แฮกเกอร์เกาหลีเหนือปูพรมเจาะดีไฟ(DeFi) โจมตีครอสเชน-รีสเตกกิง สูบสภาพคล่องกว่า 500 ล้านดอลลาร์

กลุ่มแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือ เดินหน้าปฏิบัติการเจาะ ‘โครงสร้างพื้นฐาน’ ของดีไฟ(DeFi) อย่างต่อเนื่อง จนทำให้ ‘ช่องโหว่เชิงโครงสร้าง’ ของตลาดคริปโตถูกฉายชัดขึ้นเรื่อยๆ หลังจากโปรโตคอล ‘ดริฟต์(Drift)’ ถูกโจมตี ล่าสุด ‘เคลป์(Kelp)’ ก็ถูกเจาะสำเร็จ จนหลายฝ่ายมองว่านี่ไม่ใช่แค่การแฮ็กครั้งหนึ่งครั้งใด แต่คือ ‘แผนปล้นสภาพคล่องอย่างเป็นระบบ’ ที่วางกลยุทธ์มาแล้วอย่างละเอียด

ในช่วงไม่ถึง 3 สัปดาห์ เกิดการโจมตี 2 ครั้ง ส่งผลให้เงินไหลออกจากระบบรวมกันราว 500 ล้านดอลลาร์ หรือประมาณ 7,359 ล้านบาท โดยการโจมตีเคลป์รอบนี้มุ่งเป้าไปที่โปรโตคอล ‘รีสเตกกิง(Restaking)’ ซึ่งเชื่อมต่อกับโครงสร้างพื้นฐานครอสเชนของ ‘เลเยอร์ซีโร่(LayerZero)’ กล่าวง่ายๆ คือเลเยอร์หลักที่ทำหน้าที่ ‘เคลื่อนย้ายและนำทรัพย์สินไปใช้ซ้ำ’ กลายเป็นจุดถูกเจาะ ส่งผลให้แรงสั่นสะเทือนกระจายตัวอย่างรวดเร็วในหลายเครือข่าย

‘ไม่ต้องถอดรหัส แค่หลอกให้ระบบเชื่อ’

จุดที่น่ากังวลที่สุดของการโจมตีครั้งนี้คือ ‘รูปแบบ’ ที่ต่างจากการแฮ็กแบบเดิม แฮกเกอร์ไม่ได้พยายามถอดรหัส, ไม่ได้ขโมย ‘คีย์ส่วนตัว’ ของใคร แต่กลับเลือกโจมตี ‘โครงสร้างความเชื่อถือ’ ที่ระบบถูกออกแบบให้ทำงานตามนั้นอย่างถูกต้อง

คนร้ายเข้าไป ‘แก้ไขข้อมูลอินพุต’ ให้กลายเป็นข้อมูลปลอม แต่ระบบกลับรับข้อมูลเหล่านั้นโดยไม่ตรวจสอบอย่างเพียงพอ ก่อนจะอนุมัติธุรกรรมที่ ‘ไม่เคยเกิดขึ้นจริง’ ให้กลายเป็นธุรกรรมที่ถูกต้องบนบล็อกเชน

อเล็กซานเดอร์ อาร์เบลิส(Alexander Arbuthnot) ประธานเจ้าหน้าที่รักษาความปลอดภัยสารสนเทศของ ENS Labs อธิบายว่า “ลายเซ็นดิจิทัลพิสูจน์ได้แค่ว่าใครเป็นคนเซ็น แต่มันไม่ได้รับประกันว่าข้อมูลที่ถูกเซ็นเป็นความจริง” พร้อมนิยามเหตุการณ์นี้ว่าเป็นการโจมตีแบบ ‘ลายเซ็นที่ลงบนคำโกหก’

เดวิด ชเวด(David Schwed) COO ของบริษัทความปลอดภัยบล็อกเชน ‘SVRN’ เสริมว่า นี่ไม่ใช่การเจาะ ‘คริปโตกราฟี’ แต่คือการเล่นงาน ‘ดีไซน์ของระบบ’ โดยตรง “คนร้ายไม่ได้ชนะเพราะคณิตศาสตร์ แต่ชนะเพราะการออกแบบที่เปิดช่องให้โจมตีได้”

‘ผู้ตรวจสอบคนเดียว’ จุดอ่อนที่กลายเป็นหายนะ

แกนกลางของช่องโหว่ครั้งนี้อยู่ที่โครงสร้าง ‘ตัวตรวจสอบคนเดียว (Single Validator)’ เคลป์ถูกออกแบบให้ ‘การยืนยันข้อความครอสเชน’ ไปผูกติดอยู่กับตัวตรวจสอบเพียงรายเดียว เพื่อให้ระบบเร็วขึ้น ตั้งค่าหรือใช้งานได้สะดวกขึ้น แต่ในทางกลับกัน นั่นคือการ ‘ถอดชั้นความปลอดภัยสำคัญ’ ออกไปโดยปริยาย

ภายหลังเหตุโจมตี เลเยอร์ซีโร่ออกมาแนะนำให้โปรโตคอลต่างๆ หันมาใช้ ‘ผู้ตรวจสอบแบบหลายชุดและหลากหลายฝ่าย’ เพื่อลดความเสี่ยง แต่ในมุมมองของคนในวงการ หลายคนชี้ว่าปัญหาไม่ได้เริ่มที่ผู้ใช้เลือกผิดตั้งค่า แต่เริ่มตั้งแต่ ‘ค่าเริ่มต้น (Default)’ ที่ถูกวางไว้ให้เสี่ยงตั้งแต่ต้น

ชเวดระบุชัดว่า “ถ้าตัวเลือกไหน ‘อันตรายเกินไป’ ก็ไม่ควรโผล่มาเป็นตัวเลือกตั้งแต่แรก” พร้อมท้วงว่าการคาดหวังให้ผู้ใช้งานทุกคน “อ่านและเข้าใจเอกสารเทคนิค 100%” เป็นสมมติฐานที่ไม่สมจริง

ปัญหายังลุกลามต่อเนื่อง เพราะสินทรัพย์จากเคลป์ถูกนำไปใช้งานในโปรโตคอลดีไฟอื่นๆ อีกจำนวนมาก บางส่วนถูกนำไปใช้เป็น ‘หลักประกัน’ บนแพลตฟอร์มปล่อยกู้รายใหญ่ เช่น ‘เอฟ(AAVE)’ เมื่อโทเคนของเคลป์ถูกเจาะ สถานะสินทรัพย์ที่โยงอยู่บนระบบอื่นจึงสั่นคลอนตามไปด้วย นำไปสู่ ‘เอฟเฟกต์โดมิโน’ ที่หนึ่งช่องโหว่ในโปรโตคอลเดียว สามารถทำให้ทั้งระบบนิเวศดีไฟสั่นสะเทือนได้ในวงกว้าง

‘ดีเซนทรัลไรซ์’ บนหน้ากระดาษ กับความจริงที่กระจุกตัว

เหตุการณ์ที่เกิดขึ้นยังตอกย้ำคำถามเดิมที่หลายคนไม่อยากตอบตรงๆ ว่า ‘ดีไฟที่เราใช้กันอยู่ decentralize จริงแค่ไหน’ เพราะในความเป็นจริง โครงสร้างแบบใช้ตัวตรวจสอบคนเดียวแทบไม่ต่างจากการพึ่งพา ‘จุดศูนย์กลางเพียงจุดเดียว’

ชเวดย้ำว่า “ตัวตรวจสอบเพียงรายเดียว ไม่อาจถูกเรียกว่าเป็นดีเซนทรัลไรซ์ได้” ขณะที่อาร์เบลิสก็เสริมว่า “‘ความเป็นดีเซนทรัลไรซ์’ ไม่ใช่คุณสมบัติที่ติดมากับเทคโนโลยีแบบอัตโนมัติ แต่เป็น ‘ผลจากการเลือกออกแบบ’ ของมนุษย์” พร้อมชี้ว่า “จุดที่รวมศูนย์ที่สุดของระบบต่างหาก ที่จะเป็นตัวกำหนดระดับความปลอดภัยของทั้งเครือข่าย”

สิ่งที่น่ากลัวคือ จุดโจมตีครั้งนี้ไม่ได้อยู่บนเลเยอร์ที่ผู้ใช้มองเห็นอย่าง UI หรือฟังก์ชันการเทรด แต่ซ่อนอยู่ใน ‘เลเยอร์ด้านล่าง’ อย่างผู้ให้ข้อมูล, อินฟราสตรักเจอร์ครอสเชน, ระบบส่งข้อความระหว่างเชน ซึ่งผู้ใช้ทั่วไปแทบไม่รู้ด้วยซ้ำว่ามีอยู่

‘ความคิดเห็น’

แนวโน้มนี้สอดคล้องกับการเปลี่ยนทิศทางโจมตีของกลุ่มแฮกเกอร์เกาหลีเหนือ ‘ลาซารัส(Lazarus)’ ในช่วงหลัง ที่เริ่มหันหลังให้การโจมตี ‘กระดานเทรดแบบรวมศูนย์’ หรือบั๊กในสัญญาอัจฉริยะโดยตรง แล้วหันมาเล่นงาน ‘โครงสร้างพื้นฐานการเคลื่อนย้ายและเชื่อมต่อสินทรัพย์’ แทน เพราะถ้าเจาะได้สำเร็จ ผลตอบแทนจะถูกขยายผ่านเลเยอร์ที่เชื่อมกันทั้งระบบ

ไม่ใช่ช่องโหว่ใหม่ แต่คือความเสี่ยงที่ถูกปล่อยทิ้ง

การแฮ็กเคลป์ในครั้งนี้จึงไม่ได้เผยให้เห็น ‘บั๊กใหม่’ หรือ ‘เทคนิคมืดขั้นสูง’ มากเท่ากับการสะท้อนว่า วงการดีไฟปล่อยให้ ‘ความเสี่ยงที่รู้กันอยู่แล้ว’ ค้างอยู่ในระบบโดยไม่จัดการอย่างจริงจัง

เมื่อความปลอดภัยยังถูกปฏิบัติเหมือนเป็นแค่ ‘คำแนะนำที่ทำก็ได้ไม่ทำก็ได้’ แทนที่จะเป็น ‘มาตรฐานบังคับ’ ผลลัพธ์ที่หลีกเลี่ยงไม่ได้ก็คือ เหตุการณ์ในลักษณะนี้จะกลับมาเกิดซ้ำแล้วซ้ำเล่า

ผู้เชี่ยวชาญเตือนว่า ในอนาคต การโจมตีจะซับซ้อนและเชื่อมโยงหลายชั้นมากขึ้น ทำให้ ‘ตัวช่องโหว่เอง’ อาจไม่ใช่ปัญหาใหญ่ที่สุดอีกต่อไป แต่สิ่งที่น่าเป็นห่วงยิ่งกว่ากลับกลายเป็น ‘ความเร็วในการตอบสนอง’ และ ‘ทางเลือกด้านการออกแบบระบบ’ ของโปรโตคอลต่างๆ

เมื่อเทรนด์ ‘ครอสเชน’ และ ‘รีสเตกกิง’ ยังคงเติบโตต่อเนื่อง ช่องว่างด้านความปลอดภัยที่ถูกมองข้ามอาจย้อนกลับมาเป็นต้นทุนที่สูงขึ้นเรื่อยๆ ทั้งในมุมมูลค่าทางการเงิน และในแง่ความเชื่อมั่นต่อโครงสร้างพื้นฐานของตลาดคริปโตทั้งหมด