ทุกวันนี้มันยิ่งยากขึ้นเรื่อยๆ ที่จะแสดงให้เห็นว่าคุณคือคุณจริงๆ ข้อสังเกตนี้ซึ่งกล่าวโดย Federico Variola ซีอีโอของ Phemex สะท้อนถึงความกังวลที่เพิ่มมากขึ้นในอุตสาหกรรมคริปโต ซึ่งปัญหานี้ไม่ใช่แค่เรื่อง smart contract หรือบั๊กในระบบเท่านั้น
ในระหว่างการพูดคุยบนเวทีเมื่อไม่นานมานี้ร่วมกับ Ian Rogers ประธานเจ้าหน้าที่ฝ่ายประสบการณ์ที่ Ledger และ Dmitry Budorin ผู้ร่วมก่อตั้งและซีอีโอของบริษัทไซเบอร์ซีเคียวริตี้ Hacken Variola ได้อธิบายถึงวิธีที่ภัยคุกคามด้านความปลอดภัยของคริปโตปรากฏออกมาในโลกจริง โดยเขาบอกว่า AI เปลี่ยนแปลงเครื่องมือ แต่จุดอ่อนก็ยังคงเป็นมนุษย์อยู่ดี ไม่ว่าจะเป็นวิธีที่ผู้คนสื่อสารกัน ตัดสินใจอย่างรวดเร็ว หรือเลือกว่าใครควรไว้วางใจ
ซึ่งเรื่องทั้งหมดนี้ย้อนกลับมาสู่พฤติกรรมประจำวัน ผ่านทั้งกระดานแลกเปลี่ยนและกระเป๋าเงินดิจิทัลมีความเข้าใจร่วมว่า นิสัยในชีวิตประจำวันมีผลต่อการเกิดเหตุการณ์ต่างๆ สำหรับ Federico Variola แล้ว สิ่งนี้สะท้อนโดยตรงถึงการออกแบบกระบวนการของกระดานแลกเปลี่ยน การเพิ่มอุปสรรคบางอย่าง ตลอดจนการจัดการวิธีที่แต่ละคนโต้ตอบกับกระเป๋าเงิน แพลตฟอร์มโซเชียล และอัตลักษณ์บนบล็อกเชน
มูลค่าเพิ่ม เป้าหมายใหญ่ขึ้น
ในช่วงต้นของการสนทนา Federico ได้ตอบคำถามหนึ่งที่ในวงการเฝ้าถามตัวเองอยู่เสมอว่า คริปโตแย่ลงในแง่ความปลอดภัยหรือในทางกลับกัน ผู้โจมตีเก่งขึ้นกันแน่
Sponsoredคุณคงพูดได้ว่าปีนี้เป็นปีที่แย่ที่สุดสำหรับอาชญากรรมไซเบอร์ และปีหน้าก็คงแย่ยิ่งกว่าเดิม ซึ่งไม่ใช่เพราะเราพลาดเรื่องความปลอดภัยมากขึ้นแต่เป็นเพราะมีมูลค่ามากขึ้น เมื่อคุณมีมูลค่ามากขึ้น ขนาดของรางวัลก็ใหญ่ขึ้น และเมื่อรางวัลใหญ่ขึ้น คุณก็ได้คนจำนวนมากที่พยายามจะขโมยมูลค่านั้น
เมื่อคริปโตเติบโตขึ้นแรงจูงใจสำหรับผู้โจมตีก็เพิ่มขึ้น Variola ระบุว่าสิ่งนี้ก่อให้เกิดความไม่สมดุลอย่างต่อเนื่อง โดยขีดความสามารถในการโจมตีเคลื่อนที่เร็วกว่าการป้องกันอยู่เสมอ โดยเฉพาะในช่วงตลาดกระทิง
ตอนนี้เราอยู่ในช่วงกลาง ๆ ที่ขีดความสามารถของผู้ร้ายเติบโตเร็วกว่าการป้องกัน และในทุกครั้งที่เกิดตลาดกระทิง จะมีคนที่มีเหตุผลมากมายอธิบายกับคุณว่าทำไมคุณควรลดขั้นตอนความปลอดภัย หรือไม่ต้องสนใจเรื่อง self-custody หรือทั้งสองอย่าง และท้ายที่สุดผลก็ออกมาคล้ายเดิมทุกครั้ง
Rogers ยกตัวอย่างง่ายๆ มาย้ำประเด็นนี้ว่า แม้แต่คนที่มีประสบการณ์สูงในแวดวงคริปโตซึ่งเกี่ยวข้องกับการพัฒนากระเป๋าเงินอย่างใกล้ชิดก็ยังเคยโดนลิงก์หลอกลวงผ่าน Discord หรือ browser wallet ได้เช่นกัน จุดประสงค์ของเขาก็คือ ประสบการณ์ช่วยได้ แต่ไม่ได้หมายความว่าจะไม่ต้องระมัดระวังตลอดเวลา
เมื่ออัตลักษณ์กลายเป็นจุดอ่อน
ขณะเดียวกัน Variola มองว่า สิ่งที่เปลี่ยนแปลงมากที่สุดอยู่ที่วิธีการโจมตี
ผู้โจมตีเหล่านี้มีเงินสนับสนุนอย่างดี บางรายเป็นหน่วยงานรัฐ และพวกเขาเคลื่อนไหวเร็วมากจนยากจะตามทัน และเครื่องมือที่พวกเราใช้กันอยู่ ไม่ว่าจะเป็น AI หรือระบบอัตโนมัติก็ต่างเป็นดาบสองคม เพราะถ้าเราทำได้ พวกเขาก็ทำได้เช่นกัน การโจมตีทางสังคมก็ยิ่งซับซ้อนมากขึ้น มีคนเอาภาพลักษณ์ของผมไปใช้ในวิดีโอคอลเพื่อพยายามหลอกนักลงทุนหรือคู่ค้าธุรกิจ
ทาง Ian Rogers ก็เห็นด้วยในแง่มุมของกระเป๋าเงินฮาร์ดแวร์ โดยเขาระบุว่าทุกวันนี้การโจมตีจำนวนมากกลายเป็นเรื่องจิตวิทยามากกว่าเทคโนโลยี ซึ่ง Variola ก็เห็นว่าสิ่งนี้ตรงกับสิ่งที่กระดานแลกเปลี่ยนพบในความเป็นจริงคือ การโน้มน้าวใจคนทำได้ง่ายกว่าการแฮกระบบ
Rogers เสริมระหว่างพูดคุยบนเวทีว่า ทุกคนต่างเสี่ยงที่จะตกเป็นเหยื่อ แม้แต่ในทีมที่อยู่กับคริปโตมาตลอด เพราะเมื่อมีทั้งความคุ้นเคย รีบเร่ง และรูปแบบการโจมตีที่ถูกออกแบบมาอย่างดี มักเพียงพอที่จะมองข้ามมาตรการความปลอดภัยที่ควรเข้มงวดได้
ความจริงของตลาดแลกเปลี่ยน: ระบบเย็น ระบบร้อน และมนุษย์
ในมุมมองจากฝั่งของแพลตฟอร์มซื้อขาย Federico ได้แยกแยะอย่างระมัดระวังระหว่างสิ่งที่รับประกันกับข้อสมมติฐาน
สิ่งที่พวกเรารับประกันกับผู้ใช้งานนั้นต้องไม่สามารถแตะต้องได้เลย และนั่นก็คือ cold wallet ซึ่งเป็นสิ่งที่ไม่สามารถต่อรองได้ ส่วน hot wallet โดยนิยามแล้วมีความเสี่ยงในตัวเองอยู่ เพราะมันออนไลน์อยู่ตลอดเวลา
แต่ในช่วงที่ตลาดมีการเคลื่อนไหวสูง ความเสี่ยงเหล่านั้นจะยิ่งเพิ่มขึ้น
Sponsored Sponsoredเมื่อเป็นช่วงขาขึ้นของตลาด ผู้ใช้งานคาดหวังว่า hot wallet จะต้องมีเหรียญเต็มตลอดเวลา พวกเขาทำธุรกรรมอย่างรวดเร็ว และมักจะมีจำนวนมาก โดยเฉพาะใน altcoins ความต้องการจากผู้ใช้งานจึงกดดันอย่างมาก
แรงกดดันนี้เองที่สร้างความตึงเครียด เพราะผู้ใช้งานแต่ละคนต้องการความรวดเร็วและความสะดวกสบาย อย่างไรก็ตามความปลอดภัยมักต้องการขั้นตอนที่ทำให้ช้าลง
คุณจำเป็นต้องเพิ่มชั้นของความยากในกระบวนการเพื่อปกป้องเงินทุนให้ปลอดภัย ไม่ว่าจะมีเสียงเรียกร้องจากผู้ใช้มากแค่ไหนก็ตาม ในบางครั้งสุดท้ายคุณเองก็ต้องต่อสู้กับความต้องการของผู้ใช้งานของคุณเองเล็กน้อย
นั่นเป็นความจริงที่น่าอึดอัดใจสำหรับแพลตฟอร์มซื้อขาย แต่ Federico เชื่อว่าไม่สามารถหลีกเลี่ยงได้ หากแต่ละแพลตฟอร์มต้องการปกป้องในระยะยาวมากกว่าความพึงพอใจระยะสั้น
ประสบการณ์สอนอะไรคุณ
ระหว่างอภิปราย Variola ได้กล่าวถึงเหตุการณ์ความปลอดภัยที่ Phemex ประสบเมื่อปีที่แล้วอย่างคร่าวๆ
หนึ่งในบทเรียนสำคัญสำหรับพวกเราคือการตระหนักว่าเราเป็นเป้าหมายที่ใหญ่กว่าที่คิดไว้มาก
แต่สิ่งสำคัญที่สุดคือเกี่ยวกับผู้คนโดยตรง
พวกเราประเมินต่ำไปว่าการโจมตีด้วยฟิชชิงและ social engineering นั้นมีอยู่ทั่วไปขนาดไหน และมันจะเริ่มจากระดับล่างสุดในโครงสร้างของคุณ เช่น เด็กฝึกงาน ดีไซเนอร์ หรือบุคคลที่ไม่คิดว่าตนมีบทบาทสำคัญต่อความปลอดภัย จากนั้นค่อยไต่ระดับขึ้นไปสู่ตำแหน่งที่สำคัญกว่า
Dmitry Budorin ได้ยกตัวอย่างเปรียบเทียบตรงๆเกี่ยวกับวิธีที่การโจมตีเหล่านี้ทำงาน ซึ่งเปรียบฟิชชิงเหมือนกับการตกปลา แม้ปลาจะไม่โง่พอจะตะครุบเหยื่อปลอม แต่เขาอธิบายว่าช่วงเวลาคลายระวังหรือเสียสมาธิก็มักเพียงพอให้ผู้โจมตีประสบความสำเร็จ ดังนั้นสิ่งที่น่ากลัวคือความหลีกเลี่ยงไม่ได้
Sponsoredแนวคิดนี้สอดคล้องอย่างใกล้ชิดกับแนวทางของ Variola ในการดูแลเรื่องความปลอดภัย
มันยังไม่เพียงพอหากมีแค่วิศวกรหรือผู้บริหารที่ระมัดระวัง ทุกคนในองค์กรจะต้องเข้าใจความเสี่ยงที่ตนเองเผชิญ แม้กระทั่งเด็กฝึกงานระดับล่างสุดก็ต้องมีความตระหนักต่อสถานการณ์อย่างเต็มที่
Budorin ได้กล่าวต่อไปว่า ในหลายกรณีเป้าหมายหลักอาจไม่ใช่พนักงานระดับต้นเลย แต่เป็น CEO แทน เพราะทั้งบุคคลสาธารณะ ผู้ก่อตั้ง และผู้บริหารนั้นมักตกเป็นเป้าโดยตรงจากการที่พวกเขาได้รับการมองเห็นและมีอำนาจภายในอุตสาหกรรม
หลังจากเหตุการณ์นั้น Phemex ได้เพิ่มมาตรการความปลอดภัยในทุกขั้นตอน แต่อย่างไรก็ตาม การเปลี่ยนแปลงที่ยิ่งใหญ่จริงๆ อยู่ภายในองค์กร
เลเยอร์โซเชียลกับเลเยอร์การเงินไม่ควรรวมกัน
วงการคริปโตเป็นอุตสาหกรรมที่มีลักษณะทางสังคมสูง ทั้ง NFT, โซเชียลมีเดีย, Telegram – แพลตฟอร์มเหล่านี้ทั้งหมดกลายเป็นเป้าหมายของผู้โจมตี
Federico Variola วิจารณ์อย่างหนักเกี่ยวกับการที่ผู้คนมักดำเนินการที่สำคัญในสภาพแวดล้อมที่ไม่เคยถูกออกแบบมาเพื่อความปลอดภัย
โดยเฉพาะ Telegram เป็นหนึ่งในแพลตฟอร์มที่ถูกบริหารจัดการด้านความปลอดภัยได้แย่ที่สุด แต่กลับกลายเป็นมาตรฐานในการสื่อสารของวงการนี้
นอกจากนี้เขายังรู้สึกไม่สบายใจกับแนวโน้มที่เพิ่มขึ้นเกี่ยวกับการติดตามกระเป๋าเงินและการเปิดเผยตัวตนในที่สาธารณะ
Sponsored Sponsoredดิฉันไม่ชอบแนวโน้มของการติดตามกระเป๋าเงินไปยังบุคคลเฉพาะ มันขัดกับเจตนารมณ์ของคริปโตอย่างมาก อย่างไรก็ตามความจริงที่เกิดขึ้นคือ ยิ่งคุณประสบความสำเร็จมากเท่าไรในวงการนี้ คุณก็ยิ่งตกเป็นเป้าหมายมากขึ้นเท่านั้น ดังนั้นคุณก็ต้องทุ่มทรัพยากรเพื่อปกป้องตัวเองให้มากขึ้นด้วย
การกระจายศูนย์เปลี่ยนแปลงเศรษฐศาสตร์ของการโจมตี
เมื่อมองไปข้างหน้า Variola มองว่าการกระจายอำนาจและการดูแลทรัพย์สินด้วยตัวเองจะเป็นส่วนหนึ่งของการเปลี่ยนแปลงที่กว้างขึ้นในด้านความปลอดภัยของคริปโต
เมื่อการกระจายอำนาจกลายเป็นมาตรฐานมากขึ้น เราก็กระจายภาระของความปลอดภัยไปยังจุดที่มีโอกาสล้มเหลวเพิ่มขึ้น แฮกเกอร์จะต้องโจมตีทีละบุคคล แทนที่จะมุ่งเป้าไปที่จุดเดียวที่เป็นจุดอ่อนของระบบ
อย่างไรก็ดี นั่นไม่ได้ทำให้ความเสี่ยงหายไปเลย แต่มันกลับเป็นเพียงการกระจายความเสี่ยงเท่านั้น
DEXs และแพลตฟอร์มแบบกระจายศูนย์มีความท้าทายในตัวเอง กฎคือโค้ด เราหยุดเชนไม่ได้ จะมีความเสี่ยงใหม่เกิดขึ้น แต่โดยรวมแล้ว ดิฉันคิดว่าสิ่งนี้เป็นผลลัพธ์เชิงบวกต่อวงการ
สำหรับตลาดซื้อขายแลกเปลี่ยน ก็หมายถึงการต้องปรับตัว ไม่ใช่การต่อต้าน
แพลตฟอร์มศูนย์กลางจะไม่หายไปไหน แต่เราต้องพัฒนาแบบก้าวต่อไป โมเดลความปลอดภัยจะต้องเปลี่ยนแปลงไปพร้อมกับพฤติกรรมของผู้ใช้ด้วย
คริปโตไหนจะยังคงต่อสู้อยู่ในอีกห้าปีข้างหน้า
เมื่อมองต่อไปข้างหน้า Federico Variola ไม่ได้มองว่าความท้าทายนี้เป็นสิ่งที่วงการคริปโตจะแค่ แก้ไข แล้วเดินต่อไป
AI จะกลายเป็นความท้าทายที่ใหญ่ที่สุด เขากล่าว ในอนาคต ควอนตัมคอมพิวติ้งก็จะเพิ่มชั้นความเสี่ยงขึ้นมาอีก
เมื่อถูกถามว่า AI จะช่วยฝ่ายป้องกันได้เท่ากับผู้โจมตีหรือไม่ คำตอบของเขาก็ตรงไปตรงมา คือ น่าเสียดายที่ดิฉันคิดว่ามันช่วยผู้โจมตีได้มากกว่าทำให้คนปลอดภัย
Variola มองว่ายุคนี้เป็นช่วงที่วงการก้าวสู่วุฒิภาวะ เพราะคริปโตรวมผู้เชี่ยวชาญด้านเทคนิคชั้นยอด ซึ่งความปลอดภัยเริ่มกลายเป็นส่วนหนึ่งในการดำเนินงานและการสื่อสารประจำวันของบริษัทต่างๆ ในระบบที่สร้างมาเพื่อลดการพึ่งพาความไว้วางใจ ตอนนี้จึงต้องหันมาใส่ใจว่าความไว้วางใจยังอยู่ตรงไหน และจัดการมันอย่างรอบคอบ
