รายงานล่าสุดโดย Kerberus บริษัทด้านความปลอดภัยของ Web3 ชี้ว่าพฤติกรรมมนุษย์กลายเป็นความเสี่ยงหลักใน Web3 ขณะนี้
BeInCrypto ได้พูดคุยกับ CEO ของบริษัท คือ Alex Katz และ CTO, Danor Cohen เพื่อเข้าใจว่าทำไมผู้ใช้ยังคงตกเป็นเหยื่อของการโจมตีและพวกเขาจะทำอย่างไรเพื่อปกป้องตนเองให้ดียิ่งขึ้น
Sponsoredเคอร์บีรัสรายงานว่าความผิดพลาดของมนุษย์ทำให้เกิดการสูญเสียสำคัญในเว็บ3
ในรายงานล่าสุดที่ชื่อว่า “The Human Factor – Real-Time Protection Is the Unsung Layer of Web3 Cybersecurity (2025)” Kerberus เปิดเผยว่าการโจมตีที่เน้นมนุษย์เป็นอันตรายต่อโครงสร้างใน Web3 มากที่สุด
รายงานนี้อ้างอิงข้อมูลที่แสดงให้เห็นว่า การสูญเสียในอุตสาหกรรมส่วนใหญ่เกิดจากความผิดพลาดของผู้ใช้ โดยประมาณ 44% ของการขโมยคริปโตในปี 2024 เกิดจากการจัดการกุญแจส่วนตัวผิดพลาด อีกการวิจัยชี้ว่า ความผิดพลาดของมนุษย์มีส่วนเกี่ยวข้องในประมาณ 60% ของการละเมิดความปลอดภัย
ด้วยกระเป๋าเงินที่ใช้งานอยู่ 820 ล้านใบในปี 2025 ภัยคุกคามกำลังขยายตัวอย่างรวดเร็วและทุกคนยังคง มีความเสี่ยง Katz บอกกับ BeInCrypto ว่าผู้ไม่หวังดีจะหมายตาทั้งผู้มาใหม่และผู้ใช้ที่มีประสบการณ์ แต่ด้วยเหตุผลที่แตกต่างกัน
ผู้ใช้ใหม่เป็นเป้าหมายที่น่าสนใจเพราะพวกเขายังไม่เข้าใจว่าพฤติกรรม ‘ปกติ’ ของ Web3 นั้นเป็นอย่างไร เขากล่าว
ที่น่าสนใจคือ ผู้บริหารระบุว่าผู้ใช้ที่ใช้งานมายาวนานกำลังกลายเป็นเป้าหมายที่มีมูลค่าสูงกว่าผู้ที่เพิ่งเข้ามาใหม่ เขากล่าวว่า
ผู้ใช้ที่มีประสบการณ์สัมพันธ์กับ dApps มากกว่า ลงนามธุรกรรมมากขึ้น และเคลื่อนย้ายเงินจำนวนมากขึ้น หมายความว่าช่วงเวลาของความเผลอเล็กๆ อาจทำความเสียหายมากขึ้น ดังนั้นกลุ่มที่เสี่ยงที่สุดในวันนี้คือผู้ที่คิดว่าตนเองไม่ได้เสี่ยง เขากล่าว
Cohen เสริมว่า หนึ่งในความเข้าใจผิดใหญ่ใน Web3 คือความเชื่อที่ว่าความล้มเหลวด้านความปลอดภัยเกิดจากการที่ผู้ใช้ไม่เข้าใจเทคโนโลยี แต่การวิเคราะห์ของเขาชี้ไปในทิศทางตรงกันข้าม ผู้คนถูกแฮ็กเพราะระบบสร้างภาระที่ไม่สมเหตุสมผลให้พวกเขา
Sponsored Sponsoredผู้ใช้คิดว่า ฉันเก่งเกินกว่าที่จะถูกรีดออกไป ฉันรู้วิธีการทำงานของกระเป๋า – ฉันปลอดภัย แต่ภูมิทัศน์ของภัยคุกคามเปลี่ยนเร็วกว่า ผู้โจมตีไม่ได้พยายามแย่งบัญชีผู้ใช้ แต่พวกเขาพยายามแย่งพวกคุณ และพวกเขาเก่งในเรื่องนี้มาก สิ่งที่ผู้คนเข้าใจผิดคือ Web3 วางภาระทางความคิดอย่างมากต่อบุคคล ผู้ใช้ไม่ควรต้องถอดสัญญาณทางเทคนิคเพื่ออยู่ให้ปลอดภัย – ความปลอดภัยต้องทำงานให้พวกเขาโดยอัตโนมัติเขาพูด
ทำไมผู้ใช้ Web3 ที่ฉลาดยังคงถูกโกงในปี 2025
แม้จะมีการใช้จ่ายในการรักษาความปลอดภัยเป็นประวัติการณ์ในปี 2025 แต่ความเสี่ยงที่เกิดจากมนุษย์ยังคงอยู่ รายงานของ Kerberus ระบุว่า บริการที่เกี่ยวข้องกับคริปโตและนักลงทุน สูญเสียมากกว่า 3.1 พันล้าน USD จากการแฮ็กและการหลอกลวงในครึ่งแรกของปี ซึ่งมากกว่าในปี 2024 ทั้งปีแล้ว
ตัวเลขนี้รวมถึง การละเมิดที่มีประวัติยาวนานของ Bybit ไม่รวมถึงการโจมตีที่มุ่งเป้าไปที่คน เช่น phishing และ social engineering ซึ่งยังคงมีมูลค่าอยู่ที่ 600 ล้าน USD คิดเป็น 37% ของการสูญเสียที่เหลืออยู่ 1.64 พันล้าน USD
รายงานได้ระบุว่า การโจมตีเหล่านี้มีขนาดเพิ่มขึ้นตามการใช้ที่เพิ่มขึ้นและเลี่ยงการป้องกันทางเทคนิคทั้งหมด ซึ่งทำให้ยากต่อการป้องกันด้วยโมเดลความปลอดภัยแบบดั้งเดิม
ในขณะที่บริษัทต่างๆ ลงทุนอย่างหนักในการตรวจสอบ การเฝ้าระวัง และการตรวจทานโค้ด ผู้โจมตีกลับหันมาใส่ใจในส่วนของผู้ใช้อย่างใกล้ชิดในระดับการทำธุรกรรม แต่ทำไมมนุษย์จึงมีความเปราะบางต่อการโจมตีเหล่านี้?
Sponsoredมนุษย์มีความเปราะบางเพราะทุกการหลอกลวงถูกออกแบบมาเพื่อเอื้อประโยชน์จากทางลัดทางจิตวิทยาธรรมชาติ – ความเร่งด่วน อำนาจ ความคุ้นเคย ความกลัวการพลาดสิ่งสำคัญ หรือความสบายในการทำสิ่งที่คุ้นเคย นี่ไม่ใช่ข้อบกพร่อง แต่เป็นสัญชาตญาณที่ทำให้เราสามารถทำงานได้ในชีวิตประจำวัน เทคโนโลยีเพียงลำพังไม่สามารถเปลี่ยนแปลงจิตวิทยามนุษย์ได้ แต่สามารถจับช่วงเวลาที่จิตวิทยาถูกใช้เป็นอาวุธได้ Cohen อธิบายไว้
เขาเน้นย้ำว่ารูปแบบการป้องกันที่แข็งแกร่งที่สุดคือไม่พึ่งพาผู้ใช้ในการหลีกเลี่ยงความผิดพลาดผ่านการศึกษาเพียงอย่างเดียว แต่หยุดการกระทำที่ไม่พึงประสงค์ในเวลาจริงก่อนที่ความเสียหายจะเกิดขึ้น
นั่นคือเหตุผลที่การตรวจจับในเวลาจริงมีความสำคัญมาก หากคุณสามารถเตือนผู้ใช้ได้ในช่วงเวลาที่ความเชื่อถือของพวกเขาถูกทำร้าย คุณสามารถหยุดการสูญเสียส่วนใหญ่ได้ก่อนที่จะเกิดขึ้น Cohen กล่าวเสริม
ผู้บริหารยังชี้ให้เห็นว่าเป็นไปไม่ได้ที่จะคาดหวังให้ผู้ใช้ทั่วไปแยกแยะ ระหว่าง dApp ที่เป็นอันตราย แจกเหรียญฟรี หรือหน้า mint แพลตฟอร์มที่ฉ้อโกงสมัยใหม่มักจะเหมือนกับของจริงมาก ทำให้ไม่สามารถแยกแยะได้ง่าย
เขาเสริมว่าผู้ใช้อาจคลิกลิงก์ phishing ซ้ำๆ ไม่ใช่เพราะความประมาท แต่เพราะการโจมตีถูกออกแบบมาให้หลอกลวง
แม้แต่การเตือนในเวลาจริงยังอาจดูเหมือนเป็นการแจ้งเตือนที่ผิดพลาด ซึ่งเน้นถึงความซับซ้อนของการหลอกลวงเหล่านี้
Sponsored Sponsoredผู้ใช้ไม่ควรถูกคาดหวังให้ทำการตรวจสอบทางนิติวิทยาศาสตร์ ภาระงานควรเปลี่ยนไปสู่เครื่องมือที่วิเคราะห์เจตนาและพฤติกรรมในเวลาจริง Cohen เสนอแนะ
รายงานยังระบุว่าการโจมตีเหล่านี้ใช้ประโยชน์จากช่วงเวลาที่ผู้ใช้ไม่สามารถประเมินภัยคุกคามได้ดีที่สุด อาจเกิดขึ้นเมื่อมีคนตรวจสอบกระเป๋าเงินขณะถูกรบกวนที่ทำงาน ตอบสนองต่อข้อความเร่งด่วนที่บอกว่าบัญชีของพวกเขาจะถูกระงับ หรืออนุมัติการทำธุรกรรมเมื่อหมดวันยาวที่พวกเขารู้สึกเหนื่อยล้า
จากการค้นพบภาคธุรกิจได้ตอบสนองโดยเพิ่มการเตือนและขั้นตอนการตรวจสอบเพิ่มเติม แต่วิธีนี้มักจะย้อนกลับเนื่องจาก “ความอ่อนล้าด้านความปลอดภัย” เมื่อผู้ใช้คุ้นเคยกับการเตือนตลอดเวลาที่หลายครั้งเป็นการแจ้งเตือนที่ผิดพลาดซึ่งเพียงแค่ทำให้พวกเขาช้าลง ความสามารถในการตัดสินใจอย่างระมัดระวังของพวกเขาจะลดลงภายใต้ความกดดันทางจิตใจอย่างต่อเนื่อง
3 วิธีที่ผู้ใช้สามารถทำเพื่อความปลอดภัยใน Web3
เพื่อที่จะลดการสูญเสียในโลกจริง Katz ได้เปิดเผยสามวิธีที่ผู้ใช้สามารถนำมาใช้ เขาแนะนำให้ผู้ใช้:
- หยุดคิดก่อนเซ็น: การถูกเจาะระบบส่วนใหญ่เกิดขึ้นภายในสิบวินาที การหยุดเพียงสักครู่เพื่ออ่านคำสั่งหรือยืนยันว่าคำขอตรงกับสิ่งที่ตั้งใจจะทำสามารถป้องกันการโจมตีที่สำเร็จได้มาก
- แยกสินทรัพย์มูลค่าสูงจากกิจกรรมประจำวัน: การใช้หลายกระเป๋าสตางค์เป็นหนึ่งในวิธีป้องกันที่มีประสิทธิภาพ เขาแนะนำว่าผู้ใช้น่าจะเก็บสินทรัพย์ระยะยาวในกระเป๋าสตางค์เย็นหรือกระเป๋าที่ใช้น้อย และใช้กระเป๋าสตางค์แยกเฉพาะสำหรับการสำรวจ, mint, และ dApps การแบ่งแยกนี้จะจำกัดความเสียหายที่อาจเกิดขึ้น
- พึ่งพาการป้องกันธุรกรรมแบบเรียลไทม์: เนื่องจากภัยคุมคามหลายอย่างเกี่ยวข้องกับวิศวกรรมสังคมมากกว่าการแฮ็กทางเทคนิค ผู้ใช้จะได้รับประโยชน์จากเครื่องมือที่ตีความการทำธุรกรรมบนเครือข่ายบล็อกเชนก่อนที่จะเสร็จสิ้น ซึ่งชั้นป้องกันเดียวนี้สามารถบล็อกการหลอกลวงขั้นสูงได้มากมาย
เขาย้ำว่าจุดประสงค์ไม่ใช่การเปลี่ยนผู้ใช้ให้เป็นผู้เชี่ยวชาญด้านความปลอดภัย แต่เพื่อสร้างเกราะป้องกันไม่ให้ข้อผิดพลาดกลายเป็นการสูญเสียทางการเงิน
