เคลป์DAO ถูกแฮ็ก 2.93 แสนล้านดอลลาร์ สะเทือนดีไฟน์-เรสเตกกิงทั้งระบบ Aave–LayerZero เร่งตรึง WETH กันโดมิโน

ดีไฟน์(DeFi) โปรโตคอล ‘เคลป์DAO’ ถูกโจมตีครั้งใหญ่ มูลค่าความเสียหายคาดว่าพุ่งสูงถึงราว 2.93 แสนล้านดอลลาร์สหรัฐ เหตุเริ่มต้นจากกิจกรรมข้ามเชนที่ผิดปกติซึ่งเกี่ยวข้องกับโทเค็น ‘rsETH’ ก่อนจะพบว่ามีการหยุดสัญญาอัจฉริยะทั้งบนเมนเน็ตของอีเธอเรียม(ETH) และเครือข่ายเลเยอร์2 หลายแห่ง ส่งผลให้ความเสี่ยง ‘ดีไฟน์เชิงระบบ’ ถูกจับตามองอีกครั้ง

เคลป์DAOดำเนินโครงสร้างแบบรีสเตกกิง โดยนำสินทรัพย์อย่าง stETH และ cbETH มารีสเตกเพื่อออกโทเค็น ‘rsETH’ ให้ผู้ใช้ไปต่อยอดเพิ่มผลตอบแทน โครงสร้างเชื่อมโยงนี้ทำให้เมื่อ ‘เคลป์DAO’ ถูกโจมตี แพลตฟอร์มที่เกี่ยวข้องทั้งระบบได้รับผลกระทบไปด้วย กลายเป็นประเด็นเรื่อง ‘จุดอ่อนเชิงโครงสร้าง’ ของระบบดีไฟน์ที่พึ่งพาโปรโตคอลซ้อนทับกันจำนวนมาก

ผู้ก่อตั้งวันคีย์(OneKey) อย่าง ‘อีสือ(Yishi)’ มองว่าสาเหตุสำคัญไม่ใช่แค่ข้อบกพร่องทางเทคนิค แต่คือ ‘โครงสร้างที่เชื่อมต่อกันแน่นเกินไป’ เขาอธิบายผ่านอุปมาเปรียบเทียบว่า เคลป์DAOคือฝ่ายที่ “ปลดล็อกกลอนประตูของตัวเอง” ขณะที่ LayerZero เป็นฝ่ายที่ “ขายประตูที่เปิดได้โดยตรง” ส่วนเอฟเอฟ(Aave) ก็ “อยู่ในสมมติฐานว่าประตูบ้านข้าง ๆ ถูกล็อกแน่นหนา” ‘ความคิดเห็น’ มุมมองนี้ชี้ให้เห็นว่าปัญหาใหญ่สุดอยู่ที่การออกแบบระบบนิเวศที่ไว้วางใจกันเป็นทอด ๆ มากกว่าจะเป็นบั๊กเดียวจุดใดจุดหนึ่ง

ด้านแนวทางกู้คืน อีสือเสนอว่า ‘การเจรจากับแฮ็กเกอร์’ น่าจะเป็นขั้นตอนแรกที่เป็นไปได้มากที่สุด โดยเสนอค่าตอบแทนราว 10–15% ของทรัพย์สินที่ถูกขโมย เพื่อจูงใจให้ผู้โจมตียอมคืนสินทรัพย์ส่วนใหญ่ให้กับโปรโตคอล หากแนวทางนี้ล้มเหลว เขามองว่า LayerZero ควรเป็นผู้รับภาระทางการเงิน เนื่องจากเป็นฝ่ายที่มี “ทุนหนาที่สุด และมีส่วนได้ส่วนเสียระยะยาวโดยตรง” กับโครงสร้างที่ถูกใช้ในครั้งนี้

ตัวแปรที่อันตรายที่สุดในสายตาอีสือคือ ‘WETH’ เขาย้ำว่า “ผู้ฝาก WETH ไม่ควรเป็นฝ่ายรับภาระขาดทุนโดยตรง” เพราะหากเกิดการรับรู้ความเสียหายเพียงครั้งเดียว ความเชื่อมั่นอาจลุกลามไปยังโปรโตคอลอื่น ๆ เช่น โมโฟ(Morpho), สปาร์ก(Spark), ฟลูอิด(Fluid), ออยเลอร์(Euler) และแพลตฟอร์มที่เกี่ยวข้องกับการกู้ยืม/ให้ยืมอีกหลายแห่ง ‘คำ’ ความเสี่ยงแบบโดมิโน อาจทำให้ทั้งเซ็กเตอร์ LRT(Liquid Restaking Token) สั่นคลอนได้พร้อมกัน

แม้จะมีความเสี่ยงล้อมรอบ แต่อีสือยังคงแสดงความเชื่อมั่นในความสามารถในการตั้งรับของเอฟเอฟ(AAVE) เขามองว่าระบบยังมี ‘กันชนความปลอดภัย’ ทั้งจากโมดูลอย่าง ‘Umbrella’ และกลไกอย่าง ‘stkAAVE’ ที่ช่วยดูดซับแรงกระแทกจากเหตุการณ์ลักษณะนี้ได้ระดับหนึ่ง ‘ความคิดเห็น’ นั่นทำให้เขาคาดว่าเอฟเอฟจะสามารถประคองผ่านแรงสั่นสะเทือนได้ แม้ตลาดจะเริ่มสะท้อน ‘ความเสี่ยงจากความเสียหายต่อเนื่อง’ เข้ามาในราคาและพฤติกรรมการกู้ยืมแล้วก็ตาม

ทางฝั่งเอฟเอฟเองก็ขยับอย่างรวดเร็ว หลังเกิดเหตุไม่นาน โปรโตคอลประกาศว่า rsETH ยังได้รับการค้ำประกันอย่างเต็มจำนวนบนอีเธอเรียมเมนเน็ต แต่เพื่อจำกัดความเสียหายเชิงระบบ จึงสั่ง ‘ระงับการใช้ rsETH ทันที’ บนตลาด Aave V3 และ V4 พร้อมกันนั้นยังสั่ง ‘ตรึง/อายัด’ สภาพคล่อง WETH บนหลายเครือข่ายอย่าง อาร์บิทรัม(ARB), เบส(Base), เมนเทิล(MNT), ไลน์อา(Linea) และเชนอื่น ๆ ที่เกี่ยวข้อง ซึ่งเป็นมาตรการเชิงรับเชิงรุกเพื่อกันไม่ให้ความเสียหายลุกลาม

ด้านเคลป์DAOระบุว่ากำลังทำงานร่วมกับ LayerZero ทีมตรวจสอบ(Code audit) และผู้เชี่ยวชาญด้านความปลอดภัยหลายฝ่ายเพื่อหาสาเหตุ ‘เชิงลึก’ ของการโจมตีครั้งนี้ พร้อมเตือนผู้ใช้ให้ติดตามเฉพาะประกาศทางการเท่านั้น เพื่อลดความเสี่ยงจากข้อมูลเท็จและฟิชชิงที่มักตามมาหลังเหตุแฮ็กขนาดใหญ่ ‘คำ’ โจมตีเคลป์DAOครั้งนี้ จึงไม่ใช่แค่กรณีศึกษาของ ‘การเจาะโปรโตคอลเดียว’ แต่เป็นสัญญาณเตือนว่า โครงสร้าง ‘ครอสเชน + รีสเตกกิง’ ที่ซับซ้อนมากขึ้นเรื่อย ๆ สามารถเปลี่ยนเป็นความเสี่ยงระดับระบบให้กับตลาดดีไฟน์ได้รวดเร็วเพียงใด หากไม่มีการออกแบบกลไกป้องกันและการแบ่งแยกความเสี่ยงอย่างรัดกุมตั้งแต่ต้น