การเปิดเผย
มุมมองและความคิดเห็นที่แสดงที่นี่เป็นของผู้เขียนเพียงเท่านั้น และไม่เป็นตัวแทนของมุมมองและความคิดเห็นของบรรณาธิการของ crypto.news
การโจมตีใน DeFi
DeFi กำลังถูกโจมตี—แต่ไม่ใช่จากภัยคุกคามที่อุตสาหกรรมคุ้นเคยในการรับมือ ขณะที่นักพัฒนาตรวจสอบบรรทัดของโค้ดอย่างละเอียดเพื่อหาช่องโหว่ ผู้โจมตีได้เปลี่ยนกลยุทธ์ โดยใช้ประโยชน์จากจุดอ่อนทางเศรษฐกิจที่ซ่อนอยู่ภายใต้การเขียนโปรแกรมที่สมบูรณ์แบบ
ตัวอย่างการโจมตี
ตัวอย่างเช่น การโจมตีโทเค็น JELLY บน Hyperledger ซึ่งผู้โจมตีสามารถสูบเงินมากกว่า 6 ล้านเหรียญจากกองทุนประกันภัยของ Hyperledger
นี่เป็นตัวอย่างที่ชัดเจนว่าการโจมตีนี้ไม่ได้เกิดจากข้อผิดพลาดในการเขียนโค้ด แต่เกิดจากแรงจูงใจที่สามารถหลอกลวงได้และความเสี่ยงที่ไม่ได้ตั้งราคา ซึ่งไม่มีใครตรวจสอบ
ความปลอดภัยทางไซเบอร์ของ DeFi
ความปลอดภัยทางไซเบอร์ของ DeFi ได้พัฒนาขึ้นอย่างมาก การตรวจสอบสัญญาอัจฉริยะ—ที่ออกแบบมาเพื่อตรวจจับบั๊กในโค้ดของซอฟต์แวร์—กลายเป็นมาตรฐานในปัจจุบัน แต่เราจำเป็นต้องขยายขอบเขตไปเหนือบรรทัดของโค้ดเพียงอย่างเดียว
การโจมตี Hyperliquid
ในเดือนมีนาคม 2025 การแลกเปลี่ยน Hyperliquid ซึ่งมีการตรวจสอบสัญญา ถูกโจมตีและสูญเงินมูลค่า 6 ล้านเหรียญซึ่งเกี่ยวข้องกับโทเค็น JELLY อย่างไร? ผู้โจมตีไม่ได้คิดเห็นถึงข้อบกพร่องในโค้ด แต่ได้ตั้งการบีบระยะสั้นโดยการใช้ประโยชน์จากตรรกะการชำระบัญชีของ Hyperliquid เอง
กล่าวอีกนัยหนึ่ง นักออกแบบของ Hyperliquid ไม่ได้ตั้งราคาสำหรับพฤติกรรมของตลาดบางอย่าง—เป็นการมองข้ามที่การตรวจสอบทั่วไปไม่มีวันค้นพบ
กรณีโจมตีอื่น ๆ
ก่อนเกิดเหตุการณ์ JELLY เพียงเล็กน้อย Polter Finance ซึ่งเป็นโปรโตคอลการให้กู้ยืมบน Fantom ถูกดูดเงินออกไป 12 ล้านเหรียญผ่านการโจมตีในการกู้ยืมแบบฟลัช
ผู้โจมตีได้ใช้การกู้ยืมแบบฟลัชและบิดเบือนราคาออเรเคิลของโปรเจกต์ โดยหลอกลวงระบบให้มองว่าหลักประกันที่ไม่มีค่าเป็นจำนวนพันล้านมีค่าประหนึ่งเป็นเงินทุน
ลักษณะของการโจมตีใน DeFi
นี่ไม่ใช่การโจมตีหรือเหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว แต่เป็นส่วนหนึ่งของรูปแบบที่กำลังเกิดขึ้นใน DeFi
เราเคยเห็นฟาร์มผลตอบแทนถูกทำลายด้วยช่องโหว่รางวัล การโจมตีการตรึงของ Stablecoin ผ่านการเคลื่อนไหวของตลาดที่ประสานกัน และกองทุนประกันภัยถูกดูดเงินออกไปด้วยความผันผวนที่รุนแรง
การตรวจสอบและการออกแบบ
การตรวจสอบทั่วไปจะตรวจสอบว่า “โค้ดทำในสิ่งที่มันควรจะทำ” แต่ใครตรวจสอบว่า “สิ่งที่มันควรจะทำ” นั้นมีเหตุผลภายใต้เงื่อนไขที่ต้านทานหรือไม่?
ผู้ตรวจสอบจำเป็นต้องพิจารณาว่า: “ตามกฎเหล่านี้ จะมีใครได้รับประโยชน์จากการดัดแปลงพวกมันได้อย่างไร?” และทำการวิเคราะห์ทางทฤษฎีเกมและทางเศรษฐศาสตร์
ความสำคัญของการวิเคราะห์ทางเศรษฐศาสตร์
ค่าใช้จ่ายของจุดอับนี้สูงเกินไป—การรวมการวิเคราะห์ทางเศรษฐศาสตร์และทางทฤษฎีเกมไม่ใช่แค่ “สิ่งที่น่าจะมี” แต่เกี่ยวกับการอยู่รอดของโครงการ DeFi
เราจำเป็นต้องปลูกฝังวัฒนธรรมที่การตรวจสอบโค้ดและการตรวจสอบทางเศรษฐศาสตร์จะต้องดำเนินไปด้วยกันสำหรับโปรโตคอลที่สำคัญทุกแห่ง
บทสรุป
มายกระดับมาตรฐานกันเถอะ—ก่อนที่บทเรียนหลายล้านดอลลาร์จะบังคับให้เราทำอย่างนั้น
— Jan Philipp Fritsche
