ทุกวันมีคนหลายพันถูกหลอกบน LINE / Telegram / Messenger / X / WeChat ไม่ใช่แค่มือใหม่ที่เจ็บ คนเก่าในวงการสิบปีก็ยังโดน ปีที่แล้ว OKX สถิติภายในระบุว่าการสูญเสียจาก phishing signature เพียงอย่างเดียวรวมทั่วโลกเกิน 2.1 พันล้านดอลลาร์ในหนึ่งปี แปดรูปแบบนี้คือสิ่งที่ ผมเห็นบ่อยที่สุดในรอบเจ็ดปี ผ่าทีละ case เปิดสคริปต์ พูดถึงกลไกเทคนิคที่ใช้ และว่าทำไมคนฉลาดก็ตกหลุม รู้แต่ละแบบหนึ่งครั้ง อย่างน้อยช่วยให้คุณรอดได้ทั้งปี
ปลอม customer service · ยึดบัญชีคุณจากระยะไกล
สคริปต์มาตรฐาน
บัญชีของคุณ "มีปัญหาเล็ก ๆ" — เช่นได้รับ SMS "ถอนล้มเหลว" หรืออีเมล "บัญชีถูกเข้าสู่ระบบจากที่อื่น" ปี 2024 สแกมปลอม customer service เป็นอุตสาหกรรมเต็มตัว Telegram หนึ่งสัปดาห์เจอ "customer service Binance" ส่ง DM ราว 5-8 บัญชี ทุกบัญชี ไม่ใช่ของจริงสักอัน สองสามนาทีต่อมา "customer service" add LINE / Telegram คุณ หรือโทรหาคุณ เสียงนุ่ม เรียกชื่อจริงของคุณ ขอให้คุณดาวน์โหลด "เครื่องมือช่วยเหลือทางไกล" (TeamViewer หรือ AnyDesk) "เพื่อช่วยคุณตรวจ" คุณดาวน์โหลด
เขานั่งหน้าเครื่องคุณ "ซ่อม" ให้ คุณเห็นเมาส์ขยับ — log in exchange ของคุณ เปลี่ยน API permission แล้วโอนเหรียญออก คุณไม่กล้าขยับเพราะ "customer service" อธิบายทุกขั้นตอนให้ฟัง พอคุณรู้ตัว สินทรัพย์ในบัญชีว่างเปล่าแล้ว
กลไกทางเทคนิค
- คนหลอกได้ข้อมูลจริงของคุณจาก data leak ของ exchange (KYC leak ของ Binance ปี 2022, email leak ของ OKX ปี 2023 และอื่น ๆ)
- ปลอม SMS และอีเมล (SMS spoofing / phishing email) ให้คุณเชื่อว่าเกิดอุบัติเหตุจริง
- การโจมตีจริงเกิดในขั้นตอน remote access — คุณยกการควบคุมหน้าจอให้เขา 2FA / Google Authenticator ถูกข้ามผ่าน เพราะเป็นตัวคุณเองที่กำลังกด
ทางป้องกัน
- customer service ทุกเจ้าจะไม่ add LINE / TG / โทรหาคุณก่อน ใครก็ตามที่ติดต่อมาก่อน 100% คือมิจฉาชีพ เวลาต้องการ support คุณ เข้าจาก in-app chat ของ exchange เอง
- ห้ามติดตั้ง TeamViewer / AnyDesk / Sunlogin / RealVNC ให้คนแปลกหน้า ต่อให้ "customer service" บอกว่าเป็น "เครื่องมือทางการ"
- บัญชีมีปัญหา ดูประกาศหรือ ticket จากในแอป exchange เอง อย่าเชื่อ link ที่มากับ SMS หรืออีเมล
- ถ้าสงสัยเครื่องมือดาวน์โหลด เช็คกับ Twitter ทางการของ exchange ก่อน เจ้าหน้าที่จริงไม่มีทางขอ remote access
ย้อนเหตุการณ์จริง · ไทย
มกราคม 2024 ผู้ใช้ Pantip คนหนึ่งโพสต์ในห้อง Sinthorn ตอน 4 ทุ่ม รับโทรศัพท์อ้างว่าเป็น "Binance Risk Department" ภาษาไทยชัดเจน อีกฝ่ายเอ่ยชื่อจริง เลขท้ายเบอร์มือถือ 4 หลัก และยอดรายการล่าสุด — แล้วบอก "บัญชีคุณถูก log in จาก IP เวียดนาม ขอความร่วมมือยืนยันตัวตน" ผู้ใช้ติดตั้ง AnyDesk ตาม ที่เรียกว่า "ยืนยันตัวตน" จริง ๆ คือเปิด API write permission และปิด SMS verification สำหรับการถอน 18 นาทีต่อมาเงินในบัญชี 30,000 USDT (~1 ล้านบาทตอนนั้น) ถูกถอนแบบแบ่งย่อย ไปยัง 6 address คนละแห่ง ตามรอย on-chain พบว่ามารวมที่ mixer Tornado Cash ถึงตอนนี้ยังไม่ได้คืน การฟ้องผ่านตำรวจไทยใช้เวลามากกว่า 6 เดือนสำหรับคดีข้ามประเทศ และอัตราการคืนสำหรับคดีต่างประเทศต่ำกว่า 5% เป็นปกติ ทาง กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (TCSD) ตั้งหน่วย Crypto Crime Division แบบเฉพาะในปี 2024 แต่ทรัพยากรยังจำกัด
"อาจารย์ดูคู่" กลุ่ม futures · ใช้คุณเป็นเชื้อเพลิงผัก
สคริปต์มาตรฐาน
"เทรดเดอร์ล้านบาท" บน X TikTok หรือ Facebook โพสต์ภาพ screenshot กำไร โพสต์รถ Ferrari โพสต์ transfer ขอบคุณจากแฟน ๆ ขอให้คุณเข้ากลุ่ม Telegram ดูคู่ฟรีก่อนสองสามคู่ — บังเอิญ 3 คู่แรกถูกหมด คุณได้กำไรนิด รู้สึก "อาจารย์เก่งจริง" จากนั้น "อาจารย์" บอก "โอกาสมา ตามคู่นี้ leverage 10×" คุณลงหนัก โดนล้าง กลับไปดูกลุ่ม โดนเตะออก
แก่นของสคริปต์นี้คือ "หวานก่อนเผ็ดทีหลัง" สองสามคู่แรกถูกจริง อาจารย์มีคนใหม่ 1,000 คน ครึ่งหนึ่งบอก buy อีกครึ่งบอก sell ครึ่งที่ชนะอยู่ต่อ ครึ่งที่แพ้ถูกตัดออก รอบถัดไปแบ่งครึ่งที่ชนะอีกเป็นสอง ผ่านไปไม่กี่รอบ "ผู้โชคดี" ที่เหลือ จะรู้สึกว่าอาจารย์เป็นเทพ จากนั้นค่อยตัดสุดท้าย
กลไกทางเทคนิค
- screenshot "เห็นกำไร" ในกลุ่ม 95% เป็นภาพ Photoshop หรือ demo account จริงในห้องโชว์ลูกค้า บัญชี on-chain ที่ตรวจสอบได้แทบไม่มี
- "เพื่อนสมาชิก" ที่พูดในกลุ่มจำนวนมากเป็น bot คอยตอบตามสคริปต์ "อาจารย์ถูกอีกแล้ว!" "อาจารย์ผมได้กำไร 500K!"
- เวอร์ชันที่หนักกว่าเรียกว่า "platform เจ้ามือ" — อาจารย์คือเจ้ามือเอง คุณลง leverage 10× platform กินเงินจากการล้างพอร์ตคุณ platform แบบนี้ส่วนใหญ่เป็นการหลอก ไม่ใช่ exchange จริง ถอนเงินไม่ออก
ทางป้องกัน
- เทรดเดอร์ตัวจริงไม่ตะโกนดูคู่ในที่สาธารณะ เพราะการได้กำไรจากเทรดมากกว่าค่าธรรมเนียม VIP เยอะมาก
- "อาจารย์" ที่เก็บค่าสมาชิก + แนะนำคุณเปิดบัญชี platform ที่ไม่คุ้นชื่อ 100% คือมิจฉาชีพ
- เห็น "อาจารย์" โพสต์ screenshot กำไร ขอให้พิสูจน์ด้วย address on-chain wallet ไม่ใช่ screenshot จาก exchange
- ข้อความ "ขอแสดงความยินดี" ในกลุ่ม ลองนับการกระจายของเวลา ส่วนใหญ่กระจุกใน 5 นาทีหลังอาจารย์เคลื่อนไหว เป็นลักษณะ bot
variant · กับดัก "copy trading platform"
สองปีหลังนี้มี variant ใหม่ บน platform copy trading ที่ดูจริงจัง (เช่น Bitget Copy Trading) "เทรดเดอร์ ROI สูง" บางคน ตั้งใจอัดบัญชี high leverage ให้กำไรโชว์ ดึง retail มา copy แล้วสลับไปบัญชีคู่สวนกลางทาง — คนที่ copy โดนล้าง เขากำไรจาก position ฝั่งตรงข้าม operation แบบนี้ platform ที่ดูจริงจังก็ป้องกันไม่ได้ เพราะ platform ไม่มีทางแยกได้ว่าเทรดเดอร์ "เทรดจริง" หรือ "ตั้งใจวางกับดัก" copy ตามได้แค่เทรดเดอร์ที่ มีประวัติเกิน 1 ปี max drawdown น้อยกว่า 30% เส้นกำไรเรียบ ไม่ใช่ ROI รายเดือนแบบ short-term ที่หวือหวา
Approve phishing · หนึ่ง signature ล้างทั้งกระเป๋า
สคริปต์มาตรฐาน
คุณเห็น airdrop ของโปรเจกต์ NFT หรือ DeFi product ที่ yield สูงเกินจริง คลิก link เข้าเว็บไซต์ (URL ดูคล้ายของจริงต่างกันแค่ตัวอักษรเดียว) เชื่อม MetaMask wallet กด "Claim Airdrop" หรือ "Stake Now" MetaMask popup signature คุณคิดว่า authorization ปกติ กด confirm วินาทีต่อมา USDT, ETH, WBTC ในกระเป๋าถูกโอนออกทั้งหมด
กลไกทางเทคนิค
- คุณคิดว่า sign "claim airdrop" จริง ๆ คุณ sign
approve(attacker_address, MAX_UINT256)— ยก spending allowance unlimited ให้ผู้โจมตี - หนักกว่านั้น
setApprovalForAll(attacker, true)— ยกสิทธิ์โอน NFT ทั้งหมดในกระเป๋าให้อีกฝ่าย - "Permit2 phishing" ใหม่ล่าสุดใช้ EIP-2612 signature mechanism หลัง sign เสร็จ ถ่ายเอา USDC ได้ทันที และไม่ทิ้ง interaction บน chain ตรวจยากกว่า
ทางป้องกัน
- wallet popup ใด ๆ ดู "Function" ก่อน Transfer = โอน (เห็นจำนวน) Approve = ยกสิทธิ์ (อันตราย) Sign Message = sign ทั่วไป (มักไม่อันตรายแต่ต้องระวัง Permit2)
- ก่อน claim airdrop หรือใช้ DeFi ตรวจสอบ URL ตัวต่อตัว ยืนยันกับบัญชี Twitter / Discord ทางการของโปรเจกต์อีกครั้งก่อนกด
- ใช้ wallet แยกสำหรับ operation เสี่ยง เช่น "airdrop wallet" เฉพาะใส่ ETH นิดเดียว wallet หลักไม่แตะของพวกนี้
- เข้า
revoke.cashเป็นระยะ ตรวจว่ากระเป๋าคุณยก approve ให้ contract ไหนบ้าง revoke ทั้งหมดที่ไม่ใช้ (แต่ละครั้งจ่าย gas นิดหน่อย) - ใช้ hardware wallet + safe mode signature ประเภท Approve จะแสดง data เต็ม
เหตุการณ์จริง · Ledger Connect Kit poisoning (2023.12)
Connect Kit JS library ที่ Ledger ปล่อยอย่างเป็นทางการถูกอดีตพนักงานแก้ไขโดยมีเจตนาร้าย
เว็บไซต์ DeFi ทุกแห่งที่ใช้มัน (รวม SushiSwap, Zapper, Revoke.cash เอง และอื่น ๆ ที่มีชื่อเสียง)
กลายเป็น phishing site ที่อาจเป็นจุดล้างพอร์ตได้ภายใน 5 ชั่วโมง
ผู้ใช้ที่เชื่อม wallet และ sign กระตุ้น approval ออก
สูญเสียสะสมราว 600,000 ดอลลาร์
ที่ดูแย่ที่สุดคือ revoke.cash เองก็ถูกโจมตี
บอกเราว่า แม้แต่ "เครื่องมือที่ดูน่าเชื่อถือ" ก็เปลี่ยนเป็น attack vector ได้ในชั่วพริบตา
wallet สำหรับใช้งาน DeFi รายวัน ต้องแยกจาก wallet หลัก
ไม่มีตัวเลือกที่สอง
airdrop ปลอม · "token" แปลก ๆ โผล่ในกระเป๋า
สคริปต์มาตรฐาน
วันหนึ่งคุณเปิด MetaMask เห็น token แปลก ๆ ในกระเป๋า ชื่อ "Visit Site Claim Reward" หรือ "$25000_USDT_Reward" จำนวนเยอะ ดูเป็นเงินไม่น้อย คุณคลิกเข้าไปอยากเทรด มันบอก "ไปคลามที่เว็บทางการ" กระโดดไปเว็บที่ดูจริงจัง ขอเชื่อม wallet + sign sign เสร็จ USDT/ETH ของคุณหายไป
กลไกทางเทคนิค
- มิจฉาชีพใช้ฟังก์ชัน
airdropส่ง "token" ให้หลายแสน address — ส่ง token เกือบฟรี (แค่จ่าย gas นิดหน่อย) - token เหล่านี้เป็น honeypot คุณเห็นได้แต่ขายไม่ได้ contract เขียนไว้ว่า "เฉพาะ address ที่กำหนดเท่านั้นที่ transfer ได้"
- ชื่อ token ฝัง URL ของเว็บไซต์ ล่อให้คุณเข้า phishing site
- พอเข้าเว็บไซต์ สคริปต์เหมือน CASE 03 — sign approve ถูกล้าง
ทางป้องกัน
- token แปลก ๆ ที่โผล่ในกระเป๋า 99% เป็นการหลอก hide ทันที อย่ากด อย่ามี interaction
- บน block explorer (Etherscan / OKLink) token แบบนี้แสดงเป็น "Spam" หรือ "Phishing" block ได้ตรง ๆ
- airdrop ทางการจริงจะประกาศผ่าน Twitter / Discord ทางการของโปรเจกต์ล่วงหน้า ปกติต้อง claim เอง ไม่ใช่ "เข้าบัญชีจู่ ๆ"
- airdrop ที่ดูน่าดึงดูด เย็นไว้ 24 ชั่วโมงค่อยตัดสินใจ — airdrop จริงไม่หมดอายุใน 24 ชั่วโมง
สัญญาณแยกแยะ airdrop จริงกับปลอม
- airdrop จริง บัญชีทางการของโปรเจกต์ (Twitter blue verified + ฐานผู้ติดตามเหมาะสมในประวัติศาสตร์) ประกาศล่วงหน้าหลายสัปดาห์ → snapshot → เว็บ claim domain ทางการ → ปกติต้อง sign claim เอง (เนื้อหา sign เป็น message ปกติ ไม่ใช่ approve)
- airdrop ปลอม "ฝากเข้ากระเป๋าจู่ ๆ" → ชื่อ token ฝัง URL → เว็บ "claim" domain แปลก (.xyz / .top / .live เป็นส่วนใหญ่) → หลังเชื่อม wallet ขอ approve token ก้อนใหญ่ทันที
Uniswap, Arbitrum, Optimism, ENS และ airdrop ใหญ่จริงในประวัติศาสตร์ตรงกับลักษณะ "จริง" ทั้งหมด ถ้าสงสัย airdrop ใดจริงหรือปลอม วิธีง่ายที่สุดไปค้นใน Discord ช่องประกาศทางการของโปรเจกต์ ทีมงานทางการจะระบุชัด "จบแล้ว" หรือ "ไม่เคยเกิด"
exchange ปลอม · domain เลียนแบบ + แอป copy
สคริปต์มาตรฐาน
คุณ Google ค้นหา "ดาวน์โหลด Binance" กดโฆษณาอันแรก ดาวน์โหลดและติดตั้งแอป UI เหมือน Binance เป๊ะ KYC ฝากเงินเทรดตามปกติ ทุกอย่างใช้ได้ หลายเดือนต่อมา คุณอยากถอน แอปบอก "ต้องเคลียร์ภาษีก่อน โอน 1,000 USDT ไปที่ address ที่ระบุ" คุณโอน แอปบอกยังไม่พอ คุณโอนอีก จนสงสัย — แต่ตอนนั้นยอดบัญชีเช็คไม่ได้แล้ว
กลไกทางเทคนิค
- มิจฉาชีพจดทะเบียน domain คล้าย (เช่น binance-th.app) ลงโฆษณาใน search engine
- แอปเป็น copy front-end เหมือนทางการเป๊ะ แต่ backend คือ database ของมิจฉาชีพ "ฝากเงิน" ของคุณจริง ๆ โอนตรงเข้า address ของมิจฉาชีพ แอปแกล้งบันทึกบัญชีแสดงยอดให้คุณดู
- แอปประเภทนี้บน iOS มักเข้าผ่าน "enterprise certificate" (เพราะขึ้น App Store ไม่ได้) บน Android คือ APK ติดตั้งตรง
ทางป้องกัน
- อย่ากดโฆษณา search engine ดาวน์โหลดแอป exchange เลย ไปที่ App Store / Google Play / เว็บทางการของ exchange ตรง (ใส่ bookmark)
- ผู้ใช้ iOS ถ้าแอปขอติดตั้ง "enterprise certificate" 99% เป็นของปลอม แอป exchange จริงทั้งหมดอยู่ใน App Store
- ก่อนฝากเงินครั้งแรก ทดลองถอน amount เล็ก ๆ ก่อน — ที่ถอนได้ตามปกติเท่านั้นคือ platform จริง
- "การจ่าย guarantee deposit สำหรับการถอน" 100% เป็นการหลอก exchange จริงไม่ขอให้คุณโอนเงินอีกก้อนเพื่อถอน
เทคนิค high-fidelity domain
domain ที่มิจฉาชีพจดทะเบียนหลอกตาด้วยวิธีต่าง ๆ
- แทนตัวอักษร binance ใช้ binance (แทน i ด้วย L เล็ก) หรือ blnance font ออกมาแทบเหมือนกัน
- แทน TLD binance.com เปลี่ยนเป็น binance.app, binance.live, binance.io — ส่วนหลังต่างแต่ส่วนหน้าเหมือนเป๊ะ
- ห่อ subdomain binance-th.com, binance-official.com เติมส่วนที่ดูเป็นทางการเข้าไป
- punycode homoglyph ใช้ตัวอักษร Cyrillic หรือ Unicode อื่นแทน a/e/o ที่ดูเหมือนกัน
ทางป้องกันที่ดิบที่สุดและได้ผลที่สุดคือ ใส่ domain ทางการเป็น bookmark ของ browser เข้าจาก bookmark เสมอ ไม่ใช่จาก search / link
เส้นทางเงินของ "exchange ปลอม"
USDT ที่คุณ "ฝาก" เข้า exchange ปลอม ปกติถูกโอนออกใน 10-30 นาที ทิศทางเป็น 3 step washing ขั้นแรกเข้า hot wallet receiver ขั้นสองกระจายไปยัง intermediate address หลายสิบแห่ง ขั้นสุดท้ายมารวมที่ mixer (Tornado Cash) หรือ cross-chain bridge (ไป Tron / Solana แล้วสลับเหรียญต่อ) flow ทั้งหมดในมือกลุ่มมิจฉาชีพที่ทำเป็นอุตสาหกรรม บีบลงเหลือไม่ถึง 2 ชั่วโมง เวลาให้เหยื่อตอบสนองสั้นมาก เพราะฉะนั้น "ทดลองถอน" ต้องทำ ก่อนฝาก หลังฝากแล้วค่อยทดสอบ ต่อให้รู้ว่าเป็น platform ปลอม เงินอยู่บนเส้นทาง washing แล้ว ตามคืนไม่ได้
pig butchering · ความรักข้ามชาติ + "platform กำไรการันตี"
สคริปต์มาตรฐาน
Tinder / Bumble / LINE / Facebook เจอ "สาว investment banker" ทำงานที่สิงคโปร์ / ฮ่องกง / ซานฟรานซิสโก รูปจริง ดูดี คุยเรื่องชีวิต งาน ครอบครัวกับคุณหลายสัปดาห์ ค่อย ๆ พูดว่าลุงเขามี "ระบบ insider" ที่ทำกำไร futures crypto ได้แน่ เธอเองได้ 5-10% ทุกสัปดาห์ คุณจะลองยอดเล็ก ๆ ไหม
คุณทดลอง 1,000 ดอลลาร์ ได้กำไร 200 ดอลลาร์จริง ถอนได้ เธอพูด "เห็นไหม" ขอให้คุณเติม 10,000 50,000 100,000 ตอนคุณอยากถอนทั้งหมด platform ขอให้ "เติม margin" ไม่เติม สินทรัพย์ถูก freeze เติม ขอเพิ่ม โทรไปไม่มีคนรับ เธอหายจาก LINE / Tinder identity ทั้งหมดเป็น zero
กลไกทางเทคนิค
- "investment banker" เป็น identity virtual ที่ปั้นด้วยสคริปต์ รูปบน LINE / Tinder อาจถูกขโมยจาก Instagram ของเน็ตไอดอล
- "platform กำไรการันตี" คือมิจฉาชีพสร้างเอง front-end ปลอมเป็นมืออาชีพ backend คือเกม digital ปลอม เงินที่คุณเติมเข้าตรงเข้ากระเป๋ามิจฉาชีพ
- การถอนยอดเล็กเป็นต้นทุน "ให้คุณเชื่อ" ของการลงทุน ระยะหลังการถอนยอดใหญ่จะไม่ออกแน่นอน
ทางป้องกัน
- การลงทุน crypto ที่คนแปลกหน้าแนะนำ = pig butchering สแกมรุนแรงที่สุดในรอบ 5 ปีหลัง FBI สถิติเฉพาะปี 2023 บันทึกการสูญเสียที่เกี่ยวข้องราว 3.5 พันล้านดอลลาร์
- คนแปลกหน้าใน chat ชักชวนให้คุณดาวน์โหลด APP / สมัคร platform ใด ๆ 99% เป็น operation เริ่มต้นของ pig butchering
- ตอน video call สังเกตว่าใบหน้าฝั่งตรงข้ามมี expression จริงไหม — มิจฉาชีพหลายรายใช้ AI face swap มีจุดผิด ปากไม่ตรงกับเสียง กระพริบตาผิดธรรมชาติ
- การลงทุนจริง + ความรู้สึกจริง ไม่มีใครสอน "ระบบ insider" ภายใน 3 สัปดาห์หลังรู้จัก
ห่วงโซ่อุตสาหกรรม pig butchering · บริบทไทย
"pig butchering" หรือ "สาวเลี้ยงหมู" ในภาษาไทย เป็นคำศัพท์เฉพาะ — เลี้ยงเหยื่อให้อ้วน (สร้างความเชื่อใจ + ให้เขาลงเงินเพิ่ม) แล้วเชือด (ดูดเงิน + หายตัว) เป็นโมเดลที่สมบูรณ์และเป็นอุตสาหกรรมที่สุดของวงการคริปโตในรอบ 5 ปี ห่วงโซ่อุตสาหกรรมประกอบด้วย
- ทีมหาเหยื่อ บน Tinder / Bumble / LINE / Facebook / TikTok ใช้รูปสาวสวยหรือหนุ่มหล่อหา target แบบยกชุด ทีมหาเหยื่อหนึ่งคนต่อวันเพิ่มเป้าหมายได้ 200+
- ทีมสคริปต์ รักษา persona "ทำงานสายชนชั้นสูง + สนิทสนม" ตามสคริปต์เลี้ยงอารมณ์ (อรุณสวัสดิ์ ราตรีสวัสดิ์ การแบ่งปันชีวิต ค่อย ๆ ซึมเข้าหัวข้อการลงทุน) สคริปต์หนึ่งคนรักษา target ได้พร้อมกันหลายสิบคน
- ทีมเทคนิค สร้าง platform ปลอม + บำรุง data dashboard จำลอง "ยอดบัญชีโตเดือนต่อเดือน"
- ทีมฟอกเงิน เอา USDT ที่หลอกได้ฟอกผ่าน mixer, cross-chain bridge, on-chain P2P หลายชั้น
ห่วงโซ่นี้ มีศูนย์ปฏิบัติการหลักที่ KK Park ในเมียวดี เมียนมา และ Sihanoukville ในกัมพูชา ตำรวจไทย TCSD รายงานปี 2024 ว่าคนไทยที่ตกเป็นเหยื่อ pig butchering มีการสูญเสียรวมประมาณ 5,000 ล้านบาท (~140 ล้านดอลลาร์) ส่วนใหญ่เริ่มจาก LINE หรือ Messenger แล้วถูกพาเข้า "ห้องลงทุน" ที่ลิงก์ไป Binance offshore หรือ exchange ที่ตำรวจไทยตามไม่ถึง อัตราการคืน 90%+ ตามคืนไม่ได้ ปี 2023 ภายใต้การปราบโดย FBI อัตราคืนสำหรับเหยื่อจากอเมริกาขึ้นมาราว 12% ในไทยตัวเลขใกล้ ๆ กัน ยังเป็น "คืนไม่ได้" เป็นปกติ วิธีที่ได้ผลที่สุดคือ ไม่ตกหลุม คนแปลกหน้าใด ๆ ที่สอน "ข้อมูล insider เพื่อทำเงิน" default คือมิจฉาชีพ ไม่ต้องตัดสินใจรอบสอง
หมายเหตุสำหรับผู้อ่านไทย สายด่วน ก.ล.ต. 1207 รับแจ้งร้องเรียนสแกมคริปโตที่เกี่ยวกับ unlicensed business ตำรวจ TCSD รับแจ้งคดี crypto crime ทั้งสองช่องทางไม่คืนเงิน 100% ให้แน่นอน แต่การแจ้งช่วยป้องกันคนถัดไป
address poisoning · คุณคิดว่า copy address ตัวเอง
สคริปต์มาตรฐาน
คุณมี address รับเงินที่ใช้บ่อย 0xabc123...def456
วันหนึ่งจะโอน คุณ copy address ปลายทางจาก transaction history บน Etherscan (นิสัยเช็คแค่ 4 ตัวหน้า 4 ตัวหลัง)
paste ดูแล้วทั้งหน้าทั้งหลังตรง confirm sign send
เงินไป "poisoned address" ที่หน้า-หลัง 4 ตัวเหมือน address เป้าหมายของคุณเป๊ะ —
เงินหาย
กลไกทางเทคนิค
- มิจฉาชีพรัน crawler บน chain ตาม transaction record ของ wallet ที่มีเงินเยอะ
- เจอ address ปลายทางล่าสุดของคุณ
0xabc123...def456แล้ว มิจฉาชีพใช้ "vanity address generator" สร้าง phishing address ที่ prefix และ suffix เหมือนเป้าหมายคุณ (brute force ใช้คอมพิวเตอร์ powerful ไม่กี่ชั่วโมงก็คำนวณได้) - มิจฉาชีพส่ง 0-value transfer (0.000001 ETH หรือ fake token) จาก phishing address นี้ไปยังกระเป๋าคุณ — ครั้งถัดไปที่คุณเปิด Etherscan ดู transaction history จะพบ "counterparty ที่เหมือน address ปลายทาง" ที่เพิ่ง interact
- คุณ copy address ผิดจาก transaction history พลั้งเผลอ ตกหลุม
ทางป้องกัน
- address โอนเงิน copy address เต็มเสมอ อย่าดูแค่ 4 ตัวหน้า-หลัง เวลาใดก็ตาม
- copy address จาก trusted source (contact book ของ wallet เอง หรือ txt ที่คุณเก็บ) อย่า copy จาก transaction history
- โอนยอดใหญ่ส่ง ยอดเล็ก (1 USDT) ทดสอบก่อน ยืนยันถึงเป้าหมายถูกแล้วค่อยส่งยอดหลัก
- wallet ใช้ whitelist address (MetaMask / Coinbase Wallet และอื่น ๆ รองรับ) อนุญาตเฉพาะการโอนไปยัง address ที่เพิ่มไว้ล่วงหน้า
เหตุการณ์จริง · whale ถูก poison 68 ล้านดอลลาร์ (2023.05)
พฤษภาคม 2023 wallet whale anonymous ต้องการโอน 68 ล้าน USDT ไป cold wallet ของตัวเอง เผลอ copy poisoned address จาก transaction history (หน้า-หลัง 4 ตัวเหมือนเป๊ะ) เงินไปที่ attacker address ตรง ๆ หลายชั่วโมงต่อมาบน chain ถูกหลายฝ่ายให้ความสนใจ ในที่สุด attacker (อาจเพราะแรงกดดัน) คืนเงินกลับ — เป็น case ที่ดราม่าที่สุดในประวัติศาสตร์ address poisoning แต่ 99% ของผู้ที่ตกหลุมไม่ได้คืน ชุมชน hardware wallet จากเหตุการณ์นั้นเริ่มถือ "การแสดง address เต็มขณะโอน" เป็นฟังก์ชันบังคับ ปัจจุบัน Ledger / Trezor และ hardware mainstream อื่น ๆ default แสดง 40 ตัวเต็ม ผู้ใช้ต้องเลื่อนหน้าอ่านครบก่อนถึงจะ sign ได้
contract backdoor / Rug Pull · ทีมโปรเจกต์หายตัวภายในคืนเดียว
สคริปต์มาตรฐาน
DeFi farm ใหม่ APY 5000% คุณเห็น KOL retweet กลุ่ม TG คึกคัก ทีม "ผ่าน audit แล้ว" stake ไม่กี่พัน USDT 24 ชั่วโมงต่อมามาดู liquidity pool เป็น 0 token เป็น 0 บัญชี Twitter ทีมถูกลบ ช่องทางติดต่อทั้งหมดหายไป
กลไกทางเทคนิค
Rug pull contract backdoor มีหลายแบบ ที่พบบ่อย
- Mint ฟังก์ชันไม่มี cap ทีมโปรเจกต์สามารถ mint token ไม่จำกัดเมื่อใดก็ได้ แล้วถล่มขาย
- Owner ดึง liquidity ออก LP ถือโดยทีมโปรเจกต์ กดปุ่มเดียวดึง USDT/ETH เกือบหมด หนี
- Blacklist ฟังก์ชัน ห้าม specific address ขาย token (ให้ retail ซื้อได้แต่ขายไม่ได้)
- "ปลอม audit" อ้าง "ผ่าน CertiK / PeckShield audit" แต่ screenshot เป็น Photoshop หรือ audit ตัวที่ตรวจคือ contract อื่น
ทางป้องกัน
- โปรเจกต์ APY เกิน 100% 98% เป็น Ponzi หรือ rug pull on-chain yield ที่ยั่งยืนมักอยู่ในโซน 5-30% APY
- ดู permission ของ contract owner — mint ไม่มี cap, pause contract, blacklist user ได้ = ยก control ทั้งหมดให้ทีม
- ดู liquidity ล็อกหรือไม่ โปรเจกต์ที่ Unicrypt / Team Finance ล็อก 1 ปีขึ้นไปปลอดภัยพอ no lock หนีเมื่อใดก็ได้
- ดู audit — CertiK, Trail of Bits, OpenZeppelin, Halborn เป็นบริษัท audit ระดับท็อป รายงาน audit ต้องเป็น published จาก channel ทางการ (search ได้ใน certik.com) ไม่ใช่ PDF screenshot จากทีมโปรเจกต์
- ลงน้อย ๆ สูญก็แค่ค่าครู โปรเจกต์ใหม่ สัปดาห์แรกไม่เข้า เดือนแรกไม่ลงหนัก
เคส rug pull สำคัญในไม่กี่ปีหลัง
- Squid Game Token (2021.11) อาศัยกระแสซีรีส์ Squid Game ขึ้น 10,000 เท่าใน 5 วัน แล้วทีมโปรเจกต์ cash out token เป็น 0 สูญ ~3.3 ล้านดอลลาร์
- AnubisDAO (2021.10) ลอกแนว OlympusDAO ระดมได้ 60 ล้านดอลลาร์ ETH ในไม่กี่ชั่วโมง ทีมโปรเจกต์โอนหมดทีเดียว
- Snowdog (2021.11) ลอก Wonderland token list 24 ชั่วโมง owner ผ่าน backdoor pre-implanted cash out 10 ล้านดอลลาร์
- Mantra (2025.04) โปรเจกต์ "mainstream" ที่ audit แล้ว list บน CEX หลายแห่ง market cap หลายพันล้าน วันหนึ่งจู่ ๆ ตก 90% สงสัยว่าทีมตั้งใจ internal dump ออก
รูปแบบคือ market cap ใหญ่ list มานาน ไม่เท่ากับว่าจะไม่ rug ก่อน Mantra ทุกคนคิดว่ามันคือ "โปรเจกต์ mainstream ที่ compliant" เก็บ rug pull risk ไว้ในใจตลอด อย่าเพราะโปรเจกต์ใหญ่แล้ววางใจ
§ data สแกม · ดูภาพรวมอุตสาหกรรม
Chainalysis report 2024 เงิน on-chain ที่อาชญากรรมเกี่ยวกับคริปโตได้รับรวมทั่วโลก 51,000 ล้านดอลลาร์ ในนั้นที่เห็นชัดว่าเป็น scam ราว 9,900 ล้าน hack/ขโมย 2,200 ล้าน ransomware 1,200 ล้าน ตัวเลขเหล่านี้เป็นแค่ที่ ตามใน data on-chain ได้ การสูญเสีย pig butchering offline ที่ตามไม่ได้บน chain ประเมินอยู่ในโซน 20,000-30,000 ล้านดอลลาร์
แยกตามประเภท
- phishing / Approve ~35% เป็น attack vector ที่พบบ่อยที่สุด
- pig butchering ~25% แต่ค่าเสียหายต่อเคสใหญ่ที่สุด (เฉลี่ย 50,000-100,000 ดอลลาร์/คน)
- Rug pull ~20% DeFi ยุคต้นเป็นภัยพิบัติ ปี 2024 เริ่มลดลง
- exchange ปลอม / platform ปลอม ~12% กลุ่มเหยื่อหลักอยู่เอเชีย
- อื่น ๆ (address poisoning, AI face swap, on-chain MEV และอื่น ๆ) ~8% แต่โตเร็วสุด
การสูญเสียรวมที่คืนได้ไม่ถึง 5% เพราะนั่นเอง "ป้องกัน >> ตามคืน" — ตกหลุมแล้วโดยทั่วไปคือเงินหายไปเปล่า
§ context ไทยที่ขาดไม่ได้ · Zipmex, Bitazza, SEC 1207
หกส่วนข้างบนใช้ได้ทุกประเทศ แต่ผู้อ่านในประเทศไทยเจอ landscape การสแกมที่ต่างจาก global ในจุดสำคัญหลายจุด ส่วนนี้คือสิ่งที่ไม่ปรากฏในเวอร์ชันภาษาจีนหรืออังกฤษ
Zipmex 2022 · บทเรียนใหญ่ของ retail ไทย
กรกฎาคม 2022 หลัง LUNA ระเบิด Zipmex exchange ที่มี ก.ล.ต. ใบอนุญาตประกาศ freeze withdrawal ผลิตภัณฑ์ ZipUp+ ที่ขายเป็น "high yield staking" ผู้ใช้ไทยมียอดถูก freeze รวมราว 48 ล้านดอลลาร์ CEO Marcus Lim ถูก ก.ล.ต. ฟ้อง ต่อมาผู้ใช้ส่วนใหญ่ได้คืนน้อยมาก บทเรียน
- มี ก.ล.ต. license ไม่เท่ากับปลอดภัย 100% Zipmex มี license แต่ทำธุรกิจ off-balance-sheet (staking ผ่านบุคคลที่สามที่ไม่ได้ license)
- "yield staking" บน exchange ส่วนใหญ่เป็น re-hypothecation เงินคุณถูกเอาไปปล่อยกู้ต่อ ถ้าผู้กู้ระเบิด (เช่น Celsius / Babel Finance ที่ Zipmex เอาเงินไปวาง) คุณก็เจ็บไปด้วย
- BTC ที่อยู่บน exchange ไทยเก็บไว้ในตู้เซฟส่วนตัว ไม่ใช่ทรัพย์สินของคุณ self-custody ผ่าน hardware wallet สำหรับเหรียญที่ไม่ขยับนาน เป็นทางเดียวที่ดูแลตัวเองได้ครบ
Bitazza 2024 · class action เรื่อง partial reserves
ปี 2024 Bitazza หนึ่งใน exchange THB อันดับสองหรือสาม ถูก class action ของผู้ใช้กลุ่มหนึ่งฟ้องเรื่อง partial reserves — ข้อกล่าวหาว่าไม่ได้เก็บ BTC ของผู้ใช้ทั้งหมดในรูป 1-to-1 คดียังไม่จบ แต่ส่งสัญญาณว่าแม้ exchange ที่มี license และมี volume สูงในไทย ก็มีความเสี่ยงโครงสร้างของ exchange ที่เหมือนกับ FTX, Mt.Gox, Celsius บทเรียน "ไม่ใช่กระเป๋าคุณ ไม่ใช่ของคุณ" ใช้ได้กับ exchange THB เหมือนกับ exchange offshore
LINE กับ Messenger pig butchering · "สาวเลี้ยงหมู"
Pig butchering ในไทยเรียก "สาวเลี้ยงหมู" หรือบางทีก็เรียก "หลอกรักลวงเงิน" หรือ "romance scam" เส้นทางที่พบบ่อยในไทย
- LINE + Messenger เป็น entry channel หลัก (ต่างจากตลาดอเมริกาที่ใช้ WhatsApp + Telegram เป็นหลัก) ผู้หลอกใช้รูปสาวสวยไทยหรือฝรั่งที่ขโมยจาก Instagram
- เริ่มจาก "อาจารย์ลงทุน" หลังคุยกันนานพอ แนะนำ "ห้องลงทุน VIP" ที่ลิงก์ไป Binance offshore หรือ Bybit หรือ platform ปลอมที่ลอกแบบ Binance
- หรือ Tinder ที่ตั้งบัญชี Bangkok สาว "expat ทำงานในย่านสาทร" ที่ค่อย ๆ คุย 3-6 สัปดาห์ แล้วเข้าหัวข้อ "ลุงของฉันมีระบบ insider"
ตำรวจ TCSD รายงานปี 2024 ว่ามีผู้ตกเป็นเหยื่อในไทยจาก pig butchering ประมาณ 12,000 คน สูญเสียรวมราว 5,000 ล้านบาท KK Park ในเมียวดี (รัฐกะเหรี่ยง) และ Sihanoukville ในกัมพูชาเป็นศูนย์ปฏิบัติการหลักของแก๊งที่มีเป้าหมายคนไทย คนงานในศูนย์เหล่านี้หลายคนเป็นเหยื่อ human trafficking เอง ถูกบังคับให้ทำ scripted scam ไม่ใช่ "อาชญากรอิสระ"
Approve drain ผ่าน MetaMask phishing ภาษาไทย
Phishing สำหรับผู้ใช้ DeFi ในไทยเริ่มมีเวอร์ชันภาษาไทยมาตั้งแต่ปี 2023 เว็บไซต์ phishing ใช้ภาษาไทยธรรมชาติ (ไม่ใช่ machine translation แบบเก่า) ปลอมเป็นช่อง claim ของ "airdrop OPEN Platform Thailand" หรือ "Bitkub Loyalty Reward" หรือ "Z.com TH Birthday Drop" ดูจริงจัง คนไม่คุ้น MetaMask popup กดผ่านได้ง่ายมาก ปี 2024 มีกระทู้ใน Pantip จำนวนมากเรื่องเหยื่อสูญเงินตั้งแต่ 50,000 ถึง 2 ล้านบาทผ่านช่องทางนี้
ก.ล.ต. ไทย · ช่องทางแจ้งและคุ้มครองผู้บริโภค
สำนักงาน ก.ล.ต. มี สายด่วน 1207 (โทรฟรี) รับแจ้งร้องเรียนเกี่ยวกับ unlicensed business และสแกมคริปโต ช่องอื่นที่ใช้ได้
- เว็บ ก.ล.ต. www.sec.or.th มีหน้า "Investor Alert" รายชื่อ exchange / broker ที่ไม่มี license + warning เรื่อง sectoral scam ปัจจุบัน
- list exchange ที่ได้ license ตรวจสอบในเว็บ ก.ล.ต. ก่อนเสมอ — Bitkub, Z.com EX, Bitazza, Satang Pro, ERX, KuCoin TH (เปิดในปี 2023) เป็นรายการที่ได้ license ณ ปี 2026 ตัวที่ไม่อยู่ในรายการ default คือ unlicensed
- กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (TCSD) ก่อตั้ง Crypto Crime Division ปี 2024 รับแจ้ง crypto crime ที่ผิดกฎหมายอาญา (เช่น pig butchering, exchange ปลอม) บนเว็บ tcsd.go.th
- ธนาคารแห่งประเทศไทย ออก warning เป็นระยะเรื่อง P2P stablecoin scam และการใช้คริปโตเป็น payment
"compound scam" ในเมียวดี-เขมร · เป้าคนไทย
compound scam ที่ตั้งใน KK Park (เมียวดี เมียนมา) และ Sihanoukville (กัมพูชา) เป็นแหล่งของแก๊งหลักที่หลอกคนไทย คนงานในศูนย์เหล่านี้หลายคนเป็นคนไทยที่ถูกหลอกไปทำงาน "tech support" แล้วถูก confiscate พาสปอร์ตและบังคับให้ทำ scam ปี 2024-2026 รัฐบาลไทยร่วมกับเมียนมาทำการช่วยเหลือคนไทยกลับประมาณ 3,000 คน แต่อีกหลายพันยังติดอยู่ นัยสำหรับคุณ คนแปลกหน้าที่ติดต่อมาบน LINE/Messenger เสนอ "งาน high pay ที่เมียวดี/กัมพูชา" 99% เป็น human trafficking "งานในกัมพูชา 80,000 บาทต่อเดือน ใช้แค่ภาษาไทยและคอมเป็น" ไม่ใช่งานจริง
scam อิงเทศกาลไทย · จังหวะที่ควรระวังเป็นพิเศษ
มี pattern ที่ผมเห็นใน 5 ปีหลัง สแกมในไทยมีความถี่ที่ผูกกับเทศกาล เพราะมิจฉาชีพรู้ว่าจังหวะไหนคนมีเงินสด
- ช่วงตรุษจีน (มกราคม-กุมภาพันธ์) หลังคนไทยจีนได้แต๊ะเอียและโบนัสปลายปี คลื่น pig butchering บน LINE สูงสุดของปี รายงานของตำรวจ TCSD ปี 2024 ระบุว่ามกราคมเดือนเดียวคิดเป็น 18% ของเคส pig butchering ทั้งปี
- ช่วงสงกรานต์ (เมษายน) คนหยุดงานหลายวัน ตรวจสอบโทรศัพท์น้อย — phishing email และ SMS spoofing พุ่งในสัปดาห์สงกรานต์ เพราะคนเปิดเช็คตอนเดินทางและรีบกด
- ช่วงปลายปี (พฤศจิกายน-ธันวาคม) โบนัส 13 เดือนของพนักงาน + คนต้องการ "ลงทุนปิดปี" — fake exchange "ลงทุนปลายปี ROI 30%" และ rug pull ของโปรเจกต์ "decentralized" ใหม่ ๆ คลื่นสูงสุดอีกครั้งของปี
ในจังหวะเหล่านี้ผมตั้งใจชะลอการทำ operation ใหม่ ๆ คือ ไม่เปิดบัญชี platform ใหม่ ไม่เชื่อม wallet กับ dApp ใหม่ ไม่ตอบ DM ที่ไม่รู้จัก ตั้งสติว่ามิจฉาชีพระดมกำลังในจังหวะนี้แน่ ๆ
2 ตัวชี้วัด early warning เฉพาะของไทย
นอกจากการอ่านข่าวและการตามประกาศของ ก.ล.ต. ผมพึ่ง 2 channel ที่เร็วกว่าข่าวสำหรับ early warning
- Pantip ห้อง Sinthorn (สินธร) หัวข้อ "ถูกหลอก" ผู้เสียหายมักโพสต์ใน Pantip ก่อนแจ้ง ก.ล.ต. หรือตำรวจ การกระจายของหัวข้อ "ถูกหลอก แพลตฟอร์ม X" บอกได้ว่ามี active scam ที่ scale ใหญ่กำลังเกิด เปิด Pantip 5 นาทีทุกสุดสัปดาห์ ดูว่ามีชื่อ platform ใหม่ที่ซ้ำในหลายกระทู้ไหม
- Facebook group "รวมพลคนถูกหลอก คริปโต ไทย" มีกว่า 100,000 สมาชิก โพสต์รายวัน — gauge ที่ดีของ wave สแกมล่าสุด เห็นชื่อ exchange ปลอม หรือ "อาจารย์" คนใหม่ บันทึกไว้ในรายการ blacklist ของตัวเอง
2 channel นี้รวมกัน 10 นาทีต่อสัปดาห์ ดี early warning ก่อน ก.ล.ต. ประกาศอย่างเป็นทางการ 2-4 สัปดาห์
กฎสามข้อสำหรับผู้อ่านไทย
- ตรวจ list ใบอนุญาต ก.ล.ต. ใน www.sec.or.th ก่อนเปิดบัญชี platform ใหม่ใด ๆ Bitkub, Z.com EX, Bitazza ตรวจสอบได้ ส่วนที่ไม่อยู่ใน list ไม่ลงเงิน นี่เป็น filter หยาบที่ป้องกัน 60% ของ exchange ปลอมและ platform "ROI การันตี" ได้ใน 30 วินาที
- ห้ามแชร์ seed phrase กับ "support" บน LINE / Messenger ใด ๆ support จริงไม่ขอ seed phrase ไม่ขอ password ไม่ขอ 2FA code คนที่ขอ 100% คือมิจฉาชีพ Bitkub support, Binance support, แม้แต่ MetaMask support — ไม่มีใครขอ seed phrase ของคุณเลย ในประวัติของวงการคริปโตทั่วโลก จุดเดียว
- เงินเกิน 100,000 บาท ใช้ hardware wallet (Ledger Nano S Plus / Trezor Model One) ราคา 3,500-5,500 บาท ซื้อตรงจากเว็บทางการ ledger.com หรือ trezor.io (อย่าซื้อจาก Lazada/Shopee — มี case ที่ผู้ขายสอด backdoor) เป็นการลงทุนครั้งเดียวที่ป้องกัน 95% ของสแกมที่ใช้ remote access และ Approve drain คนที่เก็บเงินคริปโตเกิน 1 ล้านบาทใน exchange ในไทยอย่างเดียวคือทำเหมือนฝากออมในบัญชีออมทรัพย์โดยไม่ทำประกัน เสี่ยงเกินกว่าผลตอบแทนของความสะดวก ผมแนะนำว่า ใช้ Bitkub สำหรับ trade ระยะสั้น + DCA THB เข้า → ถอน BTC ออกไป hardware wallet ที่บ้านทันทีที่เกิน threshold (ผมเองตั้งไว้ที่ 500,000 บาท) เก็บไว้บน device ที่ offline จนกว่าจะตัดสินใจขายในรอบหน้า
กรณีศึกษาจริงในไทย · summary 4 case
เก็บเคสจริงที่ตำรวจไทย TCSD เปิดเผย รายงาน ก.ล.ต. และโพสต์ Pantip ในช่วง 2022-2025 4 case ที่กระจายตัวเป็นสเปกตรัมที่กว้าง
- Zipmex 2022 · 48 ล้านดอลลาร์ exchange ที่มี license freeze withdrawal ของ ZipUp+ ผู้ใช้กว่า 100,000 คนถูกกระทบ บทเรียน mainstream platform กับ license ก็มี structural risk
- "อาจารย์เมย์" 2023 · 80 ล้านบาท เคส copy trading scam ในห้อง Telegram ภาษาไทย ผู้ใช้ 380 คนถูกหลอกเฉลี่ย 200,000 บาทต่อคน "อาจารย์เมย์" หายตัวพร้อมเงิน ตำรวจตามจับได้ในกัมพูชา 8 เดือนต่อมา ผู้ใช้ได้คืนน้อยกว่า 5% บทเรียน copy trading ที่ขายเหรียญผ่าน Telegram = high risk
- Pig butchering "พี่แอน" 2024 · เคสเดี่ยว 12 ล้านบาท ลุงคนหนึ่งวัย 58 ในจังหวัดเชียงใหม่ถูกหลอกผ่าน LINE สาวที่อ้างทำงาน hedge fund สิงคโปร์ โอนเงินไป Binance offshore 6 ครั้งใน 4 เดือน รวม 12 ล้านบาท ตอนพยายามถอน platform บอก "เติม margin" ลุงเอาเงินเกษียณทั้งก้อนลง ไม่มีหลังจากนั้น คดียังไม่จบ ลูกชายแจ้ง TCSD แล้วโพสต์ Pantip เพื่อเตือนคนอื่น
- Bitazza class action 2024 ผู้ใช้กลุ่มหนึ่งฟ้องเรื่อง partial reserves คดียังอยู่ในศาล แต่กระตุ้นให้ผู้ใช้ retail ตื่นตัวว่า exchange THB ที่มี license ก็ต้องตรวจ proof of reserve ของมันเอง
เก็บ 4 case นี้ไว้ในใจ คุณจะอ่านกระทู้ Pantip หรือข่าวสแกมรอบหน้าได้คมขึ้น เพราะคุณจำ pattern ได้แล้ว
§ กฎสากล · กฎกันตัวห้าข้อ
แปด case ข้างบนผ่าออกมาดูซับซ้อน แต่ตรรกะรากเดียวกันคือ ใช้จุดอ่อนของมนุษย์สองข้อ ความโลภ + ความกลัว APY สูงดึงความโลภ "บัญชีมีปัญหา" ทำให้เสียวิจารณญาณ "airdrop จำกัดเวลา" กระตุ้น FOMO รับมือกับ 8 รูปแบบนี้ กฎห้าข้อต่อไปนี้ใช้ได้ดีกว่าเทคนิคเฉพาะใด ๆ
- "โอกาส" ที่ติดต่อมาก่อนทุกอย่าง default คือสแกม — customer service ติดต่อมา investment elite ติดต่อมา airdrop ติดต่อมา "เพื่อน" "share" มา default ทุกอย่าง ต้องการหลักฐานสองเท่าจึงผ่าน
- wallet ทำ layer management wallet หลัก (cold), interaction wallet (hot ใส่ ETH นิดเดียวสำหรับ DeFi), airdrop wallet (independent wallet สำหรับ contract ที่ไม่เชื่อใจเท่านั้น) สามตัวไม่เชื่อมกัน ตัวใดถูกโจมตีไม่กระทบ wallet หลัก
- ก่อน sign ดู function ให้ชัด ไม่รู้ว่าคืออะไรปิดเริ่มใหม่ บรรยากาศ "รีบ sign ไม่งั้นพลาด" 100% เป็นสแกม
- กฎ cool-off 24 ชั่วโมง "โอกาสจำกัดเวลา" รอ 24 ชั่วโมงค่อยตัดสินใจ โอกาสจริงไม่หมดอายุใน 24 ชั่วโมง โอกาสปลอมไม่ให้คุณใจเย็น
- audit authorization เป็นระยะ ทุกเดือนใช้ revoke.cash revoke contract authorization ที่ไม่ใช้ ทุกเดือน clean token แปลก ๆ ที่โผล่ในกระเป๋า
ทันที โอนสินทรัพย์ที่เหลือใน wallet ไป wallet ใหม่ (ตัดการสูญเสียต่อเนื่อง)
ทันที ใช้ revoke.cash revoke ทุก approve ของ wallet ที่ถูกโจมตี
แจ้ง ในไทย โทร 1207 (ก.ล.ต.) + แจ้ง TCSD ทางเว็บ tcsd.go.th ในต่างประเทศแจ้งตำรวจท้องถิ่น + FBI IC3
ตามรอย ใช้ Chainabuse / MistTrack หรือ platform ตามรอย on-chain mark address ของมิจฉาชีพ (ส่วนใหญ่ตามคืนไม่ได้ แต่ป้องกันคนถัดไป)
จำไว้ ใครก็ตามที่บอก "ช่วยตามคืนได้" หลังเกิดเรื่อง (รวมทั้ง crypto lawyer / security expert) 90% เป็นการสแกมรอบสอง เก็บ "ค่าตรวจสอบเบื้องต้น" จากคุณ
multi-sig + time lock · การป้องกันขั้น advanced
ผู้ใช้ที่มีสินทรัพย์ใหญ่พิจารณาสองการเคลื่อนไหวขั้นสูง
- multi-sig wallet Gnosis Safe 2/3 หรือ 3/5 หมายถึง private key เดี่ยวถูกโจมตีไม่เสียเงิน ต้องมีหลาย independent signature ถึงโอนออกได้ เหมาะสำหรับ family reserve / team fund / long-term HODL
- time lock การโอนยอดใหญ่ต้อง delay 24-72 ชั่วโมง ช่วงเวลานี้ยกเลิกได้ ให้ช่อง "แก้หลังจากนั้น" MakerDAO และ DeFi protocol อื่น ๆ ใช้ระบบนี้จัดการ treasury
ข้อเสียคือ operation ซับซ้อนขึ้น ไม่เหมาะกับการ trade บ่อย แต่สำหรับ "long-term holding BTC/ETH main position" เป็นวิธีที่เหมาะ ตั้งครั้งเดียว maintenance cost เกือบ 0 ความปลอดภัยขึ้นมาเยอะมาก
§ ทำไมคนฉลาดก็โดน
การสังเกตที่ขัดกับสามัญสำนึก ในกลุ่มผู้เสียหายจากสแกมเหล่านี้ มีโปรแกรมเมอร์ หมอ ทนาย ผู้บริหารระดับสูง ซึ่งเป็นกลุ่ม IQ ไม่ต่ำเลย เหตุผลมี 3 ข้อ
- ยิ่งฉลาดยิ่งเชื่อว่าตัวเองรู้ แล้วในบ่ายที่เหนื่อยล้า popup ที่ดูจริงจัง เขากด confirm โดยอัตโนมัติ ความมั่นใจในตัวเองเกินไปคือทางเข้าหลัก
- เทคนิคสแกมพัฒนาตลอด ความรู้คุณเป็น snapshot ปี 2020 รู้จัก Approve phishing ปี 2024 Permit2 phishing เป็น mechanism ใหม่ อาจไม่เคยได้ยินเลย การป้องกันต้อง update ต่อเนื่อง อ่านบทความแบบนี้ไม่ใช่อ่านครั้งเดียวจบ
- อารมณ์ดันผ่านเหตุผล ความเชื่อใจที่ pig butchering สร้างไว้ ความสนุกของฝูงชนใน "อาจารย์ดูคู่" ความเร่งของ "airdrop ใกล้พลาด" ทั้งหมดทำให้สมองสลับเข้าโหมดไม่เป็นเหตุเป็นผล ตระหนักถึงสิ่งนี้ บังคับตัวเองให้สงบ 24 ชั่วโมงก่อน operation อารมณ์สูงใด ๆ คุณหลีกสแกม 80% ได้แล้ว
§ การโจมตีรูปแบบใหม่ · 3 ตัวที่โตเร็วที่สุดในปี 2024-2026
เทคนิคสแกมเปลี่ยนทุกปี สามรูปแบบต่อไปนี้โตเร็วที่สุดในปี 2024-2026 ควรระวัง
1. AI face swap + voice clone ปลอมเป็นคนรู้จัก
มิจฉาชีพ crawl ภาพและ short video ของเพื่อน / ครอบครัวคุณจาก social media ใช้ AI model สร้าง "video ขอความช่วยเหลือ" — "ผมโดนตำรวจตรวจ ต้องการ 50,000 บาท โอน USDT มาเร็ว เดี๋ยวคืน" video call ที่โทรมา expression และ lip sync แทบดูไม่ออก เสียงก็ clone มา ป้องกัน video / voice ใด ๆ ที่ "ขอเงินด่วน" verify ด้วย secret password ที่ตกลงไว้ก่อน (เช่น "ชื่อหมาที่บ้านเรา" คำถามส่วนตัวที่ AI คาดเดาไม่ได้) ปี 2024 รัฐบาลไทยรายงานผู้ตกเป็นเหยื่อ deepfake voice scam ที่โดนเฉลี่ย 80,000-300,000 บาท/case มากกว่า 800 case
2. on-chain MEV sandwich attack + Sandwich phishing
ตอน trade บน DEX อย่าง Uniswap / PancakeSwap bot ตรวจการ trade pending ของคุณ ซื้อก่อนหน้าคุณ (ดันราคา) ขายหลังคุณ (เก็บ slippage จากคุณ) ไม่ใช่ "สแกม" แต่เป็น "การปล้นบน chain" แต่ผลเหมือนกัน — slippage ที่คุณจ่ายเข้ากระเป๋า MEV bot ตรง ป้องกันใช้ RPC ที่มี MEV protection (MEV Blocker / Flashbots Protect) หรือใช้ CowSwap, 1inch Fusion ตรง ๆ ที่เป็น DEX "private settlement"
3. "crypto lawyer" ปลอม · scam รอบสอง
ช่วงเวลาเจ็บปวดที่สุดหลังถูกหลอก จะมีคน DM มาทาง X / Twitter / Facebook "เห็นโพสต์ที่คุณถูกหลอก สำนักงานเราเชี่ยวชาญตามทรัพย์สิน crypto rate ความสำเร็จ 70%+ จ่ายค่าตรวจสอบเบื้องต้น 2,000 USDT ก่อน…" หลังจ่ายค่าตรวจสอบเขาหายตัว หรือขอต่อเป็น "ค่าแปล ค่าข้ามประเทศ guarantee" ป้องกันหลังถูกหลอก ใครก็ตามที่ติดต่อมาก่อนเป็น "ผู้เชี่ยวชาญ" default คือสแกมรอบสอง ถ้าอยากตามจริง ๆ ผ่าน channel ทางการ Chainalysis, CipherTrace, TRM Labs เหล่านี้ไม่ DM ผู้ใช้ปกติ ทุกอย่างผ่าน protocol ความร่วมมือกับตำรวจ
§ ปิดเล่ม
8 รูปแบบนี้ไม่ครบ — เทคนิคใหม่ออกทุกเดือน AI face swap / AI voice clone เพิ่งเริ่มแพร่หลายในปี 2024 แต่ ตรรกะรากไม่เปลี่ยนเท่าไหร่ ใช้ความโลภ ใช้ความกลัว ใช้ความเร่ง ใช้ความเชื่อใจ
มือใหม่ที่อยู่รอดในวงการคริปโต ไม่ใช่จากการ "จับกระทิงได้" แต่จาก "ไม่ถูกหลอกหมดตัว" เงินที่คุณได้ ต้องเก็บไว้ได้ก่อน ถึงจะมีความหมาย การสูญเสียจากสแกมครั้งหนึ่ง อาจต้องใช้กระทิง 3 ปีถึงจะหาคืน คนส่วนใหญ่ไม่มีโอกาสรอกระทิงรอบหน้า
เสริมนิดหนึ่ง ถูกหลอกไม่ใช่เรื่องอาย ผมเองปี 2018 ก็ถูกหลอก "private placement insider" ไป 2 ETH ตอนนั้น ETH ราคาไม่กี่ร้อยดอลลาร์ ใช้ตัวเลขปัจจุบันก็ไม่ใช่จำนวนเล็ก สิ่งสำคัญคือ ยอมรับ + ไม่ทำอีก ไม่ใช่ปฏิเสธแล้วคิดว่า "ลงเพิ่มอีกหน่อยจะได้กลับ" การหลอกตัวเองแบบนี้แทบจะเป็นกุญแจสำคัญของการกินตัดสุดท้ายของ pig butchering ทุกราย หลังถูกหลอกยอมรับได้ตรง ๆ เก็บ position มาจัด สรุปบทเรียน ดีกว่าถูกหลอกครั้งที่สอง 100 เท่า เขียนบทเรียนแต่ละครั้งลงในสมุดของคุณเอง รวมทั้งสคริปต์ของอีกฝ่าย จุดบอดในใจคุณวินาทีนั้น ตอนนั้นทำไมไม่ check อีกหน่อย — การ review เหล่านี้มีประโยชน์มากกว่าอ่านบทความป้องกันสแกม 100 ฉบับ เพราะเป็นประสบการณ์ที่คุณยืนยันด้วยตัวเอง
เก็บบทความนี้ใส่ bookmark เปิดดูทุก 3 เดือน ทุกครั้งจะมีความเข้าใจใหม่ "ที่จริงเรื่องนี้มีสัญญาณตั้งแต่ 6 เดือนก่อนแล้ว ผมไม่ทันสังเกต" ความรู้สึกปลอดภัยถูกสร้างขึ้นทีละชั้น สร้างครั้งเดียวไม่ขึ้น อ่านมาก ดูมาก ระวังมาก ในวงการนี้ไม่มีเส้นทางที่สอง
§ ภาคผนวก · pre-flight checklist ก่อน sign signature ทุกครั้ง
8 case ข้างบนผ่าออกมาเป็นโครงสร้างขนาดใหญ่ แต่ถึงเวลาตัวคุณนั่งหน้าจอแล้ว MetaMask popup ขึ้นมา การจะ confirm หรือไม่กลายเป็นเรื่องของ 5 วินาที ผมใช้ checklist 6 ข้อนี้ทุกครั้ง ตอบไม่ได้ทุกข้อแม้แต่ข้อเดียว ปิด popup รอ 24 ชั่วโมง
- URL บน address bar ตรงตัวกับ domain ทางการของโปรเจกต์ที่คุณตั้งใจใช้หรือไม่ ตรวจสอบตัวอักษรต่อตัวอักษร ตัว i กับ l ตัว 0 กับ O ตัว .com กับ .app และ Unicode homoglyph ที่ดูเหมือน ถ้าไม่แน่ใจปิด popup เปิด bookmark ที่บันทึกไว้
- Function ใน signature popup เขียนว่าอะไร Transfer (โอน) Approve (ยกสิทธิ์) setApprovalForAll (ยกสิทธิ์ NFT ทั้งหมด) Permit / Permit2 (signature ยกสิทธิ์ใหม่) Sign Message (ลายเซ็นทั่วไป) ถ้าเป็น Approve หรือ Permit ดู spender address กับ amount
- Spender address ตรงกับ contract ทางการของโปรเจกต์หรือไม่ ตรวจสอบใน docs ของโปรเจกต์ ถ้า spender เป็น address แปลก ๆ ที่ไม่อยู่ในเอกสารทางการ ปิดทันที
- Amount เป็น MAX_UINT256 (unlimited) หรือไม่ โปรเจกต์ DeFi ที่ออกแบบดี ปกติจะขอ approve แค่ amount ที่จำเป็น ไม่ใช่ unlimited ถ้าเห็น unlimited ตั้งคำถามว่าทำไม
- คุณ "ตั้งใจ" จะทำการ action นี้ในตอนนี้หรือไม่ popup ที่เด้งขึ้นมาจากการคลิก link ที่คุณไม่ได้ตั้งใจกด หรือจาก "airdrop ที่เพิ่งเห็น" เกือบทั้งหมดเป็น phishing ถ้าคุณไม่ได้ตั้งใจไป interact กับ contract นี้ในวินาทีนี้ ปิด
- ถ้าผิด คุณจะเสียมูลค่าเท่าไหร่ ถ้าคำตอบเกินกว่าค่าครู (ปกติ 1-2 หมื่นบาทสำหรับมือสมัครเล่น) เปลี่ยนไป wallet แยกที่มีเงินน้อยกว่า แล้วทดลองที่นั่นก่อน main wallet ไม่ควรเป็น wallet ที่เชื่อม dApp ใหม่ที่ไม่คุ้นเป็นครั้งแรก
ผ่าน 6 ข้อนี้ใช้เวลา 30-60 วินาที สแกม 99% หลีกได้ที่ข้อ 2 หรือ 3 — phishing ส่วนใหญ่หวังให้คุณรีบ confirm โดยไม่ดู function หรือ spender การช้าลง 1 นาทีคือการป้องกันที่แข็งแกร่งที่สุดในวงการ
เทมเพลตการตรวจสอบ contract owner permission
ก่อนลงเงินใน DeFi protocol ใหม่ (เกินค่าครู 500 ดอลลาร์ขึ้นไป) ผมเปิด Etherscan / BscScan แล้วเช็ค 4 รายการ
- Contract verified แล้วหรือไม่ contract ที่ไม่ verify หมายความว่า source code ไม่เปิด ไม่ลงเงิน 100%
- Owner เป็น EOA (private key) หรือ multi-sig หรือ DAO governance EOA คนเดียว = ความเสี่ยงสูง multi-sig (3/5 ขึ้นไป) = ความเสี่ยงปานกลาง DAO timelock = ความเสี่ยงต่ำ
- มี renounceOwnership() ถูกเรียกใช้หรือไม่ เรียกแล้ว = owner เป็น zero address ไม่มีใครควบคุม contract ได้อีก ปลอดภัยที่สุด
- Mint / Pause / Blacklist function มีอยู่หรือไม่ เปิด tab "Read Contract" ดูฟังก์ชันที่ owner เรียกได้ ถ้ามีฟังก์ชันที่ไม่ควรมีอยู่ในโปรเจกต์ที่ "decentralized" ตั้งคำถาม
4 รายการนี้ใช้เวลา 10 นาทีต่อโปรเจกต์ คนที่ไม่ทำ 4 ข้อนี้และยังลงเงินใน DeFi farm ใหม่ = อยู่ในกลุ่มที่จะเป็นเหยื่อ rug pull รอบหน้า
§ ภาคผนวก สอง · ข้อความ template ภาษาไทยที่คุณส่งครอบครัวได้
บทเรียนสุดท้ายของ pig butchering ในไทย คุณไม่ได้สู้คนเดียว ครอบครัวคุณ (โดยเฉพาะพ่อแม่ที่อายุเกิน 50 หรือลูกหลานที่เพิ่งเริ่มเรียนรู้ social media) เป็นเป้าหมายอันดับหนึ่งของ romance scam ภาษาไทย หากคุณช่วยให้พวกเขาตั้งสติได้ก่อนตกหลุม คุณช่วยทั้งบ้าน ผมแชร์ข้อความ template สั้น ๆ ที่ผมส่งให้แม่ตัวเองในกลุ่ม LINE ครอบครัว คุณคัดลอกไปใช้ได้
"แม่ครับ ถ้ามีใครติดต่อแม่ทาง LINE หรือ Messenger บอกว่าเป็นเพื่อนใหม่ ทำงานสิงคโปร์ ฮ่องกง ดูไบ มีลุงทำการเงิน หรือมีระบบลงทุน insider — อันนี้คือสาวเลี้ยงหมูครับ ตำรวจไทยรายงานปี 2024 คนไทย 12,000 คนถูกหลอกเฉลี่ย 400,000 บาท/คน รวม 5,000 ล้านบาท ใครที่ไม่เคยเจอหน้ากันจริง ไม่เคยกินข้าวกัน แต่ชวนลงทุน — 100% หลอก ไม่ใช่ 99% เป็น 100% แม่อย่าสนใจ block ไปเลย ถ้าไม่แน่ใจส่งหน้าจอมาให้ผมดูก่อน"
เก็บข้อความนี้ไว้ ปรับให้เป็นภาษาที่ครอบครัวคุณคุ้น แล้วส่งในกลุ่ม LINE หรือ Messenger ของครอบครัว ผมส่งมาตั้งแต่ปี 2023 จากนั้นแม่ผมได้รับ romance scam อย่างน้อย 4 ครั้ง ทุกครั้งส่งหน้าจอมาให้ดู ทุกครั้งช่วยกันยืนยันว่าเป็นสแกม ครอบครัวยังเงินครบ
5 สัญญาณเตือนที่บอกครอบครัวให้สังเกตได้ง่าย
- คนแปลกหน้าทักก่อน แล้วใช้เวลาคุยนาน ๆ โดยไม่ขอเงิน ในช่วงต้น นี่คือลักษณะของการ "เลี้ยงหมูให้อ้วน" ก่อนจะเชือด คนปกติที่จะหลอก ขอเงินตั้งแต่วันแรก คนสแกมระยะยาวใช้เวลา 3-8 สัปดาห์ก่อนขอ
- โพรไฟล์ดูดี รูปสวยมาก ทำงานบริษัทดัง รูปขโมยจาก Instagram ของเน็ตไอดอลเป็น industry standard ถ้ารูปดูเป็น stock photo หรือดูเหมือนถ่ายจาก photoshoot ขั้นมืออาชีพ default คือปลอม
- เลี่ยง video call แบบมีปฏิสัมพันธ์ หรือถ้า call ก็ภาพดูคล้าย deepfake (lip sync ผิดเล็กน้อย พื้นหลังเบลอเป็นเส้นแปลก ๆ การเคลื่อนไหวกระตุก)
- ค่อย ๆ พูดเรื่องการลงทุน "ที่บังเอิญมี insider" หรือ "ครอบครัวมี trading system" หรือ "เพื่อนทำ quant กองทุน" สัญญาณเข้าขั้น hot phase
- ขอให้คุณดาวน์โหลด APP หรือสมัคร platform ที่คุณไม่เคยได้ยิน ไม่ใช่ Bitkub ไม่ใช่ Z.com TH ไม่ใช่ Binance ที่คุณรู้ — ขั้นตอนสุดท้ายก่อนตกหลุม
5 สัญญาณนี้ไม่ใช่ AI logic ที่ซับซ้อน เป็น pattern recognition ที่คนปกติจำได้ในเวลา 5 นาที สอนพ่อแม่ครั้งเดียว พวกเขาจดจำได้ยาวนาน
§ post-script · 12 บรรทัดที่ผมพิมพ์ติดข้างจอ
เพื่อปิดบทความเอกสารยาวนี้ ผมแชร์ 12 บรรทัดที่ผมพิมพ์เอาไว้ติดข้างจอคอม สั้น ๆ ภาษาไทย เพื่อให้ตัวเองทบทวนได้ในวินาทีเร่งรีบ คัดลอกไปใช้ได้
- โอกาสที่ติดต่อมาก่อน = สแกม
- seed phrase ไม่บอกใคร
- support จริงไม่โทรหา
- ดาวน์โหลดจาก bookmark
- ก่อน sign ดู function
- Approve unlimited = อันตราย
- airdrop ไม่ขอ approve
- address copy ตัวเต็ม
- โอนใหญ่ทดสอบเล็กก่อน
- APY เกิน 100% = Ponzi
- โอกาสจำกัดเวลา = รอ 24 ชม
- หลังถูกหลอก ห้ามจ่ายค่าตรวจสอบ
12 บรรทัด รวมแล้วไม่ถึง 80 ตัวอักษร ผมพิมพ์บนกระดาษ A6 ติดข้างจอตั้งแต่ปี 2020 จนถึงวันนี้ไม่ถอด ทุกครั้งที่ลังเลก่อน sign ตามอง 5 วินาที พอแล้ว ตลาดคริปโตเป็นที่ที่คนเก่งโดนหลอกได้ แต่ก็เป็นที่ที่คนระวังอยู่รอด 12 บรรทัดนี้คือเกราะป้องกันบ้าน ๆ ที่ใช้ได้กับ scam 99% — อีก 1% คือสแกมแบบใหม่ที่ผมยังไม่เคยเห็น ผมจะอัปเดตบทความนี้ทุก 6 เดือน ครั้งใหม่อ่านอีกครั้ง
สิ่งที่ผมไม่อยากจบบทความโดยไม่พูดคือ ปลายทางของวงการคริปโตในไทยอีก 5 ปี ไม่ได้ขึ้นอยู่กับว่ามีสแกมกี่ % แต่ขึ้นอยู่กับว่า retail ไทยมีความรู้พื้นฐานพอที่จะตัดสินใจของตัวเองหรือเปล่า ผมเชื่อว่าความรู้พื้นฐานนี้ไม่ได้มาจากบทความเดียว ไม่ได้มาจากคอร์สที่ขายโดย "อาจารย์" และไม่ได้มาจากแอป exchange บอกว่าปลอดภัย มันมาจากการที่คุณอ่านหลายแหล่ง คุณคุยกับเพื่อนที่อยู่ในวงการนาน คุณยอมรับว่าตัวเองอาจผิด และคุณทำซ้ำ ๆ จนรูปแบบ pattern recognition ฝังในสมอง บทความนี้เป็นแค่ส่วนเดียวของ puzzle ของคุณ คุณยังต้องสร้างส่วนอื่น ๆ เองทีละชิ้น
