เอ이브(AAVE) ทุ่มงบ 150만달러 ยกเครื่องความปลอดภัยโปรโตคอลกู้ยืม V4 ตั้งเป้ามาตรฐานใหม่ให้ดีไฟน์(DeFi)

เอ이브(AAVE) ผู้พัฒนาโปรโตคอลเงินกู้ยืมชื่อดัง ‘เอ이브’ ทุ่มงบด้านความปลอดภัยครั้งใหญ่ก่อนเปิดตัวเวอร์ชันใหม่ ‘V4’ ด้วยงบประมาณกว่า 150만달러 หรือราว 22억2855만원 เพื่อทำการตรวจสอบความปลอดภัยแบบหลายชั้นตลอดเกือบ 1 ปีเต็ม กลายเป็นหนึ่งในกรณีศึกษาด้านความปลอดภัยที่ถูกจับตามากที่สุดในวงการ 디파이(DeFi)

การตรวจสอบครั้งนี้ดำเนินการภายใต้การสนับสนุนจากเอ이브 DAO โดยมีบริษัทตรวจสอบความปลอดภัยชั้นนำ 4 แห่งเข้าร่วม ได้แก่ 체인시큐리티(ChainSecurity), 트레일 오브 비츠(Trail of Bits), 블랙손(Blackthorn) และ 서토라(Certora) โครงสร้างการตรวจสอบไม่ได้เป็นเพียงการเช็กครั้งเดียวแล้วจบ แต่ถูกออกแบบให้หลายทีมที่มีมุมมองต่างกันเข้ามาตรวจโค้ดแบบไขว้กัน ทำให้ยอดระยะเวลาการรีวิวสะสมรวมแล้วสูงถึงประมาณ 345 วัน

เอ이브랩스(Aave Labs) ชี้ว่า จุดเด่นของการตรวจสอบ V4 ครั้งนี้อยู่ที่ทั้ง ‘규모’ และ ‘방식’ ภายในองค์กรมีทีมที่ตรวจสอบโค้ดอย่างต่อเนื่อง ขณะเดียวกันก็เปิดทางให้ทีมตรวจสอบภายนอกและนักวิจัยอิสระเข้ามาร่วมประเมินแบบซ้อนทับกันเป็นชั้นๆ ไฮไลต์สำคัญคือการแข่งขันด้านความปลอดภัยแบบเปิดซึ่งจัดขึ้นเป็นเวลา 6 สัปดาห์ ตั้งแต่เดือน 12 ปี 2025 ถึงเดือน 1 ปี 2026

การแข่งขันดังกล่าวจัดขึ้นบนแพลตฟอร์มความปลอดภัย 셜록(Sherlock) มีนักวิจัยด้านความปลอดภัยเข้าร่วมมากกว่า 900 คน ส่งรายงานและข้อสังเกตเกี่ยวกับโค้ดกว่า 950 ฉบับ แต่ตามคำอธิบายของเอ이브랩스 ระบุว่าไม่พบช่องโหว่ระดับ ‘치명적(critical)’ หรือ ‘고위험(high severity)’ เลยแม้แต่เคสเดียว การที่เปิดให้ทดสอบในสภาพแวดล้อมกึ่งสาธารณะพร้อมจำลองสถานการณ์โจมตีขนาดใหญ่ แต่กลับไม่เจอข้อบกพร่องแกนหลัก ทำให้ความเชื่อมั่นต่อ V4 เพิ่มขึ้นอย่างมีนัยสำคัญ

ผู้เชี่ยวชาญในตลาดเชื่อมโยงภาพดังกล่าวเข้ากับโครงสร้าง ‘허브-스포크(hub-and-spoke)’ ของ V4 ที่เอ이브เลือกใช้ในการขยายสภาพคล่องและฟังก์ชันต่างๆ ขณะที่ยังพยายามลด ‘attack surface’ หรือพื้นที่ที่อาจถูกโจมตีให้น้อยที่สุด โครงสร้างนี้ถูกมองว่าเป็นการออกแบบเพื่อลดความเสี่ยงของ 스마트컨트랙트 ที่เคยกลายเป็นจุดอ่อนซ้ำๆ ช่วงที่ TVL(총예치자산) หรือมูลค่าทรัพย์สินที่ถูกล็อกในระบบพุ่งขึ้นแรง ‘ความคิดเห็น’ กรณีของ V4 จึงถูกตีความว่าเป็นตัวอย่างของการลดความเสี่ยงเชิงรุกตั้งแต่ชั้นโครงสร้างระบบ แทนที่จะรอแก้ทีหลังเมื่อเกิดเหตุแล้ว

อีกประเด็นสำคัญคือ ‘วิธีการพัฒนา’ ที่เปลี่ยนไปอย่างชัดเจน V4 ถูกวางแนวคิดตั้งแต่ต้นให้เป็นโปรโตคอลแบบ ‘보안 우선(security-first)’ แทนโมเดลดั้งเดิมที่มักใช้แนวคิด “สร้างก่อน ตรวจทีหลัง” เอ이브랩สจึงปรับกระบวนการพัฒนาให้ทีมด้านความปลอดภัยเข้ามามีบทบาทควบคู่ไปกับทีมพัฒนา ตั้งแต่เริ่มต้นจนโค้ดถูกเขียนและทดสอบไปพร้อมกัน

เอ이브랩스สรุปแกนหลักด้านความปลอดภัยของ V4 ไว้ 5 ข้อ ได้แก่ การใช้ ‘형식 검증(formal verification)’ เพื่อพิสูจน์คุณสมบัติของโค้ดในเชิงคณิตศาสตร์ การรีวิวหลายชั้นที่ผสาน ‘수동 감사’ เข้ากับการทดสอบอัตโนมัติ การตรวจสอบแบบ ‘지속 점검’ ทุกครั้งที่มีการอัปเดตโค้ด การเปิด ‘버그바운티’ ให้ชุมชนช่วยตามหาช่องโหว่ และการนำ ‘AI 기반 스캐닝’ เข้ามาช่วยตรวจหาช่องทางโจมตีที่ผิดปกติ

ส่วน AI ถูกจับตามากเป็นพิเศษ เพราะสามารถช่วยค้นหา ‘edge case’ หรือเคสปลายทางที่คนมักมองข้ามได้อัตโนมัติ 서토라มีบทบาทในการช่วยกำหนด ‘불변조건(invariants)’ หรือชุดกฎที่โค้ดต้องปฏิบัติตามอย่างเคร่งครัด เช่น เงื่อนไขเรื่องการรักษาทรัพย์สินไม่ให้หาย การควบคุมสิทธิ์การเข้าถึง และการเปลี่ยนสถานะที่ต้องไม่ทำให้ระบบเสียสมดุล เมื่อกำหนดกฎเหล่านี้ไว้ก่อนแล้วจึงใช้เครื่องมือ AI และเครื่องมือ formal verification ตรวจสอบโค้ดตามกฎที่วางไว้ ก็จะช่วยลดความเสี่ยงได้มากตั้งแต่ก่อนเข้าสู่การตรวจสอบแบบมือเปล่าโดยผู้เชี่ยวชาญ

นักวิจัยบางส่วนที่เข้าร่วมการรีวิวล่วงหน้าให้ความเห็นในทำนองเดียวกันว่า “สำหรับโค้ดที่ยังอยู่ก่อนขั้นตอนตรวจสอบเต็มรูปแบบ ถือว่าค่อนข้างสะอาดผิดปกติ” ภาพนี้สะท้อนว่าหลังจากวงการ 디파이เผชิญเหตุแฮ็กซ้ำแล้วซ้ำเล่า ความเชื่อที่ว่า “ทำให้เร็ว แล้วค่อยแก้ทีหลัง” เริ่มเสียเปรียบต่อแนวทาง “ทำให้แน่นตั้งแต่แรก” อย่างเห็นได้ชัด

ในมุมของสถาบันการเงินและนักลงทุนรายใหญ่ งบประมาณ 150만달러 ที่ถูกทุ่มลงไปกับการตรวจสอบ V4 ครั้งนี้จึงไม่ใช่แค่ ‘ต้นทุน’ แต่ยังเป็น ‘สัญญาณความน่าเชื่อถือ’ โดยตรง เนื่องจากเงินทุนสถาบันให้ความสำคัญกับ ‘리스크’ ของ 스마트컨트랙트 มากกว่าการมองแต่ ‘수익률’ เหตุการณ์แฮ็กครั้งใหญ่หลายครั้งในอดีตทำให้ ‘risk premium’ หรือส่วนเพิ่มของความเสี่ยงใน 디파이 ขยายตัว การเทงบและเวลาไปกับการตรวจสอบอย่างจริงจังจึงกลายเป็นกลยุทธ์สำคัญหากต้องการขยายสภาพคล่องและดึงดูดทุนขนาดใหญ่

อย่างไรก็ตาม บททดสอบที่ยากที่สุดของ V4 ยังรออยู่หลัง ‘การเปิดใช้งานจริง’ แม้จะไม่มีการพบช่องโหว่ระดับร้ายแรงระหว่างการแข่งขันด้านความปลอดภัยแบบเปิด แต่เมื่อขึ้นสู่เม인넷และเริ่มรองรับเงินทุนขนาดใหญ่ ความเป็นจริงอาจเปิดเผยข้อบกพร่องที่ไม่มีใครคาดคิดได้ หาก V4 สามารถผ่านช่วงหลายเดือนแรกหลังเปิดตัวไปได้โดยไม่มีเหตุเสียหายใหญ่หลวง ความเป็นไปได้ที่เงินทุนสถาบันและนักลงทุนสายอนุรักษนิยม ซึ่งเคยยืนข้างสนามเพราะกังวล 디파이 리스크 จะเริ่มทยอยกลับเข้ามาย่อมเพิ่มขึ้นมาก

ท้ายที่สุด กลยุทธ์ด้านความปลอดภัยของ V4 จะไม่ถูกประเมินจากตัวเลขงบประมาณด้าน ‘audit’ เพียงอย่างเดียว แต่จะถูกวัดจาก ‘สมุดพกด้านการดำเนินงานจริง’ หลังเปิดตัว ว่าเอ이브(AAVE) และเอ이브랩스 จะสามารถรักษาเสถียรภาพด้านความปลอดภัยของโปรโตคอลได้ดีเพียงใดในสภาพแวดล้อม 디파이 ที่เต็มไปด้วยแรงจูงใจในการโจมตีตลอด 24 ชั่วโมง