Kelp DAO $290M Hack เขย่า $145B ความเชื่อมั่นของระบบนิเวศ DeFi

การโจรกรรมสินทรัพย์ดิจิทัลครั้งใหญ่ระดับทำสถิติได้สร้างความไม่มั่นคงให้กับระบบนิเวศการเงินแบบกระจายอำนาจ (DeFi) ซึ่งมีมูลค่าประมาณ 980 พันล้านดอลลาร์ เมื่อวันที่ 18 เมษายน 2024 (เวลาประเทศเกาหลี) โปรเจกต์ DeFi ชื่อ Kelp DAO ประสบเหตุเจาะระบบ ส่งผลให้ถูกขโมยมูลค่า 290 ล้านดอลลาร์ของ rsETH (Kelp DAO Restaked Ethereum) โดยเกินเหตุแฮ็กของ Drift DEX มูลค่า 280 ล้านดอลลาร์เมื่อวันที่ 2 เมษายน ทำให้เป็นการโจรกรรมสินทรัพย์ดิจิทัลที่ใหญ่ที่สุดของปีนี้เมื่อวัดจากปริมาณเงินที่ไหลออก ตามแหล่งข้อมูลที่อ้างถึง

กลไกการโจมตีและการแสวงหาประโยชน์จากบริดจ์

แม้เหตุการณ์จะเริ่มต้นที่ Kelp DAO แต่ได้ลามไปยังระบบนิเวศ DeFi ทั้งหมด โดยกระทบโปรเจกต์บริดจ์ที่เชื่อมเครือข่ายบล็อกเชนต่างกัน รวมถึงแพลตฟอร์มการให้กู้ยืมแบบกระจายอำนาจ Kelp DAO ทำหน้าที่เป็นผู้ออกโทเค็น liquid restaking ในระบบนิเวศ Ethereum restaking ช่วยให้ผู้ใช้นำ ETH ไปฝาก แล้วรับ rsETH เพื่อนำไปใช้เป็นหลักประกันหรือสภาพคล่องในบริการ DeFi อื่น ๆ

ผู้โจมตีใช้ประโยชน์จากบริดจ์ที่ใช้ LayerZero ของ Kelp DAO เพื่อออกโทเค็น rsETH ประมาณ 116,500 ใบอย่างฉ้อฉล แล้วโอนเงินออกไปภายนอก เมื่อวันที่ 20 เมษายน LayerZero ชี้แจงบน X (เดิมคือ Twitter) ว่าผู้โจมตีซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์เกาหลีเหนือ Lazarus ได้จัดการโครงสร้างพื้นฐาน RPC ชั้นล่างที่ใช้โดยเครือข่ายตัวตรวจสอบแบบกระจายอำนาจ (DVN) เพื่อยืนยันธุรกรรม จากนั้นผู้โจมตีได้ทำการโจมตีแบบ DDoS ต่อปลายทาง RPC ที่ถูกต้องตามกฎหมาย บังคับให้ระบบสลับไปยังโครงสร้างพื้นฐานที่ถูกบุกรุก ส่งผลให้ธุรกรรมที่ไม่ได้รับการยืนยันถูกประมวลผลราวกับว่าถูกต้อง

ข้อโต้แย้งเรื่องความรับผิดชอบ: LayerZero vs. Kelp DAO

ประเด็นสำคัญที่เกิดการถกเถียงคือการที่ Kelp DAO ใช้โครงสร้าง DVN เดียว LayerZero ระบุเมื่อวันที่ 20 เมษายนว่าได้แนะนำให้โปรเจกต์ที่ผสานกันใช้สถาปัตยกรรม multi-DVN โดยรวมผู้ตรวจสอบอิสระหลายรายเข้าด้วยกัน อย่างไรก็ตามในช่วงเวลาที่เกิดการรั่วไหล Kelp DAO ใช้การตั้งค่าแบบ ‘1-of-1’ ที่พึ่งพา DVN เดียวของ LayerZero เท่านั้น ผู้ตรวจสอบรายเดียวสร้างจุดล้มเหลวเพียงจุดเดียว (single point of failure) โดยขาดกลไกการกรองอิสระที่เพียงพอ

Kelp DAO โต้กลับเมื่อวันที่ 21 เมษายนบน X โดยยืนยันว่าโครงสร้าง DVN แบบ ‘1-of-1’ ที่ถูกโต้แย้งนั้นไม่ได้เป็นตัวเลือกพิเศษ แต่เป็นโครงสร้างเริ่มต้นที่ปรากฏในเอกสารและตัวอย่างการใช้งานของ LayerZero ทั้งสองฝ่ายจึงได้ตำหนิกันและกันอย่างมีนัยสำคัญต่อการเกิดเหตุการณ์ครั้งนี้

ความเสียหายลุกลาม: Aave และความเสี่ยงเชิงระบบ

เหตุการณ์รั่วไหลไม่ได้จำกัดอยู่แค่ระบบภายในของ Kelp DAO ผู้โจมตีได้นำ rsETH ที่ถูกออกอย่างฉ้อฉลไปวางเป็นหลักประกันบนแพลตฟอร์มการให้กู้ยืม DeFi รายใหญ่ รวมถึง Aave โดยกู้สินทรัพย์ที่มีสภาพคล่อง เช่น ETH ส่งผลให้เกิดหนี้เสีย (bad debt) มากกว่า 200 ล้านดอลลาร์สะสมบน Aave แม้สัญญาอัจฉริยะของ Aave จะไม่ได้ถูกแฮ็กโดยตรง แต่แพลตฟอร์มยังคงต้องรับผลขาดทุนเนื่องจากมูลค่าของสินทรัพย์หลักประกันภายนอก (rsETH) พังลง

เหตุการณ์นี้เปิดเผยช่องโหว่เชิงโครงสร้างที่มีอยู่ในแพลตฟอร์มการให้กู้ยืม DeFi แพลตฟอร์มเหล่านี้ทำงานบนสมมติฐานว่ามูลค่าหลักประกันและระบบการชำระบัญชี (liquidation) ทำงานตามปกติ เมื่อหลักประกันมีที่มาจากการแฮ็กบริดจ์ที่สร้างสินทรัพย์ไร้มูลค่า กลไกทางเศรษฐกิจพื้นฐานก็ล้มเหลว สิ่งที่ดูเหมือนการให้กู้ที่มีหลักประกันถูกต้องตามหลักกลับกลายเป็นการขาดทุนของแพลตฟอร์ม เหตุการณ์ดังกล่าวยังชี้ให้เห็นว่าแพลตฟอร์มการให้กู้รายใหญ่จำเป็นต้องบริหารจัดการร่วมกันทั้งโครงสร้างการออกสินทรัพย์ภายนอก สถาปัตยกรรมบริดจ์ และความเสี่ยงของตัวตรวจสอบ (validator)

กองทุนฟื้นฟู DeFi United เกินมูลค่าความเสียหาย

เพื่อรับมือกับผลกระทบ อุตสาหกรรม DeFi นำโดย Aave ได้จัดตั้งความริเริ่มเพื่อการฟื้นฟูร่วมกันที่ชื่อ “DeFi United” กองทุนนี้นำเงินสนับสนุนจาก Ethereum ของหลายโปรโตคอลและผู้เข้าร่วมมาใช้เพื่อฟื้นฟูหลักประกัน rsETH และช่วยให้ผู้ใช้งานที่ได้รับผลกระทบกู้คืนสินทรัพย์ได้

ณ วันที่ 30 เมษายน กองทุนฟื้นฟูมีมูลค่ามากกว่าจำนวนความสูญเสีย ตามเว็บไซต์ของ DeFi United มีการระดมได้ราว 137,610 ETH ซึ่งเทียบเท่ากับ 307.15 ล้านดอลลาร์ มากกว่าจำนวนเงินที่ถูกขโมย 290 ล้านดอลลาร์ ประมาณ 6% ผู้สนับสนุนรายใหญ่ ได้แก่ เครือข่าย Layer 2 Arbitrum ของ Ethereum บริษัทโครงสร้างพื้นฐาน Ethereum อย่าง Consensys และผู้ก่อตั้ง Joseph Lubin โปรเจกต์ Mantle แบบ Layer 2 Aave และผู้ก่อตั้ง Stani Kulechov โปรโตคอล restaking EtherFi LayerZero โปรเจกต์ liquid staking ของ Ethereum อย่าง Lido และโปรเจกต์จัดเก็บข้อมูลแบบกระจายอำนาจ Golem อย่างไรก็ตาม เงินบางส่วนที่ระดมได้ยังอยู่ภายใต้การลงคะแนนของ DAO และขั้นตอนการปล่อยกองทุนที่ถูกแช่แข็งของ Arbitrum ซึ่งบ่งชี้ว่าการชดเชยจะถูกกระจายในหลายระยะ ผู้มีส่วนได้ส่วนเสียรายใหญ่ของระบบนิเวศจึงกำลังอุดรอยรั่วผ่านการสนับสนุนที่ประสานกันอย่างมีประสิทธิภาพ

ความท้าทายการฟื้นฟูความเชื่อมั่น: ธรรมาภิบาลและภัยคุกคามที่เสริมด้วย AI

ผู้เชี่ยวชาญเตือนว่าการสร้างความเชื่อมั่นให้กับ DeFi ใหม่จะต้องใช้เวล แม้จะประสบความสำเร็จในการกู้คืนกองทุนแล้วก็ตาม ระหว่างการควบคุมเหตุการณ์ Aave ได้แช่แข็ง rsETH และคณะกรรมการความปลอดภัยของ Arbitrum ได้แช่แข็ง ETH ในกองทุนของแฮ็กเกอร์ราว 30,766 ETH แม้มาตรการฉุกเฉินเหล่านี้ช่วยป้องกันความเสียหายเพิ่มเติม แต่ขณะเดียวกันก็ยกระให้เกิดคำถามเกี่ยวกับการกระจายอำนาจซึ่ง DeFi ให้ความสำคัญ Mong Seo-woo ผู้ร่วมก่อตั้ง Undefined Labs กล่าวกับ Digital Asset เมื่อวันที่ 30 เมษายนว่า: “เหตุการณ์นี้เพิ่มความไม่ไว้วางใจว่าจริง ๆ แล้วอะไรคือสิ่งที่แยก DeFi ออกจากการเงินแบบดั้งเดิม หากคณะกรรมการหรือโครงสร้างธรรมาภิบาลบางชุดสามารถแช่แข็งเงินได้ในช่วงวิกฤต ในอนาคต ชุมชนจำเป็นต้องหารือกรอบธรรมาภิบาลแบบกระจายอำนาจอย่างจริงจังมากขึ้น สำหรับสถานการณ์พิเศษเช่นเหตุการณ์แฮ็ก”

การวิเคราะห์ของผู้เชี่ยวชาญยังชี้ให้เห็นถึงความซับซ้อนของการโจมตี DeFi ที่เสริมด้วย AI นักวิจัยสังเกตว่า AI กำลังเร่งการค้นพบช่องโหว่ การสร้างโค้ดที่เป็นอันตราย การหลอกลวงแบบฟิชชิง และการโจมตีด้วยวิศวกรรมสังคม Verena Ross ประธานของหน่วยงาน European Securities and Markets Authority (ESMA) เตือนเมื่อวันที่ 24 เมษายนว่า AI สามารถเพิ่มความเสี่ยงและความเร็วของการโจมตีทางไซเบอร์ในภาคการเงิน สื่อความปลอดภัยของสหรัฐฯ อย่าง Wired รายงานเมื่อวันที่ 22 เมษายนว่า กลุ่มแฮ็กเกอร์เกาหลีเหนือใช้ AI เพื่อเขียนโค้ดที่เป็นอันตรายและสร้างเว็บไซต์ปลอมของบริษัทเพื่อการโจรกรรมสินทรัพย์ดิจิทัล

Song Chang-seok ผู้อำนวยการ Web3 ที่ Blob กล่าวกับ Digital Asset ว่า: “ท้ายที่สุดแล้ว DeFi ไม่สามารถฟื้นความเชื่อมั่นได้ด้วยการพึ่งพาการบริจาคหลังเกิดเหตุหรือมาตรการแช่แข็งเพียงอย่างเดียว อุตสาหกรรมต้องลดโครงสร้างที่มีตัวตรวจสอบรายเดียว เฝ้าติดตามโครงสร้างพื้นฐานสำคัญอย่างบริดจ์ RPC และออราเคิลอย่างต่อเนื่อง และนำระบบตรวจจับความผิดปกติที่ขับเคลื่อนด้วย AI พร้อมระบบบล็อกแบบเรียลไทม์มาใช้เพื่อรับมือการโจมตีอัตโนมัติ”

FAQ

ถาม: มูลค่ารวมของการรั่วไหลของ Kelp DAO คือเท่าไร?
ตอบ: การขโมยเกี่ยวข้องกับ rsETH มูลค่า 290 ล้านดอลลาร์ ทำให้เป็นการโจรกรรมสินทรัพย์ดิจิทัลที่ใหญ่ที่สุดของปีนี้เมื่อวัดจากปริมาณเงินที่ไหลออก ณ เดือนเมษายน 2024

ถาม: ผู้โจมตีใช้ประโยชน์จากบริดจ์ LayerZero อย่างไร?
ตอบ: ตามคำชี้แจงของ LayerZero ในวันที่ 20 เมษายน ผู้โจมตีได้จัดการโครงสร้างพื้นฐาน RPC ชั้นล่างที่ใช้โดย DVN เดียวของ Kelp DAO จากนั้นได้ทำการโจมตีแบบ DDoS ต่อปลายทางที่ถูกต้องตามกฎหมายเพื่อบังคับให้ระบบสลับไปยังโครงสร้างที่ถูกบุกรุก ส่งผลให้ธุรกรรมที่ไม่ได้รับการยืนยันถูกประมวลผลราวกับว่าถูกต้อง

ถาม: กองทุนฟื้นฟู DeFi United ช่วยชดเชยความเสียหายได้หรือไม่?
ตอบ: ใช่ ณ วันที่ 30 เมษายน กองทุนได้ระดมได้ราว 137,610 ETH (307.15 ล้านดอลลาร์) ซึ่งเกินความสูญเสีย 290 ล้านดอลลาร์ประมาณ 6% แม้ว่าการกระจายเต็มรูปแบบยังขึ้นอยู่กับขั้นตอนด้านธรรมาภิบาลก็ตาม