หน้าแรก
ข่าวสาร
รายละเอียด

วิกฤตความปลอดภัยของ DeFi: ผู้ตรวจสอบชั้นนำเตือนว่าโปรโตคอลทั้งหมดมีความเสี่ยง

iconOdaily
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$62.603-1.51%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18.046.55%
AI summary iconสรุป

expand icon
ความเสี่ยงจากการถูกโจมตีใน DeFi เพิ่มขึ้นอย่างรวดเร็ว ตามคำเตือนของ Manuel Aráoz ผู้ก่อตั้ง OpenZeppelin ซึ่งระบุว่าโปรโตคอลทั้งหมดตอนนี้ล้วนเปราะบาง เขาขอให้เพื่อนและครอบครัวถอดเงินออกจากแพลตฟอร์มเช่น Aave และ Compound เหตุการณ์การละเมิดความปลอดภัยเพิ่มสูงขึ้น โดยมีเงินจำนวน 2.8 พันล้านดอลลาร์ถูกขโมยจาก Drift Protocol และ 2.92 พันล้านดอลลาร์จาก Kelp DAO ในเดือนเมษายน Aráoz เชื่อมโยงแนวโน้มนี้กับเครื่องมือแฮ็กที่ขับเคลื่อนด้วย AI ซึ่งสามารถค้นพบจุดอ่อนของสัญญาอัจฉริยะได้อย่างรวดเร็ว นักลงทุน DeFi ตอนนี้ต้องเผชิญกับสมการความเสี่ยงต่อผลตอบแทนที่แย่ลง โดยความสูญเสียมีแนวโน้มจะเกินกว่าผลกำไร

ของแท้ | Odaily Star Daily (@OdailyChina)

ผู้เขียน|Azuma (@azuma_eth)

ฉันคิดว่า DeFi ทั้งหมดไม่ปลอดภัยอีกต่อไป

คำกล่าวของ Manuel Aráoz ผู้ก่อตั้ง OpenZeppelin ที่โพสต์ไว้บน X เมื่อวานนี้ ดูเหมือนระเบิดใต้น้ำ ซึ่งส่งผลกระทบต่อตลาด DeFi ที่เงียบเหงาอยู่แล้วอีกครั้ง

มานูเอลยังระบุว่า เขาได้เริ่มแนะนำให้ครอบครัวและเพื่อนๆ ถอนเงินออกจากโปรโตคอล DeFi ต่างๆ รวมถึงโปรโตคอลหลักที่เคยถือว่ามีความเสี่ยงต่ำ เช่น Aave, MakerDAO และ Compound

นี่ไม่ใช่คำพูดที่มาจากการหวาดกลัวของผู้ไม่เชี่ยวชาญ ตรงกันข้าม แมนูเอลเองคือหนึ่งในผู้สร้างระบบความปลอดภัยของ DeFi ที่สำคัญที่สุด และ OpenZeppelin เป็นหนึ่งในบริษัทตรวจสอบความปลอดภัยที่เป็นที่นิยมที่สุดในอุตสาหกรรม ไลบรารีสัญญา มาตรฐานความปลอดภัย และกรอบการตรวจสอบของพวกเขาแทบจะซึมซับอยู่ในทุกส่วนของโลก DeFi

สาเหตุที่ทำให้ทัศนคติของ Manuel เปลี่ยนไปอย่างสิ้นเชิง คือ AI Manuel มีมุมมองเชิงลบว่า ความสามารถของ AI Coding Agent ในการระบุและสกัดช่องโหว่ของสัญญาอัจฉริยะกำลังเพิ่มขึ้นแบบก้าวกระโดด

นั่นหมายความว่า ปัญหาที่ก่อนหน้านี้ต้องใช้ทีมไวท์แฮตระดับสูงหลายสัปดาห์ในการค้นพบ ตอนนี้อาจถูก AI สแกนออกภายในไม่กี่นาที; ที่ผ่านมาแฮกเกอร์ต้องศึกษาตรรกะของโปรโตคอลเป็นเวลานาน แต่ตอนนี้สามารถวิเคราะห์เส้นทางการโจมตีได้อัตโนมัติด้วย AI; ที่ผ่านมาความ “โปร่งใสแบบเปิดเผย” ของ DeFi เป็นข้อได้เปรียบ แต่ตอนนี้กลับกลายเป็นชุดข้อมูลการฝึกอบรมที่ดีที่สุดสำหรับผู้โจมตี

มานูเอลยังได้กล่าวถึงปัญหาที่ร้ายแรงกว่านั้น ความปลอดภัยของสัญญาอัจฉริยะโดยพื้นฐานแล้วเป็นเกมที่ไม่สมดุลอย่างรุนแรง — ฝ่ายป้องกันต้องแก้ไขช่องโหว่ทั้งหมด ในขณะที่ฝ่ายโจมตีแค่ต้องหาช่องโหว่เพียงหนึ่งแห่ง ก็เพียงพอที่จะขโมยเงินทุน หลังจากที่ AI เริ่มเพิ่มประสิทธิภาพการโจมตีแบบเอ็กซ์โพเนนเชียล ความไม่สมดุลนี้กำลังเสียสมดุลอย่างรวดเร็ว

ความจริงที่เย็นชา: DeFi ได้กลายเป็นเครื่องถอนเงินสำหรับแฮกเกอร์

การย้อนกลับไปดูเหตุการณ์ด้านความปลอดภัยของ DeFi ในหลายเดือนที่ผ่านมา คุณจะพบว่าความกังวลของ Manuel ไม่ได้เป็นการพูดเกินจริง

เมษายนเกือบเป็นเดือนที่แย่ที่สุดในประวัติศาสตร์ของ DeFi

  • บนวันแอบอ้างเป็นวันหยุดวันที่ 1 เมษายน ดริฟท์ โปรโตคอล ถูกขโมยเงินไป 280 ล้านดอลลาร์สหรัฐ เนื่องจากช่องโหว่ในการควบคุมสิทธิ์ผู้ดูแลและช่องโหว่ในการดำเนินการมัลติซิก (ดูเพิ่มเติมใน 愚人节笑话?Drift Protocol被盗超2.8亿美元,或成Solana生态第二大DeFi劫案)
  • ต่อมาในวันที่ 19 เมษายน Kelp DAO ถูกขโมยเงิน 292 ล้านดอลลาร์สหรัฐเนื่องจากโปรโตคอลการเชื่อมต่อถูกโจมตี (ดูเพิ่มเติมใน DeFi ถูกขโมยอีกครั้ง 292 ล้านดอลลาร์สหรัฐ คราวนี้ Aave ก็ไม่ปลอดภัยแล้ว?) แฮกเกอร์จากนั้นใช้โปรโตคอลการกู้ยืมเช่น Aave เพื่อหลบหนี ทำให้ DeFi ทั้งหมดต้องเผชิญกับเงาของหนี้เสียและผลกระทบเชื่อมโยง

แต่หลังจากเข้าสู่เดือนพฤษภาคม อุบัติเหตุไม่เพียงแต่ไม่ลดลง แต่ยังแพร่กระจายมากขึ้นอีก

  • เมื่อวันที่ 15 พฤษภาคม THORChain ได้รับการโจมตี โดยผู้ให้บริการโหนดใหม่ใช้ช่องโหว่ในระบบลายเซ็นเกณฑ์ GG20 (TSS) เพื่อสร้างกุญแจส่วนตัวของคลังใหม่ และดำเนินการโอนออกโดยตรง ทำให้เกิดความสูญเสียมากกว่า 10 ล้านดอลลาร์สหรัฐ
  • เมื่อวันที่ 18 พฤษภาคม โปรโตคอลสะพานของ Verus ถูกโจมตี โดยผู้โจมตีปลอมแปลง payload การนำเข้าข้ามโซ่ เพื่อข้ามการตรวจสอบและดึงทรัพย์สินออกจากกองทุนสำรองบน Ethereum ขโมยไปประมาณ 11.58 ล้านดอลลาร์สหรัฐ
  • เมื่อวันที่ 19 พฤษภาคม Echo Protocol บน Monad ถูกโจมตีเนื่องจากการรั่วไหลของกุญแจส่วนตัว ผู้โจมตีได้สร้าง eBTC จำนวน 1,000 เหรียญ (มูลค่า 76.7 ล้านดอลลาร์สหรัฐ) และถอนเงินผ่านช่องทางการโจมตีที่เคยทดสอบแล้วผ่าน Curvance
  • เมื่อวันที่ 24 พฤษภาคม ผู้ออกสกุลเงินคงที่ที่สอดคล้องกับกรอบการกำกับดูแล MiCA ชื่อ StablR ถูกโจมตี โดยแฮกเกอร์ได้รับผลกำไรเกิน 2.8 ล้านดอลลาร์สหรัฐผ่านการพิมพ์ EURR และ USDR ทำให้ EURR และ USDR สูญเสียการเชื่อมโยงกับมูลค่าที่กำหนด
  • เมื่อวันที่ 25 พฤษภาคม โมดูล SquidRouter ได้รับการโจมตี ทำให้ทรัพย์สินมูลค่าประมาณ 3 ล้านดอลลาร์สหรัฐถูกขโมยจากกระเป๋าเงิน Gnosis Safe จำนวน 86 แห่ง
  • เมื่อวันที่ 27 พฤษภาคม คีย์ส่วนตัวของผู้ดำเนินการ StakeDAO ถูกเปิดเผยบน Arbitrum ผู้โจมตีได้สร้าง vsdCRV ประมาณ 5.45 ล้านล้านหน่วย และแลกเปลี่ยนบางส่วนเป็น ETH 43.7 หน่วยเพื่อหนีไป

เหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นบ่อยครั้งได้ปลุกให้ตื่นตัวแล้ว ตั้งแต่โค้ดบนโซ่จนถึงการจัดการนอกโซ่ DeFi ดูเหมือนกำลังพ่ายแพ้ในทุกด้าน

AI ได้กลายเป็นอาวุธนิวเคลียร์ของแฮกเกอร์

ทำไมการโจมตีและป้องกันใน DeFi ถึงพุ่งทะยานสู่ภาวะล่มสลายอย่างรุนแรงในฤดูร้อนปีนี้? นอกจากการพัฒนาเทคนิคแฮกเกอร์แบบดั้งเดิมแล้ว ความสามารถอันก้าวกระโดดของโมเดล AI ขนาดใหญ่กำลังกลายเป็นน้ำหนักสุดท้ายที่ทำลายสมดุล

ในอดีต การค้นหาช่องโหว่ในสัญญาอัจฉริยะที่ซับซ้อน (โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับข้ามโซ่ การซ้อนชั้นหลายชั้น หรือตรรกะการเรียกซ้ำที่ซ่อนตัวอย่างลึกซึ้ง) ต้องใช้เวลาหลายสัปดาห์หรือหลายเดือนในการวิเคราะห์โค้ดโดยแฮกเกอร์ชั้นนำ อย่างไรก็ตาม ด้วยความก้าวหน้าของตัวแทน AI (Agents) ที่มีบริบทยาวพิเศษ ความสามารถในการให้เหตุผลเชิงตรรกะที่แข็งแกร่ง และสามารถเรียกใช้เครื่องมือด้วยตนเอง ทุกอย่างจึงเกิดการเปลี่ยนแปลงอย่างมีคุณภาพ

  • การสแกนแบบวินาทีและค้นหาช่องโหว่แบบ “zero-day” ทั่วทั้งเครือข่าย: ผู้โจมตีเพียงแค่ป้อนคลังรหัสแหล่งเปิดให้กับโมเดลการให้เหตุผล AI รุ่นใหม่ ซึ่ง AI จะสามารถคาดการณ์สถานการณ์การโต้ตอบสุดขั้วหลายร้อยแบบในไม่กี่วินาที คล้ายกับผู้เชี่ยวชาญด้านความปลอดภัยผู้มีประสบการณ์ เพื่อระบุเงื่อนไขขอบเขตที่นักตรวจสอบมนุษย์อาจละเลยเมื่อเหนื่อยล้า
  • การสร้างสคริปต์โจมตีอัตโนมัติ: AI ไม่เพียงแต่สามารถค้นพบช่องโหว่ แต่ยังสามารถเขียน ทดสอบ และปรับใช้ “สัญญาอัจฉริยะแบบแฮกเกอร์” เพื่อสกัดเงินทุนได้อัตโนมัติ
  • การจัดการอย่างสมบูรณ์แบบระหว่าง DevOps แบบออฟไลน์กับการหลอกลวงทางสังคม: AI สามารถปลอมตัวเป็นนักพัฒนาที่สมบูรณ์แบบเพื่อทำการฟิชชิง หรือติดตามการอัปโหลดบน GitHub ของทีม DeFi แบบ 24/7 เมื่อทีมอัปโหลดโค้ดซ่อมแซมที่มีข้อมูลสำคัญหรือยังไม่ได้รับการตรวจสอบ AI จะโจมตีภายในไม่กี่วินาที—เร็วกว่าเวลาตอบสนองของเจ้าหน้าที่รักษาความปลอดภัยมนุษย์อย่างมาก

ในสงครามการป้องกันและโจมตีที่ได้รับการเสริมด้วย AI แฮกเกอร์มีกระสุนเกือบไม่จำกัดและความเร็วในการโจมตีในระดับวินาที ขณะที่ DeFi ถูกจำกัดด้วยกระบวนการลงคะแนนเสียงการกำกับดูแลที่ช้า การยืนยันแบบหลายลายเซ็น และการตรวจสอบความปลอดภัยที่ล่าช้า จึงยากที่จะตอบสนองด้วยการป้องกันที่เหมาะสม

เดือนที่แล้ว บริษัทพัฒนา AI ที่อยู่เบื้องหลัง Claude ชื่อ Anthropic ได้เปิดตัวรุ่นใหม่ล่าสุดชื่อ Mythos อย่างเป็นทางการ (ดูเพิ่มเติมใน Anthropic สร้าง AI ที่แข็งแกร่งที่สุดเท่าที่เคยมีมา แต่ยังไม่กล้าเปิดตัว...) นี่คือโมเดลแรกในประวัติศาสตร์มนุษย์ที่มีพารามิเตอร์รวมเกินกว่าสิบล้านล้าน (เมื่อเทียบกับโมเดลหลักทั่วไปในตลาดปัจจุบันที่มีพารามิเตอร์อยู่ในช่วงหลายร้อยพันล้านถึงหนึ่งล้านล้าน) และมีต้นทุนการฝึกอบรมถึง 10,000 ล้านดอลลาร์สหรัฐ

อย่างไรก็ตาม เนื่องจาก Mythos มีความสามารถเฉพาะด้านด้านความปลอดภัยทางไซเบอร์ (Anthropic เคยเปิดเผยว่า บริษัทสามารถระบุช่องโหว่ศูนย์วันนับพันแห่งภายในไม่กี่สัปดาห์โดยใช้ Mythos) ทำให้ Anthropic ไม่กล้าเผยแพร่โมเดลนี้โดยตรง lest ถูกกลุ่มแฮกเกอร์ใช้ในทางที่ผิด แต่แผนการคือเริ่มต้นด้วยโครงการ “Glass Wing” เพื่อให้บริษัทชั้นนำได้ทดลองใช้และค้นหาช่องโหว่ที่อาจเกิดขึ้นล่วงหน้า

สถานการณ์ด้านความปลอดภัยของ DeFi ในขณะนี้ยังคงรุนแรงอย่างมาก ยากที่จะจินตนาการว่าหลังจาก Mythos เปิดตัวอย่างเป็นทางการ ระบบป้องกันด้านความปลอดภัยของอุตสาหกรรมจะต้องเผชิญกับภัยคุกคามใหม่ๆ อะไรบ้าง

ปัญหาใหญ่ที่สุด: อัตราส่วนความเสี่ยงต่อผลตอบแทนได้สูญเสียสมดุลไปแล้ว

สำหรับผู้เข้าร่วม DeFi ทั่วไป ผู้ให้สภาพคล่อง (LP) และผู้ถือรายใหญ่ ปัญหาที่สำคัญที่สุดในขณะนี้คือการนั่งลงคำนวณต้นทุนและผลตอบแทน

เป็นเวลานานแล้วที่ผู้ใช้เลือกฝากเงินลงใน DeFi เพื่อตามหาผลตอบแทนรายปีที่สูงกว่าระบบการเงินแบบดั้งเดิมหลายเท่า ในช่วงตลาดขาขึ้นหรือช่วงที่การขุดสภาพคล่องกำลังร้อนแรง ผลตอบแทน 10% 20% หรือสูงกว่านั้นเพียงพอที่จะชดเชยความกังวลทางจิตใจเกี่ยวกับ “ความเสี่ยงด้านเทคโนโลยีที่อาจเกิดขึ้น”

แต่ในวันนี้ ตรรกะพื้นฐานนี้ได้รับการสั่นคลอนหรือแม้แต่ถูกพลิกคว่ำไปแล้ว อัตราส่วนความเสี่ยงต่อผลตอบแทนของ DeFi ได้สูญเสียสมดุลไปแล้ว ในด้านผลตอบแทน ตามที่ตลาดเข้าสู่การแข่งขันแบบมีทรัพยากรจำกัด และแผ่นรองความปลอดภัยได้หนาขึ้น ผลตอบแทนที่แท้จริงของโปรโตคอล DeFi หลักๆ ที่น่าเชื่อถือส่วนใหญ่ได้ลดลงมาอยู่ในช่วงตัวเลขหลักเดียวแล้ว ในด้านความเสี่ยง ทุนของผู้ใช้กลับถูกเปิดเผยไว้ในกล่องดำที่อาจถูกโจมตีโดย AI หรือถูกปล่อยให้ว่างเปล่าทันทีโดย闪电贷 หากโปรโตคอลประสบการโจมตีจากแฮกเกอร์ โทเค็นอาจลดค่าเป็นศูนย์และกองทุนถูกดูดออกหมดภายในไม่กี่นาที และไม่มีกฎหมาย ประกันภัย หรือธนาคารกลางใดๆ ที่สามารถรับประกันได้

การเสี่ยงสูญเสียทุน 100% เพื่อหวังผลตอบแทนประจำปีประมาณ 5% ชัดเจนว่าไม่ใช่การลงทุนที่คุ้มค่า

คำพูดของ Manuel อาจดูเหมือนสุดขั้ว แต่มันเปิดโปงผ้าคลุมสุดท้ายของ DeFi ต่อหน้าความเป็นจริงที่ว่า แฮกเกอร์ได้ใช้ AI เป็นอาวุธปกติ และเหตุการณ์ด้านความปลอดภัยในอุตสาหกรรมยังคงเกิดขึ้นอย่างต่อเนื่อง หากคุณยังไม่ได้เตรียมจิตใจสำหรับการสูญเสียทุน 100% เพื่อผลตอบแทนที่แน่นอน การถอนเงินออกให้เร็วที่สุดและเก็บกำไรไว้ให้มั่นคง อาจเป็นทางเลือกที่สมเหตุสมผลที่สุดและสอดคล้องกับหลักการจัดการความเสี่ยงในวัฏจักรตลาดปัจจุบัน

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา