ประมวลผลข่าวลือ Exchange ไทยโดนแฮกเหรียญรวมกว่า 1,700 ล้านบาท
เมื่อเร็ว ๆ นี้ มีเหตุการณ์ที่จุดประกายให้เกิดการถกเถียงอย่างร้อนแรงในแวดวงสินทรัพย์ดิจิทัลของประเทศไทย โดยเริ่มต้นขึ้นในช่วงต้นเดือนกันยายน พ.ศ. 2568 เมื่อมีการเผยแพร่เอกสารลับภายในฉบับหนึ่งในสื่อสังคมออนไลน์ ซึ่งสร้างความประหลาดใจให้กับนักลงทุนเป็นอย่างมาก
เอกสารดังกล่าวถูกนำมาเปิดเผยโดยเพจข่าวสารด้านธุรกิจและการเงิน ซึ่งระบุว่าเหตุการณ์นี้ได้เกิดขึ้นเมื่อประมาณ 4 ปีที่แล้ว สาระสำคัญของเอกสารนี้ชี้ให้เห็นว่ามีการโอนสินทรัพย์ดิจิทัลจำนวนมหาศาลออกจากศูนย์ซื้อขายสินทรัพย์ดิจิทัล (Exchange) แห่งหนึ่งที่ได้รับใบอนุญาตจากสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ออกไปมูลค่ากว่า 1,700 ล้านบาท
ปิดข่าวเงียบไม่ผิด?
มูลค่าของสินทรัพย์ที่ถูกอ้างว่าถูกโอนออกไปนั้นประกอบด้วยเหรียญคริปโตหลายประเภท เช่น ETH, USDT, MANA, UNI, OMG, และ RDN นอกจากนี้ เอกสารยังระบุถึงธุรกรรมการโอนเหรียญ JFIN จำนวน 4 ล้านเหรียญ ออกจาก Hot Wallet ของ Exchange แห่งหนึ่งในช่วงเวลาไล่เลี่ยกัน ทันทีที่ข่าวนี้แพร่กระจายไปทั่วสังคมออนไลน์ ได้เกิดคำถามสำคัญตามมามากมายจากทั้งนักลงทุนและผู้เชี่ยวชาญว่า หากเหตุการณ์นี้เป็นการโจมตีจริง เหตุใดจึงไม่มีการเปิดเผยข้อมูลนี้ต่อสาธารณะมานานหลายปี และใครจะเป็นผู้รับผิดชอบต่อความเสียหายที่เกิดขึ้น?
ทั้งนี้ จากข้อมูลที่ถูกเผยแพร่ในโพสต์ของนักลงทุนรายหนึ่งระบุหมายเลข Wallet Address ต้นทางที่ถูกกล่าวหาว่าเป็นของ Exchange แห่งหนึ่งที่มีการโอนเหรียญ JFIN จำนวน 4 ล้านเหรียญออกไปเมื่อช่วงปี 2564 โดยมีหมายเลขกระเป๋าเงินคือ Hot Wallet ซึ่งเป็นประเภทของกระเป๋าเงินดิจิทัลที่เชื่อมต่อกับอินเทอร์เน็ตอยู่ตลอดเวลา เพื่อความสะดวกในการทำธุรกรรมซื้อขาย ซึ่งมีความเสี่ยงในการถูกโจมตีทางไซเบอร์สูงกว่ากระเป๋าเงินแบบ Cold Wallet ที่เก็บสินทรัพย์แบบออฟไลน์
ต่อมาข้อมูลยังชี้ว่าเงินจากกระเป๋าเงินนี้ได้ถูกโอนต่อไปยังที่อยู่ปลายทางสองแห่งคือ โดยแห่งที่ 2 ที่อยู่หลังสุดไม่มีการเคลื่อนไหวใดๆ นับตั้งแต่การโอนเมื่อ 4 ปีก่อน เอกสารยังระบุว่าเหตุการณ์นี้มีการรายงานไว้เมื่อวันที่ 10 พฤศจิกายน 2564
เป็นแค่ข่าวลือจริงหรือ?
ทั้งนี้ หลักการสำคัญของบล็อกเชนคือความโปร่งใสและตรวจสอบได้ ธุรกรรมทั้งหมดที่เกิดขึ้นบนเครือข่าย Ethereum สามารถเข้าถึงได้โดยสาธารณะผ่านเครื่องมือที่เรียกว่า Blockchain Explorer (เช่น Etherscan) เครื่องมือเหล่านี้ทำหน้าที่เสมือนฐานข้อมูลสาธารณะที่อนุญาตให้ผู้ใช้สามารถตรวจสอบยอดคงเหลือและประวัติการทำธุรกรรมของที่อยู่กระเป๋าเงินดิจิทัลใดๆ ก็ตามได้ เพียงแค่มีหมายเลข Address
ดังนั้น ข้อมูลที่ปรากฏในเอกสารที่ถูกเผยแพร่จึงไม่ใช่เพียงแค่ "ข่าวลือ" ที่ไม่มีที่มา แต่เป็นชุดข้อมูลที่สามารถนำไปตรวจสอบยืนยันบนบล็อกเชนได้จริง เพราะการมีอยู่ของบล็อกเชนทำหน้าที่เป็น "พยาน" ที่ไม่โกหก และบันทึกประวัติการทำธุรกรรมไว้อย่างถาวร ทำให้เรื่องราวที่ถูกปกปิดมานานหลายปีสามารถปรากฏขึ้นสู่สาธารณะในขณะนี้
Tornado Cash ตัวแสบ
ขณะเดียวกันการวิเคราะห์ที่สำคัญอีกประการหนึ่งที่นักลงทุนในชุมชนคริปโตค้นพบจากการแกะรอยธุรกรรมคือ เงินจำนวนกว่า 21 ล้านดอลลาร์สหรัฐจากเหตุการณ์ที่ถูกกล่าวอ้างนี้ถูกโอนเข้าไปยังแพลตฟอร์มที่ชื่อว่า Tornado Cash ซึ่งเป็นโปรแกรมที่ทำงานบนเครือข่าย Ethereum ทำหน้าที่เป็น "คริปโตมิกเซอร์" หรือ "คริปโตทัมเบลอร์" (crypto mixer/tumbler) ในการรับเงินจากหลายๆ ที่อยู่ (addresses) เข้ามาใน "กองทุนรวม" (pooled fund) เดียวกัน
จากนั้นจึงอนุญาตให้ผู้ใช้สามารถถอนเงินออกจากกองทุนนั้นไปยังที่อยู่ใหม่ โดยที่การถอนนั้นจะไม่มีความเชื่อมโยงกับที่อยู่ต้นทางเลย นั่นเพราะเป้าหมายหลักของเครื่องมือนี้คือการเพิ่มความเป็นส่วนตัวให้กับผู้ใช้โดยการปกปิดเส้นทางการเงิน ทำให้ในทางปฏิบัติแล้ว Tornado Cash ได้กลายเป็นเครื่องมือยอดนิยมของกลุ่มอาชญากรไซเบอร์และกลุ่มฟอกเงิน
น้ำหนักข้อมูลเริ่มเอนเอียง
การปรากฏของ Tornado Cash ในเส้นทางธุรกรรมนี้ถือเป็นข้อบ่งชี้ที่สำคัญอย่างยิ่ง การโอนสินทรัพย์จำนวนมหาศาลเข้าไปในแพลตฟอร์มที่ถูกใช้ในการฟอกเงินอย่างกว้างขวาง ทำให้ "สมมติฐานการแฮก" มีน้ำหนักมากขึ้นอย่างท่วมท้นเมื่อเทียบกับ "สมมติฐานความผิดพลาดในการทำธุรกรรมของมนุษย์" ดังที่บางฝ่ายตั้งข้อสังเกตไว้
หากเป็นการโอนผิดพลาดโดยไม่ได้ตั้งใจตามปกติแล้ว ผู้กระทำควรจะรีบประสานงานเพื่อกู้คืนสินทรัพย์โดยเร็วที่สุด ไม่ใช่การใช้แพลตฟอร์มที่ถูกออกแบบมาเพื่ออำพรางเส้นทางการเงิน ซึ่งการกระทำเช่นนี้เป็นการบ่งชี้อย่างชัดเจนว่าเป็นการจงใจปกปิดการเคลื่อนย้ายสินทรัพย์อย่างเป็นระบบ ซึ่งเป็นพฤติกรรมที่สอดคล้องกับการโจรกรรมทางไซเบอร์
ระดับความปลอดภัยของ Exchange
สำหรับนักลงทุนการทำความเข้าใจหลักการจัดการสินทรัพย์ของ Exchange เป็นสิ่งสำคัญในการประเมินสถานการณ์ เพราะ Exchange ที่น่าเชื่อถือจะไม่มีการเก็บสินทรัพย์ลูกค้าทั้งหมดไว้ในกระเป๋าเงินประเภทเดียว แต่จะใช้ระบบบริหารจัดการสินทรัพย์ที่แบ่งประเภทกระเป๋าเงินตามระดับความปลอดภัย เริ่มที่ Hot Wallet คือ กระเป๋าเงินที่เชื่อมต่ออินเทอร์เน็ตตลอดเวลา ใช้สำหรับรองรับการฝากถอนและทำธุรกรรมที่มีความถี่สูง มีความเสี่ยงในการถูกโจมตีทางไซเบอร์สูงสุด
ถัดมาคือ Cold Wallet กระเป๋าเงินที่เก็บแบบออฟไลน์ ไม่มีการเชื่อมต่ออินเทอร์เน็ต ใช้สำหรับเก็บสินทรัพย์จำนวนมากเพื่อความปลอดภัยสูงสุด และ Warm Wallet กระเป๋าเงินที่อยู่กึ่งกลางระหว่าง Hot และ Cold อาจเป็นซอฟต์แวร์บนอุปกรณ์ที่ไม่ได้เชื่อมต่ออินเทอร์เน็ตตลอดเวลา หรือต้องมีการตรวจสอบสิทธิ์เพิ่มเติมเพื่อทำธุรกรรม
ระบบป้องกันมีช่องโหว่
ข่าวที่ถูกเผยแพร่ระบุว่าการโจมตีเกิดขึ้นที่ Warm Wallet ซึ่งเป็นส่วนสำคัญในการดำเนินงานประจำวันของ Exchange ข้อมูลระบุว่ามีการถอนเงินจาก Exchange ดังกล่าวจริง และคาดว่าน่าจะเป็น Warm Wallet หรือ Deposited Wallet โดยการที่ผู้โจมตีสามารถเจาะเข้าถึงกระเป๋าเงินประเภทนี้ได้นั้นบ่งชี้ถึงช่องโหว่ทางไซเบอร์ที่ร้ายแรงในระดับโครงสร้างพื้นฐานของระบบ และไม่ได้เป็นเพียงความผิดพลาดเล็กน้อยที่เกิดจากผู้ใช้งานแต่ละราย
ย้อนเหตุการณ์แฮกสำคัญ
นั่นทำให้ฝ่ายที่เชื่อว่านี่คือการโจมตีทางไซเบอร์ มีหลักฐานที่หนักแน่นในการสนับสนุนสมมติฐานนี้ โดยเฉพาะการที่สินทรัพย์ถูกโอนออกไปหลากหลายประเภทด้วยมูลค่ามหาศาล และที่สำคัญที่สุดคือการใช้บริการ Crypto Mixer อย่าง Tornado Cash ซึ่งเป็นเครื่องมือที่อาชญากรไซเบอร์ใช้ในการฟอกเงินและอำพรางเส้นทางการเงิน
เหตุการณ์ลักษณะนี้มีความคล้ายคลึงกับกรณีแฮกที่มีชื่อเสียงระดับโลกในอดีต เช่น การโจมตี Mt. Gox ที่ทำให้เกิดความเสียหายกว่า 473 ล้านดอลลาร์สหรัฐ หรือการโจมตี Ronin Bridge และ DMM Bitcoin ซึ่งมักเกี่ยวข้องกับการโจรกรรมสินทรัพย์จำนวนมากออกจากระบบที่เชื่อมต่อกับอินเทอร์เน็ต
ทำผิดพลาดเองน้ำหนักเริ่มน้อย
ขณะที่อีกฝ่ายมองว่าอาจเป็นความผิดพลาดของมนุษย์ในการทำธุรกรรม เนื่องจากมีการตั้งข้อสังเกตว่าสินทรัพย์บางส่วนที่ถูกโอนไปไม่มีการเทขาย อย่างไรก็ตาม ข้อถกเถียงนี้มีจุดอ่อนอย่างมีนัยสำคัญ เพราะหากเป็นเพียงการโอนผิดพลาดตามปกติ ไม่มีความจำเป็นใดๆ ที่ต้องส่งเงินผ่าน Crypto Mixer ที่ถูกคว่ำบาตรโดยหน่วยงานกำกับดูแลระดับโลกและถูกเชื่อมโยงกับการฟอกเงิน การกระทำเช่นนี้จึงไม่สามารถอธิบายได้ด้วยเหตุผลของ "ข้อผิดพลาด" และเป็นการชี้ให้เห็นถึงเจตนาที่จงใจในการปกปิดและซ่อนเร้นการเคลื่อนย้ายสินทรัพย์มากกว่า
ปฏิกิริยาตลาดความเชื่อมั่นวูบ!
ปัญหาดังกล่าวทำให้เกิดภาวะวิกฤตความเชื่อมั่น เพราะทันทีที่ข่าวลือเรื่องการแฮกแพร่กระจายไปในวงกว้าง ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลรายใหญ่ในประเทศไทยหลายรายได้แก่ Binance TH, Bitkub, Maxbit และ Orbix ได้ออกมาแสดงท่าทีปฏิเสธและชี้แจงสถานะของตนเองอย่างรวดเร็ว โดยเฉพาะ Bitkub และ Binance TH ได้ออกแถลงการณ์อย่างเป็นทางการเพื่อยืนยันว่าระบบของพวกเขามีความปลอดภัย และสินทรัพย์ของลูกค้ายังคงอยู่ครบถ้วน การตอบสนองที่รวดเร็วนี้สะท้อนให้เห็นว่าผู้ประกอบธุรกิจมองว่าข่าวลือนี้เป็นภัยคุกคามต่อความเชื่อมั่นของอุตสาหกรรมโดยรวม หากปล่อยให้ความกังวลแพร่หลายโดยไม่มีการชี้แจง อาจส่งผลกระทบต่อตลาดทั้งหมดได้
เพียงเท่านี้เหรอผู้ควบคุม?
จากกระแสข่าวที่เกิดขึ้น สำนักงาน ก.ล.ต. ในฐานะหน่วยงานกำกับดูแลได้ออกแถลงการณ์ทันทีว่ากำลังตรวจสอบข้อเท็จจริง และประสานงานกับผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่ถูกกล่าวอ้างเพื่อให้ชี้แจงต่อ ก.ล.ต. โดยเร็ว ต่อมา ก.ล.ต. ได้ออกแถลงการณ์อีกครั้งโดยระบุว่าจากการตรวจสอบเบื้องต้นแล้วพบว่าทรัพย์สินดิจิทัลของลูกค้า ณ วันที่ 8 กันยายน 2568 ยังคง "ปลอดภัยและครบถ้วน" และได้ขอให้ประชาชนติดตามข่าวสารจากช่องทางทางการของ ก.ล.ต. และผู้ประกอบธุรกิจเท่านั้น
การสื่อสารของ ก.ล.ต. ในครั้งนี้มุ่งเน้นไปที่การสร้างความมั่นใจในสถานการณ์ปัจจุบัน แต่ไม่ได้ให้คำตอบที่ชัดเจนเกี่ยวกับเหตุการณ์ที่เกิดขึ้นในอดีต ซึ่งทำให้เกิดช่องว่างในการสื่อสารระหว่างการยืนยัน "ความปลอดภัยในปัจจุบัน" กับการปฏิเสธ "เหตุการณ์ในอดีต" โดยสิ้นเชิง ซึ่งเป็นประเด็นที่นักลงทุนต้องการความโปร่งใสในระยะยาวยังคงตั้งคำถาม
ที่ผ่านมา การบริหารความเสี่ยงของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลอยู่ภายใต้การกำกับดูแลของ ก.ล.ต. โดยมีเกณฑ์การดำรงเงินกองทุนสภาพคล่องสุทธิ (Net Capital Rule หรือ NCR) เป็นมาตรการสำคัญ อีกทั้งในข้อกฎหมายได้กำหนดให้ Exchange ที่มีการเก็บรักษาทรัพย์สินลูกค้าต้องดำรงเงินกองทุนสภาพคล่องสุทธิไม่น้อยกว่า 15 ล้านบาท หรือไม่น้อยกว่า 5% ของมูลค่าทรัพย์สินของลูกค้า และยังมีข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ที่เข้มงวด รวมถึงการตรวจสอบด้านไอที (IT Security Audit) และการทดสอบเจาะระบบ (Penetration Test)
แม้จะไม่มีการยืนยันอย่างเป็นทางการว่าเหตุการณ์ที่ถูกกล่าวอ้างเกี่ยวข้องกับการเปลี่ยนแปลงใดๆ แต่การตรวจสอบข้อมูลย้อนหลังพบว่า ก.ล.ต. ได้มีการปรับปรุงหลักเกณฑ์ด้านเงินทุนและ NCR ให้มีความเข้มงวดมากขึ้นในปลายปี พ.ศ. 2567 โดยกำหนดให้เงินกองทุนขั้นต่ำคงที่ต้องมีมูลค่า 25 ล้านบาท และมีการกำหนดอัตราเงินกองทุนที่ผันแปรตามสัดส่วนการเก็บสินทรัพย์ใน Hot Wallet ซึ่งเป็นมาตรการที่มุ่งเน้นการจัดการความเสี่ยงจากกระเป๋าเงินที่เชื่อมต่อกับอินเทอร์เน็ตมากขึ้น
การเปลี่ยนแปลงกฎระเบียบนี้อาจเป็นผลมาจากบทเรียนที่ได้รับจากการเฝ้าระวังและตรวจสอบปัญหาที่เกิดขึ้นในอุตสาหกรรมก่อนหน้านี้ ซึ่งบ่งชี้ว่าเหตุการณ์ที่เกิดขึ้นในอดีตทำหน้าที่เป็นตัวเร่งให้เกิดการยกระดับมาตรฐานความปลอดภัยในวงกว้าง
ธรรมาภิบาล-ความโปร่งใส Exchange
หากเหตุการณ์การโจมตีทางไซเบอร์ที่ถูกกล่าวอ้างนี้เป็นเรื่องจริง การที่เรื่องนี้ถูกปกปิดมานานหลายปีอาจทำให้นักลงทุนตั้งคำถามถึงธรรมาภิบาลและความโปร่งใสของ Exchange และอุตสาหกรรมโดยรวม เพราะตามหลักการกำกับดูแลแล้ว หากเกิดเหตุการณ์ที่สินทรัพย์ลูกค้าสูญหาย ผู้ประกอบธุรกิจมีหน้าที่ต้องรายงานต่อ ก.ล.ต. อย่างรวดเร็ว การละเว้นการรายงานจึงอาจถือเป็นการละเมิดหลักการดังกล่าว
นอกจากนี้ ประเด็นด้านธรรมาภิบาลอื่นๆ ที่เกี่ยวข้องเช่น กรณี Bitkub ในอดีตที่ ก.ล.ต. ใช้มาตรการลงโทษทางแพ่งกับประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ในข้อหาใช้ข้อมูลภายในในการซื้อเหรียญ KUB สะท้อนให้เห็นว่าประเด็นด้านการกำกับดูแลตนเองและความโปร่งใสอาจเป็นความท้าทายเชิงระบบที่สำคัญของผู้ประกอบธุรกิจประเภทนี้
เมื่อหวังพึ่งพา ระบบและความจริงใจไม่ได้ 100% นักลงทุนเองก็ควรย้อนมาพิจารณาตนเอง ด้วยการกระจายความเสี่ยง โดยไม่ควรเก็บสินทรัพย์ดิจิทัลทั้งหมดไว้ใน Exchange ควรพิจารณาใช้ Hardware Wallet หรือ Cold Storage สำหรับการเก็บรักษาสินทรัพย์ระยะยาว เพื่อลดความเสี่ยงจากการโจมตีของระบบส่วนกลาง
พร้อมกันนี้ ควรส่งเสริมให้นักลงทุนเรียนรู้วิธีการใช้เครื่องมือ Blockchain Explorer ด้วยตนเองเพื่อตรวจสอบความโปร่งใสของ Exchange หรือตรวจสอบสถานะของกระเป๋าเงินดิจิทัลที่ตนเองสนใจ และประเมินความน่าเชื่อถือของ Exchange นอกเหนือจากการตรวจสอบใบอนุญาตจาก ก.ล.ต. นั่นหมายถึงควรพิจารณาจากประวัติการจัดการความปลอดภัยและประเด็นด้านธรรมาภิบาลของผู้ประกอบธุรกิจประกอบด้วย
ยกระดับการตรวจสอบ
ส่วน ก.ล.ต. ควรพิจารณาการตรวจสอบเชิงลึกและสม่ำเสมอมากขึ้นในเรื่องของความปลอดภัยทางไซเบอร์ และการบริหารจัดการ Wallet ของ Exchange โดยไม่เพียงแต่การตรวจสอบเอกสารที่รายงานเข้ามา
นอกจากนี้ ก.ล.ต. ควรออกกฎเกณฑ์ที่ชัดเจนและเข้มงวดมากขึ้นเกี่ยวกับการรายงานเหตุการณ์ผิดปกติที่มีผลกระทบอย่างมีนัยสำคัญต่อลูกค้าและตลาด เพื่อให้มั่นใจว่าข้อมูลจะถูกเปิดเผยต่อสาธารณะอย่างรวดเร็วและโปร่งใสหากเกิดเหตุการณ์ขึ้นจริง
คำถามที่ยังรอคำตอบ
ต้องยอมรับว่าเหตุการณ์ข่าวลือการโจมตี Exchange คริปโตไทยเมื่อ 4 ปีก่อนนี้ได้กลายเป็นกรณีศึกษาที่สำคัญสำหรับอุตสาหกรรมสินทรัพย์ดิจิทัลในประเทศไทย แม้ว่าเรื่องนี้จะเริ่มต้นจากเอกสารลับที่รั่วไหล แต่ข้อมูลที่ปรากฏในเอกสารสามารถยืนยันได้บนบล็อกเชนสาธารณะ ซึ่งได้เปลี่ยนสถานะของเรื่องนี้จากข่าวลือธรรมดาให้กลายเป็นประเด็นที่น่าจับตา การที่สินทรัพย์จำนวนมหาศาลถูกโอนเข้าสู่แพลตฟอร์มอย่าง Tornado Cash ได้เพิ่มน้ำหนักให้กับสมมติฐานการโจรกรรมอย่างมีนัยสำคัญ
การตอบสนองอย่างรวดเร็วของ Exchange รายใหญ่และ ก.ล.ต. มุ่งเน้นไปที่การสร้างความมั่นใจให้กับนักลงทุนในสถานการณ์ปัจจุบัน โดยยืนยันว่าสินทรัพย์ลูกค้ายังคงปลอดภัยนั้น ยังขาดคำตอบที่ชัดเจนเกี่ยวกับสิ่งที่เกิดขึ้นในอดีต และได้ทิ้งคำถามสำคัญไว้ในใจของนักลงทุนหลายคนแล้ว ในขณะนี้
