ข้อมูล KYC คือเป้าหมาย และ "Wrench Attack" กำลังระบาดหนัก

ฉันเฝ้าติดตามตลาดคริปโตมาหลายปี และในขณะที่ทุกคนกำลังหมกมุ่นกับตัวเลข ETF หรือลุ้นว่า Bitcoin จะติดเพดาน Dominance ที่ 60% หรือเปล่า พวกเขากลับมองข้ามเทรนด์ที่น่ากลัวกว่านั้นมาก เรามักพูดถึงการ "แฮ็ก" เหมือนกับว่าเป็นแค่เด็กวัยรุ่นนั่งเขียนสคริปต์อยู่ในห้องใต้ดิน แต่ความจริงมันมีด้านที่รุนแรงกว่านั้นในโลกกายภาพ ซึ่งไม่ค่อยมีใครพูดถึง ฉันกำลังพูดถึง "Wrench Attack" หรือการโจมตีด้วยประแจ ซึ่งคนร้ายไม่จำเป็นต้องมานั่งถอดรหัสการเข้ารหัสที่ซับซ้อนเลย เพราะพวกเขามีเครื่องมือทางกายภาพและรู้ที่อยู่บ้านของคุณ ถ้าคุณกำลังมองหาวิธีเก็บรักษา private keys ของคริปโตให้ปลอดภัย คุณต้องรู้ก่อนว่าจุดอ่อนที่ใหญ่ที่สุดอาจไม่ใช่บั๊กใน smart contract แต่เป็นข้อมูล KYC ที่คุณยื่นให้กับทุก exchange ที่คุณเคยใช้งาน ซึ่งก่อนหน้านี้เราเคยเขียนถึง จุดยืนด้านคริปโตของ Blanche เพื่อให้เห็นภาพรวมเรื่องกฎระเบียบ

อันตรายจากร่องรอยของ KYC

พวกเราส่วนใหญ่เห็นว่าการทำ Know Your Customer (KYC) เป็นแค่ขั้นตอนธุรการที่น่าเบื่อ แค่อัปโหลดพาสปอร์ต ถ่ายรูปเซลฟี่ แล้วก็ได้เข้าใช้งานบัญชี แต่จากประสบการณ์ของฉัน เรากำลังสร้างฐานข้อมูลระดับโลกที่หลุดรอดได้ง่าย ซึ่งระบุชัดเจนว่าใครเป็นเจ้าของเหรียญจำนวนเท่าไหร่ เมื่อ exchange ถูกเจาะ ข้อมูลที่หลุดออกมาไม่ใช่แค่รหัสผ่าน แต่มันคือชื่อจริง ที่อยู่ และเบอร์โทรศัพท์

พอเอาข้อมูลนี้ไปรวมกับข้อมูลบน on-chain คุณจะได้ "แผนที่" ทันที ถ้าคนร้ายสามารถเชื่อมโยง wallet ที่มีมูลค่าสูงเข้ากับตัวตนในโลกจริงผ่านฐานข้อมูล KYC ที่หลุดออกมาได้ พวกเขาก็ไม่จำเป็นต้องหาช่องโหว่ในบล็อกเชนเลย แค่ต้องหาให้เจอว่าคุณพักอยู่ที่ไหน นี่แหละคือที่มาของ Wrench Attack มันคือการแฮ็กที่ป่าเถื่อนที่สุด นั่นคือการข่มขู่กรรโชกทรัพย์ทางกายภาพ คุณไม่ได้สู้กับบอท แต่คุณกำลังสู้กับคนที่รู้ว่าคุณมีเงินและรู้ว่าคุณนอนที่ไหน ซึ่งสำหรับเทรดเดอร์ในไทยหรือเอเชียตะวันออกเฉียงใต้ที่มักจะโชว์กำไรในโซเชียล เรื่องนี้ยิ่งน่ากังวลเป็นพิเศษ

ทำไมวิธีเก็บ private keys ให้ปลอดภัยถึงไม่ใช่แค่เรื่องของซอฟต์แวร์

ฉันเห็นคนใช้เวลาถกเถียงกันเป็นชั่วโมงว่า software wallet ตัวไหนปลอดภัยที่สุด แต่สุดท้ายกลับเก็บ seed phrase ไว้ในไฟล์ text ธรรมดาบนหน้าจอคอมพิวเตอร์ หรือที่แย่กว่านั้นคือถ่ายรูปเก็บไว้ใน cloud storage ซึ่งนั่นคือหายนะที่รอเวลาเกิดขึ้น แต่ถึงแม้คุณจะจดใส่กระดาษแล้วซ่อนไว้ในลิ้นชัก มันก็ยังเสี่ยงอยู่ดีถ้ามีคนรู้ว่ามันวางอยู่ตรงนั้น

ปัญหาคือเราถูกทำให้เชื่อว่าความปลอดภัยคือ "กำแพงดิจิทัล" แต่เราลืมไปว่ากำแพงนั้นมีประตู ถ้าคุณใช้ centralized exchange คุณกำลังฝากทั้งตัวตนและเงินของคุณไว้กับเขา ถ้าพวกเขาถูกแฮ็ก ตัวตนของคุณจะกลายเป็นสัญญาณเรียกแขกสำหรับใครก็ตามที่กำลังมองหาเป้าหมาย นี่คือเหตุผลที่ฉันผลักดันเรื่อง self-custody มาโดยตลอด

เพื่อปกป้องตัวเองจริงๆ คุณต้องมี hardware signer ที่เก็บ keys ไว้แบบ offline ส่วนตัวฉันแนะนำ Ledger Nano Gen5 สำหรับคนที่เน้นความคุ้มค่า เพราะได้หน้าจอ E Ink ในราคาแค่ 99 ดอลลาร์ การมีชิป Secure Element (CC EAL6+) หมายความว่า private keys ของคุณจะไม่สัมผัสกับอินเทอร์เน็ตเลย แต่ตัวอุปกรณ์เป็นเพียงครึ่งหนึ่งของชัยชนะ ความปลอดภัยที่แท้จริงอยู่ที่วิธีที่คุณจัดการกับ recovery seed ต่างหาก

จุดที่คนส่วนใหญ่มักพลาด

ความผิดพลาดที่ใหญ่ที่สุดที่ฉันเห็นคือ "การสร้างภาพว่าปลอดภัย" (security theater) หลายคนซื้อ wallet ราคาแพง แต่กลับเก็บ recovery phrase 24 คำในที่ที่หาเจอได้ง่าย ถ้าอาชญากรรู้ว่าคุณใช้ Ledger เขาจะไม่พยายามแฮ็กตัวเครื่องหรอก แต่เขาจะหาเศษกระดาษที่คุณซ่อนไว้ใต้ฟูกที่นอนแทน

ฉันสังเกตเห็นเทรนด์ที่คนคิดว่าแค่ใช้ VPN หรือ private browser ก็เพียงพอแล้ว แม้เราจะเคยพูดถึงเรื่อง ความเสี่ยงในการเทรด P2P ในอังกฤษ ที่เพิ่มขึ้นจากการบุกตรวจค้นของรัฐบาล แต่ภัยคุกคามจากอาชญากรรมข้ามชาติมันต่างออกไป พวกเขาไม่ได้มองหาการเลี่ยงภาษี แต่เขามองหาเงินก้อนโต

ถ้าคุณต้องการความปลอดภัยจริงๆ คุณต้องแยก "ตัวตน" ออกจาก "ความมั่งคั่ง" ซึ่งหมายถึงการใช้บริการ non-custodial เมื่อเป็นไปได้ และต้องขี้เหนียวกับข้อมูลส่วนตัวให้ถึงที่สุด

มุมมองของฉันต่อทางออก

ฉันไม่ได้บอกว่าห้ามใช้ exchange เพราะมันสะดวก และสำหรับบางคนมันเป็นทางเดียวที่จะเข้าถึงตลาดได้ แต่การเก็บเงินทั้งชีวิตไว้ในแพลตฟอร์มที่ต้องสแกนพาสปอร์ตคือการพนัน คุณกำลังเดิมพันว่าระบบรักษาความปลอดภัยของ exchange จะดีกว่าแรงจูงใจของอาชญากรที่ได้ที่อยู่ของคุณมาจากข้อมูลที่หลุดออกมา

ฉันคิดว่าทางออกเดียวที่ได้ผลจริงคือการใช้ hardware security ควบคู่ไปกับการรักษาความลับขั้นสุดยอด อย่าบอกใครว่าคุณมีเงินเท่าไหร่ อย่าโพสต์กำไรลงโซเชียล และขอร้องล่ะ ย้ายสินทรัพย์ออกจาก exchange ไปไว้ใน cold wallet ให้หมด

ถ้าคุณเบื่อวงจร KYC และแค่อยาก swap เหรียญโดยไม่ทิ้งร่องรอยถาวร ฉันพบว่า StealthEX เป็นทางเลือกที่โอเค มันเป็นบริการ swap แบบ non-custodial ที่ไม่ต้องลงทะเบียนบัญชีหรือทำ KYC สำหรับการ swap ทั่วไป เป็นวิธีง่ายๆ ในการรักษาความเป็นส่วนตัวในโลกที่พยายามจะบันทึกทุกๆ satoshi ที่คุณครอบครอง

เทรดตามข่าวสารผ่าน exchange ที่ทีมบรรณาธิการของเราเลือก: Gate