WLFI งานเข้า! แฮกเกอร์ใช้ช่องโหว่ Ethereum สูบเหรียญของทรัมป์!

ข่าวใหญ่สะเทือนวงการ! บริษัทรักษาความปลอดภัย SlowMist ออกมาเปิดเผยว่า แฮกเกอร์กำลังใช้ประโยชน์จากช่องโหว่ในอัปเกรด Pectra (EIP-7702) ของ Ethereum เพื่อโจมตีและขโมยโทเค็น World Liberty Financial (WLFI) ซึ่งเป็นโปรเจกต์คริปโตที่เชื่อมโยงกับโดนัลด์ ทรัมป์ การโจมตีครั้งนี้ได้สร้างความเสียหายให้กับผู้ถือเหรียญหลายราย และตอกย้ำถึงความเสี่ยงด้านความปลอดภัยที่มาพร้อมกับการอัปเกรดใหม่บนเครือข่ายบล็อกเชน

เหรียญ WLFI ของ Trump ตกเป็นเหยื่อรายล่าสุดได้อย่างไร?

ตามรายงานของ SlowMist ผู้ถือโทเค็น WLFI หลายรายได้สูญเสียสินทรัพย์ของตนไป หลังจากแฮกเกอร์ใช้เทคนิคผสมผสานระหว่างการขโมย Private Key และการติดตั้ง Delegate Contract ที่เป็นอันตราย เทคนิคการโจมตีนี้พัฒนาขึ้นอย่างรวดเร็วนับตั้งแต่การอัปเกรด Pectra ของ Ethereum เปิดตัวเมื่อวันที่ 7 พฤษภาคมที่ผ่านมา

Ethereum's Pectra upgrade is scheduled for Wednesday, May 7, 2025 at 3:05 AM PT. To ensure user fund safety, we will temporarily pause Ethereum deposits and withdrawals from 2:50 AM to 3:45 AM PT. During that time, initiation of new staking requests will be delayed until after…

— Coinbase Assets 🛡️ (@CoinbaseAssets) May 5, 2025

ข้อมูลชี้ว่ากว่า 97% ของการใช้งาน EIP-7702 มีความเชื่อมโยงกับ Contract ที่ถูกออกแบบมาเพื่อดูดเงินออกจากกระเป๋าโดยเฉพาะ ซึ่งจะทำการโอนสินทรัพย์ทั้งหมดออกไปโดยอัตโนมัติ

SlowMist เตือนว่าเหยื่อที่ Private Key ถูกขโมยไปจะเผชิญกับการสูญเสียสินทรัพย์ทั้งหมดผ่าน Delegate Contract ที่แฮกเกอร์แอบติดตั้งไว้ล่วงหน้า

เมื่อผู้ใช้โอน ETH เข้ามาเพื่อเป็นค่า Gas หรือได้รับโทเค็นอย่าง WLFI เข้ากระเป๋า Contract ที่เป็นอันตรายนี้ก็จะทำการโอนทุกอย่างไปยังที่อยู่ของแฮกเกอร์ทันที ทำให้กระเป๋าเงินนั้นถูกควบคุมโดยสมบูรณ์

เจาะลึกช่องโหว่ EIP-7702 ของ Ethereum: จากฝันสู่ฝันร้าย

เดิมที EIP-7702 ถูกออกแบบมาเพื่อยกระดับประสบการณ์ผู้ใช้งานบนเครือข่าย Ethereum โดยมีเป้าหมายเพื่อเปิดใช้งาน Account Abstraction ทำให้กระเป๋าเงินสามารถทำงานเหมือน Smart Contract ได้ชั่วคราว ซึ่งจะช่วยลดค่า Gas ผ่านการทำธุรกรรมแบบกลุ่ม และรองรับการชำระค่าธรรมเนียมด้วยสกุลเงินอื่นที่ไม่ใช่ ETH ซึ่งสอดคล้องกับวิสัยทัศน์ของ Vitalik Buterin ที่ต้องการให้การใช้งาน Web3 เป็นไปอย่างราบรื่น

อย่างไรก็ตาม การนำไปใช้งานกลับสร้างความเสี่ยงด้านความปลอดภัยที่ร้ายแรงเมื่อถูกรวมเข้ากับการขโมย Private Key แฮกเกอร์จะติดตั้ง Delegate Address ที่เป็นอันตรายไว้ล่วงหน้า ซึ่งจะเข้าควบคุมกระเป๋าเงินทั้งหมดผ่านฟังก์ชัน DELEGATECALL ทำให้กระเป๋าของเหยื่อกลายเป็น Smart Contract ที่ควบคุมโดยแฮกเกอร์ แต่ “ยังคงใช้ที่อยู่เดิม”

เหตุการณ์นี้ไม่ใช่ครั้งแรก โดยก่อนหน้านี้เคยเกิดการโจมตีแบบฟิชชิ่งมูลค่า 1.54 ล้านดอลลาร์ และกลุ่ม Inferno Drainer ก็เคยใช้เทคนิคเดียวกันนี้ขโมยเงินจาก MetaMask Wallet ไปกว่า 146,000 ดอลลาร์มาแล้ว

หลากหลายรูปแบบการโจมตี & วิธีป้องกันตัวเองจากช่องโหว่ Ethereum

นอกจากการขโมยโทเค็น WLFI แล้ว ช่องโหว่ EIP-7702 ยังเปิดทางให้เกิดการโจมตีในรูปแบบอื่นๆ อีกมากมาย เช่น แคมเปญฟิชชิ่งที่ปลอมเป็นแพลตฟอร์ม DeFi ที่น่าเชื่อถือเพื่อหลอกให้ผู้ใช้ลงนามในธุรกรรมที่เป็นอันตราย หรือการโจมตีผ่านลายเซ็นนอกเครือข่าย (Off-chain Signature) ที่แฮกเกอร์สามารถติดตั้งโค้ดอันตรายได้จากระยะไกลโดยใช้เพียงลายเซ็นที่ถูกขโมยมา

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้หลีกเลี่ยงการอนุมัติ Delegation ที่น่าสงสัย ตรวจสอบสิทธิ์การเข้าถึงของทุกธุรกรรมอย่างละเอียด และยกเลิก Delegate Contract ที่น่าสงสัยหากทำได้

อย่างไรก็ตาม การออกแบบพื้นฐานของ EIP-7702 ที่อนุญาตให้บัญชีทั่วไป (EOA) มอบสิทธิ์การดำเนินการได้นั้น ได้สร้างช่องทางการโจมตีใหม่ที่อาชญากรไซเบอร์ยังคงพัฒนาและใช้ประโยชน์อย่างต่อเนื่อง ซึ่งถือเป็นข้อแลกเปลี่ยนด้านความปลอดภัยที่มาพร้อมกับความพยายามในการปรับปรุงประสบการณ์ผู้ใช้บนเครือข่าย Ethereum