คำจำกัดความ
Address poisoning คือความเสี่ยงด้านความปลอดภัยของคริปโตที่ผู้โจมตีสร้างและใช้ที่อยู่บนบล็อกเชน (blockchain) ที่มีลักษณะคล้ายกับที่อยู่ของเหยื่ออย่างมากเพื่อหลอกให้เข้าใจผิด ผู้โจมตีจะส่งธุรกรรมจำนวนเล็กน้อยหรือธุรกรรมที่ไม่มีความหมาย เพื่อให้ที่อยู่ปลอมไปปรากฏอยู่ในประวัติธุรกรรมหรือหน้าจอแสดงผลของ wallet ของเหยื่อ เมื่อเหยื่อคัดลอกที่อยู่จากประวัติธุรกรรมในภายหลัง อาจเผลอเลือกที่อยู่ของผู้โจมตีแทนที่จะเป็นที่อยู่ปลายทางที่ต้องการ ผลลัพธ์คือเงินถูกโอนแบบย้อนกลับไม่ได้ไปยังที่อยู่ของผู้โจมตีแทนที่จะเป็นผู้รับที่ถูกต้อง
ความเสี่ยงนี้อาศัยจุดอ่อนจากความยาวและความซับซ้อนของที่อยู่บนบล็อกเชน (blockchain) ทั่วไป และพฤติกรรมของผู้ใช้ที่มักตรวจสอบด้วยสายตาเพียงบางส่วน หรือใช้วิธีคัดลอก–วางจากธุรกรรมล่าสุด Address poisoning โดยทั่วไปไม่ได้เกี่ยวข้องกับการเจาะระบบการเข้ารหัส (cryptography) หรือการยึดครอง wallet แต่เป็นการฉวยโอกาสจากวิธีการแสดงผลและการนำที่อยู่กลับมาใช้ซ้ำ มันมุ่งเป้าไปที่ “ชั้นมนุษย์” ของความปลอดภัยในการจัดการที่อยู่ ทำให้เป็นภัยคุกคามแบบ social engineering และเกี่ยวกับส่วนติดต่อผู้ใช้ มากกว่าจะเป็นช่องโหว่ในระดับโปรโตคอล
บริบทและการใช้งาน
คำว่า address poisoning ถูกใช้ในบริบทของความปลอดภัยบนบล็อกเชน (blockchain) เพื่ออธิบายรูปแบบของธุรกรรมฉ้อโกงที่ออกแบบมาเพื่อทำให้รายการที่อยู่ล่าสุดของผู้ใช้ “ปนเปื้อน” หรือรกจนสับสน มักถูกพูดถึงควบคู่กับแนวปฏิบัติด้านความปลอดภัยของที่อยู่โดยรวม เพราะมันอาศัยช่องโหว่จากวิธีที่ซอฟต์แวร์ wallet แสดงที่อยู่และธุรกรรมที่ผ่านมา การกล่าวถึง address poisoning มักเน้นย้ำความสำคัญของการตรวจสอบสตริงที่อยู่ทั้งหมด ไม่ใช่ดูแค่ตัวอักษรต้นหรือท้ายไม่กี่ตัว
ในการสนทนาเรื่องความปลอดภัย address poisoning ถูกจัดเป็นกลยุทธ์หลอกลวงที่ใช้กิจกรรมบนเชนตามปกติมาสร้างความสับสน มันช่วยให้เห็นความแตกต่างระหว่างความปลอดภัยของบล็อกเชน (blockchain) พื้นฐาน กับความเสี่ยงที่เกิดจากวิธีที่ผู้ใช้โต้ตอบและใช้งานที่อยู่ ในฐานะที่เป็นความเสี่ยงที่ถูกตั้งชื่ออย่างชัดเจน แนวคิดนี้ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัย นักพัฒนา wallet และผู้ใช้ สามารถอธิบายและจดจำรูปแบบการฉ้อโกงที่อิงกับที่อยู่ประเภทนี้ได้