ผู้เขียน: 137Labs
ในวันที่ 12 มีนาคม นักลงทุนวาฬรายหนึ่งที่ไม่เปิดเผยชื่อ ได้ทำการแลกเปลี่ยนสินทรัพย์จำนวนมหาศาลผ่านหน้าเว็บของ @aave protocol โดยพยายามซื้อโทเคนการบริหาร AAVE ด้วย USDT มูลค่าประมาณ 50.43 ล้านดอลลาร์ แต่กลับได้รับ AAVE เพียง 324–327 aEthAAVE มูลค่าประมาณ 36,000 ดอลลาร์เท่านั้น เนื่องจากเกิดการลื่นไหลของราคาสูงสุด จนทำให้ขาดทุนไปเกือบ 50 ล้านดอลลาร์ เหตุการณ์นี้แพร่กระจายอย่างรวดเร็วใน X และสื่อหลัก กลายเป็นเรื่องราวเตือนใจแบบ “อารมณ์ดำ” ของผู้ใช้ DeFi บทความนี้จะพาคุณไปทำความเข้าใจถึงต้นทุนของความผิดพลาดเพียงเสี้ยววินาที ผ่านข้อมูลและลำดับเหตุการณ์
รายงานข้อเท็จจริงของเหตุการณ์: เส้นเวลาและรายละเอียดสำคัญ
เราจะทำการสรุปเหตุการณ์อย่างเป็นกลาง เริ่มจากความผิดพลาดนี้เกิดขึ้นบนเครือข่าย Ethereum mainnet ใน Aave V3 ซึ่งเป็นแพลตฟอร์มกู้ยืม DeFi ชั้นนำระดับโลก มี TVL (มูลค่ารวมที่ล็อคไว้) มากกว่าหลายร้อยล้านดอลลาร์ ผู้ใช้ดำเนินการแลกเปลี่ยนผ่านหน้าเว็บทางการของ #Aave โดยใช้ CoW Protocol ซึ่งเป็นตัวกลางการส่งคำสั่งแบบกระจายอำนาจ
เส้นเวลาหลักอ้างอิงจากข้อมูลบนบล็อกเชนและประกาศทางการ:
- ประมาณ 12:45 น. UTC ของวันที่ 12 มีนาคม: ผู้ใช้เริ่มทำการแลกเปลี่ยน โดยใส่ USDT มูลค่า 50.43 ล้านดอลลาร์ (เทียบเท่า aEthUSDT)
- 12:47 น. UTC: ระบบตรวจพบคำสั่งมีขนาดเกินกว่าความลึกของพูลอย่างมาก แจ้งเตือนหลายครั้ง พร้อมข้อความว่า “คำสั่งขนาดผิดปกติ” “ความเสี่ยงลื่นไหลสุดขีด” “ต้องยืนยันด้วยมือ”
- 12:48 น. UTC: ผู้ใช้กดยืนยันบนมือถือและดำเนินการต่อ การทำธุรกรรมถูกบันทึกบนบล็อกเชน Etherscan แสดงให้เห็นว่าบางส่วนของความเสียหายถูกจับโดย MEV bot ซึ่งได้กำไรประมาณ 9–10 ล้านดอลลาร์จากส่วนต่างราคา
- ประมาณ 13:30 น. UTC: Stani Kulechov โพสต์ชี้แจง ยืนยันว่า protocol และ CoW routing ทำงานปกติ ผู้ใช้รับรู้ความเสี่ยงแล้ว และจะติดต่อผู้ใช้เพื่อคืนค่าธรรมเนียม 600,000 ดอลลาร์
- เช้าวันที่ 13 มีนาคม: เหตุการณ์แพร่กระจายใน Crypto Twitter และสื่อหลัก มีโพสต์พูดคุยหลายร้อยโพสต์ ปริมาณการซื้อขายของ AAVE เพิ่มขึ้น 15–20% ใน 24 ชั่วโมง
สุดท้าย ผู้ใช้ได้รับเพียง 327.2 AAVE ซึ่งมีมูลค่าประมาณ 111 ดอลลาร์ต่อโทเคน รวมมูลค่า 36,500 ดอลลาร์ ขาดทุนถึง 99.93% เมื่อเทียบกับมูลค่าที่ควรได้ หากเทียบกับการล้างพอร์ตของ Mango Markets ในปี 2022 หรือการผิดพลาดของ oracle ของ Aave ที่ทำให้มีการชำระบัญชีถึง 27 ล้านดอลลาร์ เหตุการณ์นี้เป็นความผิดพลาดของผู้ใช้เอง ไม่ใช่ช่องโหว่ของ protocol
เส้นเวลานี้อ้างอิงจากข้อมูลบนบล็อกเชนและประกาศทางการ หลังจากเหตุการณ์เปิดเผยไม่ถึง 24 ชั่วโมง ราคาของโทเคน AAVE ก็มีการผันผวนเล็กน้อย แต่โดยรวมปรับตัวขึ้นกว่า 6% แสดงให้เห็นว่าตลาดยังคงเชื่อมั่นใน protocol นี้อยู่
ความผิดพลาดของผู้ใช้และความรับผิดชอบ: ใครเป็น “แพะ”?
ประเด็นสำคัญของเหตุการณ์นี้คือความรับผิดชอบ หลักการสำคัญของ DeFi คือ “กุญแจของคุณ กระเป๋าของคุณ ความรับผิดชอบของคุณ” — ผู้ใช้มีการควบคุมเต็มที่ แต่ก็ต้องรับผิดชอบต่อผลลัพธ์ด้วย นักวาฬรายนี้ชัดเจนว่าทำผิดพลาดขั้นพื้นฐาน: ไม่สนใจคำเตือนเรื่องลื่นไหลที่ชัดเจน เลือกทำธุรกรรมขนาดใหญ่มากในสินทรัพย์ที่มีสภาพคล่องต่ำ
อย่างไรก็ตาม นักวิจารณ์ชี้ว่า การออกแบบ protocol และตัวรวมคำสั่ง (เช่น CoW) ก็ไม่ได้สมบูรณ์แบบ UI ของ Aave ถึงแม้จะมีคำเตือน แต่ประสบการณ์บนมือถืออาจไม่เป็นมิตรเท่าที่ควร กลไก routing ของ CoW ก็ไม่สามารถหลีกเลี่ยงความเสี่ยงจากพูลตื้นได้อย่างมีประสิทธิภาพ จนคำสั่งถูก “บีบคั้น”
Stani Kulechov ตอบโต้ว่า: “ผู้ใช้ยืนยันความเสี่ยงด้วยตนเอง เราไม่ใช่พี่เลี้ยง”
แต่ความคิดเห็นในชุมชนก็แตกต่างกัน บางคนมองว่าเป็นความผิดของผู้ใช้ล้วนๆ บางคนเรียกร้องให้ protocol เพิ่มมาตรการป้องกัน เช่น การตั้งค่าล็อคลื่นไหลอัตโนมัติ หรือการแบ่งคำสั่งขนาดใหญ่เป็นส่วนๆ
ในมุมมองของประวัติศาสตร์ เหตุการณ์คล้ายกัน เช่น การชำระบัญชีผิดพลาดของ Mango Markets ในปี 2022 มักถูกโทษว่าเป็นบั๊กของ protocol แต่กรณีนี้ดูเหมือนเป็น “ความผิดพลาดของมนุษย์ + ข้อจำกัดของระบบ” มากกว่า
ความเสี่ยงด้านสภาพคล่องและลื่นไหลใน DeFi: ควรป้องกันอย่างไร?
ก่อนอื่น มาทำความเข้าใจเรื่องลื่นไหลกันก่อน: คือความแตกต่างของราคาที่เกิดขึ้นในคำสั่งขนาดใหญ่ เนื่องจากสภาพคล่องไม่เพียงพอ
ใน DeFi พูลสภาพคล่อง (เช่น Uniswap หรือ Aave) ไม่ได้ลึกเท่ากับตลาดกลางแบบ centralized โดยเฉพาะอย่างยิ่งในสินทรัพย์อนุพันธ์ เช่น aEthAAVE ซึ่งพูลมีขนาดจำกัด การทำคำสั่งขนาด 50 ล้านดอลลาร์เทียบเท่ากับวาฬชนิดหนึ่งที่ชนหินตื้น
ถ้าคำสั่งมีขนาดใหญ่มาก ก็อาจทำให้ราคาพุ่งลงอย่างรวดเร็ว และ MEV bot ก็สามารถใช้ประโยชน์จากการ front-run หรือ sandwich attack เพื่อแย่งชิงกำไรได้
เราควรป้องกันอย่างไร?
-
แบ่งคำสั่งเป็นหลายส่วน: ทำทีละน้อยเพื่อไม่ให้กระทบพูลมากเกินไป
-
ใช้คำสั่งจำกัดราคาหรือ limit order: กำหนดราคาขั้นต่ำที่ยอมรับได้
-
ตรวจสอบความลึกของพูล: ใช้เครื่องมืออย่าง DefiLlama หรือ Dune Analytics
-
เลือกใช้สินทรัพย์ในพูลขนาดใหญ่: เช่น แลก ETH โดยตรง แทนการใช้เวอร์ชัน wrapped
-
เลือกใช้ตัวรวมคำสั่ง (aggregator): เช่น 1inch หรือ Paraswap ซึ่งอาจให้เส้นทางการแลกเปลี่ยนที่ดีกว่า
MEV และการทำกำไรจากการ arbitrage บนบล็อกเชน: บทบาทของ “แวมไพร์” ที่มองไม่เห็น
ในเหตุการณ์นี้ ความเสียหายไม่ได้เกิดขึ้นทั้งหมด “ระเหยไป” — ประมาณ 10 ล้านดอลลาร์ ถูกจับโดย MEV bot ซึ่งเป็นกลไกใน Ethereum ที่矿工หรือ validator สามารถเรียงลำดับธุรกรรมเพื่อแสวงหากำไร ในกรณีนี้ bot ตรวจพบคำสั่งขนาดใหญ่ แล้วซื้อ aEthAAVE ล่วงหน้าเพื่อผลักดันราคาให้สูงขึ้น แล้วขายทำกำไรในภายหลัง
สิ่งนี้เปิดเผยปัญหาความเป็นธรรมใน DeFi: ผู้ใช้ทั่วไปง่ายต่อการถูก “ล่า” โดย bot มืออาชีพ วิธีแก้ไขรวมถึงการใช้ Flashbots (ระบบประมูล MEV) หรือ MEV-Share (แบ่งปันผลตอบแทน) แต่ก็ยังไม่สมบูรณ์ในตอนนี้ หลังเหตุการณ์ ชุมชนเรียกร้องให้ Aave ผนวกเครื่องมือป้องกัน MEV เพิ่มเติม เพื่อคุ้มครองผู้ใช้รายใหญ่
เสียงสะท้อนต่อชื่อเสียงของ Aave และเหตุการณ์ต่อเนื่อง: สัญญาณเตือนของ “ความผิดพลาดซ้ำซาก”
นี่ไม่ใช่ครั้งแรกที่ Aave เจอวิกฤติ เมื่อไม่กี่วันก่อนหน้านี้ ก็มีปัญหาเกี่ยวกับ oracle ของ wstETH บน V3 ที่ผิดพลาด ทำให้เกิดการชำระบัญชีเกินกว่า 27 ล้านดอลลาร์ ซึ่งสร้างความไม่พอใจให้กับผู้ใช้ แม้ว่า Aave จะแก้ไขและชดเชยอย่างรวดเร็ว เหตุการณ์นี้ก็เป็นการทดสอบความน่าเชื่อถือของชื่อเสียงของบริษัทอีกครั้ง TVL ของ Aave ยังคงอยู่ในอันดับต้นๆ ของ DeFi แต่เหตุการณ์ซ้ำซากก็เผยให้เห็นช่องโหว่ในเรื่องการตั้งค่า oracle การกำหนดค่าการชำระบัญชี (CAPO) และการออกแบบ UI
ในด้านบวก Aave ตอบสนองอย่างรวดเร็วและโปร่งใส: เปิดเผยข้อมูลและคืนเงินบางส่วน ซึ่งช่วยรักษาความเชื่อมั่นของชุมชน เมื่อเทียบกับคู่แข่งเช่น Compound การรับมือเช่นนี้อาจช่วยเสริมส่วนแบ่งตลาด แต่หากเหตุการณ์ลักษณะนี้เกิดซ้ำบ่อย อาจทำให้ผู้ลงทุนและสถาบันชะลอการใช้งาน เช่น การบูรณาการของ Anchorage Digital ในการรี-pledge ก็อาจชะลอตัวลง
//////////////////
แค่คลิกเดียว 50 ล้านดอลลาร์ก็หายไป เหตุการณ์นี้เตือนให้เรารู้ว่า โลกคริปโตเหมือนคาสิโนที่กติกาโปร่งใสแต่โหดร้าย การกด “ยืนยัน” ครั้งต่อไป อาจเกิดขึ้นบนหน้าจอของคุณเอง ขอให้เราจำไว้เสมอว่า ก่อนกดอะไร ควรอ่านคำเตือนให้ดีเสียก่อน
