Eric Conner นักพัฒนาหลักของ Ethereum และอดีตสมาชิกของ Ethereum Foundation ได้ออกมาร้องเรียนต่อสาธารณะเมื่อเร็วๆ นี้เกี่ยวกับการล็อกบัญชี Coinbase ที่ผิดปกติบน Twitter และแสดงความไม่พอใจอย่างตรงไปตรงมา เขากล่าวว่า: "ผมต้องการส่ง ETH ให้เพื่อน และมีคำถามแบบสุ่มเกี่ยวกับธุรกรรมของผมปรากฏขึ้นในอินเทอร์เฟซผู้ใช้ เห็นได้ชัดว่าคำตอบของผมไม่ได้รับการตรวจสอบ ดังนั้นผมจึงต้องรีเซ็ตรหัสผ่าน และบัญชีของผมก็ถูกล็อค??? คุณล้อเล่นกับผมเหรอ" และแนบภาพหน้าจอบัญชีของเขาที่ถูกจำกัดการใช้งาน

หลังจากกรอกคำถามที่ปรากฏบนหน้าเมื่อส่งการดำเนินการธุรกรรม แพลตฟอร์มก็แสดงคำเตือนเกี่ยวกับการยกเลิกธุรกรรมขึ้นมา เหตุผลที่ Coinbase ให้ไว้คือเชื่อว่าผู้หลอกลวงอาจพยายามเข้าถึงบัญชี Coinbase เพื่อปกป้องความปลอดภัยของบัญชี แพลตฟอร์มจึงได้ยกเลิกธุรกรรมนี้และจำกัดกิจกรรมบัญชีบางส่วนเป็นการชั่วคราว ขณะเดียวกัน ผู้ใช้จะต้องรีเซ็ตรหัสผ่านของตน จากนั้นเอริคพบว่าการโอนสกุลเงินดิจิทัลของเขาถูกจำกัด

ซ้าย: การยกเลิกธุรกรรม คำเตือนการเปลี่ยนรหัสผ่าน ขวา: คำเตือนการจำกัดการโอน

บางทีอาจเป็นเพราะพวกเขาได้รับผลกระทบจาก Coinbase มานานแล้ว ผู้ใช้จึงเริ่มบ่นภายใต้ทวีตของ Eric Alex Svanevik ซีอีโอของ Nansen ให้ความเห็นว่า “ยินดีต้อนรับสู่ขุมนรกของ Coinbase” ที่ปรึกษาฝ่ายบริหารและนักลงทุน Ethereum “DCinvestor.eth” กล่าวว่า “ฉันขอแนะนำว่าไม่ควรส่งเงินไปยังที่อยู่ที่ไม่ใช่ของคุณผ่าน Coinbase ให้ส่งไปที่กระเป๋าเงินบนเครือข่ายของคุณก่อน จากนั้นจึงส่งไปยังที่ใดก็ได้ที่คุณต้องการ”

เนื่องจาก Coinbase Wallet เป็นกระเป๋าเงินแบบไม่ต้องควบคุมซึ่งอ้างว่าผู้ใช้มี "การควบคุมเต็มรูปแบบเหนือคีย์ส่วนตัว" ดังนั้น Coinbase Wallet จึงควรมีการกระจายอำนาจในระดับสูง อย่างไรก็ตาม เหตุการณ์นี้เผยให้เห็นถึงความขัดแย้งในตรรกะพื้นฐานของแพลตฟอร์ม แม้ว่าจะเน้นย้ำถึงความโดดเด่นของผู้ใช้ แต่ก็ยังคงต้องอาศัยเซิร์ฟเวอร์รวมศูนย์ในการนำกลยุทธ์การควบคุมความเสี่ยงไปใช้ และล็อกบัญชีโดยตรงเมื่อผู้ใช้ไม่ผ่านการตรวจสอบ การเคลื่อนไหวนี้ดึงดูดความสนใจและการพูดคุยอย่างกว้างขวางในชุมชน crypto อย่างไม่ต้องสงสัย - เป็นไปได้หรือไม่ว่า Coinbase กำลังควบคุมความเสี่ยงมากเกินไปหรือสภาพแวดล้อมอุตสาหกรรมในปัจจุบันบังคับให้แพลตฟอร์มการซื้อขายต้องเสริมมาตรการรักษาความปลอดภัย?

มาตรการรักษาความปลอดภัยเป็นแบบเดียวกันทั้งหมด และการจัดการบัญชีก็มีการถกเถียงกันมานาน

นี่ไม่ใช่ครั้งแรกที่แนวทางการรักษาความปลอดภัยที่เข้มงวดของ Coinbase ก่อให้เกิดการโต้แย้ง ในเดือนมกราคม พ.ศ. 2568 อดีตพนักงาน Coinbase กล่าวหาต่อสาธารณะว่าบัญชีของเขาถูกระงับเป็นเวลาสองเดือนโดยไม่มีเหตุผล ทำให้เขาไม่สามารถจ่ายเงินค่าจัดงานแต่งงานได้ เขากล่าวว่าบัญชีดังกล่าวถูกใช้เพื่อรับค่าจ้างและทำธุรกรรมสกุลเงินดิจิทัลมานานแล้ว และไม่เคยมีกิจกรรมผิดปกติใดๆ มาก่อน อย่างไรก็ตาม Coinbase ปฏิเสธที่จะให้เหตุผลที่เฉพาะเจาะจงสำหรับการหยุดให้บริการ โดยอ้างว่าเป็น "การคุ้มครองผู้ใช้" และไม่ได้จัดให้มีช่องทางการอุทธรณ์ที่มีประสิทธิผล เหตุการณ์นี้ทวีความรุนแรงขึ้นอย่างรวดเร็ว และทำให้ความสงสัยของตลาดเกี่ยวกับกลไกการจัดการบัญชีของ Coinbase เพิ่มมากขึ้น

ในช่วงไม่กี่ปีที่ผ่านมา Coinbase ได้นำกลยุทธ์การควบคุมความเสี่ยงที่รอบคอบมาใช้ในการจัดการบัญชีผู้ใช้ มาตรการที่เข้มงวดนี้สามารถลดความเสี่ยงที่การแลกเปลี่ยนจะถูกแฮ็กได้ในระดับหนึ่ง แต่การพึ่งพาระบบควบคุมความเสี่ยงอัตโนมัติมากเกินไปและการขาดความโปร่งใสในรูปแบบการดำเนินงานยังก่อให้เกิดปัญหาแก่ผู้ใช้ที่ไม่บริสุทธิ์จำนวนมากอีกด้วย โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ Web3 ที่เน้นการกระจายอำนาจและการควบคุมอัตโนมัติ เหตุผลของมาตรการควบคุมความเสี่ยงแบบรวมศูนย์ดังกล่าวได้รับการวิพากษ์วิจารณ์

ช่องโหว่ของบริการของบุคคลที่สามอาจกลายเป็นจุดอ่อนในห่วงโซ่ความปลอดภัย

แม้ว่า Coinbase และแพลตฟอร์มการซื้อขายอื่นๆ จะยังคงเสริมสร้างกลไกการควบคุมความเสี่ยงภายในให้แข็งแกร่งยิ่งขึ้น แต่การพึ่งพาภายนอกอาจยังคงกลายเป็นช่องโหว่ที่ใหญ่ที่สุดในห่วงโซ่ความปลอดภัย กรณีทั่วไปคือเหตุการณ์ด้านความปลอดภัยล่าสุดของ Binance

เมื่อวันที่ 25 กุมภาพันธ์ที่ผ่านมา มีโพสต์ที่กล่าวหาว่าแฮกเกอร์โอนทรัพย์สินผ่านซองแดงถูกส่งต่อกันอย่างกว้างขวางบน Twitter โดยทวีตดังกล่าวอธิบายว่าบัญชี Binance อีเมล และ Google Authenticator ของผู้ใช้ถูกแฮ็กทั้งหมด แม้ว่าแฮกเกอร์จะไม่สามารถถอนเงินได้ตามปกติและต้องรอ 24 ชั่วโมงจึงจะถอนเงินได้แม้จะเปลี่ยนรหัสผ่านแล้วก็ตาม แต่ฟังก์ชันซองแดงของ Binance สามารถใช้งานได้ตามปกติ เช่นเดียวกับข้อบกพร่องที่ทำให้แฮกเกอร์สามารถโอนทรัพย์สินผ่านซองแดงได้ทันที

ภาพแสดงบันทึกการโอนซองแดงของบัญชี Binance ของผู้ใช้ที่ถูกขโมย

สิ่งที่น่ากังวลยิ่งกว่าคือเพียงหนึ่งวันต่อมา บริษัทรักษาความปลอดภัย SlowMist CISO 23 pd ออกมาเตือนบน Twitter ว่าผู้ใช้บางรายได้รับ "ข้อความอย่างเป็นทางการของ Binance ปลอม" และข้อความดังกล่าวปรากฏในเธรดสนทนาเดียวกันกับการแจ้งเตือนอย่างเป็นทางการของ Binance ครั้งก่อน วิธีโจมตีปลอมที่แม่นยำนี้หมายความว่าแฮกเกอร์อาจแทรกซึมเข้าไปในส่วนหนึ่งของห่วงโซ่อุปทานบริการ SMS ของบุคคลที่สาม ส่งผลให้เพิ่มความลับและอัตราความสำเร็จของการโจมตี

ในทางกลับกัน แม้ว่า Coinbase จะไม่เคยถูกโจมตีในลักษณะเดียวกัน แต่บริการสินเชื่อสกุลเงินดิจิทัลล่าสุดกลับประสบปัญหาการล่าช้าและประสิทธิภาพลดลง ซึ่งบ่งชี้ว่าอาจมีความเสี่ยงที่อาจเกิดขึ้นได้ในสถาปัตยกรรมทางเทคนิคของแพลตฟอร์ม สำหรับการแลกเปลี่ยนนั้น นอกเหนือจากการเสริมสร้างการป้องกันระบบของตนเองแล้ว พวกเขายังต้องปรับปรุงความสามารถในการตรวจสอบความปลอดภัยของบริการของบุคคลที่สาม (เช่น อีเมล ข้อความ ตัวตรวจสอบความถูกต้อง ฯลฯ) เพื่อป้องกันไม่ให้ลิงก์ภายนอกกลายเป็นช่องโหว่ให้แฮกเกอร์สามารถฝ่าเข้ามาได้

ณ ไตรมาสแรกของปี 2025 ฐานผู้ใช้ Coinbase ทั่วโลกมีมากกว่า 56 ล้านราย อย่างไรก็ตาม ด้วยการขยายตัวอย่างรวดเร็วของฐานผู้ใช้ จุดบกพร่องของแพลตฟอร์มในการสนับสนุนบริการลูกค้าและการจัดการบัญชีก็ถูกเปิดเผยออกมาทีละน้อย

Coinbase ถูกวิพากษ์วิจารณ์มายาวนานถึงมาตรฐานการตรวจสอบโทเค็นที่ไม่โปร่งใส และความระมัดระวังอย่างยิ่งต่อการปฏิบัติตามกฎยังดูเหมือนจะสะท้อนให้เห็นในการจัดการบัญชี ทำให้ผู้ใช้หลายรายประสบความยากลำบากในการได้รับคำอธิบายที่ชัดเจนหลังจากที่บัญชีของพวกเขาถูกล็อค ในกรณีที่บัญชีของอดีตพนักงานถูกระงับ ผู้ใช้งานอ้างว่า Coinbase "ไม่ได้ให้การสนับสนุนอย่างมีประสิทธิผลเป็นเวลาสองเดือน" ซึ่งยิ่งเน้นย้ำถึงปัญหาของการตอบสนองฝ่ายบริการลูกค้าที่ไม่เพียงพอ

ในทางกลับกัน เมื่อต้องรับมือกับการโจมตีจากแฮ็กเกอร์ Binance แนะนำให้ผู้ใช้เปิดใช้งานการเข้าสู่ระบบแบบไบโอเมตริกซ์เท่านั้น แต่ไม่ได้ใช้มาตรการคัดกรองในวงกว้างอย่างจริงจัง สิ่งนี้แสดงให้เห็นว่ากลยุทธ์การรักษาความปลอดภัยปัจจุบันของการแลกเปลี่ยนหลักยังคงมีแนวโน้มที่จะเป็นการป้องกันแบบพาสซีฟมากกว่าการตรวจสอบเชิงรุกและการเตือนความเสี่ยง สำหรับผู้ใช้ นั่นหมายความว่าเมื่อพวกเขาพบความผิดปกติของบัญชี พวกเขามักจะสามารถพึ่งพาได้เพียง "ชื่อเสียง" ของแพลตฟอร์มเท่านั้น แทนที่จะใช้กลไกการแก้ปัญหาที่ชัดเจนและคาดการณ์ได้

ไม่ว่าจะเป็นเหตุการณ์ล็อคบัญชี Coinbase หรือกรณีของผู้ใช้ Binance ที่ตกเป็นเหยื่อการโจมตีแบบฟิชชิ่ง ทั้งหมดนี้ล้วนเผยให้เห็นถึงปัญหาที่ตลาดการแลกเปลี่ยนกำลังเผชิญอยู่ในปัจจุบัน: การควบคุมความเสี่ยงที่มากเกินไปจะทำให้ผู้ใช้ที่บริสุทธิ์ต้องเข้าไปพัวพันและส่งผลกระทบต่อประสบการณ์ในการซื้อขาย นโยบายด้านความปลอดภัยที่หย่อนยานเกินไปอาจเปิดโอกาสให้กับแฮกเกอร์ได้ ภายใต้สถานการณ์ที่อุตสาหกรรมพัฒนาอย่างรวดเร็ว แพลตฟอร์มการซื้อขายไม่เพียงแค่ต้องสร้างระบบควบคุมความเสี่ยงที่มีประสิทธิภาพมากขึ้นเท่านั้น แต่ยังต้องปรับปรุงความโปร่งใส ประสบการณ์ของผู้ใช้ และการตอบสนองต่อบริการลูกค้าอย่างต่อเนื่องอีกด้วย มิฉะนั้น เมื่อเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยเกิดขึ้นบ่อยครั้ง และความไว้วางใจของผู้ใช้ลดลง แม้แต่มาตรการควบคุมความเสี่ยงที่เข้มงวดที่สุดก็ไม่สามารถย้อนกลับการสูญเสียของผู้ใช้ได้