การตัดครั้งนี้ของ Drift ได้ตัดลงบนแผลที่อุตสาหกรรมไม่อยากเผชิญหน้าที่สุด
วันที่ 1 เมษายน วันแกล้งคน
Drift Protocol ซึ่งเป็นแพลตฟอร์มสัญญาฟิวเจอร์สถาวรที่ใหญ่ที่สุดบนโซลานา กำลังถูกปล้นทรัพย์สิน และปฏิกิริยาแรกของชุมชนคือ "เรื่องตลกวันเมษายนที่ดี"
นี่ไม่ใช่เรื่องตลก ประมาณ 13:30 น. บัญชีติดตามบนบล็อกเชน Lookonchain และ PeckShield ได้ส่งสัญญาณเตือนเกือบพร้อมกัน: กระเป๋าเงินที่ไม่รู้จักที่ขึ้นต้นด้วย "HkGz4K" กำลังดึงสินทรัพย์ออกจากคลังของ Drift ด้วยความเร็วที่น่าตกใจ รายการแรกคือ JLP 410 ล้านโทเค็น มูลค่า 155 ล้านดอลลาร์สหรัฐ ตามด้วย USDC 51.6 ล้าน, WSOL 125,000, cbBTC 164,000... สินทรัพย์กว่าสิบชนิดไหลออกเหมือนน้ำในอ่างอาบน้ำที่ถอดปลั๊ก
หนึ่งชั่วโมง ทรัพย์สินในคลังลดจาก 309 ล้านดอลลาร์สหรัฐเหลือ 41 ล้านดอลลาร์สหรัฐ มากกว่าครึ่งหนึ่งของ TVL หายไป
ทีม Drift ได้โพสต์ทวีตบน X ด้วยถ้อยคำที่เร่งด่วนอย่างผิดปกติ: "Drift Protocol กำลังเผชิญกับการโจมตีอย่างตั้งใจ การฝากและถอนเงินถูกระงับชั่วคราว เรากำลังร่วมมือกับบริษัทด้านความปลอดภัยหลายแห่ง สะพานข้ามโซ่ และแพลตฟอร์มการซื้อขายเพื่อควบคุมสถานการณ์"
จากนั้นคือคำพูดที่จะถูกบันทึกไว้ในประวัติศาสตร์ของสกุลเงินดิจิทัล: "นี่ไม่ใช่การเล่นตลกวันที่ 1 เมษายน"
กุญแจหนึ่งดอก เปิดทุกประตู
ตัวเลขการถูกขโมยของ Drift แตกต่างกันไปตามแหล่งข้อมูลต่างๆ PeckShield ประมาณการไว้ประมาณ 285 ล้านดอลลาร์สหรัฐ Arkham ระบุว่าเกิน 250 ล้านดอลลาร์สหรัฐ ส่วน CertiK ประเมินเบื้องต้นไว้ที่ประมาณ 136 ล้านดอลลาร์สหรัฐ แต่ไม่ว่าตัวเลขใดจะถูกต้อง นี่คือเหตุการณ์ด้านความปลอดภัยของ DeFi ที่ใหญ่ที่สุดนับตั้งแต่ต้นปี 2026
สิ่งที่น่าสนใจมากกว่าตัวเลขคือวิธีการโจมตี
เจียงซูเซียน ผู้ก่อตั้ง PeckShield กล่าวกับ Decrypt อย่างตรงไปตรงมาว่า: "กุญแจผู้ดูแลของ Drift ถูกเปิดเผยหรือถูกโจมตีอย่างชัดเจน" ภาพการโจมตีที่นักวิจัยบนบล็อกเชนรวบรวมไว้แสดงให้เห็นว่าแฮกเกอร์ได้รับสิทธิ์การเข้าถึงพิเศษของโปรโตคอล Drift และควบคุมการไหลเวียนของเงินทุนในคลัง
พูดอีกแบบคือ ไม่มีการใช้ช่องโหว่ในสัญญาอัจฉริยะที่ซับซ้อน ไม่มีการโจมตีด้วยสินเชื่อฟ้าผ่า และไม่มีการจัดการข้อมูลจากตัวแทนข้อมูล แค่เป็นความล้มเหลวด้านความปลอดภัยแบบดั้งเดิมและเรียบง่าย ใครบางคนสูญเสียกุญแจส่วนตัว
รายละเอียดที่น่ากังวลยิ่งกว่านั้นคือ ผู้โจมตีไม่ได้กระทำด้วยความคิดทันทีทันใด ข้อมูลบนโซ่แสดงว่า กระเป๋าเงินนี้ได้รับทุนเริ่มต้นผ่าน Near Intents แปดวันก่อนการโจมตี และอยู่ในสภาวะเงียบต่อมา ก่อนการโจมตีหนึ่งสัปดาห์ มันยังได้รับการโอนเงินเล็กน้อยมูลค่า 2.52 ดอลลาร์สหรัฐจาก Drift Vault การทดสอบครั้งหนึ่ง การ “เคาะประตู”
หนึ่งสัปดาห์ต่อมา ประตูก็ถูกเหยียบแตก
การล่มสลายของ Robinhood แบบคริปโต
สำหรับซินดี้ เลียว ผู้ร่วมก่อตั้ง Drift ความฝันร้ายในวันที่ 1 เมษายน มีพื้นหลังที่โหดร้ายยิ่งกว่าเดิม
เรื่องราวของนักEntrepreneurชาวมาเลเซียเชื้อสายจีนคนนี้เคยเป็นหนึ่งในเรื่องราวให้แรงบันดาลใจที่ดีที่สุดของ Solana DeFi เริ่มต้นจากการทำ arbitrage บิตคอยน์ระหว่างจีนและเกาหลีในปี 2016 ต่อมาได้ดำเนินกองทุน自营 และมีส่วนร่วมในการพัฒนาโครงการอนุพันธ์บน Ethereum ก่อนจะร่วมกับ David Lu ก่อตั้ง Drift ในปี 2021 โดยลงทุนบนข้อได้เปรียบด้านความเร็วของ Solana เพื่อสร้างสัญญาซื้อขายล่วงหน้าบนโซ่
จากเส้นเวลา ดริฟท์เกือบจะจับคลื่นได้ทุกคลื่น ในปี 2024 ได้รับการระดมทุนสองรอบภายใต้การนำโดย Polychain และ Multicoin รวมเป็นเงิน 52.5 ล้านดอลลาร์สหรัฐ เปิดตัวตลาดการทำนายเพื่อแข่งขันกับ Polymarket เปิดใช้งานเลเวอเรจ 50 เท่า TVL พุ่งเกิน 5.5 พันล้านดอลลาร์สหรัฐ และปริมาณการซื้อขายสะสมเกิน 50,000 ล้านดอลลาร์สหรัฐ ในระหว่างการสัมภาษณ์กับ Fortune เลโอว์ได้ใช้ตำแหน่งที่มีความทะเยอทะยานว่า ต้องการเป็น “Robinhood ของวงการคริปโต”
คำเปรียบเทียบนี้ตอนนี้ฟังดูซับซ้อนหลายแง่มุม คำมั่นสัญญาหลักของ Robinhood คือการให้ประชาชนทั่วไปเข้าถึงเครื่องมือทางการเงินของวอลล์สตรีท ส่วนคำมั่นสัญญาหลักของ Drift คือการให้ผู้ใช้ได้รับประสบการณ์การซื้อขายแบบ “ไม่มีผู้ดูแล” บนบล็อกเชน เงินของคุณจะไม่ผ่านมือใครเลย แต่จะโต้ตอบกับโค้ดเพียงอย่างเดียว
แต่เบื้องหลังรหัส มีกุญแจผู้ดูแลระบบอยู่หนึ่งอัน และความปลอดภัยของกุญแจนี้ขึ้นอยู่กับมนุษย์ ไม่ใช่การเข้ารหัส
ยังมีความบังเอิญทางประวัติศาสตร์ที่เจ็บปวดอีกประการหนึ่ง ในปี 2022 ช่วงยุค Drift v1 เคยเกิดเหตุการณ์ถังเก็บเงินถูกดูดหมดไปแล้ว ทีมงานได้เขียนรายงานเทคนิคที่ละเอียดมากหลังเกิดเหตุ และเปิดเผยโค้ดพิสูจน์แนวคิดหนึ่งชิ้น เพื่อแสดงให้เห็นว่าผู้โจมตีสามารถดูดถังเก็บเงินทั้งหมดออกได้ในหนึ่งธุรกรรม ความสูญเสียจากเหตุการณ์ครั้งนั้นอยู่ที่ 14.5 ล้านดอลลาร์สหรัฐ และทีมงานได้ชดใช้ค่าเสียหายให้ผู้ใช้ทั้งหมดด้วยเงินของตนเอง
สี่ปีต่อมา ความฝันร้ายเดียวกันนี้เกิดขึ้นอีกครั้งในขนาดที่ใหญ่กว่า 20 เท่า
ความเชื่อในระบบกระจายศูนย์ จุดอ่อนของระบบศูนย์กลาง
ถอยห่างจาก Drift ออกไปเล็กน้อย คุณจะเห็นรูปแบบที่รู้สึกไม่สบายใจกำลังเกิดขึ้น
ต้นปี 2025 ระบบการจัดการกุญแจ AWS ของ Resolv Labs ถูกโจมตี ผู้โจมตีใช้กุญแจที่มีสิทธิ์พิเศษอนุมัติการสร้างสกุลเงินคงที่ USR ในปริมาณใหญ่ ทำให้เกิดความสูญเสียแบบลูกโซ่ข้ามแพลตฟอร์ม ในปีเดียวกัน ยอดการขโมยสกุลเงินดิจิทัลทั้งปี 2025 พุ่งแตะระดับสูงสุดเป็นประวัติการณ์ที่ 3.4 พันล้านดอลลาร์สหรัฐ โดยรายงานของ Chainalysis ชี้ให้เห็นถึงการเปลี่ยนแปลงแนวโน้ม: เหตุการณ์ที่ทำลายล้างที่สุดเกิดขึ้นที่ระดับโครงสร้างพื้นฐาน เครื่องพัฒนาที่ถูกโจมตี กุญแจการสร้างสกุลเงินที่เก็บไว้บนคลาวด์ และกระบวนการลงนามที่ถูกหลอกลวงผ่านการโจมตีทางสังคม คือหลุมดำที่แท้จริงที่กลืนกินเงินทุน
ตอนนี้เพิ่ม Drift
หากคุณพิจารณาตัวอย่างเหล่านี้ร่วมกัน ข้อสรุปหนึ่งแทบหลีกเลี่ยงไม่ได้: ความปลอดภัยของกุญแจส่วนตัวได้แทนที่ช่องโหว่ของสัญญาอัจฉริยะ กลายเป็นความเสี่ยงเชิงระบบใหญ่ที่สุดของ DeFi
มีช่องว่างทางความเข้าใจที่ใหญ่พอจะกลืนกินหลายพันล้านดอลลาร์
โปรโตคอล DeFi นำเสนอเรื่องราวว่า “การกระจายศูนย์” “ไม่มีการเก็บรักษาโดยบุคคลที่สาม” และ “ไม่ต้องพึ่งพาความเชื่อถือ” ทรัพย์สินของคุณถูกจัดเก็บโดยโค้ด และไม่มีผู้กลางใดสามารถแตะต้องเงินของคุณได้ ผู้ใช้ฟังเรื่องนี้แล้วจึงนำเงินของตนไปฝากในโปรโตคอลเหล่านี้ โดยเชื่อว่า “ฉันกำลังทำงานกับคณิตศาสตร์”
แต่ความเป็นจริงคือ แทบจะทุกโปรโตคอล DeFi ที่กำลังดำเนินอยู่ล้วนมีกุญแจหนึ่งหรือหลายกุญแจที่เรียกว่า "กุญแจของพระเจ้า" เช่น กุญแจผู้ดูแล สิทธิ์อัปเกรด การควบคุมคลังสินค้า และสวิตช์หยุดฉุกเฉิน การมีอยู่ของกุญแจเหล่านี้บางครั้งเพื่อความปลอดภัย (เพื่อหยุดฉุกเฉินเมื่อเกิดปัญหา) และบางครั้งเพื่อความยืดหยุ่น (เพื่ออัปเกรดตรรกะของสัญญา) แต่แก่นแท้ของพวกมันเหมือนกันทั้งหมด: จุดศูนย์กลางแห่งความเชื่อถือ ที่ถูกห่อหุ้มไว้ภายในเรื่องเล่าแบบกระจายศูนย์
ผู้ใช้คิดว่าตนเองกำลังโต้ตอบกับโค้ด แต่ในความเป็นจริง พวกเขากำลังวางใจบุคคลหนึ่งคน หรือกลุ่มเล็กๆ ให้ไม่เคยผิดพลาด ไม่ถูกหลอกลวง ไม่ถูกบังคับ และไม่เคยลืมแล็ปท็อปไว้ที่ร้านกาแฟในยามดึก
นี่ไม่ใช่ปัญหาเฉพาะของ Drift แต่เป็นความขัดแย้งเชิงโครงสร้างของอุตสาหกรรม DeFi ทั้งหมด
285 ล้านดอลลาร์สหรัฐไปไหน
การกระทำของผู้โจมตีบนโซ่สะอาดและแม่นยำ ด้วยความสงบเย็นของมืออาชีพ
หลังจากดึงทรัพย์สินออกจาก Drift Vault เขาได้แลกเปลี่ยนโทเค็นส่วนใหญ่เป็นสตีเบิลคอร์อย่างรวดเร็ว แล้วส่งเงินผ่านสะพานข้ามเครือข่าย Wormhole ไปยังเครือข่าย Ethereum บน Ethereum เขาใช้สตีเบิลคอร์บางส่วนซื้อ ETH ประมาณ 19,913 เหรียญ (มูลค่าประมาณ 42.6 ล้านดอลลาร์สหรัฐ) ส่วนที่เหลือกระจายไปยังที่อยู่กระเป๋าเงินหลายแห่ง
มีรายละเอียดที่แปลกประหลาด: กระเป๋าเงินของผู้โจมตียังถือครอง Fartcoin จำนวนมาก คิดเป็นประมาณ 2.5% ของปริมาณการจัดจำหน่ายทั้งหมดของโทเค็นนี้ แฮกเกอร์ที่เพิ่งก่อคดีขโมย DeFi ใหญ่ที่สุดในปีนี้ กลับถือครอง meme coin ที่ตั้งชื่อว่า “ผายลม”
ณ ขณะที่บทความนี้ถูกเผยแพร่ การฝากและถอนเงินของ Drift ยังคงถูกระงับไว้ รหัส DRIFT ลดลงจากประมาณ 0.072 ดอลลาร์ก่อนการโจมตีเหลือใกล้เคียงกับ 0.05 ดอลลาร์ ลดลงกว่า 28% และเมื่อเทียบกับจุดสูงสุดในประวัติศาสตร์ที่ 2.60 ดอลลาร์ ลดลงสะสมกว่า 98% กระเป๋าเงิน Phantom ได้แสดงคำเตือนแก่ผู้ใช้ที่พยายามเข้าถึง Drift
ทีม Drift ระบุว่ากำลังร่วมมือกับบริษัทด้านความปลอดภัย ผู้ให้บริการข้ามโซ่ และแลกเปลี่ยนแบบศูนย์กลาง เพื่อพยายามแช่แข็งและติดตามเงินที่ถูกขโมย แต่หากพิจารณาจากประวัติศาสตร์เป็นแนวทาง ความเป็นไปได้ในการเรียกคืนเงินที่ถูกโอนผ่านสะพานข้ามโซ่และกระจายไปยังกระเป๋าหลายแห่งนั้นไม่ค่อยเป็นไปได้
คำถามที่อุตสาหกรรมต้องเผชิญอย่างซื่อสัตย์
การตัดครั้งนี้ของ Drift ได้ตัดลงบนแผลที่อุตสาหกรรมไม่อยากเผชิญหน้าที่สุด
ในรายงานของ Chainalysis ปลายปี 2025 ได้แสดงความมองโลกในแง่ดีว่า ความปลอดภัยของ DeFi ได้รับ "ความก้าวหน้าอย่างมีนัยสำคัญ" แม้ว่า TVL จะเพิ่มเป็นสองเท่ากลับไปที่ 119,000 ล้านดอลลาร์สหรัฐ แต่การสูญเสียจากแฮกเกอร์ใน DeFi กลับลดลง ตัวอย่างของ Venus Protocol ถูกยกเป็นกรณีศึกษาเชิงบวก: ระบบตรวจสอบความปลอดภัยตรวจพบความผิดปกติล่วงหน้า 18 ชั่วโมงก่อนการโจมตี โปรโตคอลจึงระงับการดำเนินงานทันที กลไกการกำกับดูแลได้กักขังเงินทุนของผู้โจมตี และผู้โจมตียังขาดทุนอีกด้วย
Drift ทำให้เรื่องเล่าแห่งความก้าวหน้านี้ลดลง คุณสามารถดำเนินการตรวจสอบสัญญาอัจฉริยะให้สมบูรณ์แบบที่สุด หรือติดตั้งระบบติดตามตรวจสอบบนบล็อกเชนที่ทันสมัยที่สุด แต่เพียงแค่กุญแจผู้ดูแลถูกโจมตีผ่านการหลอกลวงทางสังคม การฟิชชิง หรือการเดาคีย์แบบแรงๆ โครงสร้างพื้นฐานด้านความปลอดภัยทั้งหมดก็เหมือนป้อมปราการที่สร้างบนทราย
อุตสาหกรรม DeFi จำเป็นต้องหยุดชั่วคราวและตอบคำถามอย่างซื่อสัตย์: เมื่อคุณพูดกับผู้ใช้ว่า "ไม่มีการจัดการ" คุณหมายถึงอะไรกันแน่?
หากกุญแจผู้ดูแลของโปรโตคอลสามารถถ่ายโอนสินทรัพย์ทั้งหมดในคลังได้ทุกเมื่อ แล้วมันต่างจากที่คุณเก็บเงินไว้ในบัญชีธนาคารของคนที่คุณไม่รู้จักได้อย่างไร? ít nhất ธนาคารมีประกัน มีการกำกับดูแล และมีสิทธิ์ฟ้องร้องทางกฎหมาย
คำตอบอาจไม่ใช่การยกเลิกสิทธิ์ผู้ดูแลเหล่านี้ เพราะในหลายกรณี การมีอยู่ของพวกมันนั้นจำเป็น แต่อย่างน้อยที่สุด อุตสาหกรรมควรหยุดการแกล้งทำเป็นว่าพวกมันไม่มีอยู่ โซลูชันทางเทคนิคเช่น การจัดการแบบมัลติซิก ล็อกเวลา โมดูลความปลอดภัยทางฮาร์ดแวร์ การเปลี่ยนกุญแจ… เหล่านี้มีอยู่มานานหลายปี แต่ยังมีโปรโตคอลจำนวนมากที่ยังคงผูกความปลอดภัยหลายร้อยล้านดอลลาร์สหรัฐไว้กับความระมัดระวังของบุคคลเพียงไม่กี่คน
ความฝันของ "Robinhood แบบคริปโต" นั้นยอดเยี่ยม แต่ก่อนที่จะทำให้มันเป็นจริง อาจควรตอบคำถามพื้นฐานกว่านั้นก่อน: ใครเป็นผู้เก็บกุญแจอยู่?