ในปี 2024 มูลค่าสินทรัพย์ดิจิทัลที่ถูกขโมยจากการโจมตีทางไซเบอร์ทั่วโลกสูงถึงกว่า 2.2 พันล้านดอลลาร์สหรัฐ และที่น่าสนใจกว่านั้นคือหลายกรณีไม่ได้เกิดจากการที่ Exchange ถูก Hack โดยตรง แต่เกิดจากความประมาทของผู้ใช้งานเอง เนื่องจาก Cryptocurrency นั้นไม่สามารถย้อนธุรกรรมได้ Exchange จึงตกเป็นเป้าเสมอๆ

บทความนี้จะพาคุณรู้จักทุกจุดอ่อนที่นักลงทุนมักมองข้าม ตั้งแต่การเลือก Exchange ที่ปลอดภัย ไปจนถึงการป้องกัน Account ของตัวเองไม่ให้ตกเป็นเป้าหมาย

🌐 อ้างอิง: Chainalysis Crypto Crime Report 2024

Exchange คืออะไร? มาจากไหน?

Exchange หรือกระดานแลกเปลี่ยนสินทรัพย์ดิจิทัล คือแพลตฟอร์มที่ทำหน้าที่เป็นตัวกลางในการซื้อขาย Bitcoin และ Cryptocurrency โดยทำงานคล้ายกับตลาดหุ้นทั่วไป คือมีผู้ซื้อและผู้ขายมาเจอกัน และ Exchange ทำหน้าที่จับคู่ธุรกรรมและดูแลสินทรัพย์ให้

จากยุค Mt.Gox สู่ Exchange สมัยใหม่

Exchange แห่งแรกของโลกที่ได้รับความนิยมอย่างแพร่หลายคือ Mt.Gox ซึ่งเปิดตัวในปี 2010 และในช่วงปี 2013 นั้นรองรับการซื้อขาย Bitcoin มากกว่า 70% ของปริมาณทั้งโลก แต่แล้วในปี 2014 Mt.Gox ก็ถูก Hack และสูญเสีย Bitcoin ไปกว่า 850,000 BTC ซึ่งเป็นเหตุการณ์ที่เปลี่ยนวงการ Crypto ไปตลอดกาล

นับจากวันนั้นมา Exchange รุ่นใหม่ได้พัฒนาระบบรักษาความปลอดภัยขึ้นมาอย่างมาก ทั้งการแยก Hot Wallet และ Cold Wallet การทำ Proof of Reserve และการขอใบอนุญาตจากหน่วยงานกำกับดูแลในแต่ละประเทศ ทำให้ในปัจจุบัน Exchange มีความปลอดภัยขึ้นมาก แต่การพบเห็นข่าวการ Hack Exchange ก็ไม่ใช่อะไรที่แปลกอยู่ดี 

🌐 อ่านเพิ่มเติม: Mt.Gox Hack — What Really Happened (Investopedia)

Exchange ทำงานอย่างไร?

เมื่อคุณโอนเงินบาทหรือ Cryptocurrency เข้า Exchange สิ่งที่เกิดขึ้นคือ Exchange จะเก็บสินทรัพย์นั้นไว้ในระบบของตัวเอง และออก Credit ให้คุณในระบบแทน เมื่อคุณสั่งซื้อหรือขาย Exchange จะจับคู่คำสั่งของคุณกับผู้ใช้งานคนอื่นและอัปเดตยอดใน Account โดยอัตโนมัติ

สิ่งที่ต้องเข้าใจคือในระหว่างที่สินทรัพย์อยู่บน Exchange คุณไม่ได้ถือ Private Key เอง Exchange เป็นผู้ดูแลแทน คล้ายกับบัญชีเงินฝากธนาคารที่ธนาคารก็ดูแลแทนคุณ ซึ่งนำไปสู่คำถามสำคัญที่จะอธิบายในส่วนถัดไปว่า ปลอดภัยแค่ไหน?

อ่านเพิ่มเติม: Wallet คืออะไร? และทำไม Private Key ถึงสำคัญ
 

เลือก Exchange ยังไงให้ปลอดภัย?

การเลือก Exchange ที่ถูกต้องตั้งแต่แรกคือการป้องกันความเสี่ยงที่ดีที่สุด เพราะถ้าเลือกผิดตั้งแต่ต้น ระบบรักษาความปลอดภัยที่ดีแค่ไหนก็ไม่ช่วยได้

Exchange ไทย vs Exchange นอก ต่างกันอย่างไร?

สิ่งที่แตกต่างกันมากที่สุดไม่ใช่เรื่องเทคโนโลยี แต่คือเรื่อง การคุ้มครองทางกฎหมาย ครับ

Exchange ไทยที่ได้รับใบอนุญาต กลต.

Exchange ไทยที่ได้รับใบอนุญาตจาก สำนักงาน ก.ล.ต. นั้นต้องปฏิบัติตามกฎเกณฑ์ที่เข้มงวด เช่น แยกบัญชีสินทรัพย์ของลูกค้าออกจากสินทรัพย์ของบริษัท ห้ามนำสินทรัพย์ของลูกค้าไปปล่อยกู้ต่อเหมือนธนาคาร และต้องมีระบบบริหารความเสี่ยงที่ชัดเจน

ข้อดีที่สำคัญคือถ้าเกิดปัญหาขึ้น คุณมีสิทธิ์ร้องเรียนและเรียกร้องความเป็นธรรมผ่านกระบวนการทางกฎหมายไทยได้

🌐 ตรวจสอบรายชื่อ Exchange ที่ได้รับใบอนุญาตได้ที่: สำนักงาน ก.ล.ต.

Global Exchange ที่ไม่มีใบอนุญาตไทย

Global Exchange อย่าง Binance, OKX, Bybit นั้นได้รับความนิยมสูงมากในหมู่นักลงทุนไทย เพราะมีเหรียญให้เลือกมากกว่า มี Tool การเทรดที่ครบกว่า และมีสภาพคล่องสูงกว่า แต่สิ่งที่ต้องยอมรับคือถ้าเกิดปัญหาขึ้น คุณแทบไม่มีช่องทางเรียกร้องทางกฎหมายไทยได้เลย

Exchange ไทยไม่ปลอดภัยหรือเปล่าขนาด Zipmex ยังไม่โดนอะไร?

เรื่องราวของ Zipmex นั้นเป็นคำถามที่พบบ่อยมากเมื่อพูดถึง Exchange ไทย ซึ่งก็เป็าตราบาปของวงการสินทรัพย์ดิจิทัลและ กลต. ซึ่งทางผู้เขียนก็ได้ยินบ่อยๆเช่นกัน

อย่างไรก็ตามใจมุมมองของผู้เขียนแล้วก็ต้องบอกตามตรงว่าในเคสของ zipmex นั้นตัวกระเป๋า zipup ที่มี ดอกเบี้ยนั้นไม่ถือเป็นธุรกิจที่ได้รับใบอนุญาติจึงไม่มีการตรวจสอบจาก กลต. แต่อย่างใด (แต่แน่นอนว่า กลต. ก็ไม่สามารถปฎิเสธว่าไม่รู้ได้)

ซึ่งในตัวกระเป๋า Sport wallet ที่ใช้ในการซื้อขายทั่วไปนั้น เหรียญทั้งหมดปลอดภัยดี ซึ่งเป็นส่วนที่อยู่ในการตรวจสอบจาก กลต. และจากการศึกษาของผู้เขียนแล้ว ผู้เขียนค่อนข้างให้คะแนนความปลอดภัยในแง่การเก็บรักษาของ Exchange ในประเทศมากกว่า Exchange Global 

สาเหตุคือแม้ว่า Exchange ต่างประเทศจะมีระบบการดูแลมากมายแค่ไหน แต่ปัญหาคือผู้ที่มาตรวจสอบนั้นอาจจะมีปัญหาความน่าเชื่อถือ เหมือนการที่เด็กทำการบ้านมาดีหรือไม่เราก็ไม่รู้เพราะเราไม่แน่ใจว่าครูที่ตรวจการบ้านน่าเชื่อถือแค่ไหน

อย่างไรก็ตามมันก็ไม่ได้แปลว่า Exchange Global ทั้งหมดไม่ปลอดภัยและอย่างไรก็ตาม Exchange Global ก็มี Feature ที่หลากหลายกว่าในแง่การใช้งานที่ Exchange ไทยเทียบไม่ติด
 

วิธีเช็คความน่าเชื่อถือของ Global Exchange

ถ้าจะใช้ Global Exchange มีวิธีเช็คความน่าเชื่อถือเบื้องต้นดังนี้ครับ

1. เช็ค Proof of Reserve Exchange ที่น่าเชื่อถือควรมีการทำ Proof of Reserve ซึ่งเป็นการพิสูจน์ว่า Exchange มีสินทรัพย์สำรองอยู่จริงตามที่อ้าง สามารถเช็คได้ที่ nansen.ai หรือ defillama.com

2. เช็คอายุและประวัติ Exchange ที่เปิดมานานและไม่เคยมีประวัติ Hack ใหญ่หรือเบี้ยวลูกค้าย่อมน่าเชื่อถือกว่า Exchange ที่เพิ่งเปิดใหม่ไม่กี่เดือน

3. เช็คปริมาณการซื้อขาย Exchange ที่มีปริมาณการซื้อขายสูงและมีผู้ใช้งานจำนวนมากนั้นยากที่จะหนีหายได้โดยไม่มีใครรู้ เช็คได้ที่ coinmarketcap.com/rankings/exchanges

4. เช็ค Regulatory Status Exchange ที่ได้รับใบอนุญาตในประเทศที่มีกฎหมายเข้มงวด เช่น สหรัฐอเมริกา ยุโรป หรือสิงคโปร์ ย่อมมีความน่าเชื่อถือมากกว่า

ถ้าไม่แน่ใจให้ถามคอมมูนิตี้

วิธีที่ง่ายและได้ผลที่สุดคือการถามคนที่อยู่ในวงการมาก่อนครับ โดยสามารถถามได้ใน Community ของ Bitcoin Addict Thailand ทั้งทาง Line Group และ Telegram

สัญญาณที่ควรระวัง:

• คนส่วนใหญ่ในกลุ่มไม่รู้จัก Exchange นั้น → กลิ่นไม่ดีครับ
• มีคนรีวิวแง่ลบเรื่องถอนเงินลำบากหรือ Support ไม่ตอบ → ควรหลีกเลี่ยง
• Exchange เสนอดอกเบี้ยหรือผลตอบแทนสูงผิดปกติ → ระวัง Ponzi
• Exchange มีชื่อว่า w__bit 

Case Study — บทเรียนจาก Exchange ที่ล้มละลาย

ไม่มีอะไรสอนได้ดีกว่าเคสจริงครับ สองเคสนี้คือบทเรียนที่นักลงทุนไทยควรรู้ไว้ก่อนที่จะต้องเจอด้วยตัวเอง

FTX — Exchange ระดับโลกที่ล้มในคืนเดียว

FTX เปิดตัวในปี 2019 โดย Sam Bankman-Fried และ Gary Wang และเติบโตอย่างรวดเร็วจนกลายเป็น Exchange ที่ใหญ่เป็นอันดับสองของโลกรองจาก Binance มีปริมาณการซื้อขายต่อวันเฉลี่ยมากกว่า 1 หมื่นล้านดอลลาร์สหรัฐ และได้รับการสนับสนุนจากนักลงทุนระดับโลกอย่าง Sequoia Capital

ฟังดูปลอดภัยมากใช่ไหมครับ แต่เมื่อวันที่ 12 พฤศจิกายน 2022 FTX ประกาศยื่นขอล้มละลาย หลังจากนักลงทุนแห่กันถอนเงินและพบว่า FTX ไม่มีสินทรัพย์เพียงพอ การสืบสวนในภายหลังพบว่า Sam Bankman-Fried ได้นำเงินของลูกค้าไปใช้ในกองทุน Hedge Fund ส่วนตัวชื่อ Alameda Research เพื่อวัตถุประสงค์ส่วนตัว

สิ่งที่นักลงทุนไทยสูญเสียไป: คนไทยจำนวนมากที่ฝากเงินไว้บน FTX ไม่สามารถถอนเงินออกได้ และกว่ากระบวนการล้มละลายจะจบก็ใช้เวลาหลายปี บางส่วนได้รับเงินคืนบางส่วน แต่ก็ไม่ครบและไม่ทันกาล

บทเรียนที่ได้: ไม่ว่า Exchange จะใหญ่แค่ไหน มีชื่อเสียงแค่ไหน หรือมีนักลงทุนระดับโลกหนุนหลังแค่ไหน ก็ไม่ได้การันตีว่าปลอดภัย 100% ตลอดเวลา

🌐 อ่านเพิ่มเติม: FTX Collapse Explained (Investopedia)

CoinAsset — บทเรียนจาก Exchange ไทย

CoinAsset เป็น Exchange สัญชาติไทยที่เปิดตัวในปี 2018 ช่วงที่ตลาด Crypto กำลังได้รับความสนใจอย่างมากในไทย แต่แล้วในปี 2020 CoinAsset ก็ปิดตัวลงหลังจากไม่สามารถขอใบอนุญาตจาก ก.ล.ต. ได้สำเร็จ

สิ่งที่เกิดขึ้นหลังจากนั้นคือมีผู้ใช้งานจำนวนหนึ่งที่ไม่สามารถถอนเหรียญออกมาได้ทัน ซึ่งสร้างความเสียหายให้กับนักลงทุนที่ฝากสินทรัพย์ไว้บนแพลตฟอร์ม

บทเรียนที่ได้: Exchange ที่ไม่ได้รับใบอนุญาตจาก ก.ล.ต. นั้นมีความเสี่ยงที่ชัดเจนมากครับ เพราะถ้าปิดตัวลงไม่ว่าด้วยเหตุผลใดก็ตาม คุณแทบไม่มีช่องทางทางกฎหมายที่จะเรียกร้องสินทรัพย์คืนได้ ต่างจาก Exchange ที่ได้รับใบอนุญาตที่มีกระบวนการดูแลสินทรัพย์ของลูกค้าที่ชัดเจน

💡 สรุปจาก 2 Case Study นี้: ไม่ว่าจะเป็น Exchange ระดับโลกหรือ Exchange ไทย ความเสี่ยงของการฝากสินทรัพย์ไว้กับคนอื่นนั้นมีอยู่เสมอ ยิ่งฝากไว้นานและมากเท่าไหร่ความเสี่ยงก็ยิ่งสูงขึ้นเท่านั้น

เก็บเงินไว้บน Exchange ปลอดภัยจริงๆ ไหม?

คำตอบตรงๆ คือ ปลอดภัยในระดับหนึ่ง แต่ไม่ปลอดภัย 100% ครับ และนั่นคือเหตุผลที่นักลงทุนที่มีประสบการณ์มักไม่เก็บสินทรัพย์ทั้งหมดไว้บน Exchange

ความเสี่ยงที่ต้องรู้

ความเสี่ยงที่ 1 — Exchange ถูก Hack แม้ว่า Exchange สมัยใหม่จะมีระบบรักษาความปลอดภัยที่ดีขึ้นมากแล้ว แต่ก็ยังมีการ Hack เกิดขึ้นอยู่เรื่อยๆ โดยเฉพาะ Exchange ขนาดเล็กที่ลงทุนด้านความปลอดภัยน้อยกว่า

ความเสี่ยงที่ 2 — Exchange ปิดตัวหรือล้มละลาย อย่างที่เห็นจาก Case Study ของ FTX และ  ไม่มีการการันตีว่า Exchange จะเปิดอยู่ตลอดไป และถ้าปิดตัวในสถานการณ์ที่ไม่ดี สินทรัพย์ของคุณอาจติดอยู่ในกระบวนการทางกฎหมายนานหลายปี

ความเสี่ยงที่ 3 — Account ของคุณถูกเจาะ นี่คือความเสี่ยงที่เกิดบ่อยที่สุดและมักเกิดจากตัวผู้ใช้งานเอง ไม่ใช่จาก Exchange โดยตรง ซึ่งจะอธิบายละเอียดในส่วนถัดไป

แล้วควรทำยังไง?

Best Practice ที่แนะนำคือแบ่งสินทรัพย์ออกเป็น 2 ส่วนครับ

ส่วนแรกคือเงินที่ใช้ซื้อขายรายวันหรือระยะสั้น ส่วนนี้เก็บไว้บน Exchange ได้ เพราะต้องการความสะดวกในการซื้อขาย แต่ควรเป็นจำนวนที่ถ้าหายไปแล้วยังไม่กระทบชีวิตมากเกินไป

ส่วนที่สองคือเงินที่เก็บระยะยาวหรือมีมูลค่าสูง ส่วนนี้ควรโอนออกมาเก็บไว้ใน Cold Wallet หรือ Hardware Wallet เพราะคุณถือ Private Key เองและไม่มีใครแตะต้องได้

💡 กฎที่ง่ายที่สุดคือ ถ้าคุณไม่ได้แผนจะซื้อขายในเร็วๆ นี้ ให้โอนออกจาก Exchange ไปก่อนเสมอ

แต่ถ้าจำเป็นต้องเก็บไว้บน Exchange จริงๆ ให้อ่านต่อครับ เพราะส่วนถัดไปจะบอกวิธีทำให้ Account ของคุณปลอดภัยที่สุดเท่าที่จะทำได้

ระบบรักษาความปลอดภัยของ Exchange ที่ควรรู้จัก

Exchange ที่ดีจะมีระบบรักษาความปลอดภัยให้คุณเปิดใช้งานหลายชั้น ซึ่งหลายคนมองข้ามไปเพราะคิดว่าแค่มี Password ก็พอแล้ว แต่ในความเป็นจริง Password อย่างเดียวนั้นไม่เพียงพอเลยครับ

2FA คืออะไร? ทำไมต้องเปิด?

2FA หรือ Two-Factor Authentication คือระบบยืนยันตัวตน 2 ชั้น ที่นอกจาก Password แล้ว คุณต้องยืนยันด้วยสิ่งที่สองอีกครั้งก่อนเข้าใช้งานหรือทำธุรกรรม

โดย 2FA มีอยู่ 3 แบบที่พบบ่อย และมีระดับความปลอดภัยที่แตกต่างกันมากครับ

2FA แบบ SMS รับ OTP ผ่านเบอร์โทรศัพท์ เป็นแบบที่สะดวกที่สุดแต่ปลอดภัยน้อยที่สุด เพราะเสี่ยงต่อการโจมตีแบบ SIM Swapping ที่จะอธิบายในส่วนถัดไป แนะนำให้หลีกเลี่ยงครับ

2FA แบบ Authenticator App ใช้แอปอย่าง Google Authenticator หรือ Authy สร้าง OTP ที่เปลี่ยนทุก 30 วินาที ปลอดภัยกว่า SMS มากเพราะไม่ผ่านเครือข่ายโทรศัพท์ แนะนำให้ใช้แบบนี้เป็นขั้นต่ำครับ 

2FA แบบ Physical Key ใช้เป็นการใ้อุปกรณ์ Hardware เช่น YubiKey หรือ Hardware Wallet เสียบ USB หรือแตะ NFC เพื่อยืนยัน ปลอดภัยสูงสุดเพราะ Hacker ต้องมีตัวอุปกรณ์จริงๆ ถึงจะเข้าได้ แนะนำสำหรับคนที่มีสินทรัพย์มูลค่าสูงครับ (ของดีมากๆ)

Whitelist Address คืออะไร?

Whitelist Address คือฟีเจอร์ที่ให้คุณกำหนดล่วงหน้าว่า Account ของคุณสามารถโอนเงินออกได้เฉพาะ Address ที่อนุญาตไว้เท่านั้น

ตัวอย่างเช่น ถ้าคุณ Whitelist Address ของ Cold Wallet ตัวเองไว้ ต่อให้ Hacker เข้าถึง Account ของคุณได้ ก็ไม่สามารถโอนเงินไปยัง Address อื่นได้เลย เพราะระบบจะบล็อกทันที

💡 Whitelist Address เป็นฟีเจอร์ที่ควรเปิดใช้งานทุกครั้งที่ Exchange รองรับครับ เพราะเป็นด่านป้องกันที่แข็งแกร่งมาก แม้ว่าจะทำให้โอนเงินไปที่อื่นได้ยากขึ้นก็ตาม

Anti-Phishing Code คืออะไร?

Anti-Phishing Code คือรหัสที่คุณตั้งเองและจะปรากฏอยู่ในทุก Email ที่ Exchange ส่งมาหาคุณ เช่น MYCODE2026

วิธีทำงานคือถ้าคุณได้รับ Email ที่อ้างว่ามาจาก Exchange แต่ไม่มีรหัสนี้ปรากฏอยู่ นั่นคือสัญญาณชัดเจนว่าเป็น Phishing Email ที่ส่งมาหลอกครับ

Withdrawal Confirmation ทาง Email

Exchange ที่ดีจะส่ง Email ยืนยันทุกครั้งที่มีการถอนเงิน โดยคุณต้องกดยืนยันใน Email ก่อนการถอนจะสำเร็จ ซึ่งเป็นด่านสุดท้ายที่ช่วยหยุด Hacker ได้แม้ว่าจะเข้า Account ได้แล้วก็ตาม

สรุป Security ที่ควรเปิดใช้งานทันที:

คุณไม่ได้โดน Hack ที่ Exchange แต่โดนที่ Email และเบอร์โทรศัพท์

นี่คือสิ่งที่หลายคนไม่รู้ครับ ส่วนใหญ่ที่เสีย Bitcoin ไปนั้นไม่ได้เกิดจาก Exchange ถูก Hack โดยตรง แต่เกิดจากการที่ Email หรือเบอร์โทรศัพท์ของตัวเองถูกเจาะก่อน แล้วค่อยใช้ช่องทางนั้นเข้าถึง Account บน Exchange อีกที มีบางคนตั้ง 2FA ใน Exchange ที่ใช้งานแต่ไม่ได้ตั้ง 2FA ในอีเมล์เมื่อ Email โดนเจาะส่วนอื่นๆจึงโดนไปด้วย

SIM Swapping คืออะไร? อันตรายแค่ไหน?

SIM Swapping คือการที่ Hacker โทรหาหรือเข้าไปที่ร้านของผู้ให้บริการเครือข่ายโทรศัพท์ แล้วแอบอ้างว่าเป็นเจ้าของเบอร์ของคุณเพื่อขอย้ายเบอร์ไปยัง SIM ใหม่ที่ตัวเองถืออยู่

เมื่อทำสำเร็จ OTP ทุกอย่างที่ส่งมาทาง SMS ไม่ว่าจะเป็นของ Exchange, Email หรือแอปธนาคาร จะวิ่งไปหา Hacker ทั้งหมด และคุณจะไม่รู้ตัวเลยจนกว่าจะพบว่าเบอร์โทรศัพท์ใช้งานไม่ได้

สัญญาณที่ต้องระวัง:

• เบอร์โทรศัพท์หมดสัญญาณกะทันหันโดยไม่มีสาเหตุ
• ได้รับ SMS แจ้งว่ามีการย้ายเบอร์ที่คุณไม่ได้ทำ
• Login Email หรือ Exchange ไม่ได้กะทันหัน

วิธีป้องกัน:

• ติดต่อผู้ให้บริการเครือข่ายเพื่อตั้ง PIN หรือรหัสพิเศษก่อนที่จะมีการเปลี่ยนแปลงใดๆ กับ SIM
• เปลี่ยนจาก 2FA แบบ SMS มาเป็น Authenticator App ทันทีครับ
• ไม่ใช้เบอร์โทรศัพท์เป็นช่องทางหลักในการยืนยันตัวตนสำหรับ Account ที่มีเงินสูง

Email Phishing — กับดักที่คนตกหลุมมากที่สุด

Email Phishing คือการที่ Hacker ส่ง Email ปลอมที่ดูเหมือนมาจาก Exchange จริงๆ โดยอาจมีโลโก้และหน้าตาเหมือนกันทุกอย่าง แต่ลิงก์ข้างในจะพาคุณไปยังเว็บปลอมที่ดูดข้อมูล Login ของคุณไป

ตัวอย่างที่พบบ่อยเช่น Email แจ้งว่า "Account ของคุณถูกระงับ กรุณากด Login เพื่อยืนยันตัวตน" หรือ "มีการ Login จาก IP ต่างประเทศ กรุณายืนยันว่าเป็นคุณ" ซึ่งสร้างความตื่นตกใจให้คุณกดลิงก์โดยไม่ทันระวัง

วิธีสังเกต Phishing Email:

• เช็ค Email ผู้ส่งให้ละเอียด เช่น support@binance-secure.com ไม่ใช่ support@binance.com
• Hover เมาส์บนลิงก์ก่อนคลิกเสมอ เพื่อดูว่า URL จริงๆ คืออะไร
• Exchange จริงจะไม่มีวันขอ Password หรือ Private Key ผ่าน Email
• เช็ค Anti-Phishing Code ที่ตั้งไว้ว่าปรากฏใน Email หรือเปล่า

วิธีป้องกัน:

• ไม่คลิกลิงก์ใน Email ที่อ้างว่ามาจาก Exchange เด็ดขาด ให้พิมพ์ URL เข้าเว็บโดยตรงเสมอ
• เปิด Bookmark Exchange ที่ใช้บ่อยไว้ในบราวเซอร์เพื่อป้องกันการพิมพ์ URL ผิด
• ใช้ Email แยกต่างหากสำหรับ Exchange โดยเฉพาะ ไม่ใช้ Email เดียวกับที่ใช้ทั่วไป

ความผิดพลาดที่พบบ่อยที่สุด — ตั้ง 2FA บน Exchange แต่ลืม Email

นี่คือจุดบอดที่หลายคนมองข้ามครับ คนส่วนใหญ่จะระมัดระวังเรื่องความปลอดภัยบน Exchange เป็นอย่างดี เปิด 2FA ครบ เปิด Whitelist Address แต่กลับลืมไปว่า Email ที่ใช้สมัคร Exchange นั้นไม่มี 2FA เลย

สมมติว่า Hacker รู้ Password Email ของคุณ สิ่งที่เกิดขึ้นคือ Hacker เข้า Email ได้ทันที จากนั้นกด "ลืม Password" บน Exchange แล้วรับลิงก์ Reset Password ผ่าน Email นั้น และภายในไม่กี่นาทีก็สามารถเข้า Account Exchange ของคุณได้โดยที่ 2FA บน Exchange ไม่ได้ช่วยอะไรเลยแม้แต่น้อย

⚠️ 2FA บน Exchange ปลอดภัยแค่ไหนก็ไม่มีความหมาย ถ้า Email ที่ผูกไว้ไม่มี 2FA ครับ เพราะ Email คือกุญแจหลักที่ใช้ Reset ทุกอย่างได้

สิ่งที่ต้องทำทันทีหลังอ่านบทความนี้:

• เปิด 2FA แบบ Authenticator App บน Email ก่อนเป็นอันดับแรก
• เช็คว่า Email ที่ผูกกับ Exchange แต่ละแห่งนั้นมี 2FA เปิดอยู่แล้วหรือยัง
• ถ้ายังใช้ 2FA แบบ SMS บน Email ให้เปลี่ยนมาเป็น Authenticator App ทันที 

ตั้ง 2FA แล้วแต่ Sync กับ Cloud — ปลอดภัยน้อยกว่าที่คิด

หลายคนใช้ Google Authenticator หรือ Authy แล้วรู้สึกปลอดภัยดี แต่มีจุดที่ต้องระวังอย่างมากคือฟีเจอร์ Sync หรือ Backup ไปยัง Cloud

ตัวอย่างเช่น Google Authenticator เวอร์ชันใหม่มีฟีเจอร์ Sync OTP ไปยัง Google Account โดยอัตโนมัติ ซึ่งฟังดูสะดวกมากเพราะถ้ามือถือหายก็ยังกู้คืนได้ แต่นั่นหมายความว่าถ้า Google Account ของคุณถูกเจาะ Hacker จะได้ OTP ทั้งหมดของคุณไปด้วยทันที ซึ่งทำให้ 2FA ที่ตั้งไว้แทบไม่มีความหมายเลย

สถานการณ์ที่อันตราย:

• เปิด Sync Google Authenticator ไว้กับ Google Account ที่ไม่มี 2FA
• ใช้ Authy แบบ Multi-Device เปิดอยู่โดยไม่รู้ตัว
• Backup OTP ไว้ใน iCloud ที่ใช้ Password ง่ายๆ

วิธีป้องกัน:

• ปิด Cloud Sync ของ Authenticator App ทุกตัว
• ถ้าอยากมี Backup ให้จด Backup Code ที่ Exchange ให้ไว้ตอนตั้ง 2FA ลงบนกระดาษและเก็บไว้ในที่ปลอดภัย
• ใช้ Authenticator App ที่ไม่ Sync Cloud เช่น Aegis Authenticator สำหรับ Android ที่เป็น Open Source และไม่มี Cloud Sync
• ถ้าจะใช้ Authy ให้ปิด Multi-Device Feature ไว้เสมอเมื่อไม่ได้ใช้งาน

⚠️ สรุปง่ายๆ คือ 2FA ที่ดีคือ 2FA ที่อยู่บนอุปกรณ์ของคุณเท่านั้น ไม่ใช่บน Cloud ของคนอื่น

แอปแปลกๆ ในมือถือและคอมพิวเตอร์

หลายคนระวังเรื่อง Password และ 2FA เป็นอย่างดี แต่กลับไม่ระวังเรื่องแอปที่ติดตั้งในอุปกรณ์เลย ซึ่งนี่คือช่องโหว่ที่ Hacker ใช้โจมตีได้โดยที่คุณไม่รู้ตัวเลยครับ

ทำไมห้าม Download แอปนอก App Store?

App Store ของ Apple และ Play Store ของ Google นั้นมีกระบวนการตรวจสอบแอปก่อนอนุญาตให้เผยแพร่ แม้จะไม่ได้สมบูรณ์แบบ 100% แต่ก็กรองแอปอันตรายออกไปได้มากพอสมควร

แต่แอปที่ Download จากนอก Store หรือที่เรียกว่า Sideload นั้นไม่ผ่านกระบวนการตรวจสอบใดๆ ทั้งสิ้น ทำให้มีความเสี่ยงสูงมากที่จะมี Malware ซ่อนอยู่ข้างใน

กรณีที่พบบ่อยในวงการ Crypto:

• แอป Wallet ปลอมที่หน้าตาเหมือนของจริงทุกอย่าง แต่ดูด Private Key ไปทันทีที่ Import
• แอป Trading Bot ที่อ้างว่าทำกำไรอัตโนมัติ แต่จริงๆ แล้วขโมย API Key ของ Exchange
• แอป PDF Reader หรือแอปทั่วไปที่ดูไม่น่าสงสัย แต่แอบบันทึกหน้าจอหรือ Clipboard ของคุณอยู่เบื้องหลัง
• แอป exchange ที่ยิงโฆษณาโดยอ้างว่าได้ผลตอบแทนสูง

⚠️ ถ้ามีใครส่งลิงก์ Download แอปมาให้ผ่าน Line, Telegram หรือ Discord โดยที่ไม่ใช่ลิงก์จาก App Store โดยตรง ให้สงสัยไว้ก่อนเสมอครับ

Physical Passkey — ไอเท็มที่ขาดไม่ได้ถ้ามีเงินใน Exchange เยอะๆ

ถ้าคุณอ่านมาถึงตรงนี้แล้วรู้สึกว่าระบบรักษาความปลอดภัยที่มีอยู่ยังไม่พอใจ นั่นคือสัญญาณที่ดีครับ เพราะ Physical Passkey คือด่านสุดท้ายที่แข็งแกร่งที่สุดที่คุณสามารถเพิ่มได้

Physical Passkey คืออะไร? ต่างจาก 2FA ยังไง?

Physical Passkey หรือ Hardware Security Key คืออุปกรณ์ขนาดเล็กคล้าย Flash Drive ที่ใช้ยืนยันตัวตนแบบ Physical โดยทุกครั้งที่ Login หรือทำธุรกรรม คุณต้องเสียบอุปกรณ์นี้เข้ากับคอมพิวเตอร์หรือแตะกับมือถือผ่าน NFC ด้วยตัวเองเท่านั้น

สิ่งที่ทำให้มันต่างจาก 2FA แบบ Authenticator App อย่างสิ้นเชิงคือ Hacker ไม่สามารถ Phish หรือขโมย OTP ได้เลย เพราะไม่มี OTP ให้ขโมย การยืนยันทำผ่านอุปกรณ์จริงๆ เท่านั้น แม้ว่า Hacker จะรู้ Password และเข้าถึง Email ของคุณได้ก็ยังเข้า Account ไม่ได้ถ้าไม่มีอุปกรณ์นี้อยู่ในมือ

เปรียบเทียบให้เห็นภาพ:

Physical pass Key ที่แนะนำ

Unikey คือ Security Key แบรนด์ PassKey ที่จำหน่ายโดย Bitcast โดยเฉพาะ ทำงานในมาตรฐานเดียวกับ YubiKey ได้รับการรับรองมาตรฐาน FIDO ซึ่งเป็นมาตรฐานความปลอดภัยสากล และ Exchange ชั้นนำส่วนใหญ่อย่าง Binance, Coinbase และ Kraken รองรับการใช้งานแล้ว (แอดมินเองก็มี 2 อัน)

รุ่นที่แนะนำ:

• Unikey Model 1A — USB Type-A เหมาะสำหรับคอมพิวเตอร์ทั่วไป
• Unikey Model 3C — USB Type-C รองรับทั้ง NFC เหมาะสำหรับ MacBook และมือถือรุ่นใหม่

💡 แนะนำให้ซื้อ 2 อัน ลงทะเบียนทั้งสองอันไว้กับ Account เดียวกัน เก็บอันหนึ่งไว้ใช้งานและอีกอันเป็น Backup เพราะถ้าทำหายอันเดียวโดยไม่มี Backup จะเข้า Account ไม่ได้ครับ

สามารถสั่งซื้อได้ที่ Bitcast
Hardware Wallet หลายรุ่นก็ทำหน้าที่เป็น Physical Passkey ได้ด้วย

ถ้าคุณมี Hardware Wallet อยู่แล้วอย่าง Ledger, Trezor หรือ OneKey บางรุ่นนั้นรองรับการใช้งานเป็น Security Key ได้เลยโดยไม่ต้องซื้ออุปกรณ์เพิ่ม ทำให้คุ้มค่ามากขึ้นเพราะซื้อครั้งเดียวได้ทั้ง Hardware Wallet และ Physical Passkey ในอุปกรณ์เดียวกัน

สำหรับคนที่สนใจซื้อในไทย สามารถหาซื้อได้ที่ Bitcast ซึ่งเป็นร้านในไทยที่จำหน่าย Hardware Wallet และ Security Key โดยเฉพาะ ไม่ต้องสั่งจากต่างประเทศและมีบริการหลังการขายในไทยครับ

🌐 ดูข้อมูลเพิ่มเติม: Unikey Security Key — Bitcast

เช็ค Address ก่อนโอนทุกครั้ง

ถ้าทำทุกอย่างในบทความนี้ครบแล้ว แต่พลาดจุดนี้จุดเดียว เงินก็หายได้ทันทีครับ เพราะการโอน Cryptocurrency ไปยัง Address ผิดนั้นไม่มีทางเรียกคืนได้เลย ไม่มี Support ไม่มี Undo และไม่มีใครช่วยได้

Clipboard Malware คืออะไร?
 

Clipboard Malware คือ Malware ประเภทหนึ่งที่แอบทำงานอยู่เบื้องหลังในอุปกรณ์ของคุณ โดยคอยตรวจจับทุกครั้งที่คุณ Copy Address Cryptocurrency แล้วแอบเปลี่ยน Address นั้นให้กลายเป็น Address ของ Hacker โดยอัตโนมัติก่อนที่คุณจะ Paste

สิ่งที่ทำให้อันตรายมากคือมันเกิดขึ้นเร็วมากจนแทบสังเกตไม่ได้ด้วยตาเปล่า ถ้าคุณไม่ได้เช็ค Address หลัง Paste ทุกครั้ง คุณจะกด Confirm ไปโดยไม่รู้ตัวเลยครับ

Clipboard Malware มาได้ยังไง?

• Download ไฟล์หรือแอปจากแหล่งที่ไม่น่าเชื่อถือ
• คลิกลิงก์แปลกๆ ใน Telegram, Discord หรือ Line
• Install Extension ของ Browser ที่ไม่ได้รับการรับรอง
• เปิดไฟล์แนบจาก Email ที่ไม่รู้จัก

วิธีเช็ค Address อย่างถูกต้อง

วิธีป้องกันที่ง่ายและได้ผลที่สุดคือสร้างนิสัยเช็ค Address ทุกครั้งก่อนกด Confirm โดยไม่มีข้อยกเว้น แม้จะโอนไปยัง Address ที่เคยโอนมาแล้วก็ตาม

ขั้นตอนที่ต้องทำทุกครั้ง:

ขั้นตอนที่ 1 — Copy Address จากแหล่งที่เชื่อถือได้ Copy Address จาก Exchange หรือ Wallet โดยตรง ไม่ Copy จาก Chat หรือ Email ที่ใครส่งมา เพราะอาจถูกแก้ไขก่อนส่งมาให้คุณแล้ว

ขั้นตอนที่ 2 — Paste แล้วเช็คทันที หลัง Paste ให้เช็คตัวอักษร 4-5 ตัวแรกและ 4-5 ตัวท้ายของ Address ว่าตรงกับต้นฉบับหรือเปล่า อย่ารีบกด Confirm ก่อนเช็คเด็ดขาด

ขั้นตอนที่ 3 — ใช้ QR Code แทนการ Copy-Paste ถ้าทำได้ การสแกน QR Code นั้นปลอดภัยกว่าการ Copy-Paste เพราะ Clipboard Malware ไม่สามารถแก้ไข QR Code ได้

ขั้นตอนที่ 4 — ทดลองโอนจำนวนน้อยก่อนเสมอ ถ้าเป็นครั้งแรกที่โอนไปยัง Address นั้น ให้โอนจำนวนน้อยๆ ก่อน เช่น 1 ดอลลาร์ รอให้ยืนยันสำเร็จแล้วค่อยโอนจำนวนจริงตามมา

⚠️ ไม่ว่าจะรีบแค่ไหน ไม่ว่าจะโอนบ่อยแค่ไหน การเช็ค Address ก่อนกด Confirm คือสิ่งที่ห้ามข้ามเด็ดขาดครับ

Security Checklist ฉบับสมบูรณ์

ก่อนจะถือว่า Account ของคุณปลอดภัยพอ ให้เช็คทุกข้อในลิสต์นี้ให้ครบก่อนครับ

ขั้นพื้นฐาน — ทำได้ทันทีวันนี้เลย

☑ เปิด 2FA แบบ Authenticator App บน Exchange ทุกแห่ง

☑ เปิด 2FA แบบ Authenticator App บน Email ที่ผูกกับ Exchange

☑ ปิด Cloud Sync ของ Authenticator App ทุกตัว

☑ ตั้ง Anti-Phishing Code บน Exchange ที่รองรับ

☑ เปิด Whitelist Address บน Exchange ที่รองรับ

☑ เปิด Withdrawal Confirmation ทาง Email

ขั้นกลาง — ทำเพิ่มถ้ามีสินทรัพย์มากขึ้น

☑ ใช้ Email แยกต่างหากสำหรับ Exchange โดยเฉพาะ

☑ ใช้ Password Manager และตั้ง Password ยาวไม่ซ้ำกัน

☑ ติดต่อผู้ให้บริการเครือข่ายเพื่อตั้ง PIN ป้องกัน SIM Swapping

☑ ตรวจสอบ Permission ของแอปในมือถือทุกตัว

☑ ไม่ Download แอปนอก App Store และ Play Store เด็ดขาด

☑ โอนสินทรัพย์ระยะยาวออกจาก Exchange มาเก็บใน Cold Wallet

ขั้นสูง — สำหรับคนที่มีสินทรัพย์มูลค่าสูง

☑ ใช้ Physical Passkey เช่น Unikey จาก Bitcast แทน Authenticator App

☑ ซื้อ Hardware Wallet และโอนสินทรัพย์ระยะยาวออกจาก Exchange

☑ ใช้มือถือแยกต่างหากสำหรับ Crypto โดยเฉพาะ

☑ ใช้ Email Provider ที่มีความปลอดภัยสูง เช่น ProtonMail

สรุป: วิธีใช้ Exchange อย่างปลอดภัย ไม่โดน Hack

ตลอดบทความนี้เราได้เรียนรู้ว่าการโดน Hack นั้นส่วนใหญ่ไม่ได้เกิดจาก Exchange ถูกเจาะโดยตรง แต่เกิดจากจุดอ่อนที่ตัวผู้ใช้งานเองมักมองข้าม ไม่ว่าจะเป็น Email ที่ไม่มี 2FA, SIM ที่ถูก Swap, แอปแปลกๆ ที่ติดตั้งโดยไม่ระวัง หรือแค่การ Copy Address โดยไม่เช็คก่อนกด Confirm

สิ่งที่สำคัญที่สุดที่ควรทำทันทีหลังอ่านบทความนี้คือเปิด 2FA บน Email ก่อนเป็นอันดับแรก เพราะมันคือกุญแจหลักที่ถ้าหลุดไปแล้ว ทุกอย่างที่ตั้งไว้บน Exchange ก็ไม่มีความหมายเลย

อยากเข้าใจ Bitcoin ให้ลึกขึ้น? อ่านต่อได้เลย:

• Bitcoin คืออะไร? คู่มือฉบับสมบูรณ์สำหรับมือใหม่
• Wallet คืออะไร? วิธีเก็บรักษา Bitcoin อย่างปลอดภัย
• วิธีโอน Bitcoin และ Cryptocurrency อย่างถูกต้อง ไม่ให้เงินหาย
• Blockchain คืออะไร? ทำความเข้าใจเทคโนโลยีเบื้องหลัง Bitcoin

คำถามที่พบบ่อยเกี่ยวกับความปลอดภัยบน Exchange (FAQ)

Exchange ไทยปลอดภัยกว่า Global Exchange จริงไหม?

ในแง่กฎหมายปลอดภัยกว่าครับ เพราะ Exchange ไทยที่ได้รับใบอนุญาตจาก ก.ล.ต. ต้องแยกบัญชีสินทรัพย์ลูกค้าออกจากบริษัท และมีกระบวนการเรียกร้องทางกฎหมายไทยได้ แต่ในแง่ระบบ Security และ Tool การเทรด Global Exchange มักมีให้มากกว่า

ถ้าโดน Hack แล้วทำยังไง?

ให้ทำ 3 อย่างทันทีครับ หนึ่งคือ Freeze Account บน Exchange โดยติดต่อ Support ทันที สองคือเปลี่ยน Password และ 2FA ของ Email และ Exchange ทุกแห่ง สามคือเช็คว่ามีธุรกรรมผิดปกติอะไรเกิดขึ้นบ้างและเก็บ Evidence ไว้สำหรับการแจ้งความ

2FA แบบ SMS ยังใช้ได้อยู่ไหม?

ใช้ได้แต่ไม่แนะนำครับ เพราะเสี่ยงต่อ SIM Swapping มากที่สุด ควรเปลี่ยนมาเป็น Authenticator App อย่างน้อยที่สุด และถ้ามีสินทรัพย์มากควรอัปเกรดเป็น Physical Passkey เช่น Unikey ครับ

Proof of Reserve เชื่อถือได้แค่ไหน?

เป็นสัญญาณที่ดีว่า Exchange โปร่งใสและมีสินทรัพย์จริง แต่ไม่ได้การันตี 100% ครับ เพราะมีข้อจำกัดด้าน Auditor และ Proof of Reserve แสดงแค่ Snapshot ณ เวลาหนึ่ง ไม่ใช่ Real-time ดังนั้นควรใช้เป็นปัจจัยหนึ่งในการพิจารณาร่วมกับปัจจัยอื่นๆ

Physical Passkey หายแล้วทำยังไง?

นั่นคือเหตุผลที่แนะนำให้ซื้อ 2 อันและลงทะเบียนทั้งคู่ไว้กับ Account เดียวกันครับ ถ้าทำหายอันเดียวยังมี Backup ใช้ได้ แต่ถ้าทำหายทั้งคู่และไม่ได้เก็บ Backup Code ไว้ คุณจะต้องติดต่อ Support ของ Exchange เพื่อทำการ Recovery ซึ่งอาจใช้เวลานานและต้องยืนยันตัวตนหลายขั้นตอน

ทำไมต้องใช้ Email แยกสำหรับ Crypto?

เพราะถ้าใช้ Email เดียวกันกับที่ใช้ทั่วไป ความเสี่ยงที่ Email จะหลุดก็สูงขึ้นตามจำนวนเว็บที่ใช้ Email นั้นครับ Email ที่แยกไว้ใช้กับ Crypto โดยเฉพาะและไม่ได้ Login บ่อยๆ นั้นมีโอกาสถูก Phishing หรือ Data Breach น้อยกว่ามาก