สรุปข่าว
- Venus Protocol แพลตฟอร์ม DeFi บน BNB Chain ถูกโจมตีเมื่อวันที่ 15 มี.ค. 2569 สูญเสียทรัพย์สินราว $3.7 ล้าน
- แฮกเกอร์โอนโทเคน $THE ของ Thena เข้าสัญญา vTHE โดยตรงเพื่อเลี่ยงขีดจำกัดการฝาก และใช้เป็นหลักประกันกู้ยืม BTCB, CAKE และ BNB รวมถึงสร้างหนี้เสียให้โปรโตคอลกว่า $2.15 ล้าน
- Venus Protocol ระงับการกู้ยืมและถอนเงินในพูล $THE ทันที พร้อมตั้งอัตราส่วนหลักประกันของตลาดอื่นอีก 6 แห่งเป็นศูนย์ ขณะที่ราคา $THE ดิ่งลงกว่า 17% ใน 24 ชั่วโมง
แนวโน้มผลกระทบต่อราคา Bearish
เหตุการณ์ครั้งนี้สร้างความกังวลให้กับนักลงทุนใน DeFi บน BNB Chain โดยตรง โดยเฉพาะผู้ที่มีเงินฝากอยู่ใน Venus Protocol การเกิดหนี้เสียกว่า $2.15 ล้านและราคา $THE ที่ดิ่งกว่า 17% สะท้อนว่าตลาดกำลังตอบสนองเชิงลบต่อเหตุการณ์นี้อย่างชัดเจน
Venus Protocol แพลตฟอร์มให้กู้ยืมแบบกระจายศูนย์ (DeFi) บน BNB Chain ถูกโจมตีเมื่อวันที่ 15 มี.ค. 2569 โดยแฮกเกอร์สามารถดูดทรัพย์สินออกไปได้รวมมูลค่าราว $3.7 ล้าน ตามรายงานจาก Cointelegraph ผู้โจมตีใช้วิธีโอนโทเคน $THE ของโปรเจกต์ Thena เข้าสู่สัญญาอัจฉริยะ vTHE โดยตรง แทนที่จะผ่านกระบวนการมาตรฐาน ทำให้สามารถเลี่ยงขีดจำกัดการฝากของโปรโตคอลได้สำเร็จ จากนั้นใช้โทเคนดังกล่าวเป็นหลักประกันเพื่อกู้ยืม BTCB ประมาณ 20 ชิ้น, CAKE กว่า 1.5 ล้านชิ้น และ BNB อีก 200 ชิ้น กระเป๋าเงินของผู้ต้องสงสัยมีที่อยู่ 0x1a35bd28efd46cfc46c2136f878777d69ae16231 ซึ่งพบว่าได้รับ ETH จำนวน 7,400 เหรียญจากบริการผสมเงิน Tornado Cash ก่อนเกิดเหตุ
วิธีโจมตีและความเสียหายที่เกิดขึ้น
กลไกของการโจมตีครั้งนี้อาศัยช่องโหว่ที่เรียกว่า “supply cap bypass” ซึ่งเป็นจุดอ่อนที่รู้จักกันดีในแพลตฟอร์ม DeFi ที่สร้างต่อยอดจากโปรโตคอล Compound แทนที่ผู้โจมตีจะฝากโทเคน $THE ผ่านช่องทางปกติซึ่งระบบจะตรวจสอบและบังคับใช้ขีดจำกัด กลับเลือกโอนโทเคนเข้าสู่สัญญา vTHE โดยตรง ทำให้ระบบบันทึกว่ามีหลักประกันเพิ่มขึ้นโดยไม่ผ่านการตรวจสอบ ส่งผลให้สามารถกู้ยืมทรัพย์สินมูลค่าสูงออกไปได้
ผลเสียหายที่ตามมาคือโปรโตคอลต้องแบกรับหนี้เสียประมาณ $2.15 ล้าน เนื่องจากมูลค่าหลักประกันที่ใช้กู้ยืมนั้นเป็นโทเคนที่สภาพคล่องต่ำอย่าง $THE และภายหลังเหตุการณ์ ราคาของ $THE ก็ร่วงลงกว่า 17% ภายใน 24 ชั่วโมง ทำให้มูลค่าหลักประกันยิ่งต่ำลงไปอีก นักวิเคราะห์ชี้ว่าเหตุการณ์นี้เป็นการโจมตีเชิงกลไกหลักประกัน ไม่ใช่การเจาะโค้ดสัญญาอัจฉริยะหลักของ Venus Protocol โดยตรง
Venus Protocol รับมืออย่างไร และสัญญาณเตือนที่ถูกมองข้าม
หลังจากตรวจพบความผิดปกติ Venus Protocol ประกาศผ่าน X ว่ากำลังสอบสวน “กิจกรรมผิดปกติในพูล $THE” พร้อมระงับการกู้ยืมและถอนเงินในพูลดังกล่าวทันที รวมถึงปรับอัตราส่วนหลักประกันของตลาดอื่นอีก 6 แห่งเป็นศูนย์เพื่อป้องกันความเสียหายลุกลาม ส่วน THENA ในฐานะผู้ให้บริการโทเคน ยืนยันว่าสัญญาอัจฉริยะของตนเองไม่ถูกเจาะ และเงินของผู้ใช้ยังปลอดภัย
สิ่งที่น่าสังเกตคือก่อนเกิดเหตุ Venus Protocol กำลังจะพิจารณาข้อเสนอการกำกับดูแลเพื่อถอด $THE ออกจากรายการสินทรัพย์หลักประกัน หากดำเนินการก่อน เหตุการณ์นี้อาจไม่เกิดขึ้น นอกจากนี้ Venus Protocol เองก็มีประวัติสะสมหนี้เสียจากการโจมตีที่คล้ายกันมาตั้งแต่ปี 2564 สะท้อนให้เห็นว่าความเสี่ยงจากการออกแบบระบบหลักประกันยังคงเป็นจุดอ่อนที่แพลตฟอร์ม DeFi ต้องให้ความสำคัญอย่างต่อเนื่อง
บทเรียนสำหรับผู้ใช้ DeFi
เหตุการณ์นี้เป็นการเตือนให้นักลงทุนที่ใช้แพลตฟอร์ม DeFi ตรวจสอบคุณภาพของสินทรัพย์หลักประกันที่แต่ละโปรโตคอลรองรับ โทเคนที่มีสภาพคล่องต่ำและปริมาณการซื้อขายน้อยอย่าง $THE มักถูกนำมาใช้เป็นเครื่องมือในการโจมตีแบบนี้ เพราะการเคลื่อนย้ายโทเคนจำนวนน้อยสามารถส่งผลกระทบต่อระบบได้อย่างมีนัยสำคัญ การติดตามข้อเสนอการกำกับดูแล (governance proposals) ของโปรโตคอลที่ตัวเองใช้อยู่เป็นประจำจึงมีความสำคัญไม่แพ้การติดตามราคา
ส่วนตัวผู้เขียนมองว่าเหตุการณ์นี้ไม่ได้น่าแปลกใจเท่าไหร่ เพราะช่องโหว่แบบ supply cap bypass บนโปรโตคอลสายตระกูล Compound นั้นเป็นที่รู้จักกันในวงการมาสักพักแล้ว ที่น่าเป็นห่วงกว่าคือ Venus Protocol รู้ถึงความเสี่ยงนี้จนถึงขั้นกำลังจะเสนอให้ถอด $THE ออกจากหลักประกัน แต่ยังไม่ทันดำเนินการก็โดนโจมตีไปก่อน ถือเป็นบทเรียนว่าในวงการ DeFi ความรวดเร็วในการจัดการความเสี่ยงนั้นสำคัญมาก ใครที่ใช้ Venus Protocol อยู่ก็ควรติดตามสถานการณ์อย่างใกล้ชิด โดยเฉพาะว่าโปรโตคอลจะจัดการกับหนี้เสีย $2.15 ล้านที่เกิดขึ้นอย่างไร
ภาพจาก AI
