สรุปข่าว
- แฮ็กเกอร์อาศัยช่องโหว่ของสัญญา Smart Contract ทำการสร้าง (Mint) เหรียญ USR ซึ่งเป็น Stablecoin ของ Resolv Labs ออกมาฟรีๆ ถึง 80 ล้านดอลลาร์(ราว 2.6 พันล้านบาท)
- แฮ็กเกอร์นำเหรียญปลอมไปเทขายแลกเป็น ETH จำนวน 11,409 ETH หอบเงินหนีไปกว่า 23.7 ล้านดอลลาร์ (ราว 800 ล้านบาท) ก่อนที่ระบบจะถูกล็อค
- เหรียญที่บอกว่าเป็น “Dollar-pegged” หรืออิงราคากับเงินดอลลาร์ ไม่ได้ปลอดภัยเสมอไป การตรวจสอบ Contract Address และฟังก์ชันการ Mint เหรียญก่อนลงทุนคือสิ่งที่จำเป็นต้องทำทุกครั้ง
แนวโน้มผลกระทบ: Bearish
จากเหตุการณ์ช็อกวงการที่แฮ็กเกอร์อาศัยช่องโหว่เสกเหรียญ Stablecoin (USR) จนสูบเงินหนีไปได้กว่า 23.7 ล้านดอลลาร์ ถือเป็นบทเรียนสำคัญว่า ในโลก DeFi เราต้องปกป้องตัวเอง ก่อนลงทุนทุกครั้งให้สละเวลาเช็ค 3 จุดตายผ่านเครื่องมือฟรีเสมอ เพียงแค่นี้ก็ช่วยเซฟเงินในพอร์ตของคุณไม่ให้ปลิวหายไปในพริบตาได้แล้วครับ
เมื่อกลางดึกวันที่ 22 มีนาคมที่ผ่านมา โลกคริปโตฯ DeFi ต้องเผชิญกับเหตุการณ์ช็อกวงการ เมื่อแฮ็กเกอร์รายหนึ่งสามารถหาช่องโหว่ของเหรียญ Stablecoin ที่มีชื่อว่า “USR” ของ Resolv Labs ได้สำเร็จ
เหตุการณ์ที่เกิดขึ้นไม่ใช่การแฮ็กที่ซับซ้อน ทุกอย่างเป็นเพียงความผิดพลาดขั้นพื้นฐานในกระบวนการสร้างสัญญา Smart Contract ที่ไม่มีการจำกัดเพดานในการสร้างเหรียญ (Mint) ของ Stablecoin ตัวดังกล่าว
แฮ็กเกอร์ใช้เงินทุนตั้งต้นเพียงแค่ $100,000 (ราว 3 ล้านบาท) ประกอบกับการแฮ็ก Private Key เพื่อสั่ง Mint เหรียญ USR ออกมาดื้อๆ ถึง 80 ล้านเหรียญ (ราว 2.6 พันล้านบาท) จากนั้นก็นำไปเทขายในกระดานเทรด DEX เพื่อแลกเป็นเหรียญ Ethereum (ETH) จำนวนมหาศาล
เบ็ดเสร็จแล้วแฮ็กเกอร์เดินจากไปพร้อมกับเหรียญกว่า 11,409 ETH คิดเป็นมูลค่า 23.7 ล้านดอลลาร์ (ราว 800 ล้านบาท) ก่อนที่ทางโปรโตคอลจะรู้ตัวและกดปุ่มหยุดระบบ เหตุการณ์นี้ คือเครื่องเตือนใจชั้นดีว่า ราคาที่ดูนิ่งสงบก่อนพายุเข้า ไม่ได้แปลว่าระบบนั้นปลอดภัยเสมอไป
เหตุการณ์นี้กลายเป็นเครื่องเตือนใจชั้นดี ไม่ใช่ทุกเหรียญที่แปะป้ายว่าตัวเองเป็น “Stablecoin ที่ Peg กับเงินดอลลาร์” จะปลอดภัยเหมือนกันหมด และสิ่งที่น่ากลัวที่สุดในโลกคริปโตคือ กราฟมักจะไม่แสดงอาการผิดปกติใดๆ ก่อนที่ราคาจะพังทลายลงมาเสมอ
เพื่อไม่ให้นักลงทุนคริปโตต้องตกเป็นเหยื่อ บทความนี้จะพาไปดูวิธี “สแกนเหรียญ” ทุกตัวก่อนควักกระเป๋าซื้อ โดยใช้แค่เครื่องมือฟรีบนอินเทอร์เน็ต ที่สำคัญคือ ต่อให้คุณจะเขียนโค้ดไม่เป็นเลยแม้แต่บรรทัดเดียว ก็สามารถทำตามได้ง่ายๆ
4 เครื่องมือฟรีที่สาย DeFi ต้องมี
ก่อนจะควักกระเป๋าซื้อเหรียญอะไรก็ตาม หรือไปฟาร์มที่ไหน ให้เปิดเว็บไซต์เหล่านี้เตรียมไว้ในเบราว์เซอร์เสมอ
- Etherscan : ใช้สำหรับดู Source Code ของ Contract, ประวัติการทำธุรกรรม และการกระจายตัวของผู้ถือเหรียญ
- Token Sniffer : ใช้สแกนหารูปแบบสแกมแบบอัตโนมัติ โดยจะให้คะแนนความน่าเชื่อถือตั้งแต่ 0-100
- GoPlus Security : ใช้เช็ค Honeypot, ฟังก์ชันการสร้างเหรียญ (Mint), แบล็คลิสต์ และสิทธิ์ความเป็นเจ้าของ
- DEX Screener : ใช้ดูสภาพคล่อง (Liquidity), ปริมาณการซื้อขาย และประวัติราคาแบบ Real-time
3 ขั้นตอนตรวจสอบเหรียญคริปโตปลอม
ขั้นตอนที่ 1: ตรวจสอบ Contract Address เพื่อยืนยันว่าเป็นของแท้
แฮ็กเกอร์ในโลกคริปโตสามารถสร้างเหรียญชื่อซ้ำกันกี่พันเหรียญก็ได้ ไม่ว่าจะเป็นชื่อฮิตอย่าง USDT, USDC หรือแม้แต่เหรียญเป้าหมายอย่าง USR ดังนั้น กฎเหล็กข้อแรกคือ “ห้ามค้นหาชื่อเหรียญบนเว็บเทรด DEX โดยตรงเด็ดขาด” วิธีเดียวที่จะรับประกันได้ว่า คุณกำลังซื้อเหรียญของแท้อยู่คือ การตรวจสอบผ่านชุดตัวเลข Contract Address เท่านั้น
โดยวิธีการที่ถูกต้องคือ ให้คุณคัดลอก Contract Address จากแหล่งข้อมูลที่เชื่อถือได้เสมอ เช่น CoinMarketCap, CoinGecko หรือจากบัญชี X ทางการของโปรเจกต์แล้วนำตัวเลขดังกล่าวไปค้นหาในเว็บไซต์ Etherscan เพื่อตรวจสอบความถูกต้องก่อนลงทุนทุกครั้ง
ขั้นตอนที่ 2: เช็ค Liquidity เพื่อดูว่าสภาพคล่องถูกล็อคไว้หรือไม่
โปรเจกต์ที่มีความโปร่งใสและตั้งใจทำธุรกิจในระยะยาว จะต้องมีการนำสภาพคล่องไปล็อคไว้เพื่อเป็นหลักประกันแก่นักลงทุน และป้องกันการเกิดเหตุการณ์เชิดเงินหนี หรือที่เรียกกันว่า Rug Pull
สำหรับวิธีการตรวจสอบ ให้คุณนำ Contract Address ไปค้นหาในเว็บไซต์ Token Sniffer จากนั้นเลื่อนลงมาพิจารณาในส่วนของ Liquidity เพื่อดูว่ามีการล็อคสภาพคล่องผ่านแพลตฟอร์มมาตรฐานอย่าง Unicrypt หรือ Team Finance หรือไม่ รวมถึงต้องสังเกตระยะเวลาการล็อคเหรียญประกอบด้วย
หากคุณพบว่า สภาพคล่องถูกล็อคไว้ที่ 0% หรือล็อคไว้เพียงไม่กี่วัน นั่นคือสัญญาณเตือนภัยระดับสูงสุดที่คุณควรถอยห่างและเก็บเงินทุนของคุณไว้ให้ปลอดภัยที่สุด
ขั้นตอนที่ 3: ตรวจหา Mint Function ป้องกันการถูกเสกเหรียญมาเทขายใส่
จุดเช็คสุดท้ายที่ถือเป็นจุดตายและห้ามมองข้ามเด็ดขาดคือ ฟังก์ชันการสร้างเหรียญหรือ Mint Function ซึ่งช่องโหว่นี้เองที่เป็นต้นเหตุให้ Resolv Labs สูญเงินไปอย่างมหาศาล
ลองนึกภาพตามดูว่า หากเหรียญที่คุณถืออยู่เปิดช่องให้ผู้สร้างสามารถสร้างเหรียญเพิ่มขึ้นมาได้แบบไร้ขีดจำกัด มูลค่าเหรียญในพอร์ตของคุณก็สามารถลดลงจนเหลือศูนย์ได้ในพริบตา
วิธีปิดประตูความเสี่ยงนี้คือ ให้นำ Contract Address ไปตรวจสอบในเว็บไซต์ GoPlus Labs หากระบบแสดงคำเตือนสีแดงเตะตาว่า “Mintable: Yes” หรือตรวจพบฟังก์ชันแอบแฝงที่อนุญาตให้ผู้สร้างกลับมาแก้ไขโค้ดได้ในภายหลัง ขอแนะนำให้หลีกเลี่ยงการลงทุนในโปรเจกต์นั้นทันที เพื่อป้องกันไม่ให้คุณต้องกลายเป็นเหยื่อรายต่อไปที่ถูกเทขายเหรียญใส่จนขาดทุนย่อยยับ
สรุป
โลกของ DeFi ยังคงเป็นดินแดนที่เต็มไปด้วยโอกาส แต่ก็แลกมากับการที่นักลงทุนต้องดูแลตัวเอง ในโลกนี้ไม่มีธนาคารกลางคอยกดอายัดบัญชีให้คุณเวลาถูกโกง เคสการสูญเงินของเหรียญ Stablecoin อย่าง USR กลายเป็นเครื่องพิสูจน์เรื่องนี้ได้อย่างชัดเจน
มุมมองผู้เขียน: สำหรับนักลงทุนรายย่อยอย่างเรา กฎข้อแรกที่ต้องจำให้ขึ้นใจคือ “อย่าใช้ความเชื่อใจ ให้ตรวจสอบให้ดีก่อนทุกครั้ง” การยอมเสียเวลาแค่ 1-2 นาทีเพื่อนำ Contract ไปเช็คใน Etherscan, Token Sniffer หรือ GoPlus อาจหมายถึงการปกป้องเงินทั้งพอร์ตของคุณไม่ให้หายวับไปในชั่วข้ามคืน
