การโจมตีมูลค่า 292 ล้านดอลลาร์ของ Kelp DAO ได้จุดประกายคลืนปฏิกิริยาทั่วอุตสาหกรรมคริปโต โดยนักพัฒนาและเทรดเดอร์เตือนว่าเหตุการณ์นี้เปิดเผยข้อบกพร่องที่ลึกซึ้งยิ่งขึ้นในวิธีการสร้างการเงินแบบกระจายอำนาจ (DeFi)
ข้อมูลที่แบ่งปันโดยผู้เข้าร่วมตลาดแสดงให้เห็นว่าผลกระทบทันทีแพร่กระจายไปไกลเกินกว่าโปรโตคอลที่ถูกแฮ็ก
"การแฮ็ก rsETH กำลังนำไปสู่การถอนเงินในทุกโปรโตคอลการให้กู้ยืม แม้แต่บน Solana และโปรโตคอลที่ไม่ได้รับผลกระทบ" 0xngmi กล่าวในโพสต์หนึ่งในวันอาทิตย์ โดยชี้ไปที่การไหลออกอย่างรุนแรงรวมถึง "Aave: -6,200 ล้าน (-23%) การไหลเข้าสุทธิ" และการลดลงที่เล็กกว่าแต่น่าสังเกตใน Morpho, Sky และ JupLend rsETH คือ restaked ether ของโปรโตคอล liquid restaking Kelp DAO และเป็น Liquid Restaking Token (LRT) ที่ให้ผู้ใช้สามารถรับรางวัลจากการ staking และ restaking ether ในขณะที่รักษาสภาพคล่องของสินทรัพย์ไว้ แม้ว่าจะถูกล็อกใน staking
แรงกดดันนั้นเปลี่ยนเป็นสิ่งที่รุนแรงกว่าอย่างรวดเร็ว โพสต์หนึ่งที่แพร่หลายโดย Josu San Martin อธิบายความเครียดด้านสภาพคล่องแบบลูกโซ่ภายในตลาดการให้กู้ยืม: "ผู้ฝาก ETH ไม่สามารถถอน ETH ได้ ดังนั้นพวกเขาจึงกู้ยืม stables เพื่อ 'ถอน' เงิน... นี่คือการแห่ถอนเงินเต็มรูปแบบบน AAVE"
ในขณะที่ Stani Kulechov ผู้ก่อตั้ง Aave กล่าวว่าการโจมตีมาจากภายนอกและสัญญาของโปรโตคอลไม่ได้ถูกบุกรุก ผู้ฝากเงินตื่นตระหนก มูลค่ารวมที่ล็อก (หรือเงินฝาก) ลดลงจาก 26.4 พันล้านดอลลาร์เมื่อวันที่ 18 เมษายนเหลือเกือบ 20 พันล้านดอลลาร์ในช่วงเช้าของสหรัฐฯ ในวันอาทิตย์ ตามข้อมูลจาก DefiLlama โทเค็น AAVE ยังลดลงมากกว่า 18% ขณะที่ผู้ฝากเงินรีบถอนเงินของพวกเขาตลอดสุดสัปดาห์
Aave token price (CoinDesk)เป็น 'กรณีศึกษา'
การโจมตีนั้นเองได้กลายเป็นจุดสนใจสำหรับวิศวกรและนักพัฒนา
นักพัฒนาหลายคนโต้แย้งข้อสันนิษฐานเบื้องต้นว่าปัญหาเกิดจากโครงสร้างพื้นฐานหลัก "การโจมตี KelpDAO (~290 ล้านดอลลาร์) ไม่ใช่ข้อบกพร่องของโปรโตคอล LayerZero เป็นปัญหาการกำหนดค่าและเป็นกรณีศึกษาที่ทุกโครงการที่มีโทเค็นข้ามเชนต้องดูวันนี้" การวิเคราะห์ทางเทคนิคโดย cryptogoblin กล่าว
เธรดนั้นอธิบายรายละเอียดว่าจุดยืนยันเดียวทำให้การโจมตีเป็นไปได้อย่างไร "ลายเซ็นหนึ่งรายการและ rsETH จำนวน 116,500 ปรากฏขึ้นมาจากอากาศบน Ethereum" โพสต์กล่าว โดยอธิบายระบบที่ "[smart] contracts ไม่ได้ถูกทำลาย แต่เลเยอร์การยืนยันถูกทำลาย" โพสต์อ้าง
คนอื่นๆ โต้แย้งว่าปัญหาลึกกว่าทางเลือกการตั้งค่าเดียว
การวิจารณ์หนึ่งโดยผู้ที่ใช้ชื่อว่า Fishy Catfish บน X กล่าวว่านี่เป็นข้อบกพร่องในการออกแบบ โดยอ้างว่า: "ไม่มีพื้นฐานด้านความปลอดภัย... การกำหนดค่าสามารถเป็น 1/1 DVN และ DVN ที่คุณเลือกสามารถเป็นโหนดเดียวที่ดำเนินการโดยองค์กรเดียว" DVN (Decentralized Verifier Network) ใน DeFi โดยเฉพาะภายใน LayerZero V2 คือองค์กรอิสระที่รับผิดชอบในการตรวจสอบและรับรองความถูกต้องของข้อความที่ส่งผ่านเครือข่ายบล็อกเชนต่างๆ โดยพื้นฐานแล้ว DVN ตรวจสอบแฮชข้อความระหว่างเชนต้นทางและเชนปลายทาง
เพื่อทำให้ประเด็นชัดเจนขึ้น ผู้เขียนได้เปรียบเทียบกับโลกจริง: "ลองจินตนาการว่าถ้าผู้ผลิตรถไฟเหาะอนุญาตให้สวนสนุกแต่ละแห่งตัดสินใจว่าข้อกำหนดความปลอดภัยขั้นต่ำคืออะไร" โดยพื้นฐานแล้ว ผู้เขียนกำลังบอกว่าความยืดหยุ่นโดยไม่มีกรอบป้องกันสามารถสร้างความเสี่ยงที่ซ่อนอยู่
โพสต์ไปไกลถึงขนาดอ้างว่าการตั้งค่าคือปัญหาภายในการออกแบบ "ผมคิดว่านี่เป็นการออกแบบที่มีข้อบกพร่อง ความปลอดภัยแบบโมดูลาร์เป็นพื้นที่การออกแบบที่คุ้มค่า อย่างไรก็ตาม ช่วงของความปลอดภัยควรมีพื้นฐานความปลอดภัยดั้งเดิมที่แข็งแกร่งมาก แล้วจึงอนุญาตให้มีการเพิ่มชั้น *เพิ่มเติม* ของความปลอดภัยทับลงไปสำหรับกรณีการใช้งานที่มีมูลค่าสูง"
'DeFi ตายแล้ว'
ไม่ใช่แค่จำนวนและความซับซ้อนของการโจมตีที่ดึงดูดคำวิจารณ์ที่รุนแรงและตื่นตระหนก ขนาดของการโจมตีได้เพิ่มความกังวล
rsETH ประมาณ 116,500 หรือประมาณ 18% ของอุปทานได้รับผลกระทบ ผู้โจมตีหลอกลวงเลเยอร์การส่งข้อความข้ามเชนของ LayerZero ให้เชื่อว่าคำสั่งที่ถูกต้องมาจากเครือข่ายอื่น ซึ่งกระตุ้นให้บริดจ์ของ Kelp ปล่อย rsETH จำนวน 116,500 ไปยังที่อยู่ที่ผู้โจมตีควบคุม
โปรโตคอลตอบสนองด้วยการหยุดตลาดและหยุดฟีเจอร์ชั่วคราว Aave หยุดกิจกรรม rsETH Lido หยุดการฝากที่เกี่ยวข้องกับสินทรัพย์ชั่วคราว โครงการอื่นๆ ใช้ขั้นตอนคล้ายกันเพื่อจำกัดความเสี่ยงขณะที่สถานการณ์ดำเนินไป
นอกเหนือจากการอธิบายทางเทคนิค ความรู้สึกทั่วคริปโตเปลี่ยนเป็นลบอย่างรุนแรง โพสต์หนึ่งอาจจับภาพการเปลี่ยนแปลงอารมณ์ในแบบตรงไปตรงมา: "DeFi ตายแล้ว... 'ใช้ aave เถอะ' ตายแล้ว" พร้อมกับเพิ่มว่า "ยุคของคริปโตจบแล้ว" และถาม "ถ้าคุณกำลังอ่านสิ่งนี้ – ทำไมคุณยังอยู่ในคริปโต?"
แม้ว่าการตอบสนองอาจฟังดูเหมือนเกินเลยไป แต่ปฏิกิริยาแบบ 'knee-jerk' นั้นไม่ใช่เรื่องผิดปกติหลังจากการโจมตีขนาดใหญ่ แต่ความกว้างของเหตุการณ์นี้โดดเด่น
การโจมตีส่งผลกระทบต่อโครงสร้างพื้นฐานข้ามเชน โมเดล restaking และตลาดการให้กู้ยืมพร้อมกัน นอกจากนี้ยังตามมาด้วยเหตุการณ์ล่าสุดหลายครั้ง การแฮ็กเกิดขึ้นในช่วงที่ไม่เป็นมิตรผิดปกติสำหรับ DeFi โดยเฉพาะเดือนนี้ โปรโตคอล perpetuals บน Solana ชื่อ Drift ถูกดูดเงินประมาณ 285 ล้านดอลลาร์เมื่อวันที่ 1 เมษายนในการโจมตีที่เชื่อมโยงกับกลุ่มที่เกี่ยวข้องกับเกาหลีเหนือในภายหลัง และโปรโตคอลขนาดเล็กอย่างน้อยโหลหนึ่งถูกโจมตีในช่วงหลายสัปดาห์ที่ผ่านมา รวมถึง CoW Swap, Zerion, Rhea Finance และ Silo Finance
'ตรวจสอบการกำหนดค่าของคุณ'
แม้จะมีคำอธิบายทั้งหมด ยังมีคำถามมากกว่าคำตอบ
แม้แต่ LayerZero ยังคงพยายามหารายละเอียดเต็มรูปแบบของการโจมตี "เรารับทราบการโจมตี rsETH อย่างเต็มที่และได้อยู่ในการแก้ไขอย่างแข็งขันกับทีม @KelpDAO ตั้งแต่เหตุการณ์และยังคงติดตาม แอปพลิเคชันอื่นๆ ทั้งหมดยังคงปลอดภัย" กล่าวในโพสต์บน X "เรายังคงระบุสาเหตุหลักร่วมกับ @_SEAL_Org และคนอื่นๆ เราจะเผยแพร่รายงานหลังเหตุการณ์ฉบับสมบูรณ์กับ @KelpDAO ทันทีที่เรามีข้อมูลทั้งหมด"
KelpDAO สะท้อนความรู้สึกนี้ "เมื่อเช้านี้เราระบุกิจกรรมข้ามเชนที่น่าสงสัยที่เกี่ยวข้องกับ rsETH เราได้หยุดสัญญา rsETH ทั่ว mainnet และ L2 หลายแห่งชั่วคราวในขณะที่เราสอบสวน เรากำลังทำงานกับ @LayerZero_Core, @unichain, ผู้ตรวจสอบบัญชีและผู้เชี่ยวชาญด้านความปลอดภัยชั้นนำเกี่ยวกับ RCA เราจะแจ้งให้คุณทราบเมื่อเราเรียนรู้เพิ่มเติมเกี่ยวกับสถานการณ์นี้"
อย่างไรก็ตาม นักพัฒนาบางคนเห็นบทเรียนที่ชัดเจนกว่าในความสับสนวุ่นวาย
การโจมตีไม่ได้อาศัยการทำลายการเข้ารหัสหรือข้ามสัญญาอัจฉริยะ แต่เปิดเผยว่าระบบสามารถเปราะบางได้อย่างไรเมื่อพึ่งพาข้อสันนิษฐานที่เป็นชั้นๆ
ในแง่ง่ายๆ เครื่องมือทำงานตามที่ออกแบบ แต่วิธีที่กำหนดค่าไม่ได้
ความแตกต่างนั้นอาจกำหนดสิ่งที่จะเกิดขึ้นต่อไป ผู้สร้างกำลังกระตุ้นให้โครงการตรวจสอบการตั้งค่าของพวกเขา โดยเฉพาะผู้ที่พึ่งพาการส่งข้อความข้ามเชน
ตามที่ cryptogoblin กล่าวอย่างตรงไปตรงมา: "ตรวจสอบการกำหนดค่าของคุณ รักษาความปลอดภัย"
อ่านเพิ่มเติม: ผลตอบแทน DeFi กำลังพังทลายหนักมากจนไม่สามารถแข่งขันกับบัญชีออมทรัพย์แบบดั้งเดิมได้
แหล่งที่มา: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
