ในวงการคริปโทเคอร์เรนซี DeFi (Decentralized Finance) ถือเป็นรูปแบบนวัตกรรมมาอย่างยาวนาน โดยให้บริการสินเชื่อและซื้อขายผ่านสัญญาอัจฉริยะโดยไม่จำเป็นต้องอาศัยธนาคารแบบดั้งเดิม Balancer ซึ่งเป็นโปรโตคอลสภาพคล่องหลักใน DeFi ช่วยให้ผู้ใช้จัดการสินทรัพย์และสร้างผลตอบแทนผ่านการออกแบบพูลที่ยืดหยุ่น อย่างไรก็ตาม ในเช้าตรู่ของวันที่ 3 พฤศจิกายน 2568 โปรโตคอลนี้ถูกโจมตีด้วยช่องโหว่ร้ายแรง ผู้โจมตีได้ถอนเงินประมาณ 128 ล้านดอลลาร์จาก Composable Stable Pools ของ Balancer V2 เหตุการณ์นี้ทำลายความเชื่อมั่นของตลาด ทำให้ราคาโครงการ DeFi หลายโครงการลดลง โดยเฉพาะสินทรัพย์ที่มีความเสี่ยงสูง นี่ไม่ใช่แค่ปัญหาสำหรับ Balancer เท่านั้น แต่ยังเป็นการเตือนให้ระบบนิเวศ DeFi ทั้งหมดตื่นตัว เพราะแม้ว่านวัตกรรมทางเทคโนโลยีจะพัฒนาไปอย่างรวดเร็ว แต่ปัญหาด้านความปลอดภัยยังคงเป็นภัยคุกคามอย่างต่อเนื่อง

เหตุการณ์นี้เกิดขึ้นเช้าวันอาทิตย์ เวลาประมาณ 2:00 น. ตามเวลาปักกิ่ง ขณะนั้นเทรดเดอร์ทั่วโลกส่วนใหญ่กำลังพักผ่อนอยู่ ผู้โจมตีใช้เงินกู้แบบแฟลชเพื่อควบคุมน้ำหนักของกลุ่มเทรด ในตอนแรกการซื้อขายดูเหมือนจะเป็นปกติ แต่ไม่นานเงินทุนก็เริ่มไหลเข้าอย่างผิดปกติ กลุ่มหนึ่งสูญเสียเงินไปประมาณ 70 ล้านดอลลาร์ ซึ่งรวมถึงสินทรัพย์อย่าง ETH และ USDC ข้อมูลออนเชนแสดงให้เห็นว่าการสูญเสียทั้งหมดสูงถึง 128 ล้านดอลลาร์

การกำกับดูแลในการออกแบบสัญญา

Composable Stable Pools ของ Balancer V2 ได้รับการออกแบบขั้นสูง ช่วยให้ผู้ใช้สามารถผสมผสานกลยุทธ์สภาพคล่องที่หลากหลายเข้าด้วยกัน พร้อมปรับน้ำหนักแบบไดนามิกเพื่อปรับผลตอบแทนให้เหมาะสมที่สุดและลด Slippage ความยืดหยุ่นนี้ถือเป็นจุดแข็งหลักของ Balancer แต่ก็ทำให้เกิดความซับซ้อนด้วยเช่นกัน การโจมตีนี้ใช้ประโยชน์จากข้อบกพร่องสำคัญในสัญญา นั่นคือปัญหาการล้นของจำนวนเต็มระหว่างการคำนวณน้ำหนัก เมื่อผู้โจมตีฉีดสภาพคล่องปลอมจำนวนมากผ่านสินเชื่อแบบแฟลช การจัดสรรสินทรัพย์ของพูลก็ผิดเพี้ยนไป อัตราส่วน ETH 50% และ USDC 50% ที่สมดุลกันก่อนหน้านี้กลับกลายเป็นความไม่เท่าเทียมกันอย่างมากในทันที จากนั้นผู้โจมตีจึงดึงสินทรัพย์จริงออกมาใช้เพื่อชำระคืนเงินกู้ และดำเนินการอาร์บิทราจให้เสร็จสมบูรณ์

หลายเดือนก่อน บริษัทรักษาความปลอดภัย Webacy ได้สังเกตเห็นปัญหาที่อาจเกิดขึ้นนี้ระหว่างการตรวจสอบ พวกเขาชี้ให้เห็นว่าสูตรทางคณิตศาสตร์อาจทำงานผิดพลาดภายใต้สภาวะที่รุนแรง อย่างไรก็ตาม คำเตือนนี้ไม่ได้รับการแก้ไขอย่างทันท่วงที ในขณะนั้น ทีม Balancer มุ่งเน้นไปที่การพัฒนาฟีเจอร์ใหม่ๆ เพื่อรับมือกับแรงกดดันจากคู่แข่งอย่าง Uniswap V4 การพัฒนาในอุตสาหกรรม DeFi นั้นรวดเร็ว และบางครั้งการตรวจสอบโค้ดก็ล่าช้า นี่ไม่ใช่กรณีเดียวที่เกิดเหตุเดียว เหตุการณ์ที่คล้ายคลึงกันนี้เกิดขึ้นหลายครั้งในวงการ DeFi ในปีนี้ ส่งผลให้มูลค่าความเสียหายรวมสูงกว่า 2.17 พันล้านดอลลาร์ ยกตัวอย่างเช่น การโจมตี Ronin bridge มูลค่า 600 ล้านดอลลาร์ และช่องโหว่ Poly Network ต่างก็เกิดจากข้อบกพร่องด้านการออกแบบที่คล้ายคลึงกัน Vitalik Buterin ผู้ก่อตั้ง Ethereum ได้แสดงความคิดเห็นในภายหลังว่าความซับซ้อนนี้เป็นดาบสองคมสำหรับ DeFi การออกแบบที่เรียบง่ายกว่ามักจะปลอดภัยกว่า

ผู้โจมตีมีทักษะสูง พวกเขาน่าจะมีประสบการณ์ในการพัฒนา DeFi และใช้เงื่อนไขขอบเขตในภาษา Solidity เพื่อดำเนินการนี้ การติดตามกองทุนแสดงให้เห็นว่าสินทรัพย์บางส่วนไหลเข้าสู่เครื่องมือผสม ทำให้กิจกรรมของพวกเขาถูกปกปิดมากขึ้น เหตุการณ์นี้เป็นเครื่องเตือนใจว่าการตรวจสอบความปลอดภัยของสัญญาอัจฉริยะจำเป็นต้องมีกระบวนการที่เข้มงวดมากขึ้น ซึ่งรวมถึงการทดสอบขอบเขตและการตรวจสอบอย่างเป็นทางการ

การตอบสนองของทีม

การตอบสนองของทีม Balancer นั้นน่าชื่นชม ภายในเวลาเพียง 15 นาทีหลังจากเกิดเหตุการณ์ พวกเขาได้เปิดใช้งานกลไกฉุกเฉิน ทำให้พูล V2 ที่ได้รับผลกระทบทั้งหมดหยุดทำงาน นี่เป็นมาตรการฉุกเฉินที่เตรียมไว้ล่วงหน้าและได้รับการทดสอบแล้วในการตรวจสอบก่อนหน้านี้ ผู้ก่อตั้ง Fernando Martinelli ได้กล่าวกับผู้ใช้ผ่านการถ่ายทอดสดและประกาศอย่างเป็นทางการ โดยระบุว่า "นี่เป็นข้อผิดพลาดภายใน และเราจะรับผิดชอบอย่างเต็มที่"

ต่อมา ทีมงานได้ร่วมมือกับบริษัทตรวจสอบบัญชี เช่น PeckShield และ Certik เพื่อดำเนินการตรวจสอบเชิงลึก ผลการศึกษาพบว่าช่องโหว่นี้เกิดจากการจัดการเงื่อนไขขอบเขตที่ไม่เหมาะสมภายใต้การปรับน้ำหนักความถี่สูง ซึ่งนำไปสู่การจัดสรรสินทรัพย์ที่ผิดพลาด พวกเขาสัญญาว่าจะเผยแพร่รายงานโดยละเอียดภายใน 48 ชั่วโมง และเปิดตัวเวอร์ชัน V2.1 ซึ่งเพิ่มเครื่องมือตรวจสอบหลายลายเซ็นและเครื่องมือตรวจสอบที่แข็งแกร่งขึ้น แผนการชดเชยเป็นหัวใจสำคัญ โดย 90% ของความเสียหายจะถูกชดเชยโดยกองทุน Vault ส่วนที่เหลือจะตัดสินใจผ่านการโหวตของ DAO โดยให้ความสำคัญกับผู้ใช้รายย่อย ขณะเดียวกัน พวกเขาวางแผนที่จะเผาโทเค็นการกำกับดูแลบางส่วน BAL เพื่อรักษาเสถียรภาพของราคาตลาด

ปฏิกิริยาของชุมชนมีการแบ่งขั้ว บางคนชื่นชมความโปร่งใสและประสิทธิภาพของทีม ขณะที่บางคนตั้งคำถามว่าทำไมถึงเพิกเฉยต่อคำเตือนล่วงหน้า นักพัฒนาที่ไม่เปิดเผยตัวตนรายหนึ่งกล่าวว่าแรงกดดันในการพัฒนามีมากเกินไป ทำให้การทดสอบกรณีขอบ (edge case) ไม่เพียงพอ อย่างไรก็ตาม พอร์ทัลการชดเชยได้เปิดใช้งานในวันที่ 4 พฤศจิกายน และผู้ใช้เริ่มเรียกร้องเงินของพวกเขา ผู้ใช้รายหนึ่งเล่าว่าทีมงานไม่เพียงแต่คืนเงินที่ขาดทุน แต่ยังให้โทเค็นเพิ่มเติมเป็นการชดเชย ซึ่งทำให้เธอพิจารณาที่จะเข้าร่วม DeFi ต่อไปอีกครั้ง

บทเรียนจาก DeFi

เหตุการณ์ Balancer เปรียบเสมือนกระจกสะท้อนปัญหาที่ฝังรากลึกของ DeFi การกระจายอำนาจหมายถึงการขาดอำนาจจากส่วนกลาง แต่ในขณะเดียวกันความรับผิดชอบก็ตกอยู่ที่โค้ดและชุมชนทั้งหมด นวัตกรรมเกิดขึ้นอย่างรวดเร็ว แต่ความปลอดภัยยังตามหลัง เหตุการณ์ช่องโหว่หลายครั้งในปีนี้แสดงให้เห็นว่าอุตสาหกรรมจำเป็นต้องเปลี่ยนวิธีคิด หลังจากเหตุการณ์ Ronin ควรมีการพยายามเสริมสร้างความปลอดภัยที่เชื่อมโยงกัน แต่ปัญหาที่คล้ายคลึงกันยังคงเกิดขึ้นซ้ำ

ผู้เชี่ยวชาญแนะนำแนวทาง "ความปลอดภัยเป็นอันดับแรก" ซึ่งรวมถึงการใช้เครื่องมือตรวจสอบอย่างเป็นทางการเพื่อตรวจสอบตรรกะของสัญญา หรือการนำระบบตรวจสอบด้วย AI มาใช้ เครือข่ายเลเยอร์ 2 อย่าง Optimism กำลังเร่งการจัดตั้งกองทุนรักษาความปลอดภัย และ Uniswap ก็ได้เพิ่มงบประมาณการตรวจสอบ ชุมชนนักพัฒนาซอฟต์แวร์ได้เปิดตัวโครงการโอเพนซอร์สหลายโครงการเพื่อแบ่งปันแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย บทความของ Vitalik เน้นย้ำว่าความซับซ้อนไม่ใช่ปัญหา แต่การเพิกเฉยต่อความเสี่ยงต่างหากที่เป็นปัญหา

ในระยะยาว เหตุการณ์นี้อาจเร่งการเติบโตของ DeFi ซึ่งจะดึงดูดการตรวจสอบบัญชีอย่างมืออาชีพจากภาคการเงินแบบดั้งเดิมมากขึ้น และทำให้ผู้ใช้งานมีความเสี่ยงน้อยลง DeFi ไม่ใช่สวรรค์ที่ปราศจากความเสี่ยง แต่เป็นสาขาที่ต้องอาศัยการมีส่วนร่วมอย่างระมัดระวัง