ข้อผิดพลาดในการคัดลอก–วางทำให้นักลงทุน Ethereum สูญเสีย 12,4 ล้านดอลลาร์สหรัฐ

ผู้ใช้ Ethereum รายหนึ่งสูญเสีย ETH จำนวน 4.556 ETH มูลค่ากว่า 12.4 ล้านดอลลาร์สหรัฐ หลังจากส่งเงินเข้าไปยังที่อยู่ปลอมที่แฮกเกอร์สร้างขึ้นในกรณีหลอกลวง “การทำให้ที่อยู่เป็นพิษ” (address poisoning)

จากข้อมูลวิเคราะห์ แฮกเกอร์ได้สร้างที่อยู่กระเป๋าเงินที่ตัวอักษรต้นและท้ายตรงกับที่อยู่รับเงินที่ถูกต้องของ Galaxy Digital จากนั้น แฮกเกอร์ส่งธุรกรรมขนาดเล็กเข้าไปในกระเป๋าของเหยื่อเพื่อให้ที่อยู่ปลอมนี้ปรากฏในประวัติธุรกรรม ทำให้ดูคุ้นเคยและน่าเชื่อถือ

เนื่องจากพฤติกรรมการทำธุรกรรมที่บ่อยครั้งและต้องการดำเนินการอย่างรวดเร็ว เหยื่อจึงเปิดประวัติธุรกรรม คัดลอกที่อยู่ปลอมโดยไม่ได้ตรวจสอบทั้งชุดตัวอักษร ความผิดพลาดในการคัดลอก–วางนี้ทำให้ ETH จำนวน 4.556 ถูกโอนไปยังกระเป๋าของแฮกเกอร์โดยตรง

วิธีการหลอกลวงแบบทำให้ที่อยู่เป็นพิษกำลังเพิ่มขึ้นในวงการคริปโต เมื่อแฮกเกอร์ใช้ประโยชน์จากการที่ผู้ใช้ตรวจสอบเพียงไม่กี่ตัวอักษรแรกและสุดท้ายของที่อยู่ก่อนส่ง ในช่วงปลายปี 2025 นักลงทุนอีกคนก็สูญเสียเงินถึง 50 ล้านดอลลาร์สหรัฐในลักษณะเดียวกัน แม้ว่าจะลองโอนเงินจำนวนเล็กน้อยก่อนหน้านี้ การทดลองโอนนี้ถูกแฮกเกอร์ใช้ประโยชน์เพื่อสร้างที่อยู่ปลอมที่มีลักษณะคล้ายกัน ส่งผลให้เหยื่อส่งเงินจำนวนเต็มผิดพลาด

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ไม่ควรคัดลอกที่อยู่จากประวัติธุรกรรม ควรตรวจสอบให้แน่ใจว่าที่อยู่กระเป๋าเงินสมบูรณ์ก่อนส่งเงิน นอกจากนี้ ควรใช้ ENS หรือบันทึกที่อยู่ที่เชื่อถือได้ในสมุดรายชื่อกระเป๋าเพื่อลดความเสี่ยง นักลงทุนบางรายยังแนะนำให้แบ่งการทำธุรกรรมขนาดใหญ่เป็นส่วนย่อย ๆ แทนการโอนทั้งหมดในครั้งเดียวเพื่อจำกัดความเสียหายหากเกิดข้อผิดพลาด