ตรวจจับ Wallet Drainer 2026 — เช็คลิสต์ก่อนเซ็นทุกธุรกรรม

แค่เดือน ม.ค. 2026 เดือนเดียว มีคนถูกขโมยเงินจาก wallet ส่วนตัวรวมกัน $311 ล้าน — เคสเดียวสูญเงินไป $284 ล้านจาก social engineering และปลายไตรมาสแรก Safe Labs เปิดเผยรายชื่อที่อยู่ของ drainer มากกว่า 5,000 ที่อยู่ที่ระบุตัวตนได้แล้ว ที่น่ากลัวคือ — ไม่ใช่ การแฮก exchange ไม่ใช่ exploit ของ DeFi protocol เป็นแค่คนทั่วไปนั่งอยู่ที่บ้าน เซ็นธุรกรรมที่คิดว่าไม่มีอันตราย แล้วเงินก็ไหลออกใน block ถัดไป

อยากเล่าให้ฟังว่าระบบ drainer ปี 2026 ทำงานยังไง สัญญาณภัยที่จับได้ในแต่ละขั้น และ verification habit เล็กๆ ที่ทำให้การโจมตีส่วนใหญ่กลายเป็นเรื่องไม่มีอะไร — โดยไม่ต้องใช้เครื่องมือพิเศษอะไรเลย แต่ต้องหยุด 5 วินาทีก่อนกด Approve ทุกครั้ง

TL;DR. Drainer ปี 2026 มี 4 ช่องทางหลัก: Extension ปลอม ใน Chrome Web Store, โฆษณา sponsored บน Google ที่อยู่เหนือผลค้นหาจริง, โดเมน typosquat ที่หน้าเหมือนเดิมเด๊ะ, และ dApp / WalletConnect ที่ขุดลายเซ็นออกไปใช้ทีหลัง ทุกช่องทางมีขั้น verify ที่ฟรีและ deterministic — เช็คผู้เผยแพร่, URL, hash ของไฟล์, และ simulation ของธุรกรรมก่อนเซ็นทุกครั้ง ไม่มีข้อยกเว้น

Drainer ปี 2026 ทำงานยังไง

Drainer ตอนนี้ไม่ใช่สคริปต์ทำเองอีกต่อไปแล้ว เป็น kit เช่ารายเดือน — Inferno, Pink, Angel, Venom และเจ้าใหม่อีกหลายชื่อ — ขายเป็น affiliate ให้คนที่ทำหน้า “การตลาด” (phishing, ad, social engineering) แล้วแบ่งส่วนแบ่ง รายงานจาก SlowMist และ Scam Sniffer บอกว่าเศรษฐศาสตร์มันเป็นแบบนี้: เจ้าของ kit ได้ 20–30% ของทุก drain ที่สำเร็จ คนเช่าเก็บที่เหลือ ค่า infrastructure (hosting, ค่าโฆษณา) ไม่กี่พันดอลลาร์ต่อสัปดาห์

โครงสร้างเศรษฐศาสตร์แบบนี้เปลี่ยน threat model 2 อย่าง:

• ปริมาณการโจมตีเป็นระดับอุตสาหกรรม affiliate ที่ทำงานจริงจังจะรัน campaign หลายร้อยครั้งต่อสัปดาห์ ทั้งบน Google Ads, X (Twitter), Reddit, Discord และโดเมนข่าวปลอม สิ่งที่คุณ Google หาน่าจะถูก target ไปแล้ว
• หน้าตาดูจริงทุกประการ kit ส่งมาพร้อม clone หน้า UI ของทุก wallet หลัก ทุก dApp ดัง และเว็บผู้ผลิต hardware wallet ทุกค่ายแบบ pixel-perfect — ดูด้วยตาเปล่าจะแยกไม่ออก

นั่นเป็นเหตุผลว่าทำไม verify ต้องเป็นแบบ mechanical ไม่ใช่ aesthetic อย่าเชื่อตา — verify URL, hash ของไฟล์, และ outcome ของธุรกรรม

ช่องทาง 1 — Extension ปลอม

ในไตรมาสแรกของปี 2026 นักวิจัยด้านความปลอดภัยพบ extension wallet ปลอมบน Chrome Web Store อย่างน้อย 17 ตัว ที่ทำเลียนแบบ MetaMask, Phantom, Rabby, OKX Wallet และ Backpack หลายตัวอัพโหลดโดยคนที่ แฮกบัญชี publisher ของ developer เล็กๆ ที่ถูกต้อง — แปลว่าตรา “verified publisher” ในร้านก็ไม่ช่วยอะไรในเคสนั้น

รูปแบบทั่วไป: extension ติดตั้ง ไอคอนกับ behavior ดูเหมือนตัวจริงเลย ผู้ใช้ import seed หรือสร้าง wallet ใน extension นั้น — extension ก็แอบ exfiltrate seed ไปหา server ของ attacker ทันที ไม่มีขั้น “เซ็น” อะไรเลย คุณยกกุญแจหลักให้ไปฟรีๆ แล้ว

สัญญาณภัยที่ผมเช็คทุกครั้งก่อนติดตั้ง wallet extension:

1. โดเมนของ publisher กดที่ชื่อ publisher ใน listing ดูว่าโยงไปโดเมนทางการของ wallet หรือไม่ — ไม่ใช่อีเมล Gmail สุ่มหรือโดเมนที่ register อาทิตย์ที่แล้ว
2. จำนวน install เทียบกับอายุ review Extension wallet จริงมี install หลักแสนถึงล้าน รีวิวย้อนหลังหลายปี ถ้า “MetaMask” มี 800 install แล้ว review ทั้งหมดเป็นช่วง 2 สัปดาห์ที่ผ่านมา = clone แน่นอน
3. Permission ที่ขอ Wallet จริงขอ permission แค่ที่ทำงานได้ ถ้ามี extension ขอ “อ่านและเปลี่ยนแปลงข้อมูลทุกเว็บ” เกินจำเป็น = แอบขโมยอะไรอยู่
4. เส้นทางดาวน์โหลด อย่าติดตั้งจากผลค้นหา Google “MetaMask download” ติดตั้งจาก link ใน documentation ทางการของ wallet นั้น (พิมพ์มือเองหรือจาก bookmark ที่บันทึกไว้นานแล้ว) แล้วเช็คว่า link ที่กดเปิดไปลงร้านของ publisher จริง

ถ้าใช้ hardware wallet อยู่แล้ว — และควรใช้ — extension ใน browser จะเห็นแค่ public key กับ unsigned PSBT เท่านั้น Extension ปลอมแสดงที่อยู่รับเงินปลอมได้ แต่ เซ็นด้วย key ของคุณไม่ได้ นี่คือการป้องกันที่แข็งแกร่งที่สุดในทั้ง threat model: seed ไม่อยู่ใน browser เลย

ช่องทาง 2 — โฆษณา sponsored บน search engine

Google Ads และ Bing Ads เป็นช่อง drainer ที่ conversion rate สูงสุดต่อเนื่องมา 2 ปี วิธีทำง่ายมาก: attacker ซื้อ ad slot เหนือผลค้นหาจริงสำหรับคำว่า “ledger live download”, “phantom wallet” หรือ “wallet of satoshi” URL ที่โชว์ในโฆษณาเป็นโดเมนจริง (ระบบ ad ยังให้ display URL ต่างกับ destination URL ได้) แต่กดไปจริงๆ ลงโดเมน typosquat หรือ homoglyph ที่เสิร์ฟหน้า drainer

Google เข้มงวด policy มากขึ้นในปี 2026 แต่ก็ยังแก้ปัญหาพื้นฐานไม่ได้ โฆษณายังโผล่เหนือผลจริง และ user ใหม่ส่วนหนึ่ง — โดยเฉพาะคนเริ่มต้น — จะกด link แรกโดยไม่อ่าน URL

กฎของผม สั้นๆ: อย่ากดผล sponsored สำหรับ wallet, exchange หรือผู้ผลิต hardware เลย พิมพ์ URL จาก source ที่เชื่อถือได้ (documentation ของผู้ผลิต, QR code ที่พิมพ์บนกล่องอุปกรณ์, หรือ bookmark ที่บันทึกไว้นานแล้ว) ถ้าไม่แน่ใจ ค้นด้วยคำนั้น + คำว่า “github” — เครื่องมือ Bitcoin ส่วนใหญ่เป็น open-source อยู่บน GitHub URL ของ GitHub spoof ยากกว่ามาก

uBlock Origin ฟรี blocking ผลโฆษณา Google ทั้งหมด ผมรันบน browser ที่ใช้ทำเรื่องการเงินทุกตัว กฎ 5 วินาทียังใช้อยู่ แต่โอกาสกด link ผิดลดลงเป็นเกือบศูนย์

ช่องทาง 3 — โดเมน typosquat กับ homoglyph

แม้ไม่มีโฆษณา sponsored drainer ก็เผยแพร่โดเมน typosquat บน X, Reddit, Telegram, Discord — บางทีจากบัญชีของ Bitcoiner ดังที่ถูกแฮกด้วย ตัวอย่างที่เจอบ่อย:

• phant0m.app แทน phantom.app
• ledger-live.support (เล่น subdomain) แทน ledger.com/ledger-live
• ƖedgerIive.com (Cyrillic / Latin homoglyph ผสมกัน) แทน ledger.com
• wallet-of-satoshi.io แทน walletofsatoshi.com
• mempool.cash แทน mempool.space

Address bar ของ browser ไม่ render homoglyph เป็น punycode เสมอไป โดยเฉพาะ context webview ใน app หรือลิงก์ย่อ โดเมนคล้ายกันของ attacker อ่านดูเหมือนตัวจริงสำหรับสายตาที่รีบ คุณ paste URL ใดๆ ใส่ ตัวเช็ค Lightning address ของเราเพื่อตรวจ LNURL/Lightning-address หรือสำหรับ URL เว็บธรรมดา ป้อนโดเมนเปล่าเข้า WHOIS lookup เช็ควันที่จดทะเบียน — โดเมน drainer มักจดภายใน 30 วันที่ผ่านมา ขณะที่ wallet หรือ exchange จริงจดมาหลายปีแล้ว

สำหรับ Bitcoin หรือ Lightning address copy address วาง ตัวเช็ค address ของเรา confirm encoding (BIP-173 bech32, BIP-350 bech32m, P2PKH, P2SH) ถอดรหัสเป็น hash ได้สะอาด UI drainer บางทีโชว์ address ที่ดูจริงแต่จริงๆ เป็น malformed หรือเป็นของ drainer — ตัว validator จับได้ภายใน milliseconds

ช่องทาง 4 — dApp อันตรายกับการขุดลายเซ็น

Drainer ที่อันตรายที่สุดในปี 2026 คือแบบช้า — connect wallet เข้า dApp ที่ดูถูกต้อง — yield aggregator, NFT mint, หน้า claim airdrop ลายเซ็นแรกที่ขอเป็น permission grant: ปกติ setApprovalForAll, Permit หรือ EIP-2612 permit ธุรกรรม ดูเหมือนว่า authorize 1 contract สำหรับ 1 token เท่านั้น แต่ field data — ที่ user ส่วนใหญ่ไม่เคยอ่าน — จริงๆ authorize drainer ให้โอน token ทุกตัวประเภทนั้นไปไหนก็ได้ ตลอดไป

นี่คือจุดที่ transaction simulation สำคัญ Wallet สมัยใหม่ (Rabby, MetaMask + Blockaid integration, Frame) preview ผลลัพธ์ของลายเซ็น ไม่ใช่แค่ calldata ถ้า simulation บอก “ลายเซ็นนี้ให้ที่อยู่ 0x...drainer โอน USDC ทั้งหมดของคุณได้ตลอดไป” — อย่าเซ็น ไม่ว่าหน้าจะดูจริงแค่ไหน

สำหรับ Bitcoin โดยตรง threat ที่เทียบเคียงคือ PSBT swap: UI ของ wallet โชว์ธุรกรรม send-to-Alice ปกติ แต่ PSBT ที่ส่งไปให้ hardware wallet เซ็นจริงๆ ส่งไปที่อยู่ของ attacker Hardware wallet ที่มีจอจริง — Ledger, Trezor Safe, Coldcard, BitBox02 — โชว์ที่อยู่ปลายทางบนตัวอุปกรณ์เอง และอุปกรณ์เป็นสิ่งเดียวที่คุณควรเชื่อตอนเซ็น ถ้า address บนจอของอุปกรณ์ไม่ตรงกับที่พิมพ์ใน UI — อย่ากด confirm

คุณ verify SHA-256 ของ installer companion app ของ hardware wallet เทียบกับ hash ที่ผู้ผลิตเผยแพร่ได้ ด้วย Wallet verify ของเรา รันใน browser ทั้งหมด ไม่อัปโหลดไฟล์ confirm ว่าไฟล์ที่ดาวน์โหลดมาเหมือน bit-for-bit กับที่ผู้ผลิต sign

ช่องทาง 5 — Hardware wallet ที่ถูกแก้ระหว่างทางส่ง

นี่ไม่ใช่ vector เฉพาะปี 2026 แต่มีเคสดังในปีนี้: shipment ของ hardware wallet ที่ขายต่อหรือ “open-box” ที่มาพร้อม seed ที่ถูก gen ไว้แล้วในเครื่อง ผู้ซื้อคิดว่ากำลัง setup ใหม่ เครื่องโชว์ “24 คำของคุณ” — แต่ firmware ถูกแก้ให้แสดง seed แบบ deterministic ที่ attacker รู้อยู่แล้ว เงินที่ส่งไปที่อยู่ที่เกิดจาก seed นั้นจะถูก drain ทันทีที่มาถึง

Defense คือ procedural และไม่ยกเว้น: ซื้อ hardware wallet จาก store ของผู้ผลิตโดยตรงเท่านั้น (Ledger.com, Trezor.io, Coldcard.com, BitBox.swiss) หรือจาก reseller ที่ผู้ผลิต ระบุชัดเจนว่ารับรอง อย่าซื้อจาก Amazon, eBay, มือสอง, ของขวัญ หรือ “เจอในกล่องเก็บของ” Trust assumption ของอุปกรณ์ทั้งระบบล้มทันทีที่ attacker คนเดียวมีโอกาสเข้าถึงระหว่างผลิตจนถึงมือคุณ

เมื่ออุปกรณ์มาถึง verify tamper-evident seal รัน genuine-check ของ device เอง (Ledger เรียก “Genuine Check”, Trezor ใช้ Trezor Suite) ก่อน gen seed และเขียนคำเอง ไม่ใช่เชื่อคำที่ print ไว้บน card

เช็คลิสต์ verify 5 วินาที

ทุกอย่างข้างบน collapse เป็น checklist เล็กๆ mechanical ที่ผมรันก่อน Bitcoin action ที่สำคัญทุกครั้ง อ่านนานกว่าทำ

1. URL bar อ่านทุกตัวอักษร ถ้าไม่ใช่โดเมนหลักที่บันทึกไว้ — หยุด
2. TLS certificate กด lock icon เช็คว่า issued ให้ organization ที่ถูกต้อง หน้า drainer ปกติเป็น Let’s Encrypt cert ทั่วไปที่ออกให้โดเมน homoglyph ไม่ใช่ “Issued to Ledger SAS” หรือ “Issued to Trezor Company s.r.o.”
3. Address บนจออุปกรณ์ สำหรับรับเงิน derive address บน hardware wallet เช็คตรงกับ UI receive สำหรับส่ง confirm address ปลายทางบน device ตัวต่อตัว ไม่ใช่เวอร์ชันย่อใน UI ที่ซ่อนตรงกลาง
4. Transaction simulation อ่านผลลัพธ์ที่ simulate ก่อนเซ็น ถ้าบอกว่า approve อะไรเกินที่ตั้งใจ — cancel
5. เผื่อเวลา ถ้าใครก็ตาม — ad copy, Discord moderator, “เจ้าหน้าที่ support exchange” — เร่ง คำตอบคือไม่ Bitcoin action จริงๆ ไม่มีแรงกดดันด้านเวลา

ถ้าโดน drain ไปแล้วทำยังไง

ถ้า drain เกิดขึ้นแล้ว หยุด แล้วทำตามลำดับนี้:

• โอน asset ทุกตัวออกจาก wallet ที่โดน ทันที รวมถึง token ที่ไม่ใช่เป้าโจมตี — drainer มักได้ approval หลาย contract ไม่ใช่แค่ตัวที่ trigger alert ใช้อุปกรณ์ คนละตัว กับ seed ใหม่สำหรับ wallet ใหม่
• Revoke approval ทุกตัว จากที่อยู่ที่โดน ใช้ tool อย่าง revoke.cash (ไม่มีส่วนเกี่ยวข้อง) — ไม่ได้คืนสิ่งที่หายไป แต่หยุด drain เพิ่มผ่าน approval ที่มีอยู่
• บันทึกทุกอย่าง block height ของ drain, address ผู้รับ, URL ของ dApp และ payload ของลายเซ็น Submit ที่ Chainabuse, หน่วยงาน cybercrime ในประเทศ และ support ของ wallet vendor ที่อาจเผยแพร่ blocklist ของ drainer address
• สมมติว่า seed leak แล้ว ถ้า seed เคยอยู่ใน browser context — extension, hot wallet, ที่ไหนก็ตาม — ให้สมมติว่าโดน leak แม้ว่าจะ drain ไปแค่ address เดียว ย้ายเงินทั้งหมด seed จะถูก drain บนทุก chain ที่ sign ได้ บนทุก address ที่จะ gen ในอนาคต ตลอดไป

Pattern ใน drain ที่สำเร็จเกือบทุกเคสที่ผมดู post-mortem: การเช็ค 5 วินาทีที่ URL, publisher, address บน device หรือ outcome ที่ simulate จะจับได้ ระบบ drainer เป็นอุตสาหกรรม — defense เป็นเรื่องส่วนบุคคล: verification habit ที่ทำสม่ำเสมอ ทุกครั้ง อย่าเชื่อ — พิสูจน์เอง