Threat Intelligence กับการวิเคราะห์ Address พฤติกรรมน่าสงสัยบน Blockchain
สวัสดีครับ ในโลกของคริปโตเคอร์เรนซี (Cryptocurrency) และบล็อกเชน (Blockchain) ที่มีอัตราการเติบโตสูงในช่วงหลายปีที่ผ่านมา สิ่งหนึ่งที่เติบโตควบคู่กันอย่างน่ากังวลคือ ภัยคุกคามทางไซเบอร์ ทั้งฟิชชิ่ง (Phishing), การฉ้อโกง (Fraud), การฟอกเงิน (Money Laundering), และการแฮกกระเป๋าเงิน (Wallet Hacking) ล้วนเป็นภัยที่เกิดขึ้นซ้ำแล้วซ้ำเล่า จนทำให้ความปลอดภัยในโลกคริปโตกลายเป็นประเด็นสำคัญระดับโลก
หนึ่งในแนวทางการรับมือที่มีประสิทธิภาพ คือการใช้ Threat Intelligence (TI) หรือข่าวกรองด้านภัยคุกคาม เพื่อทำความเข้าใจ ติดตาม และคาดการณ์พฤติกรรมของผู้โจมตี โดยเฉพาะการวิเคราะห์ Address หรือ Wallet ที่มีพฤติกรรมน่าสงสัย บนบล็อกเชนที่โปร่งใสแต่ซับซ้อน
ความแตกต่างของ Threat Intelligence บน Blockchain
Threat Intelligence ในโลกแบบเดิม เช่นระบบ IT หรือเครือข่ายองค์กร จะพิจารณาข้อมูลอย่าง IP, Domain, Hash, หรือพฤติกรรมการเข้าถึงระบบ ส่วนในโลกของ Blockchain เราได้เปรียบตรงที่ ทุกธุรกรรมถูกบันทึกอย่างโปร่งใส และตรวจสอบย้อนกลับได้ผ่าน public ledger
แต่ปัญหาคือ ความโปร่งใสไม่ได้แปลว่า “เข้าใจง่าย”
ในเชิง Threat Intelligence บน Blockchain เราจะเน้นวิเคราะห์ 3 ปัจจัยหลัก:
- พฤติกรรมของ Address (Wallet Behavior)
- รูปแบบของธุรกรรม (Transaction Pattern)
- ความเชื่อมโยงกับ Address อื่น ๆ (Network Relationship)
พฤติกรรมต้องสงสัยของ Address คืออะไร?
การวิเคราะห์ว่ากระเป๋าเงินใด “น่าสงสัย” นั้น ไม่สามารถตัดสินได้จากจำนวนเหรียญหรือความถี่ในการโอนเพียงอย่างเดียว ต้องอาศัยการวิเคราะห์เชิงพฤติกรรมร่วมกับบริบท เช่น:
- ความเคลื่อนไหวแบบผิดปกติ เช่น โอนเงินเข้าออกจำนวนมากในเวลาอันสั้น, split เหรียญเป็นจำนวนมากแล้วกระจายไปหลาย address
- พฤติกรรมเหมือนการ “ล้างร่องรอย” (Chain Hopping หรือ Tumbling) เช่น โอนเข้า Exchange แล้วถอนออกอีก Chain หนึ่ง
- ธุรกรรมที่เชื่อมโยงกับ Wallet สีเทา/ดำ ที่ถูกขึ้นบัญชีในฐานข้อมูล TI เช่น wallet ที่เคยเกี่ยวข้องกับการโจมตี DeFi platform
- การใช้ Smart Contract ที่เกี่ยวข้องกับ Scam, Phishing หรือ Rug Pull
ตัวอย่างเหตุการณ์:
หลังจากที่ FTX ล่มในปี 2022 มีกลุ่มไม่ทราบชื่อ “แฮก” เหรียญจากระบบของ FTX รวมมูลค่ากว่า $400 ล้าน แล้วเริ่มโอนออกจาก address ที่เกี่ยวข้องทันที
พฤติกรรมที่ตรวจพบ:
- ใช้ address ใหม่จำนวนมากรับเหรียญจาก wallet กลางของ FTX
- โอนเหรียญไปยัง chain อื่น เช่น Ethereum, Bitcoin, Tron (ผ่าน bridge)
- เปลี่ยนเหรียญผ่าน DEX เช่น Uniswap และโอนต่อไปยัง mixer เช่น RenBridge
Wallet Behavior Highlight:
- ใช้ address ใหม่เสมอในการรับเหรียญแต่ละชุด (หลีกเลี่ยง trace)
- ไม่มีพฤติกรรมแบบผู้ใช้ทั่วไป เช่น ไม่เคยโต้ตอบ dApp หรือเก็บเหรียญ
รูปแบบของธุรกรรม (Transaction Pattern)
การวิเคราะห์ รูปแบบของธุรกรรม (Transaction Pattern) คือการดูว่า address หรือ wallet มีพฤติกรรมการโอนเงินหรือโต้ตอบกับระบบอย่างไร และพฤติกรรมเหล่านั้นบ่งบอกถึงความผิดปกติหรือไม่
ตัวอย่างรูปแบบธุรกรรมที่น่าสงสัย:
- การโอนเข้า-ออกซ้ำ ๆ เป็นช่วงเวลาเดียวกันทุกวัน
- เช่น โอนเข้าเวลา 00:01 น. แล้วถอน 00:03 น. ทุกวัน ซึ่งอาจหมายถึง bot หรือ script automation ที่ใช้ในการฟอกเงิน
2. จำนวนเงินที่ไม่สมเหตุสมผล
- โอน ETH ทีละ 0.0001 จำนวนมาก อาจเป็น spam หรือการ probe ระบบ
- โอนคราวละหลายล้านเหรียญแต่ไม่สัมพันธ์กับพฤติกรรมก่อนหน้า
3. กิจกรรมจำนวนมากจาก Smart Contract
- Address โต้ตอบกับ contract หลายตัวพร้อมกัน หรือใช้ฟังก์ชัน “approve” ให้กับ contract ที่ไม่คุ้นเคย
4. การกระจายเงินออกจาก wallet เดียวไปยัง wallet อื่นๆ จำนวนมากในคราวเดียว (Fan-out)
- คล้ายการ “ปั่น” หรือหลีกเลี่ยงการตรวจจับ
5. Pattern ที่เลียนแบบพฤติกรรม legitimate เพื่อหลอกระบบ
- เช่น พยายามทำธุรกรรมให้เหมือนกับผู้ใช้ทั่วไป เช่น ซื้อขาย NFT, swap token แต่ความถี่สูงผิดปกติ
การวิเคราะห์รูปแบบเหล่านี้ช่วยให้ระบบ Threat Intelligence แยกแยะ “กิจกรรมปกติ” กับ “กิจกรรมที่อำพราง” ออกจากกันได้
ตัวอย่างเหตุการณ์:
รัฐบาลสหรัฐฯ (OFAC) ประกาศคว่ำบาตร Tornado Cash ซึ่งเป็น privacy mixer ที่ถูกใช้ซ้ำๆ โดยแฮกเกอร์ เช่นกลุ่ม Lazarus จากเกาหลีเหนือ
รูปแบบธุรกรรมที่ตรวจพบ:
- การโอนเงินเข้า Tornado Cash ด้วยจำนวนที่แปลก เช่น 100 ETH, 100.1 ETH, 100.2 ETH ซึ่งช่วยระบุการ “batch” ฟอกเงิน
- มี pattern ของการถอนเงินที่ “เวลาและจำนวนใกล้กัน” จากหลาย address ที่ดูไม่เกี่ยวข้องกัน แต่มีต้นทางเดียวกัน
Transaction Pattern Highlight:
- ฟอกเงินโดยแบ่งเหรียญเป็นก้อนเล็ก แล้วส่งผ่าน Tornado Cash และถอนกลับไปยัง exchange หรือ wallet อื่น
- ใช้ “เวลา” และ “จำนวนเงิน” เป็นเครื่องมือปกปิดร่องรอย — แต่ Threat Intelligence วิเคราะห์พบความเชื่อมโยงเหล่านี้ได้
ความเชื่อมโยงกับ Address อื่น ๆ (Network Relationship)
ในโลกของบล็อกเชน ทุก address เชื่อมโยงกันผ่านธุรกรรม ซึ่งสามารถแปลงเป็น กราฟเชิงเครือข่าย เพื่อวิเคราะห์ความสัมพันธ์เชิงลึก
การวิเคราะห์ Network Relationship ช่วยให้เราเข้าใจ:
- ใครโอนเงินให้ใครบ้าง
- ใครทำงานเป็นกลุ่มเดียวกัน
- Address ใดคือ “ศูนย์กลาง” ของเครือข่ายผิดปกติ
ตัวอย่างการวิเคราะห์ที่น่าสนใจ:
1. Cluster Analysis (กลุ่มพฤติกรรม)
- Address หลายตัวใช้ Exchange เดียวกัน หรือโอนเหรียญไปมาระหว่างกันซ้ำ ๆ
- เป็นไปได้ว่าเป็น “กลุ่ม scam” หรือ address ชุดเดียวกันที่ถูกแยกไว้ปกปิดตัวตน
2. Graph Centrality
- วิเคราะห์ว่า address ไหนเป็น “ศูนย์กลาง” ของธุรกรรมจำนวนมาก
- เช่น มี address หนึ่งที่เป็นปลายทางรับเงินจาก scam หลายสิบราย — แม้ address นี้จะไม่ได้ทำอะไรโดยตรง แต่ก็รับผลประโยชน์
3. การเชื่อมโยงกับ Address สีดำ/เทา
- Address A อาจดูปกติ แต่ถ้ามีธุรกรรมกับ Address B ที่ติด Blacklist ก็อาจเป็น “ลูกโซ่” ที่ต้องเฝ้าระวัง
- ระบบ TI สามารถเตือนล่วงหน้าเมื่อพบว่ามี address ที่ผู้ใช้โต้ตอบ มีความเชื่อมโยงกับ address ต้องสงสัย
4. On-chain Entity Attribution
- บาง address อาจเชื่อมโยงกับกลุ่ม ransomware, กลุ่ม APT, หรือฟิชชิ่งที่เคยรู้จัก
ตัวอย่างเหตุการณ์:
แฮกเกอร์ขโมยเหรียญมูลค่ากว่า $600 ล้าน จาก Ronin Bridge ของเกม Axie Infinity โดยใช้ private key ที่ถูกขโมย
ความเชื่อมโยงที่ Threat Intel ตรวจพบ:
- Address ของแฮกเกอร์ถูกเชื่อมโยงกับกลุ่ม Lazarus จากเกาหลีเหนือผ่าน on-chain transaction
- เงินที่ขโมยถูกส่งไปยัง address ที่เคยใช้ในการฟอกเงินของกลุ่ม Lazarus มาก่อนหน้านี้
- แพลตฟอร์มเช่น Chainalysis และ TRM Labs วิเคราะห์ graph ของธุรกรรม จนสามารถบ่งชี้ว่า address ที่เกี่ยวข้องมี “ความสัมพันธ์เชิงเครือข่าย” กับกลุ่มเดิม
Network Relationship Highlight:
- การใช้ address ชุดเดิมในการฟอกเงิน (แม้จะเปลี่ยนชื่อ/chain)
- มีความสัมพันธ์กับเหรียญที่ถูกแฮกจากก่อนหน้า เช่น KuCoin, Harmony Bridge
ความท้าทายของ TI บน Blockchain
แม้บล็อกเชนจะเปิดเผยข้อมูลทั้งหมด แต่การตีความข้อมูลเหล่านั้นก็ไม่ใช่เรื่องง่าย
- Anonymity ที่ยากต่อการระบุตัวตน
แม้จะรู้ว่า address ไหนน่าสงสัย แต่การเชื่อมโยงกับตัวบุคคลจริงยังเป็นเรื่องท้าทาย โดยเฉพาะในเครือข่ายที่เน้นความเป็นส่วนตัว เช่น Monero - จำนวนธุรกรรมมหาศาล
บน Ethereum มีธุรกรรมใหม่เกิดขึ้นนับล้านรายการต่อวัน การจะติดตามแบบ manual เป็นไปไม่ได้ ต้องอาศัยระบบอัตโนมัติ - Smart Contract ที่ซับซ้อน
ภัยคุกคามจำนวนมากแฝงอยู่ใน smart contract ที่ดูเหมือนปลอดภัย แต่จริง ๆ แล้วมี backdoor หรือ logic ที่หลอกผู้ใช้ให้มอบสิทธิ์โดยไม่รู้ตัว - การไล่ตามแฮกเกอร์ที่รู้ทัน TI
กลุ่มผู้ไม่หวังดีเริ่มหลีกเลี่ยงพฤติกรรมซ้ำเดิม ใช้เทคนิคซับซ้อนขึ้น เช่นสร้าง smart contract ใหม่ทุกครั้ง หรือใช้ AI เพื่อลบร่องรอย
สรุป
Threat Intelligence บน Blockchain ไม่ใช่แค่การ “ดูกระเป๋าเงินว่าใครโอนอะไร” แต่มันคือการเข้าใจ พฤติกรรม ความเชื่อมโยง และเจตนาของผู้ใช้ ผ่านการวิเคราะห์ข้อมูลธุรกรรมที่ดูเหมือนสุ่มแต่มักมีรูปแบบซ่อนอยู่เสมอ
ในยุคที่คริปโตกลายเป็นทั้งโอกาสและช่องโหว่ด้านความมั่นคง การมีระบบ Threat Intelligence ที่เข้าใจบริบทของ Blockchain จะช่วยให้องค์กร นักลงทุน และผู้ใช้ทั่วไป สามารถ “รู้ก่อน ป้องกันได้” และลดความสูญเสียจากการโจมตีในโลกคริปโตที่ไม่มีวันหลับใหล
References:
https://www.elliptic.co/blog/the-477-million-ftx-hack-following-the-blockchain-trail
