ในโลกคริปโตนั้น ทุกคนก็เคยต้องใช้งาน DeFi และ Dapps ต่างๆ หรือกระทั่งการเข้าซื้อเหรียญมีมซึ่งเต็มไปด้วยความเสี่ยงทางด้านเทคนิคหรือ Technical Risk ทั้งด้านการ approve smart contract หรือความเสี่ยง rugpull โดยหลายๆคนก็คงเคยเจอเหตุการณ์ต่างๆที่ทำให้สูญเงินได้เรามาดูหลายๆตัวอย่างกันครับ
Rugpull เรียกว่าเป็น scam อันดับต้นๆที่พบได้มากที่สุดในกลุ่มคนเล่นคริปโต โดยเน้นไปที่ตัวเหรียญออกใหม่ที่อาจจะหากินกับกระแสชั่วคราว โดยความหมายสั้นๆนั้น Rugpull คือการที่เจ้าของเหรียญหรือโปรเจกต์นั้นๆได้มีการดึงสภาพคล่องหรือเทขายเหรียญหลังจากที่ได้มีการปั่นกระแสเหรียญแล้ว ดังตัวอย่างด้านล่างนี้
ช่วงกระแสที่ซีรีส์ Squid Game ใน Netflix นั้นมาแรงมากๆ ก็ได้มีคนออกเหรียญ $SQUID ออกมาและได้มีคนให้ความสนใจลงทุนอย่างมากส่งผลให้ราคาเหรียญพุ่งขึ้นไม่หยุดจนในที่สุดเจ้าของเหรียญนั้นก็ได้ดึงสภาพคล่องของเหรียญออกไปสร้างความสูญเสียให้กับผู้ที่มาลงทุนเป็นอย่างมาก
จากตัวอย่างเหรียญ $SQUID ข้างต้นนั้น นอกจากจะเป็นโปรเจกต์ที่ rugpull นักลงทุนแล้วยังเป็น Smart contract ที่เรียกว่า honeypot อีกด้วย โดยหลักๆแล้วข้อสังเกตเหรียญที่มีลักษณะ honeypot จะมีกราฟเป็นแท่งเขียวติดต่อกันดังเช่นวงกลมสีแดงในภาพ หลายๆคนคงคิดว่า “เห้ยเหรียญนี้มัน Up only มีแต่คนถือไม่มีใครขายเลยเหรียญดีแน่ๆ” แต่จริงๆแล้วการที่ไม่มีคนขายนั้นหลักๆเป็นเพราะมิจฉาชีพได้เขียนตัว Smart contract มาให้ผู้ที่ซื้อเหรียญนั้นไม่สามารถขายได้นั่นเอง กราฟจึงได้เป็นรูปเขียวๆขึ้นไปจนเกิดการ Rugpull ในที่สุด
นอกจาก 2 ตัวอย่างด้านบนที่พบเจอได้บ่อยๆแล้วยังมีรูปแบบการดัดแปลง Smart Contract ให้การขายเหรียญนั้นเสีย fee 100% เท่ากับว่าคนที่ซื้อเหรียญแล้วก็ไม่สามารถ take profit ได้หรือแม้กระทั่ง Honeypot รูปแบบใหม่ที่ไม่สามารถดูความผิดปกติได้จากกราฟ แต่จะเริ่มต้นเป็น Honeypot ก็ต่อเมื่อผ่าน condition บางอย่างเช่น market cap ของตัวเหรียญมีมูลค่าเกิน $100k เป็นต้น
การเข้าซื้อเหรียญใหม่ๆที่ออกมาตามกระแสนั้นมีความเสี่ยงอย่างมาก เนื่องจากว่าตัวของ smart contract นั้นก็ไม่ได้ผ่านการตรวจสอบ (Unverified Contract) ซึ่งเป็นช่องโหว่สำคัญให้มิจฉาชีพนั้นขโมยเงินจากผู้ลงทุนได้ การป้องกันจากการสูญเสียเงินในด้านนี้คือการไม่ซื้อเหรียญที่ตามกระแสหรือเป็นเหรียญที่ไม่ได้ผ่านการตรวจสอบจากคนอื่นมาก่อนแล้ว (Audited)
ความเสี่ยงด้านนี้นั้นหลักๆแล้วเป็นความเสี่ยงที่มาจากตัว User นั้นได้ทำการ approve contract หรือ sign contract บางอย่างที่ไม่ได้ผ่านการตรวจสอบมาก่อนทำให้มีความเสี่ยงในการสูญเสียเงิน ซึ่งความเสี่ยงด้านนี้จะแตกต่างกับ rugpull และ honeypot ตรงที่มี tool ที่สามารถช่วยกรอง contract ให้เราได้ โดยมีตัวอย่างคร่าวๆดังนี้
บางครั้งแล้วการที่เรา Approve Contract ที่เพิ่ม Allowance การใช้ Token ของเราแบบที่เราไม่ได้สังเกตก็อาจจะทำให้เกิดช่องโหว่ที่ทำให้มิจฉาชีพนั้นดึงเงินออกจากกระเป๋าเราไปได้
source: CoinTelegraph
ตัวอย่างด้านบนนี้เป็นเหตุการณ์ที่เกิดขึ้นเมื่อไม่นานมานี้ คือการที่มีผู้ใช้คนนึงได้ไป Approve Contract ของมิจฉาชีพผ่านการโดน Phishing ซึ่ง Contract ดังกล่าวเปิดให้มิจฉาชีพเข้าถึงเหรียญทั้งหมดในกระเป๋าและสามารถโอนออกไปได้ในที่สุด
Proxy Contract คือ Smart contract ที่สามารถ upgrade ได้โดยการสร้าง Smart contract ใหม่ แล้วตัว Proxy จะ trigger smart contract ตัวนั้นโดยไม่จำเป็นต้อง deploy contract ตัวเดิมซ้ำลงบน blockchain โดยส่วนใหญ่แล้วการทำ Proxy Contract นั้นเหตุผลหลักคือเปิดช่องให้ผู้พัฒนาสามารถ Upgrade หรือปรับเปลี่ยน Contract ได้ผ่านการเชื่อมกับ smart contract อื่นๆ ซึ่งนี่เป็นช่องโหว่ที่มิจฉาชีพใช้โดยหลังจากที่โปรเจกต์มีผู้ลงทุนเข้ามามิจฉาชีพก็อาจจะแก้ไขให้ proxy เชื่อมไปยัง contract scam และสร้างช่องโหว่ที่สามารถขโมยเงินนักลงทุนไปได้
ในการตรวจสอบ Transaction นั้นมีตอนนี้ได้มีตัวช่วยที่จะมาตรวจสอบให้พวกเราปลอดภัยมากขึ้นคือ browser extension ที่แนะนำต่อไปนี้ครับ
– Pocket Universe (@PocketUniverseZ)
เป็น Extension ที่จะช่วยตรวจสอบ Transaction ให้เรา โดยจะแสดงผล Transaction ของเราขึ้นมาว่าในการ approve transaction ต่อไปนี้เกิดอะไรขึ้นบ้างและ Token ที่เราจะซื้อนั้นมีความเสี่ยงอย่างไรบ้าง เป็นตัวกรองที่จะช่วยเตือนสติไม่ให้เราถูกโกงนั่นเอง
ในตอนนี้ PocketUniverse รองรับทั้งหมด 6 เชนประกอบไปด้วย Ethereum, Polygon, Optimism, Arbitrum, Binance Smart Chain และ Base
– JoinFire (@_joinfire)
เช่นเดียวกับ PocketUniverseZ ตัว joinfire ก็จะช่วยกรองธุรกรรมให้เราโดยการแสดงผลว่าธุรกรรมนั้นรายละเอียดเป็นอย่างไรและส่งผลอย่างไรบ้างต่อกระเป๋าของเรา
ปัจจุบันนี้ JoinFire รองรับอยู่บน Ethereum, Polygon, Optimism และ Arbitrum Chain
นอกจากนี้ยังมี extension อื่นๆอีก เช่น Revoke.cash ซึ่งสามารถเลือกใช้งานได้ตามสะดวกเลยครับ
คือความเสี่ยงที่เกิดจากการฝากเหรียญไว้ใน Entity อื่นหรือ 3rd Party เช่นใน Exchange ต่างๆซึ่งในกรณีที่ Entity เหล่านั้นล่มลงหรือเกิดการล้มละลายก็จะทำให้เงินที่เราฝากไว้นั้นหายตามไปด้วยกันเช่นในกรณีของ FTX นั่นเอง อยากแนะนำว่าเป็นไปได้ให้เก็บเหรียญต่างๆไว้ใน hardware wallet ครับผมเพื่อเป็นการเพิ่มความปลอดภัยทั้งด้าน technical risk และช่วยเรื่อง custody risk อีกด้วยครับ
– ระวังการเล่นเหรียญออกใหม่หรือเหรียญตามกระแสเพราะส่วนใหญ่แล้วเป็น Scam
– ก่อนที่จะ Approve Contract ต่างๆ ใน dApps ควรตรวจเช็ค URL ว่าถูกต้องและทางที่ดีให้ Extension ต่างๆช่วยตรวจสอบ
– ใช้ Hardware Wallet ในการเก็บสินทรัพย์เพื่อป้องกันความเสี่ยงด้าน Custody และควรใช้ควบคู่กับ Extension ต่างๆ เพื่อช่วยป้องกันความเสี่ยงด้านการทำธุรกรรม
นี่ก็เป็นตัวอย่างคร่าวๆเกี่ยวกับความเสี่ยงด้าน Technical หรือ Smart Contract ที่พบเจอได้ในโลก web3 นั่นเองครับ อยู่ในโลกคริปโตต้องมีสติเสมอไม่งั้นอาจจะตกเป็นเป้าของมิจฉาชีพได้ง่ายๆเลย
ขอให้ทุกท่านเดินทางในโลก web3 อย่างปลอดภัย และสามารถดูข้อมูลความเสี่ยงของ User ได้เพิ่มเติมเรื่อง Phishing ได้ ที่นี่
