โปรแกรมดูดเงินจากกระเป๋าเงินดิจิทัลคืออะไร? โปรแกรมดูดเงินจากกระเป๋าเงินดิจิทัลทำงานอย่างไร?
คุณไม่จำเป็นต้องมอบวลีรหัสลับของคุณเพื่อสูญเสียทุกอย่าง ด้วยโปรแกรมดูดเงินจากกระเป๋าเงิน คุณจะสูญเสียมันเพียงแค่คลิก "อนุมัติ" ลองนึกภาพเว็บไซต์ที่ดูดีเสนอของรางวัลฟรี คุณเชื่อมต่อกระเป๋าเงินของคุณ กล่องลงลายเซ็นจะปรากฏขึ้น คุณแตะยืนยันเพราะนั่นคือสิ่งที่ทุก dApp ขอ และไม่กี่วินาทีต่อมา คริปโตและ NFT ของคุณก็หายไป ไม่มีรหัสผ่านถูกขโมย ไม่มีอุปกรณ์ถูกแฮ็ก คุณอนุญาตการขโมยด้วยตัวเอง โดยปกติแล้วด้วยลายเซ็นที่ไม่เสียค่าธรรมเนียมและดูเหมือนไม่มีอันตรายใดๆ นั่นคือกลอุบายทั้งหมด และมันได้ผลดีพอที่จะขโมยเงินได้ถึง 494 ล้านดอลลาร์ในปี 2024 เพียงปีเดียว
คู่มือนี้จะอธิบายว่าการขโมยเงินจากกระเป๋าเงินดิจิทัลคืออะไร ช่วงเวลาที่เกิดการโจรกรรมอย่างแม่นยำ วิธีที่อาชญากรเปลี่ยนการโจรกรรมให้เป็นบริการแบบเสียเงิน จำนวนเงินที่พวกเขาขโมยไป และสองพฤติกรรมที่สามารถหยุดยั้งการโจรกรรมเหล่านี้ได้เกือบทั้งหมด
โปรแกรมดูดเงินจากกระเป๋าเงินคืออะไร และทำไมมันถึงได้ผล
โปรแกรมดูดเงินจากกระเป๋าเงินดิจิทัล (Wallet Drainer) ไม่ใช่โปรแกรมมัลแวร์ที่แฝงตัวอยู่เงียบๆ ในคอมพิวเตอร์ของคุณ มันคือสัญญาอัจฉริยะหรือสคริปต์ที่เป็นอันตราย ซึ่งเป็นหนึ่งในแอปพลิเคชันแบบกระจายศูนย์ (DApps) ที่เป็นอันตรายที่กำลังคุกคามเว็บเบราว์เซอร์ (Web3) ในปัจจุบัน โดยปลอมตัวเป็นแอปพลิเคชันที่เป็นมิตร เพื่อหลอกให้คุณอนุญาตให้มันเข้าถึง จากนั้นก็จะดูดทรัพย์สินของคุณไปทันทีที่คุณอนุญาต โปรแกรมดูดเงินดิจิทัลเหล่านี้ส่วนใหญ่อยู่ในระบบการเงินแบบกระจายศูนย์ (DeFi) ซึ่งเป็นระบบที่เงินเคลื่อนย้ายโดยใช้ลายเซ็นแทนการล็อกอิน และสกุลเงินดิจิทัลและสินทรัพย์ดิจิทัลอื่นๆ ของคุณคือเป้าหมายหลักของมัน โปรแกรมดูดเงินดิจิทัลจะไม่เดารหัสส่วนตัวของคุณและจะไม่ถอดรหัสใดๆ มันเพียงแค่ทำให้คุณลงนามในธุรกรรมหรืออนุมัติ ซึ่งจะมอบสิทธิ์ให้สัญญาอัจฉริยะของคนแปลกหน้าเข้าถึงเงินของคุณ
เมื่อได้รับอนุญาตแล้ว ที่เหลือก็จะเป็นไปโดยอัตโนมัติ โปรแกรมแฮ็กเกอร์จะอ่านกระเป๋าเงินของคุณเพื่อค้นหาโทเค็น NFT และสินทรัพย์ดิจิทัลอื่นๆ ที่มีมูลค่าสูงสุด สร้างคำขอโอน และย้ายทุกอย่างไปยังที่อยู่ซึ่งผู้โจมตีควบคุมอยู่ โดยมักจะทำภายในบล็อกเดียว เนื่องจากคำขอมาในรูปแบบของการกระทำ Web3 ปกติ เหยื่อส่วนใหญ่จึงไม่รู้ว่าเกิดอะไรขึ้นจนกว่ากระเป๋าเงินจะว่างเปล่าแล้ว อันตรายไม่ได้มาจากไวรัส แต่มาจากการอนุญาตที่คุณให้โดยไม่ได้อ่านเงื่อนไข
วิธีที่โปรแกรมโกงเงินในกระเป๋าเงินทำให้กระเป๋าเงินของคุณว่างเปล่า
ทุกท่อระบายน้ำมีรูปแบบเดียวกัน คือ ล่อเหยื่อ สร้างเอกลักษณ์ และกวาดล้าง ขั้นตอนตรงกลางคือขั้นตอนที่เงินสูญหายไป และเป็นขั้นตอนที่แทบไม่มีใครสังเกตอย่างใกล้ชิด
เหยื่อล่อ
ก่อนอื่นคุณต้องตกหลุมพรางเสียก่อน พวกมิจฉาชีพจะสร้างข่าวปลอมเกี่ยวกับการแจกเหรียญฟรี การสร้าง NFT และการขอรับโทเค็น จากนั้นก็กดดันพวกเขาอย่างหนัก พวกเขาจะแฮ็กบัญชีที่ได้รับการยืนยันบนเว็บไซต์ต่างๆ และโพสต์ลิงก์จากบัญชีโซเชียลมีเดียที่ถูกขโมย พวกเขาจะส่งข้อความใน Telegram และ Discord และซื้อโฆษณาค้นหาแบบเสียเงินเพื่อให้เว็บไซต์ปลอมปรากฏอยู่เหนือเว็บไซต์จริง กลยุทธ์ของพวกเขาจะเน้นความเร่งด่วน การสร้างเหรียญจำนวนจำกัด หรือการขอรับโทเค็นที่มีวันหมดอายุ เพราะการหลอกลวงทางสังคมจะได้ผลดีที่สุดเมื่อคุณไม่มีเวลาคิด ต่างจากการฟิชชิ่งแบบเก่าที่ตามหาพาสเวิร์ดหรือข้อมูลการเข้าสู่ระบบ พวกที่พยายามดูดเหรียญไม่ต้องการความลับของคุณเลย พวกเขาแค่ต้องหลอกให้ผู้ใช้ทำเพียงอย่างเดียว: เชื่อมต่อกระเป๋าเงินของพวกเขากับเว็บไซต์ปลอมและอนุมัติคำขอเพียงครั้งเดียว เงื่อนไขที่ง่ายกว่านี้เองที่เป็นเหตุผลว่าทำไมพวกที่พยายามดูดเหรียญจึงแพร่กระจายอย่างรวดเร็ว และเป็นเหตุผลว่าทำไมแม้แต่คนที่ระมัดระวังก็ยังตกเป็นเหยื่อได้ในจังหวะที่รีบร้อน เมื่อคลิกเข้าไป คุณก็จะไปถึงเว็บไซต์ปลอมที่ดูเหมือนโครงการที่คุณไว้ใจทุกประการ และขอให้คุณเชื่อมต่อกระเป๋าเงินของคุณ
กับดักคือเอกลักษณ์
นี่คือส่วนที่สำคัญ เมื่อคุณอนุมัติ คุณไม่ได้ "ล็อกอิน" — คุณกำลังลงนามอนุญาตเฉพาะเจาะจง และบางอย่างก็ร้ายแรงมาก คำสั่ง `approve()` ของ ERC-20 สามารถให้สิทธิ์การใช้งานแบบไม่จำกัด ทำให้สัญญาใช้โทเค็นนั้นได้ตลอดไป `setApprovalForAll` แจก NFT ทุกตัวในคอลเลกชันพร้อมกัน ที่ร้ายกาจที่สุดคือลายเซ็นแบบออฟไลน์ Permit หรือ Permit2 มันไม่เสียค่า gas มันแสดงเป็นข้อความธรรมดา ไม่ใช่ธุรกรรม และมันก็ยังอนุญาตการโอน นี่คือกับดักที่คนส่วนใหญ่ตกเข้าไป: จาก การวิเคราะห์ของ SlowMist พบว่า ลายเซ็นแบบ Permit คิดเป็น 56.7% ของการอนุมัติแบบฟิชชิ่งในปี 2024 เพราะมันดูเหมือนไม่มีอะไรเลย ผู้โจมตีก็ติดตามการอัปเกรดเช่นกัน โดยใช้ประโยชน์จากคำสั่งที่ซับซ้อน เช่น `setOwner` และหลังจากที่ Ethereum เปิดตัว Pectra ก็มีการใช้การมอบหมาย EIP-7702 ใหม่ล่าสุด
ท่อระบายน้ำ
เมื่อคุณเซ็นชื่อแล้ว โปรแกรมดูดเงินในกระเป๋าเงินของคุณจะมีทุกอย่างที่ต้องการ และไม่มีการยืนยันครั้งที่สองเพื่อช่วยคุณ เป้าหมายนั้นเรียบง่ายและโหดร้าย: ขโมยเงินก่อนที่คุณจะตอบโต้ มันได้แมปสินทรัพย์ของคุณไว้แล้ว ดังนั้นมันจึงเริ่มการโอน และโทเค็นของคุณจะหายไปในบล็อกเดียว การทำธุรกรรมบนบล็อกเชนนั้นเป็นที่สิ้นสุด ไม่มีธนาคารให้ติดต่อ ไม่มีค่าธรรมเนียมให้ยกเลิก เมื่อถึงเวลาที่การแจกเหรียญ "โหลดไม่สำเร็จ" การโอนที่ไม่ได้รับอนุญาตก็เสร็จสิ้นบนบล็อกเชนแล้ว
| สิ่งที่คุณต้องเซ็นชื่อ | มันดูเหมือนอะไรในสายตาคุณ | สิ่งที่มันมอบให้จริงๆ |
|---|---|---|
| ERC-20 `approve()` | การอนุมัติโทเค็นตามปกติ | สามารถใช้โทเค็นนั้นได้อย่างไม่จำกัด |
| `setApprovalForAll` | "อนุมัติการรวบรวมข้อมูล" | ควบคุม NFT ทุกตัวในนั้น |
| ใบอนุญาต / ใบอนุญาต2 | ข้อความลายเซ็นที่ไม่ต้องใช้แก๊ส | โอนสิทธิ์โดยไม่มีร่องรอยบนบล็อกเชนจนกว่าจะมีการใช้งาน |
| `setOwner` / EIP-7702 | ข้อความแจ้งเตือนที่ไม่คุ้นเคย | การเป็นเจ้าของหรือการมอบหมายบัญชีของคุณ |
บริการกำจัดขยะ (DaaS): อาชญากรรมในรูปแบบแดชบอร์ด
โปรแกรมดูดเงินดิจิทัลไม่ได้ขยายตัวเพราะผู้โจมตีฉลาดขึ้น แต่ขยายตัวเพราะมีคนนำเครื่องมือนี้ไปพัฒนาเป็นผลิตภัณฑ์ และด้วยผลิตภัณฑ์นั้นเอง การขโมยกระเป๋าเงินดิจิทัลจึงกลายเป็นอาชญากรรมไซเบอร์แบบเป็นระบบที่มีการเผยแพร่รายการราคาอย่างเป็นทางการ
DaaS ทำงานอย่างไร
ในโมเดล Drainer-as-a-Service นักพัฒนาซอฟต์แวร์คนหนึ่งสร้างและดูแลชุดเครื่องมือดูดเงินจากกระเป๋าเงินดิจิทัล แล้วให้เช่าแก่ใครก็ตามที่ต้องการดำเนินแคมเปญโจมตีกระเป๋าเงินดิจิทัล ผู้ร่วมงาน ซึ่งมักจะเป็นผู้ก่อภัยคุกคามที่มีทักษะต่ำ จะจัดการเรื่องการหลอกลวง (phishing) ส่วนชุดเครื่องมือจะจัดการเรื่องการขโมย พวกเขาแบ่งส่วนแบ่งกัน โดยส่วนแบ่งนั้นจะลอกเลียนแบบกลยุทธ์ของแรนซัมแวร์เกือบทุกประการ: นักพัฒนาซอฟต์แวร์จะเก็บประมาณ 20% ของเงินที่ขโมยมาได้ทั้งหมด ส่วนผู้ร่วมงานจะเก็บอีก 80% สำหรับส่วนแบ่งนั้น ผู้ซื้อจะได้รับหน้าเว็บหลอกลวงสำเร็จรูป แผงควบคุม เครื่องมือปกปิดตัวตน และใช่แล้ว การสนับสนุนลูกค้าอย่างแท้จริง เด็กวัยรุ่นที่ไม่สามารถเขียนโค้ดได้แม้แต่บรรทัดเดียว ก็สามารถดำเนินการอย่างมืออาชีพได้ภายในเวลาเที่ยงวัน
อินเฟอร์โน พิงค์ และประตูหมุน
ชุดเครื่องมือที่โดดเด่นแสดงให้เห็นถึงขนาดของปัญหา Inferno Drainer ดำเนินการตั้งแต่ปลายปี 2022 ถึงปลายปี 2023 และขโมยเงินไปประมาณ 87 ล้านดอลลาร์จากเหยื่อมากกว่า 137,000 ราย กระจายอยู่ทั่วโดเมนฟิชชิ่งกว่า 16,000 โดเมนที่ปลอมแปลงแบรนด์คริปโตอย่างน้อย 100 แบรนด์ Pink Drainer ขโมยเงินไปประมาณ 85 ล้านดอลลาร์ก่อนที่ผู้ดำเนินการจะประกาศว่าพวกเขาจะเลิกทำ สังเกตแบบแผนนี้ กลุ่มหนึ่งเกษียณ อาชญากรไซเบอร์ก็เปลี่ยนไปใช้ชุดเครื่องมือใหม่ และ Inferno เองก็กลับมาในรูปแบบ "ปรับปรุงใหม่" การกำจัดผู้ดำเนินการรายหนึ่งไม่ได้กำจัดตลาดทั้งหมด เพราะตลาดคือบริการ ไม่ใช่ผู้หลอกลวง
พวกมิจฉาชีพที่ดูดเงินจากกระเป๋าเงินขโมยเงินไปเท่าไหร่
ตัวเลขรวมนั้นสูงมาก ผันผวน และอ่านผิดได้ง่าย การโจมตีเพื่อดูดเงินจากกระเป๋าเงินคริปโตเพียงครั้งเดียวอาจได้เงินมากกว่าการแฮ็กเว็บเทรดทั้งเว็บเสียอีก และตัวเลขรายปีก็ผันผวนไปมา
แหล่งข้อมูลที่ชัดเจนที่สุดอย่าง Scam Sniffer นับจำนวนการสูญเสียเป็นรายปี ในปี 2023 มีมูลค่าความเสียหายประมาณ 295 ล้านดอลลาร์ จากเหยื่อ 324,000 ราย เพิ่มขึ้น 67% เป็น 494 ล้านดอลลาร์ในปี 2024 จากนั้น ลดลงอย่างรวดเร็วเหลือประมาณ 84 ล้านดอลลาร์ในปี 2025 การลดลงนั้นดูเหมือนจะเป็นชัยชนะ แต่ไม่ใช่ ส่วนใหญ่สะท้อนถึงกิจกรรมบนบล็อกเชนและการหมุนเวียนของชุดเครื่องมือที่เงียบลง และช่วงแรกของ 2026 ก็แสดงให้เห็นถึงการเพิ่มขึ้นรายเดือนที่สูงชันแล้ว การสูญเสียครั้งใหญ่ที่สุดเป็นประวัติการณ์คือ 55.47 ล้านดอลลาร์ใน DAI จากเหยื่อรายเดียวในปี 2024 ไม่ว่ายอดรวมจะอยู่ที่เท่าใด คริปโตที่ถูกขโมยไปก็ออกจากระบบในลักษณะเดียวกัน คือ ถูกชะล้างผ่านตัวผสมและตลาดแลกเปลี่ยนแบบกระจายอำนาจภายในไม่กี่นาที ซึ่งเป็นเหตุผลว่าทำไมจึงแทบไม่มีคริปโตใดกลับคืนมาเลย
| ปี | ถูกขโมยโดยพวกที่ระบายน้ำทิ้ง | เหยื่อ |
|---|---|---|
| 2023 | 295.5 ล้านเหรียญสหรัฐ | 324,000+ |
| 2024 | 494 ล้านเหรียญสหรัฐ | 332,000 |
| 2025 | 83.85 ล้านเหรียญสหรัฐ | 106,106 |
และเหยื่อก็ไม่ใช่ทุกคนที่เป็นมือใหม่ มาร์ค คิวบัน สูญเสียเงินไปประมาณ 900,000 ดอลลาร์จากการถูกมิจฉาชีพหลอกลวง แม้แต่ไวทาลิก บูเทอริน ผู้ร่วมก่อตั้ง Ethereum ก็ยังถูกแฮ็กบัญชี X เพื่อสร้างเหรียญปลอมที่ดูดเงินไปประมาณ 700,000 ดอลลาร์จากผู้ติดตามของเขา หากเรื่องนี้ไปถึงมือพวกเขาแล้ว เส้นแบ่งระหว่าง "ฉันไม่มีวันหลงกล" นั้นบางกว่าที่คิด
สัญญาณเตือนของมิจฉาชีพที่ดูดเงินจากกระเป๋าเงินของคุณ
สัญญาณเตือนภัยที่บ่งบอกถึงมิจฉาชีพที่พยายามดูดเงินจากกระเป๋าของคุณนั้น ส่วนใหญ่จะวนเวียนอยู่กับข้อเรียกร้องเดียวคือ: เซ็นเอกสารนี้เดี๋ยวนี้ เมื่อคุณเห็นสัญญาณเหล่านี้ จงชะลอความเร็วลง
ระวังข้อความแจ้งเตือนขอโทเค็นแบบไม่จำกัดจำนวน ทั้งๆ ที่คุณต้องการแค่ซื้อครั้งเดียว ระวังให้ดีกับคำขอลงชื่อที่คิดค่าธรรมเนียมแก๊สเป็นศูนย์และแสดงข้อความที่คุณอ่านไม่ครบถ้วน นั่นคือกลโกงดูดโทเค็นแบบคลาสสิกที่ไม่คิดค่าธรรมเนียมแก๊ส ให้คิดว่าข้อความ "รับเลย" "สร้างโทเค็นได้จำกัด" และการนับถอยหลังเป็นกลยุทธ์กดดัน ไม่ใช่โชค อย่าไว้ใจลิงก์ใดๆ ที่ปรากฏในข้อความส่วนตัวหรือกลุ่ม Telegram อย่าเข้าถึง dApp ผ่านโฆษณาค้นหาที่ได้รับการสนับสนุน เพราะพวกมิจฉาชีพมักจะเสนอราคาแข่งกับโครงการจริงเพื่อแย่งตำแหน่งสูงสุด และตรวจสอบโดเมนอย่างละเอียดเสมอ เพราะโดเมนที่เหมือนกันแต่เปลี่ยนตัวอักษรเพียงตัวเดียวเป็นกลโกงที่เก่าแก่ที่สุดในตำราของเว็บไซต์หลอกลวง และยังคงใช้ได้ผลอยู่
วิธีปกป้องกระเป๋าเงินของคุณจากมิจฉาชีพที่พยายามดูดเงินจนหมด
คุณไม่จำเป็นต้องติดตามช่องโหว่ใหม่ๆ ทุกช่องโหว่ นิสัยพื้นฐานสองอย่างก็สามารถป้องกันการเจาะระบบได้เกือบทุกอย่างแล้ว
ใช้กระเป๋าเงินฮาร์ดแวร์และกระเป๋าเงินสำรอง
เก็บคริปโตส่วนใหญ่ของคุณไว้ในกระเป๋าเงินฮาร์ดแวร์ กุญแจจะอยู่แบบออฟไลน์ และทุกธุรกรรมต้องแตะที่อุปกรณ์จริง ดังนั้นเว็บไซต์ที่เป็นอันตรายจึงไม่สามารถเคลื่อนย้ายอะไรได้เลยหากคุณไม่มีฮาร์ดแวร์อยู่ในมือ จากนั้นสร้างกระเป๋าเงินสำรอง "แบบเผา" ที่เกือบว่างเปล่าสำหรับใช้ในการขุดเหรียญใหม่ รับเหรียญฟรีดรอป และใช้งาน dApp ที่คุณไม่รู้จัก หากกระเป๋าเงินสำรองหมด คุณก็แค่เสียเงินค่าอาหารกลางวัน ไม่ใช่เงินออมของคุณ การเสียบกระเป๋าเงินหลักของคุณเข้ากับเว็บไซต์ Web3 แบบสุ่ม คือนิสัยเดียวที่ทำให้การก่ออาชญากรรมแบบนี้ยังได้กำไรอยู่
อ่านลายเซ็นทุกอันและยกเลิกลายเซ็นเก่า
นิสัยข้อที่สองคือ การอ่านสิ่งที่คุณเซ็นชื่ออย่างละเอียด กระเป๋าเงินดิจิทัลและเครื่องมือจำลองสมัยใหม่จะอธิบายอย่างชัดเจนว่าลายเซ็นนั้นให้สิทธิ์อะไรบ้างก่อนที่คุณจะยืนยัน ใช้เครื่องมือเหล่านี้ และอย่าเซ็นชื่อโดยไม่ตรวจสอบข้อความที่คุณไม่เข้าใจ จากนั้นก็จัดการและยกเลิกการอนุมัติที่คุณไม่ต้องการอีกต่อไป เครื่องมือยกเลิกจะแสดงสัญญาที่ยังสามารถใช้โทเค็นของคุณได้ และช่วยให้คุณยกเลิกสัญญาที่คุณลืมไปได้ เป็นการปิดช่องทางที่ผู้โจมตีอาจเข้ามาได้ในอีกหลายเดือนต่อมา หากเว็บไซต์ใดดูไม่คุ้นเคย ให้ลองดูสัญญาของเว็บไซต์นั้นใน Block Explorer ก่อน เพราะสัญญาใหม่เอี่ยมที่ไม่มีประวัติใดๆ เลยนั้นเป็นกลโกงแบบคลาสสิก การอนุมัติแบบไม่จำกัดที่คุณคลิกไว้เมื่อปี 2021 นั้น ยังคงใช้งานได้จนกว่าคุณจะยกเลิกมัน
สิ่งที่ควรทำหากคุณถูกแฮ็กข้อมูลจนกระเป๋าเงินถูกดูดออกไปจนหมด
หากเกิดเหตุการณ์เช่นนั้น ความเร็วคือทุกสิ่ง ทำงานตามลำดับ ย้ายสิ่งที่ผู้โจมตียังไม่ได้เอาไปไว้ในกระเป๋าเงินดิจิทัลที่ปลอดภัยและใหม่ทันที เพราะพวกเขามักจะกลับมาเอาส่วนที่เหลือ จากนั้นยกเลิกการอนุมัติทั้งหมดในที่อยู่ที่ถูกบุกรุก เพื่อไม่ให้สิทธิ์ที่เหลืออยู่ถูกนำไปใช้ซ้ำ ถือว่ากระเป๋าเงินนั้นถูกทำลายและหยุดใช้มันอย่างถาวร บันทึกแฮชของธุรกรรมและรายงานที่อยู่ไปยังบริการต่างๆ เช่น Chainabuse หรือ Scam Sniffer ซึ่งจะทำแผนที่โครงสร้างพื้นฐานนี้ และจงซื่อสัตย์กับตัวเองเกี่ยวกับการกู้คืน การโอนเงินบนบล็อกเชนถือเป็นที่สิ้นสุดและเงินที่ถูกขโมยไปนั้นแทบจะไม่ได้รับคืน ดังนั้นชัยชนะที่แท้จริงคือการหยุดยั้งการรั่วไหลอย่างรวดเร็ว
โปรแกรมถอนเงินจากกระเป๋าเงินของคุณต้องใช้ลายเซ็นของคุณ ไม่ใช่กุญแจของคุณ
หากตัดส่วนติดต่อผู้ใช้และชื่อชุดเครื่องมือออกไปแล้ว โปรแกรมดูดเงินในกระเป๋าเงินของคุณจะมีอาวุธเพียงอย่างเดียว นั่นคือลายเซ็นที่คุณอนุมัติ มันไม่สามารถขโมยรหัสส่วนตัวของคุณ ไม่สามารถทำลายห่วงโซ่ และไม่สามารถถอนเงินแม้แต่เซ็นต์เดียวจนกว่าคุณจะคลิกยืนยัน และนั่นก็เป็นข่าวดีเช่นกัน เพราะวิธีการรับมือก็ง่ายเช่นกัน เก็บเงินส่วนใหญ่ไว้ในที่เก็บข้อมูลแบบออฟไลน์ (cold storage) ปฏิบัติต่อข้อความ "เชื่อมต่อกระเป๋าเงิน" ทุกครั้งราวกับว่ามีคนแปลกหน้ามาขอรหัสของคุณ และอ่านสิทธิ์อนุญาตก่อนที่คุณจะลงนาม ทำเช่นนั้นแล้วอุตสาหกรรมมูลค่าหลายพันล้านดอลลาร์ก็จะชนเข้ากับกำแพงที่หน้าจอของคุณ ดังนั้นครั้งต่อไปที่โปรแกรมสร้างเหรียญฟรีขอให้คุณลงนาม ให้ถามตัวเองคำถามเดียวที่สำคัญที่สุด: ฉันกำลังอนุญาตอะไรกันแน่?
