Mac ชายหนุ่มผู้คลั่งไคล้ crypto ในสกอตแลนด์ กำลังไถฟีดใน Twitter เมื่อเดือนพฤศจิกายนที่ผ่านมา เขาพบข้อเสนอที่น่าดึงดูดใจ บัญชีข่าวที่เขาติดตาม account ที่ชื่อ Briefly Crypto กำลังโปรโมตบัตรของขวัญลดราคาซึ่งซื้อได้ด้วยสกุลเงินดิจิทัลสำหรับเทศกาล Black Friday 

Mac ตัดสินใจซื้อบัตรกำนัลโรงแรมสำหรับคริสต์มาสให้พ่อแม่ของเขา ลิงก์นี้ใช้สำหรับ Bitrefill ซึ่งเป็นแพลตฟอร์มที่ Mac คุ้นเคยซึ่งอนุญาตให้ผู้ใช้ซื้อบัตรของขวัญด้วย crypto เขารู้จักบัญชี Twitter ที่โปรโมท Deal นี้ ดังนั้นเขาจึงคิดว่าปลอดภัยและคลิกลิงก์ หลังจากเลือกบัตรกำนัลแล้ว เขาก็เชื่อมต่อกระเป๋าเงินดิจิทัลและลงนามในการทำธุรกรรมครั้งแรก  

จากนั้น เขาก็ได้รับป๊อปอัพแปลกๆ ขึ้นมา เว็บไซต์กำลังขออนุญาตจากเขาในการส่งเงินไปยังแพลตฟอร์มการแลกเปลี่ยนซื้อขายแบบกระจายอำนาจที่ชื่อว่า dYdX 

ด้วยความสงสัย เขาจึงเปิดเครื่องมือป้องกันการฉ้อโกงที่จะยกเลิกการทำธุรกรรมครั้งแรกที่เขาลงชื่อเข้าใช้ แต่มันก็สายเกินไป เว็บไซต์ดังกล่าวได้ขโมย crypto มูลค่าประมาณ 1,200 ดอลลาร์จากกระเป๋าเงินของเขา

Mac กล่าวว่าเขามีเงินประมาณ 25,000 ดอลลาร์ในกระเป๋าเงินของเขาในเวลานั้น Mac ถูกหลอกลวงผ่านรูปแบบการฉ้อโกงออนไลน์ซึ่งพบได้ทั่วไปในการวงการ crypto

อย่างแรกเขาถูกฟิชชิ่งหรือหลอกให้คลิกลิงก์ที่เป็นอันตราย จากนั้นเขาก็ตกเป็นเหยื่อของสิ่งที่เรียกว่า “drainer script” ซึ่งเป็นโค้ดที่ทำงานอยู่เบื้องหลังเว็บไซต์ที่ดูดเงินจากกระเป๋าเงินของเขา

เนื่องจากสกุล เงินดิจิตอลกลายเป็นกระแสหลักมากขึ้น กระเป๋าเงินทั่วไปสามารถเก็บอะไรก็ได้ตั้งแต่ Bitcoin และ Ether ไปจนถึง NFT และ memecoins 

การโจมตีแบบฟิชชิ่งที่ประสบความสำเร็จร่วมกับ drainer script สามารถปล้นกระเป๋าเงินได้ภายในไม่กี่วินาที Nick Bax หัวหน้าฝ่ายวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Convex Labs ประเมินว่า drainer script ส่งผลให้เกิดการสูญเสียทรัพย์สินไล่ตั้งตั้งแต่ 50 ล้านไปจนถึง 100 ล้านดอลลาร์ได้เลยทีเดียว

ในปีที่แล้ว scammer ระดับตำนานรายหนึ่ง ซึ่งผู้เชี่ยวชาญกล่าวว่าได้ปฏิวัติวงการ drainer เป็นผู้อยู่เบื้องหลังที่สำคัญกับการโจรกรรมหลายครั้ง 

อาชญากรไซเบอร์ผู้นี้ทำงานภายใต้การจัดการของ Monkey ซึ่งเป็นผู้บุกเบิกแนวทางใหม่ในการแสวงหาประโยชน์จากแวดวง Crypto ซึ่งมาจาก ransomware ซึ่งเขาได้ขายโค้ดของเขาให้กับนักต้มตุ๋นรายอื่น โดยคิดค่า commission ในการโจรกรรม 30% ซึ่งเป็น Business Model ใหม่ในแวดวงโจรที่น่าสนใจมาก

ในช่วง 6 เดือนที่ผ่านมา Monkey อ้างว่า drainer script ของเขาขโมยเงินไปกว่า 24 ล้านดอลลาร์ และที่สำคัญ Monkey ได้สร้างแรงบันดาลใจให้กับเหล่ากองโจรที่คิดจะเลียนแบบจำนวนมากเช่นเดียวกัน 

Monkey มีส่วนรับผิดชอบต่อการหลอกลวงที่ประสบความสำเร็จหลายล้านรายการในช่วงเวลาเพียงไม่กี่เดือน ตั้งแต่ Mac และบัตรของขวัญของเขาไปจนถึง Kevin Rose ผู้ประกอบการ NFT ที่สูญเสียเงินหลายล้านดอลลาร์ใน NFT

แต่ข่าวที่ทำให้ทุกคนตกใจก็คือ Monkey ได้ประกาศที่จะออกจาก Telegram อย่างกะทันหัน แต่เขาได้ทิ้งมรดกอันล้ำค่าไว้เบื้องหลัง

การหลอกลวงแบบ Full Stack

Monkey ปรากฏตัวบน Telegram ในฤดูใบไม้ร่วงปี 2022 เมื่อวันที่ 7 กันยายน เขาสร้างช่อง “Monkey Drainer” โดยประกาศก่อตั้งโดยใช้ profile รูป GIF ลิงเคลื่อนไหวสวมแว่นตาเล่นสกีและถูผ้าขนหนูผ่านเป้าของมัน

ในดินแดนแห่งนักต้มตุ๋น crypto นั้น Monkey กลายเป็นราชาในเวลาไม่กี่เดือน  “ไม่มีใครเทียบได้กับ Monkey” สาวกคนหนึ่งซึ่งเป็นนักต้มตุ๋นในแวดวง crypto กล่าว

โดยทั่วไปวิธีนี้ทำได้โดยใช้สิ่งที่เรียกว่า “social engineering” ซึ่งนักต้มตุ๋นโน้มน้าวผู้ใช้ว่าเว็บไซต์หรือแอปพลิเคชันปลอมเป็นของจริง การโน้มน้าวให้เหยื่อคลิกลิงก์ที่เป็นอันตรายเป็นศิลปะแขนงหนึ่ง และสามารถทำได้หลายวิธี 

ตัวอย่างเช่น Mac ที่คลิกผ่านลิงก์จากบัญชี Twitter ที่เขาเชื่อถือ ทำให้ในฟอรัมออนไลน์ชื่อดังอย่าง Reddit ในช่วง Black Friday ทาง scammer ได้สร้างกลอุบายโดยเปิดให้เล่นเกมบนแพลตฟอร์มเพื่อโหวตลิงก์ที่เป็นอันตรายเพื่อให้มันไปอยู่ด้านบนสุดของฟอรัมยอดนิยม จากนั้นเหล่า scammer ก็จะได้ข้อมูล Twitter ของผู้ที่สนใจเหล่านี้มาเป็นเหยื่อ  

อีกเทคนิคหนึ่งคือการใช้ Discord ตัวอย่างเช่น ในช่วงปลายเดือนมกราคม มีคนแฮ็กบัญชี Twitter สำหรับโปรเจกต์ NFT อย่าง Azuki โดยโพสต์ลิงก์ไปยังเว็บไซต์ที่ติด drainer script นั่นทำให้สินทรัพย์มูลค่า 750,000 ดอลลาร์ ถูกขโมยจากผู้ใช้ในเวลาเพียง 30 นาที

วิธีที่สามคือการเลียนแบบแบรนด์กระแสหลักยอดนิยมและโครงการ NFT ปลอม นักวิจัยที่อยู่เบื้องหลังเครื่องมือรักษาความปลอดภัยทางไซเบอร์ TrustCheck ระบุตัว scammer เหล่านี้หลายราย โดยแฮ็กเกอร์สร้างเว็บไซต์เลียนแบบวิดีโอเกมยอดนิยม เช่น Hades และ Horizon Zero Daw และแบรนด์รองเท้าผ้าใบ เช่น Nike

เมื่อมีการประกาศโครงการใหม่ ผู้ใช้ต่างต้องการ NFT ที่มีอยู่จำนวนจำกัด ซึ่งหวังว่าจะมีราคาเพิ่มขึ้น “วิธีการสำหรับการฟิชชิงแบบนี้คือการพยายามให้ผู้คนเกิดสิ่งที่เรียกว่า FOMO (fear of missing out) และคลิกให้เร็วที่สุดเท่าที่จะทำได้โดยไม่ต้องคิด” Bax จาก Convex Labs กล่าว

ในกรณีของวิดีโอเกมและอุตสาหกรรมแฟชั่น แฮ็กเกอร์ใช้ประโยชน์จากการจดจำแบรนด์เพื่อโน้มน้าวให้ผู้ใช้คลิกลิงก์ที่เป็นอันตรายซึ่งนำไปสู่ drainer script ซึ่งองค์ประกอบฟิชชิ่งของการหลอกลวงที่เป็น frontend นั้นยังคงต้องการส่วน backend หรือโครงสร้างพื้นฐานที่ซ่อนอยู่เช่นกัน และแน่นอนว่าไม่ใช่นักต้มตุ๋นทุกคนจะเป็นนักพัฒนาแบบ Full Stack ได้

The rise of Monkey

Monkey เป็นแบบอย่างของนักพัฒนา backend ที่เป็นที่ต้องการ อันดับแรก scammer เริ่มมีชื่อเสียงด้วยเครื่องมือ drain ที่ใช้ประโยชน์จากโปรโตคอลบน OpenSea ซึ่งเป็นตลาด NFT ที่ได้รับความนิยมสูงสุด ซึ่งทำให้สคริปต์สามารถกำหนดเป้าหมายไปยัง NFT ที่ต้องการได้ 

จากนั้น Monkey ก็เริ่มรวมสินทรัพย์ประเภทอื่นๆ เข้ากับสคริปต์ของเขา ไล่ตั้งแต่โทเค็นในบล็อกเชนต่างๆ ไปจนถึง CryptoPunks ซึ่งเป็นหนึ่งในคอลเลกชัน NFT ที่ได้รับความนิยมมากที่สุด  

จากข้อมูลของ Bax กล่าวว่า drainer script ของ Monkey สามารถแยกแยะได้โดยการล้วงกระเป๋าเงินของสินทรัพย์ที่มูลค่าสูงที่สุดก่อน โดยไม่คำนึงถึงประเภทของโทเค็น หรือแม้กระทั่งการตรวจสอบราคาและรายการทรัพย์สินที่ถูกขโมยโดยอัตโนมัติ คือ พูดง่าย ๆ ก็คือ ปล้นของแพงก่อนนั่นเอง

ในอดีต scammer ที่มี drainer script อาจเสนอแพ็คเกจบน Telegram หรือ Github ซึ่งเป็นที่เก็บโค้ดออนไลน์ยอดนิยม ขายโค้ดพร้อมกับ JPEG ที่ดาวน์โหลดได้เพื่อสร้างเว็บไซต์ปลอมทั้งหมดนี้ในราคาแบบขายขาด

วิธีการแบบ plug-and-play นี้ไม่ได้ทำเงินมากนักและมีเป้าหมายที่เหล่า scammer หน้าใหม่ แต่ Monkey คัดลอกโมเดลธุรกิจที่ได้รับความนิยมในโลกของ ransomware แทน แทนที่จะขายสคริปต์ของเขาเพียงครั้งเดียว เขาจะให้บริการส่วนของ backend และปล่อยให้นักต้มตุ๋นรายอื่นจัดการฟิชชิง ในขณะที่เขาจะคิดค่า commission 30% ของการปล้นแต่ละครั้ง

Bax อธิบายว่า Monkey เป็น “ผู้รวบรวมอาชญากรรม”นอกจากนี้ Monkey ยังต้องเป็นพนักงานขาย ช่อง Telegram ที่เหล่า scammer เข้ามาอ่านเปรียบเสมือนสถานที่ที่ไว้นำเสนอแคมเปญทางด้านการตลาด ซึ่งเขาจะขายไปยังผู้ที่มีโอกาสเป็นลูกค้า

การเติบโตแบบก้าวกระโดดแล้วหายตัวไปอย่างไร้ร่องรอย   

เมื่อถึงเดือนพฤศจิกายน Monkey’s Drainer ได้รับความนิยมอย่างมากจนเขาไม่เพียงหักเงินค่า commission ที่ได้จากการหลอกลวงลง 30% เท่านั้น แต่ยังคิดค่าธรรมเนียม 1,000 ดอลลาร์ในการเริ่มต้นอีกด้วย

การเพิ่มขึ้นอย่างรวดเร็วของ Monkey อย่างน้อยส่วนหนึ่งเป็นผลมาจากโพสต์ Twitter ในเดือนตุลาคมโดย ZachXBT ซึ่งเป็นบัญชียอดนิยมบน Twitter ที่ใช้ข้อมูลบล็อกเชนเพื่อเปิดเผยการหลอกลวงในแวดวง crypto 

เมื่อวันที่ 25 ตุลาคม ZachXBT ได้เผยแพร่การสืบสวนเกี่ยวกับ Monkey โดยเขียนว่า Monkey ได้ขโมย ETH ประมาณ 700 ETH ซึ่งเทียบเท่ากับประมาณ 1 ล้านดอลลาร์ในช่วง 24 ชั่วโมงที่ผ่านมา

มันเป็นเรื่องแปลกของ Twitter ที่หนึ่งในนักสืบวงการบล็อกเชนที่มีทักษะระดับเทพมากที่สุดกลับช่วยขับเคลื่อนนักต้มตุ๋นให้ประสบความสำเร็จยิ่งขึ้น 

ถึงกระนั้นแผนธุรกิจของ Monkey ทำงานโดยการโน้มน้าวให้นักต้มตุ๋นรายอื่นใช้โปรแกรมดูดข้อมูลของเขา และการนำเสนอโดย ZachXBT ก็ไม่ต่างจากการโฆษณา Super Bowl ให้กับ Monkey ไปแบบฟรี ๆ นั่นเอง

ที่สำคัญมันยังกระตุ้นให้เกิดการลอกเลียนแบบที่เสนอ drainer script โดยลดราคา 30% รวมถึงการพยายามเลียนแบบสคริปต์ด้วย Bax กล่าวว่าการเติบโตของ Monkey นำไปสู่การหลอกลวงรูปแบบดังกล่าวนี้ที่พุ่งสูงขึ้นเป็นอย่างมาก 

Monkey โน้มน้าวว่า Drainer ของเขาประสบความสำเร็จมากกว่า 25,000 ครั้งตลอดเดือนมกราคม โดยขโมยมากกว่า 15,000 ETH หรือประมาณ 24 ล้านดอลลาร์  

ในเดือนกุมภาพันธ์ ZachXBT เผยแพร่การสืบสวนใหม่ซึ่งมีรายละเอียดว่านักต้มตุ๋นที่รู้จักกันในชื่อ Loyalist ขโมยเงิน 4 ล้านดอลลาร์จากเหยื่อกว่า 400 รายโดยใช้ Monkey drainer โดย Monkey น่าจะได้ส่วนแบ่ง 30% จากมูลค่าความเสียหายทั้งหมด

มีผู้ลอกเลียนแบบเพิ่มขึ้นเช่นกัน หนึ่งในความนิยมมากที่สุดในช่วงสามเดือนที่ผ่านมามาจากนักต้มตุ๋นที่รู้จักกันในชื่อ Zentoh ซึ่งสร้าง drainer script ซึ่งจำลองมาจาก Monkey’s และคิดค่า commission ที่ 30%

scammer อีกคนที่รู้จักกันในชื่อ Kai ใช้ drainer เพื่อขโมยเงิน 4.3 ล้านเหรียญ ตามรายละเอียดของบริษัทรักษาความปลอดภัยทางไซเบอร์ Certik นั้น Kai ได้หลบหนีไปพร้อมกับเงินดังกล่าว โดยไม่ได้จ่ายเงินให้ Zentoh 30% ตามที่สัญญาไว้ Zentoh ที่สิ้นหวังมากขึ้นเรื่อยๆ ร้องขอเงินกับ Kai ผ่านชุดข้อความที่ส่งไปยัง Ethereum blockchain

“ฉันแค่ต้องการให้คุณภักดีเหมือนที่ฉันเคยปฏิบัติต่อคุณ” Zentoh กล่าว

จากนั้น Monkey ก็ลบบัญชี Telegram ของเขา” เขาเขียนข้อความอำลาในช่องโดยอ้างว่ากำลังจะก้าวไปสู่ ​​“สิ่งที่ดีกว่าที่เคยเป็นมา”

เขาไม่ได้ระบุเหตุผลในการอำลาครั้งนี้ แต่เขาแนะนำให้ลูกค้าหันมาใช้บริการคู่แข่งที่รู้จักกันในชื่อ Venom drainer ซึ่งช่อง Telegram นั้นเริ่มต้นในวันเดียวกับที่ Monkey ปิด Telegram ของตัวเอง  

นักต้มตุ๋นนิรนามมองว่า Monkey อาจออกจากวงการจริง ๆ หรือเพียงแค่เปลี่ยนแบรนด์เนื่องจากความร้อนแรงที่เกี่ยวข้องกับการสืบสวนของ ZachXBT ล่าสุด แม้ว่า ZachXBT จะบอกว่าไม่น่าเป็นไปได้ก็ตาม 

Bax ซึ่งทำงานร่วมกับ ZachXBT ในการสืบสวนกล่าวว่าการรักษาความปลอดภัยในการปฏิบัติงานของ Monkey มีช่องโหว่มากมาย“บางทีความนิยมของมันอาจมากเกินไปจนเขารับมือไม่ไหว” Joe Green นักวิจัยจาก Certik กล่าว 

“ด้วยสายตาที่จับจ้องไปที่ drainer เหล่านี้มากกว่าที่เคย ความผิดพลาดใดๆ ในวิธีการตั้งค่าอาจเปิดโปงเงื่อนงำในการระบุตัวตนของ scammer ได้”

บทสรุป

ก็ต้องบอกว่าตอนนี้เหล่า scammer นั้นได้พัฒนารูปแบบโมเดลธุรกิจของพวกเขาไปอีกขั้น จากเดิมที่เรียกได้ว่าความปลอดภัยในแวดวง crypto ที่คนทั่ว ๆ ไปก็อาจจะยากในการรับมือเหล่านักต้มตุ๋นเหล่านี้เป็นทุนเดิมอยู่แล้ว

เรียกได้ว่าตอนนี้เหยื่อที่ต้องประสบพบเจอกับเหล่าโจรในวงการนี้นั้น ไม่เพียงแต่ต้องแวดระวังกับเหล่า scammer ในเงามืดพวกนี้เพียงเท่านั้น แต่ยังต้องประสบพบเจอกับจอมโจรในคราบยอดอัจฉริยะแห่งวงกรอย่างที่เกิดขึ้นกับหลายๆ เคสในปีที่แล้ว ทั้ง do kwan ทั้ง sam bankman-fried หรือแม้กระทั่งหลายๆ เคสที่เกิดขึ้นในประเทศไทยเราเอง

กลายเป็นว่าแม้ผลตอบแทนจากวงการนี้จะสูงขนาดไหนก็ตาม แต่สุดท้ายทุกคนก็ต้องระแวดระวังตัวเพิ่มมากขึ้นไม่ให้ตกเป็นเหยื่อของแวดวง scammer ที่กำลังเติบโตไปพร้อมกับวงการ crypto ในตอนนี้นั่นเองครับผม

References :
https://www.cryptotimes.io/monkey-drainer-stole-800k-worth-cryptopunks-and-otherside-nfts/
https://fortune.com/crypto/2023/03/01/crypto-scammer-monkey-created-multimillion-dollar-empire-copycats-disappeared/
https://finance.yahoo.com/news/monkey-notorious-crypto-scammer-drained-145922801.html
https://beincrypto.com/scam-service-provider-monkey-drainer-shuts-shop/

• Facebook
• Twitter
• Line