หน้าแรก
ข่าวสาร
รายละเอียด

วิกฤตความปลอดภัยของ DeFi: ผู้ก่อตั้ง OpenZeppelin เตือนว่าโปรโตคอลทั้งหมดมีความเสี่ยง

icon MarsBit
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$83.5130.74%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18.403.02%
AI summary iconสรุป

expand icon
มานูเอล อาราโอซ์ ผู้ก่อตั้ง OpenZeppelin ได้เตือนว่า โปรโตคอล DeFi ทั้งหมดอยู่ในความเสี่ยงเนื่องจากการโจมตี DeFi ที่ใช้ปัญญาประดิษฐ์ เขาได้แจ้งผู้ใกล้ชิดให้ถอนเงินออกจาก Aave, MakerDAO และแพลตฟอร์มอื่นๆ การละเมิดความปลอดภัยครั้งใหญ่เกิดขึ้นกับ Drift Protocol มูลค่า 2.8 พันล้านดอลลาร์ในเดือนเมษายน ตามด้วยกว่า 100 ล้านดอลลาร์ในเดือนพฤษภาคม อาราโอซ์อ้างว่า ปัญญาประดิษฐ์สามารถตรวจจับข้อบกพร่องของสัญญาอัจฉริยะแบบเรียลไทม์ได้แล้ว ทำให้นักลงทุน DeFi ตกอยู่ในความเสี่ยงจากภัยคุกคามใหม่ๆ

ของแท้ | Odaily Star Daily (@OdailyChina)

ผู้เขียน|Azuma (@azuma_eth)

DeFi

ฉันคิดว่า DeFi ทั้งหมดไม่ปลอดภัยอีกต่อไป

คำกล่าวของ Manuel Aráoz ผู้ก่อตั้ง OpenZeppelin ที่โพสต์ไว้บน X เมื่อวานนี้ ดูเหมือนระเบิดใต้น้ำ ซึ่งส่งผลกระทบต่อตลาด DeFi ที่เคยเงียบเหงาอยู่แล้ว

DeFi

มานูเอลยังระบุว่า เขาเริ่มแนะนำให้ครอบครัวและเพื่อนๆ ถอดเงินออกจากโปรโตคอล DeFi ต่างๆ รวมถึงโปรโตคอลบลูชิปที่เคยถือว่ามีความเสี่ยงต่ำ เช่น Aave, MakerDAO และ Compound

นี่ไม่ใช่คำพูดที่มาจากการกลัวของผู้ไม่เชี่ยวชาญ ตรงกันข้าม แมนูเอลเองคือหนึ่งในผู้สร้างระบบความปลอดภัยของ DeFi ที่สำคัญที่สุด และ OpenZeppelin เป็นหนึ่งในบริษัทตรวจสอบความปลอดภัยที่เป็นที่นิยมมากที่สุดในอุตสาหกรรม ซึ่งห้องสมุดสัญญา มาตรฐานความปลอดภัย และกรอบการตรวจสอบของพวกเขาแทบจะซึมซับอยู่ในทุกส่วนของโลก DeFi

สาเหตุที่ทำให้ทัศนคติของ Manuel เปลี่ยนไปอย่างสิ้นเชิง คือ AI Manuel มีมุมมองเชิงลบว่า ความสามารถของ AI Coding Agent ในการระบุและสกัดช่องโหว่ของสัญญาอัจฉริยะกำลังเพิ่มขึ้นแบบก้าวกระโดด

นั่นหมายความว่า ปัญหาที่ก่อนหน้านี้ต้องใช้ทีมไวท์แฮตระดับสูงหลายสัปดาห์ในการค้นพบ ตอนนี้อาจถูก AI สแกนออกภายในไม่กี่นาที; ที่ผ่านมาแฮกเกอร์ต้องศึกษาตรรกะของโปรโตคอลเป็นเวลานาน แต่ตอนนี้สามารถวิเคราะห์เส้นทางการโจมตีได้อัตโนมัติด้วย AI; ที่ผ่านมาความ “โปร่งใสแบบเปิดเผย” ของ DeFi เป็นข้อได้เปรียบ แต่ตอนนี้กลับกลายเป็นชุดข้อมูลการฝึกอบรมที่ดีที่สุดสำหรับผู้โจมตี

มานูเอลยังได้กล่าวถึงปัญหาที่ร้ายแรงกว่านั้น ว่าความปลอดภัยของสัญญาอัจฉริยะโดยพื้นฐานแล้วเป็นเกมที่ไม่สมดุลอย่างรุนแรง — ฝ่ายป้องกันต้องแก้ไขช่องโหว่ทั้งหมด ในขณะที่ฝ่ายโจมตีแค่ต้องหาช่องโหว่เพียงหนึ่งแห่ง ก็เพียงพอที่จะขโมยเงินทุน หลังจากที่ AI เริ่มเพิ่มประสิทธิภาพการโจมตีแบบเอ็กซ์โพเนนเชียล ความไม่สมดุลนี้กำลังเสียสมดุลอย่างรวดเร็ว

ความจริงที่เย็นชา: DeFi ได้กลายเป็นเครื่องถอนเงินสำหรับแฮกเกอร์

การย้อนกลับไปดูเหตุการณ์ด้านความปลอดภัยของ DeFi ในหลายเดือนที่ผ่านมา คุณจะพบว่าความกังวลของ Manuel ไม่ได้เป็นการพูดเกินจริง

เมษายนเกือบเป็นเดือนที่แย่ที่สุดในประวัติศาสตร์ของ DeFi

  • ในวันที่ 1 เมษายนซึ่งเป็นวันพรีเมียร์ ดริฟท์ โปรโตคอล ถูกขโมยเงินไป 280 ล้านดอลลาร์สหรัฐ จากช่องโหว่การยึดสิทธิ์ผู้ดูแลและการดำเนินการแบบมัลติซิก (ดูเพิ่มเติมในบทความ “เล่นตลกในวันพรีเมียร์? ดริฟท์ โปรโตคอล ถูกขโมยมากกว่า 280 ล้านดอลลาร์สหรัฐ อาจเป็นคดีการโจรกรรม DeFi ใหญ่อันดับสองของระบบนิเวศ Solana”)
  • ต่อมาในวันที่ 19 เมษายน Kelp DAO ถูกขโมยเงิน 292 ล้านดอลลาร์สหรัฐเนื่องจากโปรโตคอลการเชื่อมต่อถูกโจมตี (ดูเพิ่มเติมในบทความ “DeFi ถูกขโมยอีกครั้ง 292 ล้านดอลลาร์สหรัฐ คราวนี้ Aave ก็ไม่ปลอดภัยแล้ว?”) แฮกเกอร์จากนั้นใช้โปรโตคอลการกู้ยืมเช่น Aave เพื่อหลบหนี ทำให้ทั้งระบบ DeFi ต้องเผชิญกับเงาของหนี้เสียและผลกระทบเชิงลูกโซ่

แต่หลังจากเข้าสู่เดือนพฤษภาคม อุบัติเหตุไม่เพียงแต่ไม่ลดลง แต่ยังแพร่กระจายมากขึ้นอีก

  • เมื่อวันที่ 15 พฤษภาคม THORChain ได้รับการโจมตี โดยผู้ให้บริการโหนดใหม่ได้ใช้ช่องโหว่ในระบบลายเซ็นขีดจำกัด GG20 (TSS) เพื่อสร้างกุญแจส่วนตัวของคลังใหม่ และดำเนินการโอนเงินออกโดยตรง ทำให้เกิดความสูญเสียมากกว่า 10 ล้านดอลลาร์สหรัฐ
  • เมื่อวันที่ 18 พฤษภาคม โปรโตคอลสะพานของ Verus ถูกโจมตี โดยผู้โจมตีปลอมแปลง payload การนำเข้าข้ามโซ่ เพื่อข้ามการตรวจสอบและดึงทรัพย์สินออกจากกองทุนสำรองบน Ethereum ทำให้สูญเสียประมาณ 11.58 ล้านดอลลาร์สหรัฐ
  • เมื่อวันที่ 19 พฤษภาคม Echo Protocol บน Monad ถูกโจมตีเนื่องจากการรั่วไหลของกุญแจส่วนตัว ผู้โจมตีได้สร้าง eBTC จำนวน 1,000 เหรียญ (มูลค่า 76.7 ล้านดอลลาร์สหรัฐ) และถอนเงินผ่านช่องทางการโจมตีที่เคยทดสอบแล้วผ่าน Curvance
  • วันที่ 24 พฤษภาคม ผู้ออกสกุลเงินที่มีเสถียรภาพที่สอดคล้องกับกรอบกฎระเบียบ MiCA ชื่อ StablR ถูกโจมตี โดยแฮกเกอร์ได้กำไรเกิน 2.8 ล้านดอลลาร์สหรัฐผ่านการออก EURR และ USDR เพิ่มเติม ทำให้ EURR และ USDR สูญเสียการเชื่อมโยงกับมูลค่าที่อ้างอิง
  • เมื่อวันที่ 25 พฤษภาคม โมดูล SquidRouter ได้รับการโจมตี ทำให้ทรัพย์สินมูลค่าประมาณ 3 ล้านดอลลาร์สหรัฐถูกขโมยจากกระเป๋าเงิน Gnosis Safe จำนวน 86 แห่ง
  • เมื่อวันที่ 27 พฤษภาคม คีย์ส่วนตัวของผู้ใช้งาน StakeDAO ถูกเปิดเผยบน Arbitrum ผู้โจมตีได้สร้าง vsdCRV ประมาณ 5.45 ล้านล้านเหรียญ และแลกเปลี่ยนบางส่วนเป็น ETH 43.7 เหรียญเพื่อหนีไป

เหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นบ่อยครั้งได้ปลุกให้ตื่นตัวแล้ว ตั้งแต่โค้ดบนสายโซ่ไปจนถึงการจัดการนอกสายโซ่ DeFi ดูเหมือนกำลังพ่ายแพ้ในทุกด้าน

AI ได้กลายเป็นอาวุธนิวเคลียร์ของแฮกเกอร์

ทำไมการโจมตีและป้องกันใน DeFi ถึงพุ่งเข้าสู่ภาวะล่มสลายอย่างรุนแรงในฤดูร้อนปีนี้? นอกจากการพัฒนาเทคนิคแฮกเกอร์แบบดั้งเดิมแล้ว ความสามารถอันก้าวกระโดดของโมเดล AI ขนาดใหญ่กำลังกลายเป็นน้ำหนักสุดท้ายที่ทำลายสมดุล

ในอดีต การค้นหาช่องโหว่ในสัญญาอัจฉริยะที่ซับซ้อน (โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับข้ามโซ่ การซ้อนชั้นหลายชั้น หรือตรรกะการเรียกซ้ำที่ซ่อนตัวอย่างลึกซึ้ง) ต้องใช้เวลาหลายสัปดาห์ถึงหลายเดือนในการวิเคราะห์โค้ดโดยแฮกเกอร์ชั้นนำ อย่างไรก็ตาม ด้วยความก้าวหน้าของตัวแทน AI (Agents) ที่มีบริบทยาวพิเศษ ความสามารถในการให้เหตุผลเชิงตรรกะที่แข็งแกร่ง และสามารถเรียกใช้เครื่องมือด้วยตนเอง ทุกอย่างจึงเกิดการเปลี่ยนแปลงอย่างมีคุณภาพ

  • การสแกนแบบวินาทีและค้นหาช่องโหว่แบบ “zero-day” ทั่วทั้งเครือข่าย: ผู้โจมตีเพียงแค่ป้อนคลังรหัสโอเพนซอร์สให้กับโมเดลการให้เหตุผล AI รุ่นใหม่ AI จะสามารถจำลองสถานการณ์การโต้ตอบสุดขั้วหลายร้อยแบบภายในไม่กี่วินาที พร้อมระบุเงื่อนไขขอบเขตที่นักตรวจสอบมนุษย์อาจพลาดเมื่อเหนื่อยล้า
  • การสร้างสคริปต์โจมตีอัตโนมัติ: AI ไม่เพียงแต่สามารถค้นพบช่องโหว่ แต่ยังสามารถเขียน ทดสอบ และปรับใช้ “สัญญาอัจฉริยะเพื่อขโมยเงิน” ได้อัตโนมัติ
  • การจัดการอย่างสมบูรณ์แบบระหว่าง DevOps แบบออฟไลน์กับการหลอกลวงทางสังคม: AI สามารถแสร้งเป็นนักพัฒนาที่สมบูรณ์แบบเพื่อทำการฟิชชิง หรือติดตามการอัปโหลดบน GitHub ของทีม DeFi แบบ 24/7 เมื่อทีมอัปโหลดโค้ดซ่อมแซมที่มีข้อมูลสำคัญหรือยังไม่ได้รับการตรวจสอบ AI จะโจมตีภายในไม่กี่วินาที—เร็วกว่าเวลาตอบสนองของเจ้าหน้าที่รักษาความปลอดภัยมนุษย์อย่างมาก

ในสงครามการป้องกันและโจมตีที่ได้รับการเสริมด้วย AI แฮกเกอร์มีกระสุนเกือบไม่จำกัดและความเร็วในการโจมตีในระดับวินาที ขณะที่ DeFi ถูกจำกัดด้วยกระบวนการลงคะแนนเสียงการกำกับดูแลที่ช้า การยืนยันแบบหลายลายเซ็น และการตรวจสอบความปลอดภัยที่ล่าช้า จึงยากที่จะตอบสนองการป้องกันอย่างเหมาะสม

เดือนที่แล้ว บริษัทพัฒนา AI ที่อยู่เบื้องหลัง Claude คือ Anthropic ได้เปิดตัวรุ่นใหม่ล่าสุดชื่อ Mythos อย่างเป็นทางการ (ดูเพิ่มเติมในบทความ “Anthropic สร้าง AI ที่แข็งแกร่งที่สุดเท่าที่เคยมีมา แต่ยังไม่กล้าเปิดตัว...”) นี่คือโมเดลแรกของมนุษย์ที่มีพารามิเตอร์รวมเกินกว่าสิบล้านล้าน (เมื่อเทียบกับโมเดลหลักที่มีอยู่ในตลาดปัจจุบันซึ่งมีพารามิเตอร์อยู่ในช่วงหลายร้อยพันล้านถึงหนึ่งล้านล้าน) และมีต้นทุนการฝึกอบรมถึง 10,000 ล้านดอลลาร์สหรัฐ

อย่างไรก็ตาม เนื่องจาก Mythos มีความสามารถเฉพาะด้านด้านความปลอดภัยทางไซเบอร์ (Anthropic เคยเปิดเผยว่า บริษัทสามารถระบุช่องโหว่ศูนย์วันนับพันแห่งภายในไม่กี่สัปดาห์โดยใช้ Mythos) ทำให้ Anthropic ไม่กล้าเผยแพร่โมเดลนี้โดยตรง lest ถูกกลุ่มแฮกเกอร์ใช้ในทางที่ผิด แต่แผนการคือเริ่มต้นด้วยโครงการ “Glass Wing” เพื่อให้บริษัทชั้นนำได้ทดลองใช้และตรวจสอบช่องโหว่ที่อาจเกิดขึ้นล่วงหน้า

สถานการณ์ด้านความปลอดภัยของ DeFi ในขณะนี้ยังคงรุนแรงอย่างมาก ยากที่จะจินตนาการว่าหลังจาก Mythos เปิดตัวอย่างเป็นทางการ ระบบป้องกันด้านความปลอดภัยของอุตสาหกรรมจะต้องเผชิญกับภัยคุกคามใหม่ใดบ้าง

ปัญหาใหญ่ที่สุด: อัตราส่วนความเสี่ยงต่อผลตอบแทนเสียสมดุลไปแล้ว

สำหรับผู้เข้าร่วม DeFi ทั่วไป ผู้ให้สภาพคล่อง (LP) และมหาเศรษฐี คำถามที่สำคัญที่สุดในขณะนี้คือการนั่งลงคำนวณต้นทุนและผลตอบแทน

เป็นเวลานานแล้วที่ผู้ใช้เลือกฝากเงินลงใน DeFi เพื่อตามหาผลตอบแทนรายปีที่สูงกว่าระบบการเงินแบบดั้งเดิมหลายเท่า ในช่วงตลาดขาขึ้นหรือช่วงที่การขุดสภาพคล่องกำลังร้อนแรง ผลตอบแทน 10% 20% หรือสูงกว่านั้นเพียงพอที่จะชดเชยความคาดหวังทางจิตใจของผู้คนต่อ “ความเสี่ยงด้านเทคโนโลยีที่อาจเกิดขึ้น”

แต่ในวันนี้ ตรรกะพื้นฐานนี้ได้รับผลกระทบอย่างรุนแรงหรือแม้แต่ถูกพลิกคว่ำแล้ว อัตราส่วนความเสี่ยงต่อผลตอบแทนของ DeFi ได้สูญเสียสมดุลไปแล้ว ด้านผลตอบแทน ขณะที่ตลาดเข้าสู่การแข่งขันแบบจำกัดทรัพยากร และแผ่นรองความปลอดภัยได้รับการเสริมความแข็งแกร่ง ผลตอบแทนที่แท้จริงของโปรโตคอล DeFi หลักๆ ที่น่าเชื่อถือส่วนใหญ่ได้ลดลงมาอยู่ในช่วงตัวเลขหลักเดียวแล้ว ในด้านความเสี่ยง ทุนของผู้ใช้กลับถูกเปิดเผยไว้ในกล่องดำที่อาจถูกโจมตีโดย AI หรือถูกปล่อยให้ว่างเปล่าทันทีโดย闪电贷 หากโปรโตคอลประสบการโจมตีจากแฮกเกอร์ โทเค็นอาจกลายเป็นศูนย์และกองทุนถูกดูดหมดภายในไม่กี่นาที และไม่มีกฎหมาย ประกันภัย หรือธนาคารกลางใดๆ ที่สามารถรับประกันได้

การเสี่ยงสูญเสียทุน 100% เพื่อหวังผลตอบแทนประจำปีประมาณ 5% ไม่ใช่การลงทุนที่คุ้มค่า

คำพูดของมานูเอลอาจดูเหมือนสุดขั้ว แต่มันเปิดโปงผ้าคลุมสุดท้ายของ DeFi ต่อหน้าความเป็นจริงที่ว่า แฮกเกอร์ได้ใช้ AI เป็นอาวุธปกติ และเหตุการณ์ด้านความปลอดภัยในอุตสาหกรรมยังคงเกิดขึ้นอย่างต่อเนื่อง หากคุณยังไม่ได้เตรียมจิตใจสำหรับการสูญเสียทุน 100% เพื่อผลตอบแทนที่แน่นอน การถอนเงินออกให้เร็วที่สุดและเก็บกำไรไว้ให้มั่นคง อาจเป็นทางเลือกที่สมเหตุสมผลที่สุดและสอดคล้องกับหลักการจัดการความเสี่ยงในวัฏจักรตลาดปัจจุบัน

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา