In-Depth Analysis of Drift's $285 Million Hack: How Can DeFi Governance Move Beyond "Amateur Hour"?
- Core Viewpoint: The Solana ecosystem DeFi protocol Drift Protocol suffered a social engineering attack resulting in losses as high as $285 million due to governance and key management vulnerabilities. This incident exposed the severe inadequacy of the current DeFi industry's security architecture when managing large funds and signals a new security paradigm evolving towards hardware security, intent verification, and professional custody.
- Key Elements:
- The attacker, posing as a market maker, lurked for a long time to gain trust and induced security committee members to "blind sign" a transaction transferring protocol control.
- The protocol had recently updated to a 2/5 multi-signature architecture and removed the timelock, allowing any instruction to be executed instantly with just two signatures, significantly lowering the attack barrier.
- The hacker used legitimately obtained admin permissions to add fake tokens to the whitelist and manipulate oracle prices, "legitimately" borrowing treasury assets using worthless tokens as collateral.
- The incident exposed the fatal flaws of traditional multi-signature schemes: inability to defend against social engineering attacks and lack of risk verification mechanisms for transaction intent.
- Industry consensus points to the core directions for future security upgrades: adopting Hardware Security Modules (HSM), introducing intent-based policy engines, and entrusting fund custody to professional third-party institutions.
1 เมษายน 2026 Drift Protocol แพลตฟอร์มซื้อขายสัญญาถาวรแบบกระจายอำนาจที่ใหญ่ที่สุดในระบบนิเวศ Solana ประสบกับความเสียหายครั้งใหญ่ ในเวลาเพียงไม่กี่นาที สินทรัพย์คริปโตมูลค่าสูงถึง 285 ล้านดอลลาร์ถูกปล้นสะดม สร้างสถิติเหตุการณ์ความปลอดภัยที่ใหญ่ที่สุดในวงการ DeFi ของปีนี้
เมื่อข้อมูลบนบล็อกเชนถูกวิเคราะห์อย่างละเอียดและหน่วยงานความปลอดภัยเข้ามามีบทบาทมากขึ้น ภาพรวมของการโจมตี APT ที่น่าสงสัยว่าถูกนำโดยกลุ่มแฮกเกอร์เกาหลีเหนือก็ค่อยๆ ปรากฏชัด สิ่งที่น่าเศร้าคือ สิ่งที่ทำลายป้อมปราการ DeFi มูลค่าหลายร้อยล้านดอลลาร์นี้ ไม่ใช่ช่องโหว่ Zero-day ที่ซับซ้อนเลิศเลอ แต่เป็นการล่าทางวิศวกรรมสังคมที่ยาวนานหลายเดือนและโจมตีจุดอ่อนของมนุษย์โดยตรง
ภัยพิบัตินี้ไม่เพียงแต่เป็นช่วงเวลาที่มืดมนที่สุดของ Drift แต่ยังเผยให้เห็นความอ่อนแอของอุตสาหกรรม DeFi ในปัจจุบันในด้านการกำกับดูแลและการจัดการคีย์
การล่าที่วางแผนมาอย่างยาวนาน: Drift ถูกยึดครองทีละขั้นอย่างไร?
เมื่อวิเคราะห์เส้นทางการโจมตีของแฮกเกอร์ เราจะพบว่านี่เป็นการปฏิบัติการร่วมหลายเส้นทางที่ละเอียดรอบคอบและอดทนอย่างยิ่ง ผู้โจมตีใช้ประโยชน์จากความมั่นใจอย่างมืดบอดของชุมชน Web3 Geek ต่อ "code is law" และความประมาทต่อ "มนุษย์" ซึ่งเป็นจุดอ่อนที่สุด
ขั้นตอนแรก: การแฝงตัวในคราบ "ผู้สร้างตลาด"
ตั้งแต่ครึ่งปีก่อนเกิดเหตุการณ์ ผู้โจมตีได้ปลอมตัวเป็นสถาบันเทรดเชิงปริมาณที่มีทุนหนา พวกเขาไม่เพียงแต่สร้างสัมพันธ์อันดีกับทีมหลักของ Drift ในงานประชุมคริปโตสำคัญต่างๆ เท่านั้น แต่ยังฝากเงินจริงหลายล้านดอลลาร์ในโปรโตคอลอีกด้วย ผ่านการเข้าร่วมทดสอบผลิตภัณฑ์และเสนอคำแนะนำเชิงกลยุทธ์ที่มีคุณภาพสูง แฮกเกอร์สามารถแทรกซึมเข้าสู่กลุ่มสื่อสารภายในของ Drift ได้สำเร็จ และสร้างความไว้วางใจที่ร้ายแรงขึ้น
ขั้นตอนที่สอง: ใช้ "Durable Nonces" ฝังระเบิดเวลา
หลังจากได้รับความไว้วางใจจากผู้มีส่วนร่วมหลัก แฮกเกอร์เริ่มใช้กลไก "Durable Nonces" ที่เป็นเอกลักษณ์ของเครือข่าย Solana กลไกนี้อนุญาตให้ธุรกรรมถูกเซ็นล่วงหน้าแบบออฟไลน์ และถูกกระจายไปดำเนินการได้ทุกเวลาในอนาคต แฮกเกอร์ใช้วาทศิลป์ที่แยบยลและความต้องการทดสอบที่ปลอมแปลง ชักจูงให้สมาชิกคณะกรรมการความปลอดภัยของ Drift ทำการ "Blind Signing" ธุรกรรมหลายรายการที่ดูเหมือนธรรมดา แต่ Payload จริงของธุรกรรมเหล่านี้คือการโอนสิทธิ์ควบคุมสูงสุดของผู้ดูแลระบบ (Admin) ของโปรโตคอล
ขั้นตอนที่สาม: ระบบหลายลายเซ็น 2/5 ที่ร้ายแรงและ Zero Timelock
27 มีนาคม Drift ได้ทำการอัปเดตการกำกับดูแลที่ร้ายแรง: ย้ายคณะกรรมการความปลอดภัยไปยังโครงสร้างหลายลายเซ็น 2/5 ใหม่ และลบ Timelock ออก ซึ่งหมายความว่า หากมีลายเซ็นครบสองคน คำสั่งใดๆ ที่จะแก้ไขตรรกะพื้นฐานของโปรโตคอลจะถูกดำเนินการทันที โดยไม่ให้เวลาตอบสนองแม้แต่จะดึงปลั๊ก
ขั้นตอนที่สี่: เครื่องถอน "เหรียญปลอม" ที่เหมือนภาพลวงตา
1 เมษายน แฮกเกอร์จุดชนวนการโจมตีทั้งหมดพร้อมกัน พวกเขากระจายคำสั่งหลายลายเซ็นที่หลอกลวงมาได้ล่วงหน้า และยึดสิทธิ์ Admin ของโปรโตคอลในทันที หลังจากนั้น แฮกเกอร์ได้เพิ่มโทเค็นปลอมชื่อ CVT (CarbonVote Token) เข้าในไวต์ลิสต์ และดึงขีดจำกัดการกู้ยืมขึ้นสูงสุด พร้อมกับการจัดการราคาของ Oracle แฮกเกอร์ใช้เหรียญอากาศเป็นหลักประกัน "ยืม" USDC, SOL และ ETH มูลค่า 285 ล้านดอลลาร์จากคลังของ Drift ไปอย่างถูกต้องตามกฎ
ลายเซ็นถูกกฎหมาย ≠ ความตั้งใจถูกกฎหมาย: จุดอ่อนของความปลอดภัย DeFi
ในเหตุการณ์ Drift สิ่งที่ทำให้รู้สึกหมดหนทางที่สุดคือ ในสายตาของ Virtual Machine บนบล็อกเชน ทุกขั้นตอนของแฮกเกอร์ล้วน "ถูกกฎหมาย" พวกเขาไม่ได้ใช้ช่องโหว่ Overflow หรือการโจมตีแบบ Reentrancy พวกเขาแค่ได้กุญแจผู้ดูแลระบบที่ถูกกฎหมายมา แล้วก็เดินเข้าไปในคลังสมบัติอย่างเปิดเผย
สิ่งนี้เผยให้เห็นความไม่สมดุลอย่างมากในการจัดการเงินทุนของโปรโตคอล DeFi ในปัจจุบัน: การใช้เครื่องมือระดับนักลงทุนรายย่อยที่จัดการเงินไม่กี่ร้อยดอลลาร์ ไปจัดการคลังสมบัติระดับสถาบันที่มูลค่าหลายร้อยล้านดอลลาร์
ปัจจุบัน โปรโตคอล DeFi กระแสหลักส่วนใหญ่ยังคงพึ่งพาระบบหลายลายเซ็นแบบดั้งเดิมที่ใช้ Smart Contract (เช่น Safe หรือกลไกหลายลายเซ็นดั้งเดิม) โครงสร้างนี้มีข้อบกพร่องร้ายแรงสองประการ:
- ป้องกันวิศวกรรมสังคมไม่ได้: ตราบใดที่แฮกเกอร์จัดการ (ฟิชชิ่ง บังคับ หรือติดสินบน) บุคคลสำคัญที่ถือ Private Key ได้ไม่กี่คน ระบบป้องกันก็จะพังทลาย
- ขาดการตรวจสอบความตั้งใจ: ระบบหลายลายเซ็นตรวจสอบแค่ "ว่าเป็นลายเซ็นของคนเหล่านี้หรือไม่" แต่ไม่สนใจว่า "พวกเขาเซ็นสัญญาขายตัวหรือไม่"
จากการทดลองของ Geek สู่โครงสร้างพื้นฐานทางการเงิน: วิวัฒนาการที่หลีกเลี่ยงไม่ได้ของความปลอดภัย Web3
Drift จ่ายค่าเรียนราคาแพง 285 ล้านดอลลาร์เพื่อบทเรียนนี้: เมื่อ Web3 ผสานกับระบบการเงินดั้งเดิมเร็วขึ้น โปรโตคอล DeFi ต้องละทิ้งรูปแบบการกำกับดูแลที่พึ่งพาเพียงวินัยของนักพัฒนาและระบบหลายลายเซ็นแบบง่ายๆ และต้องยกระดับมาตรฐานความปลอดภัยสู่ระดับสถาบัน
ปัจจุบัน องค์กรชั้นนำในอุตสาหกรรมและผู้สังเกตการณ์ด้านความปลอดภัยได้เห็นพ้องต้องกันว่า การพัฒนาความปลอดภัยครั้งต่อไปของโครงสร้างพื้นฐาน DeFi ต้องรวมการอัปเกรดในมิติหลักต่อไปนี้:
การอัปเกรดฐานรากด้านคริปโตกราฟี: มุ่งสู่ HSM (Hardware Security Module)
เมื่อเทียบกับการรวมกันทางซอฟต์แวร์ของระบบหลายลายเซ็น HSM จะเก็บ Private Key ของโปรโตคอลไว้ในชิปที่ผ่านการรับรองและเข้ารหัสระดับทหาร โดย Private Key ไม่สามารถถูกส่งออกได้ การแยกทางกายภาพและการควบคุมความปลอดภัยระดับฮาร์ดแวร์นี้ ป้องกันความเสี่ยงจากการโจมตีทางวิศวกรรมสังคมต่อบุคลากรภายในหรือการบุกรุกอุปกรณ์ตั้งแต่ต้นเหตุ มอบความปลอดภัยของคีย์ที่เหนือกว่าการใช้ระบบหลายลายเซ็นแบบดั้งเดิมอย่างมากให้กับคลังโปรโตคอล
การนำเข้า "Policy Engine" แบบอิงตามความตั้งใจ
การอนุมัติสิทธิ์การจัดการ DeFi ในอนาคต ไม่ควรหยุดอยู่แค่ขั้นตอน "การตรวจสอบลายเซ็น" ระบบจำเป็นต้องมีตรรกะการควบคุมความเสี่ยงในตัว ตัวอย่างเช่น เมื่อธุรกรรมพยายามแก้ไขขีดจำกัดการกู้ยืมของโทเค็นที่ไม่รู้จัก (เช่น CVT ในกรณี Drift) ให้เป็นไม่จำกัด Policy Engine ควรสามารถระบุความตั้งใจที่ผิดปกติได้โดยอัตโนมัติ กระตุ้นกลไกตัดวงจร และบังคับให้มีการตรวจสอบในระดับที่สูงขึ้น (เช่น การควบคุมความเสี่ยงด้วยมนุษย์หลายระดับ การตรวจสอบด้วยวิดีโอ หรือบังคับใช้ Timelock)
การยอมรับพลังการดูแลรักษาแบบอิสระที่สอดคล้องกับกฎระเบียบ
เมื่อ TVL ขยายตัวขึ้นอย่างต่อเนื่อง นักพัฒนาโปรโตคอลควรทุ่มเทความพยายามไปที่ตรรกะโค้ดและนวัตกรรมทางธุรกิจ และมอบอำนาจควบคุมคลังสมบัติมูลค่าหลายร้อยล้านดอลลาร์และการป้องกันความปลอดภัยให้กับสถาบันดูแลรักษาอิสระมืออาชีพที่สอดคล้องกับกฎระเบียบ เช่นเดียวกับในระบบการเงินดั้งเดิม ที่交易所จะไม่เก็บสินทรัพย์ของผู้ใช้ในตู้นิรภัยส่วนตัวของเจ้าของ การนำเข้ากระบวนการควบคุมความเสี่ยงระดับสถาบันที่มีความสามารถในการโจมตีและป้องกันที่แข็งแกร่งและผ่านการตรวจสอบแล้ว เป็นเส้นทางที่หลีกเลี่ยงไม่ได้สำหรับ DeFi ในการก้าวสู่สาธารณชน
ดังที่ผู้ให้บริการสถาบันเช่น Cactus Custody ซึ่งทุ่มเทให้กับความปลอดภัยของสินทรัพย์ดิจิทัลมาโดยตลอด ได้ส่งเสริมไว้ว่า: การกระจายอำนาจของ DeFi ไม่ควรเป็นข้ออ้างในการหลีกเลี่ยงการควบคุมความเสี่ยงเชิงระบบ
เหตุการณ์แฮกเกอร์ Drift อาจเป็นจุดเปลี่ยนสำคัญ มันประกาศการล้มละลายของการกำกับดูแลแบบ "ชั่วคราว" และยังทำนายการมาถึงของกระบวนทัศน์ความปลอดภัยใหม่ที่มีโครงสร้างฮาร์ดแวร์ การตรวจสอบความตั้งใจ และการดูแลรักษาแบบมืออาชีพเป็นแกนหลัก มีเพียงการสร้างแนวป้องกันนี้ให้แข็งแกร่ง Web3 จึงจะสามารถรองรับอนาคตระดับล้านล้านดอลลาร์ได้อย่างแท้จริง
