แมทช์า เมตา (Matcha Meta) ถูกแฮ็ก สูญคริปโตมูลค่ากว่า 16.8 ล้านดอลลาร์ เหตุช่องโหว่จาก SwapNet

เกิดเหตุตลาดแลกเปลี่ยนแบบกระจายอำนาจ (DeFi) รายใหญ่อย่างแมทช์า เมตา(Matcha Meta) ถูกแฮ็ก ส่งผลให้เงินดิจิทัลมูลค่าราว 1,680 ล้านดอลลาร์ หรือประมาณ 242.7 พันล้านวอน ถูกขโมยไป โดยแหล่งที่มาไม่ได้มาจากโครงสร้างพื้นฐานหลักของแพลตฟอร์ม แต่มีต้นตอจากผู้ให้บริการสภาพคล่องภายนอกที่ชื่อ ‘สแว็ปเนต’(SwapNet)

แมทช์า เมตา ออกมาเปิดเผยเมื่อวันที่ 25 ผ่านบัญชี X (อดีตทวิตเตอร์) อย่างเป็นทางการว่า สาเหตุของการโจมตีครั้งนี้เกิดขึ้นเนื่องจากผู้ใช้บางรายยกเลิกการใช้ฟีเจอร์ ‘การอนุมัติแบบครั้งเดียว’ (One-Time Approval) และเลือกให้สิทธิ์การใช้งานโทเคนโดยตรงกับคอนแทรกต์ต่าง ๆ แทน ทำให้เกิดช่องโหว่ด้านความปลอดภัย พร้อมทั้งเตือนว่าผู้ที่ปิดการใช้งานฟีเจอร์นี้อาจได้รับความเสียหาย ขณะเดียวกัน ทีมของสแว็ปเนตได้สั่งปิดการทำงานของสมาร์ตคอนแทรกต์ที่เกี่ยวข้องแล้วเป็นการชั่วคราว

บริษัทด้านความปลอดภัยบล็อกเชนอย่างเพ็กชิลด์(PeckShield) ระบุว่า เหตุการณ์ทั้งหมดใช้เวลาไม่ถึง 10 วินาที โดยแฮ็กเกอร์ได้เปลี่ยนเหรียญยูเอสดีซี(USDC) มูลค่าประมาณ 10.5 ล้านดอลลาร์ในเครือข่ายเบส(Base) เป็นอีเธอร์(ETH) จำนวน 3,655 เหรียญ ก่อนจะบริดจ์ไปยังเครือข่ายอีเธอเรียม(ETH) เพื่อฟอกเงิน ซึ่งมูลค่าความเสียหายโดยรวมอยู่ที่ประมาณ 16.8 ล้านดอลลาร์

ในฝั่งของเซอร์ทิก(CertiK) อีกหนึ่งบริษัทด้านความปลอดภัย ได้เผยว่ากระเป๋าเงินที่ใช้ในการโจมตีสามารถถอน USDC ออกไปได้ถึง 13.3 ล้านดอลลาร์ ซึ่งเบื้องต้นมีการวิเคราะห์ว่า จุดอ่อนของระบบคือช่องโหว่ ‘การเรียกฟังก์ชันเกินสิทธิ์’ ที่มีอยู่ในคอนแทรกต์ของสแว็ปเนต และแฮ็กเกอร์ใช้ประโยชน์จากสิทธิ์การเข้าถึงที่ผู้ใช้เคยอนุมัติไว้ในอดีตเพื่อขโมยทรัพย์สิน

แมทช์า เมตาได้เน้นย้ำว่า การโจมตีครั้งนี้ไม่ได้มีความเกี่ยวข้องกับระบบ One-Time Approval ที่ใช้โปรโตคอล 0x เป็นฐาน ซึ่งใช้สมาร์ตคอนแทรกต์ ‘AllowanceHolder’ และ ‘Settler’ ทำให้ผู้ใช้จำกัดการอนุมัติให้เฉพาะธุรกรรมเดี่ยวเท่านั้น และยืนยันว่าผู้ที่ใช้ระบบดังกล่าวไม่ได้รับผลกระทบ พร้อมประกาศว่าจะยกเลิกฟังก์ชันการอนุมัติโทเคนแบบตรงจากผู้ใช้งานในอนาคต

เหตุการณ์ครั้งนี้เป็นอีกหนึ่งตัวอย่างที่ชี้ชัดว่า ความยืดหยุ่นในดีไฟไม่ได้มาคู่กับความปลอดภัยเสมอไป โดยเฉพาะในกรณีที่ผู้ใช้เลือกให้สิทธิ์การใช้โทเคนอย่างต่อเนื่อง ซึ่งอาจถูกละเลยหรือลืมตรวจสอบ ทำให้กลายเป็นช่องทางให้แฮ็กเกอร์ฉกฉวยโอกาส โจมตีดังกล่าวจึงเป็นคำเตือนสำคัญถึงความเสี่ยงของฟีเจอร์ ‘การอนุมัติต่อเนื่อง’

จากรายงานประจำปีของบริษัทโซลว์มิสต์(SlowMist) พบว่า จุดอ่อนในสมาร์ตคอนแทรกต์ครองสัดส่วนถึง 30% ของการโจมตีในวงการคริปโต และแนวโน้มการโจมตีก็รุนแรงมากขึ้น เนื่องจากการใช้เทคโนโลยีปัญญาประดิษฐ์เพิ่มความสามารถในการเจาะระบบโดยใช้เวลาเพียงไม่นาน

ไม่ใช่แค่กรณีแมทช์า เมตาเท่านั้นที่แสดงให้เห็นถึงช่องโหว่ดีไฟ เพราะในเดือนมกราคมที่ผ่านมา ไอพอรแล็บส์(IPOR Labs) ก็ถูกแฮ็กในเครือข่ายอาบริทรัม(Arbitrum) สูญเสียไปกว่า 336,000 ดอลลาร์ ในขณะที่ทรูบิท(Truebit) ถูกขโมยอีเธอร์ไปมากกว่า 8,500 เหรียญ ทำให้ราคาซบเซาอย่างรุนแรง และแพลตฟอร์มเลเยอร์ 1 อย่างซากา(Saga) ก็ต้องหยุดทดสอบเชน EVM ของตัวเองหลังจากสูญเงิน 7 ล้านดอลลาร์

‘ความยืดหยุ่น’ และ ‘การควบคุมด้วยตนเอง’ คือจุดขายของดีไฟ แต่ในทางกลับกันก็หมายถึงผู้ใช้ต้องมีความเข้าใจด้านความปลอดภัยด้วยเช่นกัน กรณีของแมทช์า เมตาจึงเป็นบทเรียนอีกครั้งว่าผู้ใช้งานควรตั้งค่าความปลอดภัยพื้นฐานเสมอก่อนจะมีการมอบสิทธิ์ในการใช้โทเคนแก่แพลตฟอร์มต่าง ๆ โดยไม่เกิดความเสี่ยงเพิ่มเติมในอนาคต