นักต้มตุ๋นอาจใช้ Blind Signing จู่โจม Ledger

Charles Guillemet ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีแห่ง Ledger ออกโรงเตือนให้ลูกค้าขององค์กรระมัดระวังการใช้ Blind Signing หรือ การยินยอมลงนามในการทำธุรกรรมโดยไม่ต้องทำความเข้าใจถึงข้อมูลต่าง ๆ หลังจาก OpenSea ถูกโจมตีผ่านช่องโหว่บนเครือข่าย Blockchain เมื่อไม่นานมานี้

การลงนาม Blind Signing คืออะไร?

Guillemet ได้ให้สัมภาษณ์ผ่านสำนักข่าวต่างประเทศรายหนึ่งถึงปัญหาในด้านต่าง ๆ ที่เกิดขึ้น และย้ำถึงวิธีการดำเนินการของ Blind Signing ว่าการอนุมัติให้ผู้ใช้งานสามารถดำเนินธุรกรรมทางการเงินได้นั้นจำเป็นจะต้องมีการใช้ Blind Signing เพื่อลงนามผ่านข้อความบางอย่าง เพื่อส่งต่อคำยืนยันเหล่านั้นไปยังเครือข่าย Blockchain ทั้งนี้ผู้ใช้งานแต่ละรายจะสามารถลงนามในการทำธุรกรรมด้วย Private Key ได้แค่เพียง 1 ครั้งเท่านั้น ในขณะที่ผู้อื่นจะสามารถยืนยันว่ามันถูกต้องหรือไม่ได้ ซึ่งประธานฝ่ายไอทีแห่ง Ledger ก็ได้บ่งชี้ถึงจุดบกพร่องที่เกิดขึ้นภายในระบบเพิ่มเติมว่า

“ปัญหาก็คือระบบขององค์กรยังไม่สามารถที่จะทำความเข้าใจกับบางสิ่งบางอย่างได้ด้วยตัวของมันเอง หากข้อความเหล่านั้นเป็น Digital Payload หรือ การโจมตีของ Malware”

สาเหตุที่ทำให้ Blind Signing มีความเสี่ยงสูง

Guillemet ยังได้อธิบายว่าเมื่อมีการทำ Blind Signing ในระหว่างการโอนเหรียญ ตัว Wallet จะสามารถวิเคราะห์ข้อมูล และจุดประสงค์ในการทำธุรกรรมนั้น ๆ ให้เป็นไปอย่างถูกต้องได้ด้วยตนเอง อย่างไรก็ตาม ในกรณีการทำ Blind Signing ให้แก่ Smart Contract ที่อาจมีความซับซ้อนมากกว่านั้น ระบบมักจะไม่ค่อยให้การรองรับได้ดีเท่าที่ควร ด้วยเหตุนี้ ระบบจะบังคับให้ผู้ใช้งานจำเป็นต้องใช้ Blind Signing อย่างไม่สามารถหลีกเลี่ยงได้ เพื่อให้การทำธุรกรรมของพวกเขาดำเนินต่อไปได้ แม้ว่าจะยังคงมีความสงสัย และไม่เข้าใจถึงความหมายของการกระทำดังกล่าวก็ตาม

“มันเสี่ยงเพราะพวกคุณกำลังลงนามทำธุรกรรมเพื่อโอนเงินทุนของคุณส่วนหนึ่งไปยังอีก Address A ในขณะเดียวกันคุณก็ต้องลงนามในการทำธุรกรรมอีกรายการหนึ่งเพื่อโอนเงินทุนของคุณไปยัง Address B อีกด้วย”

OpenSea กลายเป็นเหยื่อรายล่าสุด

ผู้เชี่ยวชาญด้านความปลอดภัยยังได้ยกตัวอย่างอาชญากรรมที่เกิดขึ้นจาก Blind Signing ที่ก่อให้เกิดการสูญเสียครั้งยิ่งใหญ่ ซึ่งจะเห็นได้จากเหตุการณ์หลอกลวงครั้งล่าสุดบน OpenSea ที่ส่งผลให้แพลตฟอร์มต้องสูญเสียสินทรัพย์ Non-Fungible Token (NFT) ไปด้วยมูลค่ากว่า 1.7 ล้านดอลลาร์สหรัฐ ทางด้าน Guillemet ยังได้ตั้งข้อสังเกตว่าเหล่านักต้มตุ๋นมักจะหลอกให้เจ้าของบัญชีลงนามอนุมัติผ่านข้อความ Blind Signing เพื่อยินยอมที่จะขาย NFT ของพวกเขาในราคา 0 ETH นั่นเอง

ผู้ใช้งานควรหมั่นตรวจสอบการทำธุรกรรมด้วยตนเอง

อย่างไรก็ตาม Guillemet ยังได้ยกคติที่ว่า “อย่าหลงเชื่อ แต่ควรตรวจสอบ” มาเป็นอีกหนึ่งหนทางในการแก้ปัญหา Blind Signing ที่เกิดขึ้น โดยเขากล่าวว่าผู้ใช้งานควรหมั่นตรวจสอบการทำธุรกรรมที่พวกเขาได้ลงนามยินยอมไป รวมไปถึงการยินยอมให้เกิดการทำธุรกรรมนั้นควรดำเนินการผ่านแพลตฟอร์มที่เชื่อถือได้บน Hardware Wallet

ซีอีโอ Binance เคยออกโรงเตือนผู้ใช้งานเช่นเดียวกัน

หลังจากการแพร่ระบาดของอาชญากรไซเบอร์ที่ยังคงกระจายตัวไปในวงกว้างนับตั้งแต่ต้นปี 2022 ที่ผ่านมา ทำให้แพลตฟอร์มรายใหญ่หลายแห่งต่างพากันออกมาเพิ่มมาตรการป้องกันดูแลระบบ และผู้ใช้งานกันอย่างเข้มงวด ซึ่งทางด้าน Changpeng Zhao (CZ) ก็ได้ออกโรงเตือนบรรดาผู้ใช้งานให้ระมัดระวังข้อความ SMS หลอกลวงจากผู้ไม่หวังดี โดยซีอีโอรายนี้ได้ตั้งข้อสันนิษฐานว่าอาชญากรจะแนบลิงก์แพลตฟอร์มปลอมเพื่อหลอกล่อให้ผู้ใช้งานหลงเชื่อ และดำเนินการล็อกอินเข้าสู่ระบบ พร้อมกันนี้ CZ ยังแนะนำให้ผู้ใช้งานที่ต้องการจะทำธุรกรรมบนแพลตฟอร์ม หรือ ผู้ที่มีความจำเป็นจะต้องใช้ลิงก์ที่แนบมากับข้อความ SMS ควรพิมพ์ที่อยู่ของเว็บไซต์ด้วยมือของตนเอง แทนการกด Copy แล้ว Paste หรือ การคลิกไปที่ลิงก์โดยตรง

แน่นอนว่า ไม่ใช่แค่เพียงในตลาดสกุลเงินดิจิทัลเท่านั้น แต่ทว่า ความร้ายแรงของสถานการณ์ดังกล่าวนั้นสร้างแรงสะเทือนจนไปถึงประเทศมหาอำนาจอย่างสาธารณรัฐประชาชนจีนที่ได้ออกมาประกาศเตือนประชายขนในประเทศให้ระมัดระวังการถูกฉ้อโกงบน Metaverse ได้ พร้อมทั้งออกมาเผยแพร่วิธีการยอดฮิตที่เหล่าอาชญากรไซเบอร์ส่วนใหญ่มักเลือกใช้ในการก่อคดี ซึ่งมักจะมาในรูปของเกม Blockchian ที่ทุกคนรู้จักกันดีอย่าง Play-to-Earn นั่นเอง