ในการรับ crypto airdrop อย่างปลอดภัยโดยไม่ตกเป็นเหยื่อฟิชชิง คุณต้องยืนยันลิงก์การรับสิทธิ์ผ่านเว็บไซต์ทางการของโปรเจกต์และอ้างอิงข้ามกับแพลตฟอร์มรวบรวมข้อมูลที่มีชื่อเสียงเท่านั้น ใช้ burner wallet ที่แยกต่างหากโดยเฉพาะซึ่งมีเงินเพียงพอสำหรับค่า gas เท่านั้น และห้ามเปิดเผย seed phrase ลับ 12–24 คำหรือ private key ต่อส่วนต่อประสานใด ๆ โดยเด็ดขาด

Airdrop Phishing Scam คืออะไร?

Crypto airdrop ถือเป็นกลยุทธ์ระบบนิเวศที่มีประสิทธิภาพสูงสำหรับโปรโตคอลแบบกระจายศูนย์ในการแจกจ่าย native token ตอบแทนผู้ใช้ยุคแรก และสร้างสภาพคล่อง อย่างไรก็ตาม การแจกจ่ายมูลค่าสูงกลับกลายเป็นเป้าหมายหลักของอาชญากรไซเบอร์ที่มีความซับซ้อน

แคมเปญฟิชชิงและ wallet-drainer ที่เป็นอันตรายถือเป็นภัยคุกคามหลักในระบบนิเวศ Web3 ด้วยการนำเครื่องมือ AI ขั้นสูงมาใช้ ผู้ไม่หวังดีสามารถสร้างเว็บไซต์ปลอมที่เหมือนกับ dApp ที่ถูกกฎหมายได้ทันที ทั้งโลโก้ที่ตรงกัน UI ที่เหมือนกันทุกประการ และแอนิเมชันตรวจสอบสิทธิ์ที่ดูน่าเชื่อถือ

การโจมตีแบบ Crypto Wallet-Drainer ทำงานอย่างไร?

ผู้ใช้ส่วนใหญ่เข้าใจผิดว่าการถูกหลอกต้องส่งทรัพย์สินไปยังที่อยู่บล็อกเชนภายนอกด้วยตนเอง แต่การฟิชชิง airdrop ในปัจจุบันอาศัยการโต้ตอบกับ smart contract ที่เป็นอันตรายเกือบทั้งหมด:

  1. ผู้ใช้ถูกล่อลวงไปยังโดเมนปลอมผ่านการบิดเบือนบนโซเชียลมีเดีย โฆษณาในเครื่องมือค้นหา หรือ token ที่ส่งมาโดยไม่ได้ร้องขอ
  2. เว็บไซต์กระตุ้นให้ผู้ใช้คลิกปุ่ม "Claim Airdrop" ซึ่งจะเปิดหน้าต่างยืนยันจาก browser wallet extension
  3. สิ่งที่แสดงเป็นการลงนาม network ตามปกตินั้น แท้จริงแล้วคือสคริปต์ smart contract อนุมัติ token แบบไม่จำกัด เมื่อลงนามแล้ว สิทธิ์ดังกล่าวจะให้สิทธิ์ถาวรแก่ที่อยู่ contract ของผู้โจมตีในการใช้จ่ายและโอนทรัพย์สินออกจากกระเป๋าของผู้ใช้ได้ทุกเมื่อในอนาคต

วิธีป้องกันตนเองจากการโจมตี Wallet-Drainer เมื่อรับ Airdrop

การป้องกันที่น่าเชื่อถือที่สุดจาก smart contract ที่ดูดทรัพย์สินคือการแยกทรัพย์สินออกจากกันทางกายภาพ

  • ตั้ง Burner Wallet เฉพาะ: ใช้ software hot wallet ที่แยกต่างหาก เช่น MetaMask หรือ Trust Wallet สำหรับการทำ airdrop farming และรับสิทธิ์โดยเฉพาะ ที่อยู่นี้ต้องแยกออกจากกระเป๋าที่ใช้ทำธุรกรรมประจำวันอย่างสมบูรณ์
  • รักษา Air-Gap อย่างเคร่งครัด: ห้ามเชื่อมต่อกระเป๋าออมทรัพย์หลักหรือที่อยู่ที่เชื่อมกับ hardware wallet แบบออฟไลน์ เช่น Ledger หรือ Trezor กับส่วนต่อประสานรับ airdrop ภายนอกใด ๆ ให้ถือว่าที่เก็บระยะยาวของคุณเป็นห้องนิรภัยที่ห้ามเชื่อมต่อ
  • แยก Gas สำรอง: เติมเงินใน burner wallet เฉพาะปริมาณ native cryptocurrency ขั้นต่ำที่จำเป็น เช่น ETH, SOL หรือ BNB สำหรับชำระค่า gas เท่านั้น หากคุณลงนามสคริปต์สิทธิ์ที่ถูกบุกรุกโดยไม่ตั้งใจ ความเสี่ยงทางการเงินสูงสุดของคุณจะถูกจำกัดเฉพาะเงินสำรอง gas ที่อยู่ใน burner account นั้นเท่านั้น

ขั้นตอนการตรวจสอบลิงก์

ชื่อโดเมนเป็นองค์ประกอบเดียวที่สคริปต์ฟิชชิงอัตโนมัติไม่สามารถปลอมแปลงได้อย่างสมบูรณ์ การนำรายการตรวจสอบอย่างเคร่งครัดมาใช้ก่อนอนุญาตการเชื่อมต่อเว็บไซต์จะบล็อกการโจมตีส่วนใหญ่ที่ใช้เครือข่ายเป็นฐาน

ตรวจสอบสิทธิ์ด้วยที่อยู่เท่านั้น

โปรเจกต์แบบกระจายศูนย์ชั้นนำอนุญาตให้ผู้ใช้ตรวจสอบการจัดสรร token เพียงแค่วางที่อยู่กระเป๋าสาธารณะลงในช่องค้นหา หากแพลตฟอร์มบังคับให้คุณเชื่อมต่อ software wallet extension ที่ใช้งานอยู่เพียงเพื่อดูว่าคุณมีสิทธิ์หรือไม่ ให้ถือว่าเป็นความผิดปกติด้านความปลอดภัยทันทีและปิดแท็บนั้น

ตัวกรอง "ห้ามคลิกลิงก์จากโซเชียล"

ห้ามโต้ตอบกับลิงก์ที่มาจาก:

  • ข้อความตรง (DM) บน Telegram, Discord หรือ X
  • ความคิดเห็นที่ปักหมุดหรือการตอบกลับอัลกอริทึมใต้ประกาศโซเชียลมีเดียทางการ
  • ลิงก์โปรโมตแบบสปอนเซอร์ที่ด้านบนของหน้าผลการค้นหา ซึ่งกลุ่มมิจฉาชีพมักซื้อเพื่อรันแคมเปญเปลี่ยนเส้นทางโฆษณาที่เป็นอันตราย

ให้อ้างอิงข้อมูลการแจกจ่าย token บนแพลตฟอร์มจัดทำดัชนีที่ยืนยันแล้ว เช่น BingX News, Airdrops.io หรือ Airdrop Alert ตรวจสอบ contract ของโปรเจกต์โดยตรงบน blockchain explorer เช่น Etherscan หรือ Solscan และพิมพ์โดเมนที่ยืนยันแล้วลงในแถบที่อยู่ของเบราว์เซอร์โดยตรง

ตรวจสอบการปลอมแปลงอักขระ Homograph

ตรวจสอบอักขระในช่องข้อความของเบราว์เซอร์ทีละตัวเพื่อสกัดการปลอมแปลงอักขระที่ดูเหมือนกัน ผู้โจมตีมักจดทะเบียนโดเมนที่ถูกทำให้เป็นสากล (internationalized domain) ซึ่งดูเหมือนกับแบรนด์ทางการแต่สลับอักขระด้วยตัวอักษรจากภาษาอื่นหรือตัวเลขที่คล้ายกัน เช่น แทนตัวอักษร o ตัวเล็กด้วยเลข 0 หรือตัวอักษร l ตัวเล็กด้วยเลข 1

รายการตรวจสอบความปลอดภัยหลังรับ Airdrop

การติดตั้ง extension ความปลอดภัยฝั่ง client และรักษารายการตรวจสอบหลังรับสิทธิ์อย่างเคร่งครัดจะป้องกันไม่ให้ช่องโหว่ที่เปิดอยู่ค้างอยู่ในโครงสร้างไฟล์กระเป๋าของคุณ

1. บังคับใช้เครื่องมือจำลองธุรกรรม

ติดตั้งปลั๊กอินความปลอดภัย Web3 เฉพาะทาง เช่น Wallet Guard หรือ Fire โดยตรงในเว็บเบราว์เซอร์ที่ปลอดภัยของคุณ เครื่องมือนักพัฒนาเหล่านี้ทำงานระหว่างแอปพลิเคชันและ extension ของคุณ โดยรันการจำลองโค้ดอัตโนมัติแบบเรียลไทม์ โดยแปล bytecode ที่ซับซ้อนให้เป็นบันทึกข้อมูลที่อ่านได้ และแจ้งเตือนอย่างชัดเจนหากคำขอลงนามพยายามดูดทรัพย์สินหรือแก้ไขสิทธิ์ผู้ดูแลระบบหลัก

2. ยกเลิก Smart Contract ทันที

สิทธิ์ smart contract ที่ยังเปิดอยู่ถือเป็นช่องโหว่เชิงโครงสร้างที่ยังคงใช้งานได้ไม่มีกำหนด ทำให้กระเป๋าของคุณเสี่ยงต่อการโจมตีซ้ำหลายสัปดาห์หลังจากการรับสิทธิ์ครั้งแรก ภายใน 24 ชั่วโมงหลังจากทำธุรกรรมการแจกจ่าย token ใด ๆ เสร็จสิ้น ให้เชื่อมต่อที่อยู่ของคุณกับตัวจัดการการอนุญาตอัตโนมัติ เช่น Revoke.cash หรือชุดเครื่องมือ block explorer เพื่อตรวจสอบพารามิเตอร์การใช้จ่ายที่ยังใช้งานอยู่และยกเลิกสิทธิ์การเข้าถึง smart contract ที่ค้างอยู่ทั้งหมด

Airdrop Scam หลักและสัญญาณเตือนที่ควรรู้

การรู้จักสัญญาณทางจิตวิทยาและกลไกเชิงโครงสร้างที่ผู้ไม่หวังดีใช้เป็นสิ่งจำเป็นในการระบุและหยุดยั้งการโจมตีก่อนที่จะกระทบต่อทรัพย์สินดิจิทัลของคุณ

1. การส่ง Token Dust โดยไม่ได้ร้องขอ

ในการโจมตีแบบ token dusting โดยไม่ได้ร้องขอ นักหลอกลวงใช้ประโยชน์จากความโปร่งใสของ public ledger เพื่อแจกจ่าย token ที่ไม่มีมูลค่าหรือ NFT โปรโมชันไปยังที่อยู่กระเป๋าที่ใช้งานอยู่หลายพันแห่ง ฝังอยู่ใน metadata หรือ memo ธุรกรรมของทรัพย์สินเหล่านี้คือ URL ที่หลอกลวงสูง ซึ่งสัญญาผลตอบแทนทางการเงินมหาศาล ออกแบบมาเพื่อใช้ประโยชน์จากความอยากรู้ของผู้ใช้และล่อเหยื่อไปยังโดเมนที่เป็นอันตราย

ความเป็นจริงคือ token เหล่านี้ทำหน้าที่เป็นเพียง clickbait เท่านั้น การพยายาม swap ขาย หรือโต้ตอบกับ token เหล่านี้อาจเรียกใช้การโจมตี contract อัตโนมัติ ดังนั้นมาตรฐานความปลอดภัยที่สำคัญคือการซ่อน เผา หรือเพิกเฉยต่อทรัพย์สินที่ไม่ได้ร้องขอนั้นในส่วนต่อประสานของคุณ

2. ค่าธรรมเนียมการเปิดใช้งานล่วงหน้า

การหลอกลวงค่าธรรมเนียมเปิดใช้งานล่วงหน้าทำงานโดยโน้มน้าวผู้ใช้ว่าพวกเขาได้รับสิทธิ์รับ token จำนวนมาก แต่ต้องส่ง cryptocurrency จำนวนหนึ่งไปยังที่อยู่ภายนอกก่อนเพื่อเปิดใช้งานบัญชี ชำระค่าธุรกรรม smart contract หรือครอบคลุมค่าธรรมเนียมการแจกจ่ายจำนวนมาก

นี่คือรูปแบบคลาสสิกของการหลอกลวงแบบ advance-fee ที่ปรับมาใช้กับโลก Web3 การแจกจ่ายโปรเจกต์จริงใช้ contract การรับสิทธิ์อัตโนมัติซึ่งค่า gas ของเครือข่ายจะถูกประมวลผลผ่าน wallet pop-up ของคุณเอง ซึ่งหมายความว่าแพลตฟอร์มใดที่ต้องการให้คุณโอนเงินออกไปยังที่อยู่โปรเจกต์อิสระเพื่อปลดล็อกรางวัลถือเป็นความเสี่ยงจากคู่สัญญาที่ต้องละทิ้งทันที

3. การสร้างความขาดแคลนเทียมและความเร่งด่วน

นักหลอกลวงพึ่งพาการสร้างความขาดแคลนเทียมและการบิดเบือนจิตวิทยาอย่างมาก โดยใช้ตัวนับถอยหลังแบบเรียลไทม์ที่รุนแรง การลดขนาด eligibility pool หรือการแจ้งเตือนกดดันสูงที่ระบุว่า "เหลือสิทธิ์เพียง 5% เท่านั้น" กลวิธีวิศวกรรมสังคมนี้ออกแบบมาเพื่อกระตุ้น FOMO (ความกลัวพลาดโอกาส) โดยเฉพาะ บังคับให้เหยื่อตัดสินใจโดยหุนหันพลันแล่นและข้ามขั้นตอนการตรวจสอบความปลอดภัยมาตรฐาน

เมื่อพบสัญญาณกดดันสูงเหล่านี้ การป้องกันที่ปลอดภัยที่สุดคือหยุดกระบวนการทั้งหมด ออกห่างจากส่วนต่อประสาน และเริ่มการตรวจสอบอิสระอย่างรอบคอบผ่านช่องทางสื่อสารทางการหลักของโปรเจกต์

4. คำขอ Credential Phishing

Credential phishing เกิดขึ้นเมื่อหน้า airdrop ที่ไม่ได้รับการยืนยันหรือแอปพลิเคชันปลอมสร้างข้อผิดพลาดการเชื่อมต่อเทียม โดยแสดงหน้าต่างที่ขอให้ผู้ใช้ป้อน seed phrase ลับ 12–24 คำหรือ private key เพื่อซิงค์ใหม่หรือยืนยันการเชื่อมต่อกระเป๋าด้วยตนเอง การโต้ตอบนี้ถือเป็นความพยายามโจรกรรมโดยตรง

ไม่มีสถานการณ์ทางเทคนิคใดใน Web3 ที่ decentralized application จำเป็นต้องเข้าถึง master seed phrase หรือ private key ของคุณเพื่ออ่านที่อยู่ของคุณ หากพบคำขอเช่นนี้ แสดงว่าแพลตฟอร์มนั้นเป็นอันตรายและต้องปิดแท็บเบราว์เซอร์ทันที