หน้าแรก
ข่าวสาร
รายละเอียด

การโจมตี Kelp มูลค่า 292 ล้านดอลลาร์สหรัฐ เปิดเผยช่องโหว่ของโครงสร้างพื้นฐาน DeFi

iconCoinDesk
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,396.153.49%
This is the logo of the coin.
AAVE
$94.2332.14%
AI summary iconสรุป

expand icon
การโจมตี DeFi มูลค่า 292 ล้านดอลลาร์สหรัฐได้กระทบต่อโทเค็น rsETH ของ Kelp ซึ่งเปิดเผยจุดอ่อนในโครงสร้างพื้นฐานของ DeFi และข่าวสารเกี่ยวกับสินทรัพย์จริง (RWA) ผู้โจมตีได้จัดการสะพาน LayerZero แบบผู้ลงนามเดียวเพื่อสร้าง rsETH ที่ไม่มีหลักประกัน แล้วใช้มันเป็นหลักประกันบน Aave เพื่อดึง ETH ออก ค่า TVL ของ Aave ลดลง 6 พันล้านดอลลาร์สหรัฐ และโทเค็นของมันร่วงลง 15% ในเวลา 24 ชั่วโมง ผู้เชี่ยวชาญเตือนถึงหนี้เสียและโอกาสเกิดการถอนเงินแบบธนาคารล่มเมื่อผู้ใช้ถอนเงินออก

การโจมตีที่มีมูลค่าประมาณ $292 ล้าน ในช่วงสุดสัปดาห์ได้สร้างความตื่นตระหนกให้กับอุตสาหกรรมคริปโต ทำให้เห็นช่องโหว่ในโครงสร้างพื้นฐานของฟินเทคแบบกระจายศูนย์ (DeFi) และก่อให้เกิดความกังวลเกี่ยวกับผลกระทบเชิงลูกโซ่ต่อโปรโตคอลการให้กู้ยืม

แม้การสืบสวนยังคงดำเนินอยู่ การวิเคราะห์เบื้องต้นชี้ว่าการโจมตีมุ่งเป้าไปที่โทเค็น rsETH ของ Kelp — รุ่นที่ได้รับผลตอบแทนของเอเธอร์ (ETH) — และกลไกที่ใช้ในการเคลื่อนย้ายสินทรัพย์ระหว่างบล็อกเชน

ผู้โจมตีดูเหมือนจะควบคุมระบบดังกล่าวเพื่อสร้างโทเค็นจำนวนมากโดยไม่มีหลักประกันที่เหมาะสม จากนั้นใช้โทเค็นเหล่านั้นเป็นหลักประกันเพื่อยืมและดึงทรัพย์สินจริงออกจากตลาดการให้ยืม โดยส่วนใหญ่มาจาก Aave AAVE$90.11 ซึ่งเป็นผู้ให้ยืมคริปโตแบบกระจายศูนย์ที่ใหญ่ที่สุด

เหตุการณ์นี้เป็นผลกระทบล่าสุดต่อ DeFi ซึ่งเกิดขึ้นเพียงไม่กี่สัปดาห์หลังจากการถูกโจมตีเป็นมูลค่า 285 ล้านดอลลาร์สหรัฐต่อ โปรโตคอลที่ใช้ Solana คือ Drift ทำให้ความเชื่อมั่นของนักลงทุนในภาคคริปโตที่มีมูลค่าใกล้เคียง 90 พันล้านดอลลาร์สหรัฐลดลงอีก

ในระดับสูง การโจมตีมุ่งเป้าไปที่ส่วนประกอบของ LayerZero bridge — โครงสร้างพื้นฐานที่ช่วยให้สินทรัพย์สามารถเคลื่อนย้ายข้ามบล็อกเชนต่างๆ ชาร์ลส์ กิลเลเมต ซีทีโอ ของผู้ผลิตฮาร์ดแวร์วอลเล็ต Ledger กล่าวกับ CoinDesk ในหมายเหตุ

สะพานมักทำงานโดยการล็อกสินทรัพย์บนโซ่หนึ่งและสร้างโทเค็นที่เทียบเท่าบนอีกโซ่หนึ่ง กระบวนการนี้ขึ้นอยู่กับหน่วยงานที่เชื่อถือได้ — มักเรียกว่า oracle หรือ validator — เพื่อยืนยันการฝาก

ในกรณีนี้ Kelp ทำหน้าที่เป็นผู้ตรวจสอบอย่างมีประสิทธิภาพ ตามที่ Guillemet ระบุ ระบบพึ่งพาการตั้งค่าผู้ลงนามเดียว หมายความว่ามีเพียงหน่วยงานเดียวเท่านั้นที่สามารถอนุมัติธุรกรรมใดๆ

“ดูเหมือนว่าผู้โจมตีสามารถลงนามในข้อความ … ทำให้เขาสามารถสร้าง rsETH จำนวนใหญ่ได้” เขากล่าว เขาเพิ่มเติมว่ายังไม่ชัดเจนว่าการเข้าถึงดังกล่าวเกิดขึ้นได้อย่างไร

ไมเคิล เอโกรอฟ ผู้ก่อตั้ง Curve Finance ชี้ให้เห็น ถึงจุดอ่อนเดียวกันในการตั้งค่าระบบ

สิ่งต่างๆ อาจเกิดขึ้นเมื่อคุณไว้วางใจเพียงหนึ่งฝ่ายเดียว — ไม่ว่าจะเป็นใครก็ตาม

การตั้งค่านี้ทำให้ผู้โจมตีสามารถสร้างโทเค็นที่ไม่มีหลักประกันได้อย่างมีประสิทธิภาพ แม้ว่าจะไม่มีสินทรัพย์ที่ถูกล็อกไว้บนโซ่ต้นทาง

หลังจากสร้างโทเค็นแล้ว โทเค็นเหล่านั้นได้ถูกนำไปใช้งานทันที “ผู้โจมตีจึงนำโทเค็นเหล่านี้ไปฝากในโปรโตคอลการให้ยืมส่วนใหญ่คือ Aave เพื่อยืม ETH จริงเป็นหลัก” กิลเลเมตอธิบาย

การเคลื่อนไหวนั้นทำให้ปัญหาเปลี่ยนจากช่องโหว่เดี่ยวเป็นปัญหาของตลาดกว้างขึ้น แพลตฟอร์มให้กู้ยืมแบบ DeFi ตอนนี้ต้องเป็นผู้ถือหลักประกันที่อาจยากต่อการปิดตำแหน่ง ในขณะที่สินทรัพย์ที่มีค่าและมีสภาพคล่องสูงได้ถูกดึงออกไปแล้ว

"เอฟเว่ยเหลือ rsETH ซึ่งไม่สามารถขายได้จริงและ ETH ที่ยืมสูงสุด [sic] ดังนั้นจึงไม่มีใครสามารถถอน ETH ได้" เอเกอรอฟ จาก Curve กล่าว

เขาเตือนว่าผลลัพธ์ที่ตามมาคือ Aave และโปรโตคอลการให้กู้ยืมอื่นๆ อาจมีหลักประกันที่น่าสงสัยและหนี้เสียหลายร้อยล้านดอลลาร์สหรัฐ ซึ่งก่อให้เกิดความกังวลเกี่ยวกับสถานการณ์ “การถอนเงินจำนวนมาก” ที่ผู้ใช้เร่งรีบถอนเงินออก

Aave เผชิญกับการลดลงของสินทรัพย์ประมาณ $6 พันล้าน บนโปรโตคอล โดยผู้ใช้ถอนสินทรัพย์ออกหลังจากเหตุการณ์ดังกล่าว สินทรัพย์ โทเค็น ที่เกี่ยวข้องกับโปรโตคอลลดลงประมาณ 15% ในช่วงการซื้อขาย 24 ชั่วโมงที่ผ่านมา

ยังคงมีคำถามสำคัญเกี่ยวกับวิธีที่ตัวตรวจสอบถูกบุกรุก ระบบดังกล่าวพึ่งพาโหนดอย่างเป็นทางการของ LayerZero ซึ่งก่อให้เกิดความไม่แน่ใจว่ามันถูกแฮก ตั้งค่าผิดพลาด หรือถูกหลอกลวง

“มันถูกแฮกหรือถูกหลอก? เราไม่รู้” เอโกรอฟกล่าว

ตัวตนของผู้โจมตียังไม่เป็นที่ทราบ อย่างไรก็ตาม กิลเลม็องต์กล่าวว่า ขนาดของการโจมตีบ่งชี้ถึงผู้กระทำที่มีความซับซ้อน

“ชัดเจนว่าไม่ใช่เด็กเขียนสคริปต์ธรรมดา” เขากล่าว

นอกจากการสูญเสียในทันทีแล้ว กรณีนี้ยังเป็นการเตือนอีกครั้งว่า เมื่อ DeFi มีความเชื่อมโยงกันมากขึ้น ความล้มเหลวในชั้นใดชั้นหนึ่งสามารถลุกลามไปทั่วระบบได้อย่างรวดเร็ว

อีโกรอฟโต้แย้งว่า แบบจำลองการให้กู้ที่ไม่แยกจากกัน ซึ่งสินทรัพย์แบ่งปันความเสี่ยงข้ามสระต่างๆ จะเพิ่มผลกระทบจากเหตุการณ์ดังกล่าว

เขายังชี้ให้เห็นจุดอ่อนในการนำสินทรัพย์ใหม่เข้าสู่แพลตฟอร์มการให้ยืม โดยกล่าวว่าการตั้งค่าเช่นการตั้งค่าผู้ตรวจสอบ 1-of-1 ของ Kelp ควรได้รับการแจ้งเตือนตั้งแต่เนิ่นๆ

อย่างไรก็ตาม เอโกรอฟกล่าวว่ามีข้อดีอยู่บ้าง “คริปโตเป็นสิ่งแวดล้อมที่รุนแรงซึ่งธนาคารใดๆ ก็ไม่สามารถอยู่รอดได้ — แต่เรายังคงทำงานกับมัน” เขากล่าว “ฉันคิดว่า DeFi จะเรียนรู้จากเหตุการณ์นี้และแข็งแกร่งขึ้นกว่าเดิม”

อย่างไรก็ตาม แม้เหตุการณ์เช่นนี้จะนำไปสู่การอัปเกรดและออกแบบใหม่ของโปรโตคอล แต่ก็ยังทำให้ความเชื่อมั่นของนักลงทุนต่อภาค DeFi โดยรวมลดลง

“โดยรวมแล้ว ความเชื่อมั่นในโปรโตคอล DeFi ถูกลดทอนลงจากเหตุการณ์เช่นนี้” กิลเลเมตกล่าว

“และปี 2026 จะเป็นปีที่เลวร้ายที่สุดในแง่ของการถูกโจมตีอีกครั้ง” เขากล่าวเพิ่มเติม

อ่านเพิ่มเติม: 'DeFi ตายแล้ว': ชุมชนคริปโตตื่นตัวหลังการถูกโจมตีครั้งใหญ่ที่สุดในปีนี้เปิดเผยความเสี่ยงของการแพร่กระจาย

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา