือเพิ่งเริ่มต้น สิ่งสำคัญคือต้องรับทราบข้อมูลและตระหนักถึงความเสี่ยงและแนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัย crypto
การโจมตีบุคคล
ประเภท : การหลอกลวงแบบฟิชชิ่ง
การหลอกลวงแบบฟิชชิงเป็นหนึ่งในประเภทการโจมตีที่ได้รับความนิยมสูงสุดต่อบุคคลในขอบเขตของการเข้ารหัสลับ ผู้โจมตีส่งอีเมลหรือข้อความปลอมที่ดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ เช่น การแลกเปลี่ยนสกุลเงินดิจิตอลหรือผู้ให้บริการกระเป๋าเงิน เพื่อพยายามหลอกให้ผู้รับเปิดเผยข้อมูลรับรองการเข้าสู่ระบบหรือโอนเงินไปยังกระเป๋าเงินของผู้โจมตี
อาจหลีกเลี่ยงได้อย่างไร
วิธีหนึ่งในการหลีกเลี่ยงการหลอกลวงแบบฟิชชิงคือการยืนยันความถูกต้องของอีเมลหรือข้อความทุกครั้งก่อนดำเนินการ ซึ่งสามารถทำได้โดยการยืนยันที่อยู่อีเมลของผู้ส่งหรือติดต่อบริษัทโดยตรงเพื่อยืนยันความจริงของข้อความ ผู้ใช้ควรหลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดไฟล์แนบจากแหล่งที่ไม่คุ้นเคยหรือน่าสงสัย เนื่องจากอาจมีมัลแวร์หรือโปรแกรมอันตรายอื่นๆ รวมอยู่ด้วย
ประเภท: การแลกเปลี่ยนซิม
การแลกเปลี่ยน SIM เป็นอีกหนึ่งการโจมตีที่แพร่หลายในผู้คนในพื้นที่ crypto ผู้โจมตีใช้การหลอกลวงเพื่อโน้มน้าวผู้ให้บริการมือถือให้โอนหมายเลขโทรศัพท์ของเหยื่อไปยังอุปกรณ์ที่ควบคุมโดยผู้โจมตี ทำให้พวกเขาสามารถสกัดกั้นโทเค็นการตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้ SMS และเข้าถึงกระเป๋าเงินดิจิตอลของเหยื่อ
อาจหลีกเลี่ยงได้อย่างไร
ผู้ใช้สามารถป้องกันการโจมตีด้วยการสลับ SIM ได้โดยการตั้งค่า PIN หรือรหัสผ่านกับผู้ให้บริการมือถือ ใช้กระเป๋าเงินฮาร์ดแวร์ทางกายภาพเพื่อเก็บ Bitcoin และใช้แอปพลิเคชันยืนยันตัวตนหรือการยืนยันตัวตนแบบสองปัจจัยประเภทอื่นๆ ที่ไม่ต้องพึ่งพารหัสทาง SMS
ประเภท: วิศวกรรมสังคม
การโจมตีแบบวิศวกรรมสังคมทำให้ผู้โจมตีหลอกลวงและชักใยเหยื่อให้เปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการที่เป็นอันตรายต่อความปลอดภัยของพวกเขา การโจมตีแบบวิศวกรรมสังคมในเวที cryptocurrency อาจเกี่ยวข้องกับผู้โจมตีที่แอบอ้างเป็นผู้ติดต่อที่เชื่อถือได้หรือใช้ข้อเสนอการจ้างงานหรือโอกาสการลงทุนที่ฉ้อฉลเพื่อเข้าถึง bitcoin ของเหยื่อ
อาจหลีกเลี่ยงได้อย่างไร
ผู้ใช้ควรระวังข้อความไม่พึงประสงค์หรือคำขอข้อมูลที่ละเอียดอ่อนเสมอ และไม่ควรให้คีย์ส่วนตัวหรือวลีเริ่มต้นแก่ใครก็ตาม นอกจากนี้ ผู้ใช้ควรยืนยันตัวตนของใครก็ตามที่ร้องขอการเข้าถึงสกุลเงินดิจิตอลหรือข้อมูลส่วนบุคคล และพวกเขาควรศึกษาทางเลือกในการลงทุนหรือโอกาสในการทำงานผ่านแหล่งข้อมูลที่เชื่อถือได้
การโจมตีบริษัท/โปรโตคอล
Mt. Gox: การเพิ่มขึ้นและลดลงของการแลกเปลี่ยนที่ใหญ่ที่สุดของ Bitcoin
ในปี 2014 ภูเขา Gox ซึ่งครั้งหนึ่งเคยเป็นบริษัทแลกเปลี่ยน Bitcoin ที่ใหญ่ที่สุดในโลก ยื่นฟ้องล้มละลายหลังจากสูญเสีย Bitcoin ไปประมาณ 850,000 Bitcoin ซึ่งมีมูลค่าประมาณ 450 ล้านดอลลาร์ในขณะนั้น บริษัทระบุว่าความสูญเสียเกิดจากความพยายามแฮ็กข้อมูลระยะยาวที่เกิดขึ้นเป็นเวลาหลายปี
ป้องกันได้อย่างไร
หนึ่งในสาเหตุหลักที่ทำให้ภูเขา การแฮ็ก Gox ประสบความสำเร็จอย่างมากเนื่องจากบริษัทไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตัวอย่างเช่น บริษัทเก็บ Bitcoins ไว้ในกระเป๋าเงินร้อนซึ่งเชื่อมต่อกับอินเทอร์เน็ต ดังนั้นจึงมีความอ่อนไหวต่อการพยายามแฮ็คมากกว่า หากบริษัทเก็บ Bitcoins ไว้ในกระเป๋าเงินเย็น ซึ่งไม่ได้เชื่อมต่อกับอินเทอร์เน็ต การแฮ็กอาจไม่สำเร็จ นอกจากนี้ บริษัทไม่ได้ทำการตรวจสอบความปลอดภัยตามปกติหรืออัปเดตซอฟต์แวร์ ทำให้มีความเสี่ยงต่อช่องโหว่ที่รู้จักในซอฟต์แวร์ Bitcoin หากบริษัทปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอและทดสอบมาตรการรักษาความปลอดภัยเป็นประจำ บริษัทอาจสามารถตรวจจับและป้องกันการโจมตีได้ก่อนที่จะส่งผลให้เกิดการสูญเสียครั้งใหญ่
Bitfinex Hack: ช่องโหว่ของกระเป๋าเงินหลายลายเซ็นนำไปสู่การขโมย Bitcoin มูลค่า 72 ล้านเหรียญ
ในปี 2559 Bitfinex หนึ่งในบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดในโลก สูญเสีย Bitcoin มูลค่าประมาณ 72 ล้านดอลลาร์อันเป็นผลมาจากการแฮ็ก ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์กระเป๋าเงินหลายลายเซ็นของบริษัท ซึ่งทำให้พวกเขาสามารถขโมย Bitcoin ที่เก็บไว้ในกระเป๋าเงินได้
ป้องกันได้อย่างไร
หนึ่งในเหตุผลหลักที่ทำให้การแฮ็ก Bitfinex ประสบความสำเร็จคือบริษัทพึ่งพาซอฟต์แวร์กระเป๋าเงินแบบหลายลายเซ็นมากเกินไป แม้ว่ากระเป๋าเงินแบบหลายลายเซ็นจะปลอดภัยกว่ากระเป๋าเงินประเภทอื่น แต่ก็ไม่รอดพ้นจากการโจมตี หากบริษัทได้ใช้มาตรการรักษาความปลอดภัยอื่นๆ เช่น การจัดเก็บ Bitcoins ไว้ในกระเป๋าเงินเย็นหรือใช้กระเป๋าเงินร้อนและกระเป๋าเย็นร่วมกัน ก็อาจสามารถป้องกันการโจมตีได้
การละเมิดความปลอดภัยของ DAO: Ethereum มูลค่า 50 ล้านดอลลาร์ถูกขโมยในปี 2559
ในปี 2559 องค์กรอิสระแบบกระจายอำนาจ (DAO) ที่เรียกว่า DAO ซึ่งสร้างขึ้นบน Ethereum blockchain ถูกแฮ็ก ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในรหัสสัญญาอัจฉริยะของ DAO ซึ่งทำให้พวกเขาสามารถขโมย Ethereum มูลค่าประมาณ 50 ล้านดอลลาร์ได้
ป้องกันได้อย่างไร
สาเหตุหลักประการหนึ่งที่ทำให้การแฮ็ก DAO ประสบความสำเร็จคือรหัสสัญญาอัจฉริยะไม่ได้รับการตรวจสอบอย่างถูกต้องก่อนที่จะนำไปใช้งาน หาก DAO ทำการตรวจสอบโค้ดสัญญาอัจฉริยะอย่างละเอียดถี่ถ้วน อาจตรวจพบและแก้ไขช่องโหว่ก่อนที่ผู้โจมตีจะนำไปใช้ประโยชน์ได้ Ethereum blockchain ไม่ได้ออกแบบมาเพื่อจัดการกับช่องโหว่ของสัญญาอัจฉริยะ ซึ่งทำให้ยากต่อการกู้คืนเงินที่ถูกขโมยไป หากนักพัฒนา Ethereum ได้สร้างกลไกสำหรับการกู้คืนเงินที่ถูกขโมยไปในกรณีที่ถูกแฮ็ก การสูญเสียอาจไม่รุนแรงเท่านี้
Poly Network: Cross-Chain Protocol ถูกแฮ็กมูลค่า $600M
ในเดือนสิงหาคม พ.ศ. 2564 Poly Network ซึ่งเป็นโปรโตคอลการทำงานร่วมกันแบบข้ามสายโซ่ ถูกเจาะข้อมูลมูลค่ากว่า 600 ล้านดอลลาร์ของสกุลเงินดิจิตอล ซึ่งรวมถึง Ethereum, Binance Smart Chain และ Polygon แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะของโปรโตคอล ทำให้พวกเขาสามารถโอนเงินไปยังกระเป๋าเงินของตนเองได้
ป้องกันได้อย่างไร
สาเหตุหลักประการหนึ่งที่ทำให้การแฮ็ก Poly Network ประสบความสำเร็จคือรหัสสัญญาอัจฉริยะไม่ได้รับการตรวจสอบอย่างถูกต้องก่อนที่จะนำไปใช้งาน หากบริษัททำการตรวจสอบโค้ดสัญญาอัจฉริยะอย่างละเอียดถี่ถ้วน บริษัทอาจสามารถตรวจจับและแก้ไขช่องโหว่ได้ก่อนที่ผู้โจมตีจะถูกโจมตี นอกจากนี้ บริษัทยังไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมในการตรวจจับและป้องกันการโจมตี หากบริษัทใช้มาตรการรักษาความปลอดภัยอื่นๆ เช่น การตรวจสอบธุรกรรมที่ผิดปกติหรือการใช้กระเป๋าเงินแบบหลายลายเซ็น ก็อาจสามารถป้องกันการโจมตีได้ก่อนที่จะส่งผลให้เกิดการสูญเสียครั้งใหญ่
BAYC ประสบปัญหาการแฮ็กครั้งใหญ่ Ether มูลค่า 750,000 ดอลลาร์ถูกขโมยไป
ในเดือนพฤศจิกายน 2021 Bored Ape Yacht Club ( BAYC ) ซึ่งเป็นโปรเจ็กต์ NFT ยอดนิยม ถูกแฮ็ก Ether มูลค่ากว่า 750,000 ดอลลาร์ ผู้โจมตีใช้ประโยชน์จากช่องโหว่บนเว็บไซต์ของโครงการ ซึ่งทำให้พวกเขาสามารถเข้าถึงคีย์ส่วนตัวของกระเป๋าเงินของโครงการได้
ป้องกันได้อย่างไร
หนึ่งในสาเหตุหลักที่ทำให้การแฮ็ก Bored Ape Yacht Club ประสบความสำเร็จคือโครงการไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมในการปกป้องคีย์ส่วนตัว หากโปรเจกต์เก็บคีย์ส่วนตัวไว้ในกระเป๋าสตางค์ออฟไลน์ที่ปลอดภัย การแฮ็กอาจไม่สำเร็จ
Cream Finance: การใช้สัญญาอย่างชาญฉลาดนำไปสู่การแฮ็คมูลค่า 25 ล้านเหรียญ
ในเดือนกันยายน 2564 Cream Finance ซึ่งเป็นโปรโตคอลการให้กู้ยืมเงินแบบกระจายอำนาจ (DeFi) ถูกแฮ็กด้วยเงินดิจิทัลมูลค่ากว่า 25 ล้านดอลลาร์ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในรหัสสัญญาอัจฉริยะของโปรโตคอล ทำให้พวกเขาสามารถโอนเงินไปยังกระเป๋าเงินของตนเองได้
ป้องกันได้อย่างไร
สาเหตุหลักประการหนึ่งที่ทำให้การแฮ็ก Cream Finance ประสบความสำเร็จคือรหัสสัญญาอัจฉริยะไม่ได้รับการตรวจสอบอย่างถูกต้องก่อนที่จะนำไปใช้งาน หากบริษัททำการตรวจสอบรหัสสัญญาอัจฉริยะอย่างละเอียดถี่ถ้วน บริษัทอาจสามารถตรวจจับและแก้ไขช่องโหว่ได้ก่อนที่ผู้โจมตีจะถูกโจมตี
บทสรุป
โดยสรุป ตัวอย่างต่างๆ ของการแฮ็กและการหลอกลวงที่กล่าวถึงในบทเรียนนี้เป็นเรื่องราวเตือนใจสำหรับบุคคลและบริษัทในพื้นที่การเข้ารหัสลับ สิ่งสำคัญคือต้องเรียนรู้จากการโจมตีเหล่านี้และใช้มาตรการเชิงรุกเพื่อรักษาความปลอดภัยทรัพย์สินและข้อมูลส่วนตัว
แนวทางปฏิบัติที่ดีที่สุดตามที่เห็นในบทที่ 2 - การโจมตีแบบวิศวกรรมสังคม เช่น การยืนยันความถูกต้องของอีเมลหรือข้อความ การใช้ฮาร์ดแวร์วอลเล็ท และการตรวจสอบซอฟต์แวร์อย่างสม่ำเสมอ สามารถลดความเสี่ยงของการตกเป็นเหยื่อของการโจมตีได้อย่างมาก
บริษัทต่างๆ ควรจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัย เช่น การจัดเก็บเงินในกระเป๋าเงินเย็น ดำเนินการตรวจสอบความปลอดภัยเป็นประจำ และตรวจสอบรหัสสัญญาอัจฉริยะอย่างเหมาะสมก่อนปรับใช้ การรับทราบข้อมูลและตระหนักถึงความเสี่ยงและแนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัย crypto เป็นสิ่งสำคัญสำหรับผู้ใช้ cryptocurrencies ทั้งเก่าและใหม่
นอกจากตัวอย่างเฉพาะของการแฮ็กและการหลอกลวงที่กล่าวถึงแล้ว สิ่งสำคัญสำหรับแต่ละบุคคลคือการตระหนักถึงความเสี่ยงและความท้าทายทั่วไปในพื้นที่การเข้ารหัสลับ ลักษณะการกระจายอำนาจและมักจะไม่ระบุตัวตนของ cryptocurrencies สามารถทำให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จากบุคคลที่ไม่สงสัยได้ง่ายขึ้น นอกจากนี้ ลักษณะที่ผันผวนสูงของตลาด crypto หมายความว่าบุคคลต่างๆ จะต้องเตรียมพร้อมสำหรับความเป็นไปได้ของการสูญเสียที่สำคัญ สิ่งสำคัญคือต้องเข้าหา crypto ด้วยความระมัดระวังและศึกษาโครงการหรือการลงทุนอย่างถี่ถ้วนก่อนที่จะมีส่วนร่วม
อ่านเพิ่มเติม
หากคุณกำลังเข้าใกล้โลกของสกุลเงินดิจิทัลเป็นครั้งแรก เราขอแนะนำให้คุณตรวจสอบหลักสูตรอื่นๆ ของเรา Crypto Investing : หลักสูตรนี้เหมาะสำหรับผู้ที่ต้องการเรียนรู้วิธีลงทุนในสกุลเงินดิจิทัล รวมถึงวิธีการวิจัยและประเมินโครงการต่างๆ วิธีกระจายความเสี่ยง พอร์ตโฟลิโอ crypto และวิธีการจัดการความเสี่ยง