Etherfi ทุ่ม 5,000 ETH อุ้ม DeFi หลัง KelpDAO ถูกแฮก $290 ล้าน

ตามรายงานจาก Cointelegraph เมื่อวันที่ 29 เม.ย. 2569 Mike Silagadze ซีอีโอของ Etherfi ได้ออกมายืนยันอย่างเป็นทางการว่า Etherfi Foundation ได้ให้คำมั่นสัญญา 5,000 ETH เพื่อสมทบทุนในโครงการกู้คืน KelpDAO หลังจากเกิดเหตุการณ์โจมตีครั้งใหญ่เมื่อวันที่ 18 เม.ย. ที่ผ่านมา Silagadze ระบุว่าหากไม่มีการเข้าแทรกแซงอย่างเร่งด่วน เหตุการณ์ดังกล่าวอาจลุกลามจนนำไปสู่การล่มสลายของระบบนิเวศ DeFi ในวงกว้างได้ นอกจากนี้ CEO ยังกล่าวถึง Aave ว่าเป็นโปรโตคอลที่ “เกี่ยวข้องน้อยที่สุด” ในเหตุการณ์นี้ แม้ว่าในความเป็นจริง Aave จะได้รับผลกระทบอย่างหนักจากการที่ผู้โจมตีใช้ rsETH ที่ไม่มีการหนุนหลังเป็นหลักประกันก็ตาม

KelpDAO ถูกแฮกอย่างไร และเงิน 290 ล้านดอลลาร์หายไปไหน

เมื่อวันที่ 18 เม.ย. 2569 KelpDAO ซึ่งเป็นโปรโตคอล Liquid Restaking ตกเป็นเป้าหมายของการโจมตีที่ซับซ้อน ผู้โจมตีพบช่องโหว่ในบริดจ์ที่ขับเคลื่อนโดย LayerZero ของ KelpDAO ทำให้สามารถสร้าง rsETH (Restaked ETH) ที่ไม่มีการหนุนหลังจริงได้กว่า 116,500 โทเคน มูลค่าราว 290 ล้านดอลลาร์ จากนั้นผู้โจมตีนำ rsETH ปลอมดังกล่าวไปใช้เป็นหลักประกันบนแพลตฟอร์มให้ยืมเงินอย่าง Aave V3, Compound V3 และ Euler เพื่อกู้ยืม Wrapped Ether (WETH) ออกไป สร้างหนี้เสียรวมกว่า 236 ล้านดอลลาร์ ทันทีที่เหตุการณ์เกิดขึ้น Aave ได้ดำเนินการระงับตลาด rsETH บนเครือข่าย Ethereum, Arbitrum, Base, Mantle และ Linea เพื่อจำกัดความเสียหาย

บริษัทจัดการความเสี่ยง LlamaRisk ประเมินว่า Aave อาจต้องเผชิญกับหนี้เสียในช่วง 123.7 ล้านดอลลาร์ถึง 230.1 ล้านดอลลาร์ ขึ้นอยู่กับวิธีที่ KelpDAO จัดการกับการขาดทุน ขณะที่สภาความปลอดภัยของ Arbitrum ก็ได้ระงับ ETH จำนวน 30,765 ETH มูลค่าราว 73.5 ล้านดอลลาร์ที่เชื่อมโยงกับกระเป๋าเงินของผู้โจมตีเพื่อป้องกันไม่ให้เงินหลุดออกไป

DeFi United ระดมทุนกู้คืน ใครช่วยบ้าง

เพื่อรับมือกับวิกฤตครั้งนี้ โปรโตคอล DeFi หลายแห่งได้ร่วมมือกันจัดตั้งโครงการที่ชื่อว่า “DeFi United” เมื่อวันที่ 24 เม.ย. มีเป้าหมายเพื่อฟื้นฟูการหนุนหลังของ rsETH และชดเชยผลขาดทุนที่เกิดขึ้น โดยมีการให้คำมั่นสัญญาเบื้องต้นเกิน 43,500 ETH และต่อมาเพิ่มขึ้นถึงประมาณ 69,642 ETH คิดเป็นมูลค่าราว 161 ล้านดอลลาร์ ในจำนวนนี้รวมถึง 5,000 ETH จาก Etherfi Foundation ที่ Mike Silagadze เพิ่งเปิดเผยรายละเอียด รวมถึง 5,000 ETH ที่ Stani Kulechov ผู้ก่อตั้งและซีอีโอ Aave ให้คำมั่นเป็นการส่วนตัว และอีก 10,000 ETH จาก LayerZero Labs ด้วย

อย่างไรก็ตาม การที่ Silagadze ระบุว่า Aave เป็นโปรโตคอล “เกี่ยวข้องน้อยที่สุด” อาจมองได้ว่าเป็นการทำให้สถานการณ์ง่ายเกินไป เพราะในความเป็นจริง ระบบ oracle ด้านราคาของ Aave ไม่ได้มีกลไกตรวจสอบแหล่งที่มาของหลักประกัน ซึ่งเป็นช่องโหว่ทางอ้อมที่ทำให้ผู้โจมตีสามารถใช้ประโยชน์จาก Aave ได้ และ Aave เองก็เป็นแพลตฟอร์มที่รับภาระหนี้เสียจากเหตุการณ์นี้มากที่สุด

ก่อนหน้านี้ Siam Blockchain ได้รายงานเกี่ยวกับเหตุการณ์นี้ในบทความ ธนาคารยักษ์ชี้ DeFi ยังแกร่ง แม้เพิ่งโดนแฮ็กเกอร์กวาดเงินทะลุ 292 ล้านดอลลาร์ ซึ่งครอบคลุมการประเมินจากสถาบันการเงินชั้นนำ รวมถึงบทความ LayerZero ทุ่ม 10,000 ETH หนุน Aave และขยาย GHO ใน DeFi United ที่รายงานการมีส่วนร่วมของ LayerZero ในโครงการกู้คืนดังกล่าว

ส่วนตัวผู้เขียนมองว่าเหตุการณ์นี้เป็นการทดสอบสำคัญที่สุดครั้งหนึ่งของระบบนิเวศ DeFi ในรอบหลายปี การที่โปรโตคอลหลายแห่งรวมตัวกันเป็น “DeFi United” และระดมทุนได้กว่า 69,000 ETH ภายในไม่กี่วันนั้นน่าประทับใจมาก แต่สิ่งที่น่ากังวลกว่าคือช่องโหว่โครงสร้างที่ยังอยู่ เช่น การที่ระบบ oracle ไม่ตรวจสอบแหล่งที่มาของหลักประกัน ซึ่งอาจถูกโจมตีซ้ำในรูปแบบเดิมได้หากไม่มีการแก้ไขอย่างจริงจัง สิ่งที่ควรจับตาดูต่อจากนี้คือว่าโปรโตคอล DeFi รายใหญ่จะปรับปรุงระบบรักษาความปลอดภัยของตัวเองอย่างไร โดยเฉพาะในส่วนของการตรวจสอบสินทรัพย์ที่ใช้เป็นหลักประกันในโปรโตคอลให้ยืมเงิน

ที่มา: @Cointelegraph

ภาพจาก AI