สรุปข่าว
- ผู้โจมตีเจาะ Private Key ของ StakeDAO บน Arbitrum และเสกโทเคน vsdCRV จำนวนกว่า 5.4 ล้านล้านดอลลาร์
- แม้มูลค่าโทเคนที่เสกมีมูลค่าตามทฤษฎีสูงถึงราว 763 ล้านล้านบาท แต่สภาพคล่องที่ต่ำมากทำให้แลกได้เพียง 43.7 ETH มูลค่าประมาณ $91,000
- StakeDAO แจ้งเตือนผู้ใช้หยุดทำธุรกรรมกับ vsdCRV ทันที และผลกระทบยังลามไปถึง Curve Finance และ Beefy Finance ที่ต้องหยุด vault ชั่วคราว
แนวโน้มผลกระทบต่อราคา Bearish
เหตุการณ์นี้สะท้อนให้เห็นความเสี่ยงด้านความปลอดภัยที่ยังคงหลอกหลอนระบบนิเวศ DeFi โดยเฉพาะโปรโตคอลที่เชื่อมต่อข้ามเชน แม้ความเสียหายจริงจะจำกัด แต่เหตุการณ์ลักษณะนี้มักสร้างความกังวลต่อนักลงทุนในระยะสั้นและกดดันราคาโทเคนที่เกี่ยวข้องกับ Curve ecosystem
เมื่อวันที่ 27 พ.ค. 2569 โปรโตคอล DeFi StakeDAO ถูกโจมตีโดยผู้ไม่หวังดีที่เจาะ Private Key ของ Deployer บนเครือข่าย Arbitrum ตามรายงานจาก Cointelegraph ผู้โจมตีใช้คีย์ดังกล่าวเสกโทเคน vsdCRV (Vote Boosted sdCRV) จำนวนมหาศาลถึง 5,446,744,073,709 เหรียญ หรือราว 5.4 ล้านล้านดอลลาร์ จากนั้นนำโทเคนส่วนหนึ่งไปแลกเป็น ETH ได้ 43.7 ETH มูลค่าราว $91,000 ก่อนจะโอนเงินข้ามเชนมาที่ Ethereum ที่อยู่ 0xeF3C…aa25 บริษัทรักษาความปลอดภัยบล็อกเชน Blockaid เป็นหน่วยงานแรกที่แจ้งเตือนสาธารณชนเมื่อตรวจพบว่าผู้โจมตีกำลังแลก vsdCRV เป็น ETH อย่างต่อเนื่อง
ทำไมเสกได้เป็นล้านล้านแต่ขายได้แค่ $91,000
แม้มูลค่าตามทฤษฎีของ vsdCRV ที่ถูกเสกจะสูงถึงราว $7.6 แสนล้านดอลลาร์ แต่นักวิเคราะห์ออนเชน EmberCN ชี้แจงว่า มีเพียง 16.83 ล้าน vsdCRV เท่านั้นที่สามารถแลกเป็น ETH ได้จริง เนื่องจากสภาพคล่องในพูล vsdCRV บน DEX มีจำกัดมากจนไม่สามารถรองรับการขายปริมาณมหาศาลได้ นี่คือข้อจำกัดที่มักพบในการโจมตีที่อาศัยการเสกโทเคนแบบไม่จำกัด ผู้โจมตีสามารถสร้างตัวเลขขนาดใหญ่บนกระดาษได้ แต่ถ้าตลาดไม่มีคนรับซื้อ ความเสียหายที่แท้จริงก็ถูกจำกัดโดยอัตโนมัติ
ด้านโปรโตคอล PeckShield ยืนยันการเสก 5.4 ล้านล้านดอลลาร์และการแลกเปลี่ยนเป็น ETH ดังกล่าว ขณะที่ StakeDAO ออกมายืนยันเหตุการณ์และแนะนำให้ผู้ใช้งานทุกรายหยุดทำธุรกรรมกับโทเคน vsdCRV ทันที
วิธีโจมตีและผลกระทบที่ลามไปถึงโปรโตคอลอื่น
กลไกการโจมตีครั้งนี้ไม่ใช่การหาช่องโหว่ใน Smart Contract โดยตรง แต่เกิดจากการที่ผู้โจมตีได้ Private Key ของ Deployer มา จากนั้นนำคีย์นั้นไปปรับแต่ง LayerZero v2 OFT peer บนสัญญา vsdCRV ให้ชี้ไปยังสัญญาอันตรายที่ตัวเองควบคุม แทนที่จะเป็น Adapter บน Ethereum ฝั่งที่ถูกต้อง วิธีนี้ทำให้สามารถส่งข้อความข้ามเชนปลอมที่สั่งให้เสก vsdCRV บน Arbitrum ได้โดยไม่มีการตรวจสอบ รูปแบบการโจมตีผ่าน Private Key ที่ถูกขโมยเป็นรูปแบบที่พบบ่อยในปี 2569 ต่อเนื่องจากกรณี Kelp DAO และ StablR ที่เกิดขึ้นก่อนหน้านี้
ผลกระทบไม่ได้จำกัดแค่ StakeDAO เท่านั้น การโจมตีดังกล่าวยังส่งผลกระเพื่อมไปยัง Curve Finance ในตลาด Lending และบังคับให้ Beefy Finance ต้องหยุด vault ที่เกี่ยวข้องชั่วคราว ซึ่งสะท้อนให้เห็นว่าโปรโตคอลต่างๆ ใน Curve ecosystem มีความเชื่อมโยงกันสูงและความเสี่ยงสามารถแพร่กระจายได้เร็ว
ก่อนหน้านี้ Siam Blockchain ได้รายงานว่า ผู้ก่อตั้งบริษัทความปลอดภัยไซเบอร์ชี้ ระบบ DeFi ทั้งหมดไม่ปลอดภัยแล้ว ซึ่งเหตุการณ์ StakeDAO ครั้งนี้ดูเหมือนจะยิ่งตอกย้ำคำเตือนนั้น
ส่วนตัวผู้เขียนมองว่าเหตุการณ์นี้น่าเป็นห่วงในแง่ Pattern มากกว่าตัวเลขความเสียหาย เพราะการโจมตีผ่าน Private Key ที่ถูกขโมยเกิดขึ้นซ้ำแล้วซ้ำเล่าในปีนี้ ซึ่งแสดงว่าโปรโตคอลหลายแห่งยังคงบริหารจัดการคีย์ไม่ดีพอ ไม่ว่าจะเป็นการเก็บรักษา การหมุนเวียน หรือการกระจายอำนาจ Multi-sig สิ่งที่น่าจับตาต่อจากนี้คือ StakeDAO จะมีมาตรการแก้ไขและป้องกันอย่างไร และ Curve ecosystem จะฟื้นตัวจากความกังวลด้านความเชื่อมั่นได้เร็วแค่ไหน
ที่มา: Cointelegraph
ภาพจาก AI
