THORChain โดนเจาะหาย 10 ล้านดอลลาร์ ย้ำชัดว่า bridge คือฝันร้ายของสาย DeFi

วันปกติของ DeFi คือการมีข่าวร้ายสลับกันไปมา ล่าสุด THORChain เพิ่งโดน exploit ในระบบ cross-chain ไป 10 ล้านดอลลาร์ ในขณะที่พวก "สถาบัน" กำลังตื่นเต้นกับเรื่อง ETF และกฎหมายกำกับดูแล แต่ระบบหลังบ้านของโลกคริปโตกลับยังรั่วเป็นน้ำซึม ถ้าคุณกำลังมองหา วิธีสวอป btc เป็น eth ที่ปลอดภัยที่สุด นี่แหละคือเหตุผลที่ผมอยากให้คุณกลัว bridge แบบ "คลิกเดียวจบ" หรือโปรโตคอล trustless ที่สัญญาว่าจะให้ทุกอย่าง ซึ่งก่อนหน้านี้ผมเคยเขียนถึง เหตุการณ์ Drift Protocol โดนแฮ็ก 280 ล้าน เพื่อให้เห็นภาพรวมของความเสี่ยงแบบนี้

เกิดอะไรขึ้นกันแน่

การโจมตีครั้งนี้พุ่งเป้าไปที่กลไก cross-chain ที่ทำให้ THORChain สามารถสวอปสินทรัพย์แบบ native ได้โดยไม่ต้องผ่านตัวกลาง แฮกเกอร์หาทางปั่นป่วนโปรโตคอลจนสูบสภาพคล่องออกไปได้ 10 ล้านดอลลาร์ เรื่องนี้ไม่ใช่แค่บั๊กสุ่มๆ แต่มันคือความล้มเหลวในเชิงตรรกะ (logic) ของการตรวจสอบว่าสินทรัพย์ถูกย้ายจากเชนหนึ่งไปอีกเชนหนึ่งจริงๆ หรือเปล่า

ถ้ามองภาพรวมตลาดตอนนี้ สภาวะค่อนข้างนิ่ง ค่า Fear & Greed Index อยู่ที่ 45 และ Bitcoin dominance สูงถึง 60.16% เงินส่วนใหญ่จมอยู่ใน BTC เพื่อรอสัญญาณบางอย่าง แต่ในขณะที่ราคาดูน่าเบื่อ ความเสี่ยงทางเทคนิคกลับพุ่งปรี๊ด ผมเริ่มเห็นแพทเทิร์นเดิมๆ คือส่วนที่ "นวัตกรรม" ที่สุดของ DeFi มักจะเป็นส่วนที่เปราะบางที่สุดด้วย

ทำไมเรื่องนี้ถึงเป็นสัญญาณเตือนภัยขั้นรุนแรง

ผมตามตลาดนี้มาตั้งแต่ปี 2019 และบทเรียนมันก็ซ้ำเดิมตลอด เราจะได้ "โซลูชัน" ใหม่สำหรับการส่งสภาพคล่องข้ามเชน มีเงิน TVL ไหลเข้าเป็นพันล้าน แล้วสุดท้ายก็มีบั๊กโผล่มาล้างพอร์ตคนใช้งาน ผมเคยเห็นหนังเรื่องนี้มาแล้ว และเคยเตือนเรื่อง ความเสี่ยงของ liquid staking ที่อาจทำให้ ETH ของคุณไม่ปลอดภัยถ้าคุณใช้ bridge และโปรโตคอลซ้อนกันหลายชั้นเกินไป

ปัญหาคือ cross-chain bridge มันเหมือน "บ่อผึ้ง" (honeypot) ดีๆ นี่เอง เพราะมันรวมเงินจำนวนมหาศาลไว้ใน smart contract ไม่กี่ตัว ถ้าแฮกเกอร์เจอรูรั่วเพียงรูเดียว เขาไม่ได้ขโมยแค่ไม่กี่เหรียญ แต่เขาจะสูบเงินทั้งคลังออกไปเลย THORChain พยายามแก้ด้วยการทำให้กระจายศูนย์ (decentralized) แต่ก็นั่นแหละ อย่างที่เห็น การกระจายศูนย์ไม่ได้ช่วยป้องกัน error ในโค้ด

วิธีสวอป btc เป็น eth ให้ปลอดภัยที่สุด

หลายคนเข้าใจผิดว่าวิธีที่ "ปลอดภัย" ที่สุดคือการหา bridge ที่เร็วที่สุด สำหรับผม ความเร็วคือศัตรูของความปลอดภัย ถ้าคุณต้องการย้ายสินทรัพย์ข้ามเชน คุณมีทางเลือกจริงๆ สองทาง คือ "เชื่อใจ exchange" หรือ "คุมทุกอย่างเอง"

ถ้าคุณไม่เกี่ยงเรื่อง KYC และเชื่อใจบริษัทใหญ่ Centralized Exchange คือทางที่ง่ายที่สุด แต่ถ้าคุณอยากเลี่ยงความเสี่ยงแบบบ่อผึ้งของ bridge ผมแนะนำให้ใช้บริการแบบ non-custodial ส่วนตัวผมใช้ StealthEX ในการสวอป เพราะเขาไม่ถือครองเงินของเราไว้ในคลังกลางขนาดใหญ่ที่เสี่ยงโดนแฮ็ก 10 ล้านดอลลาร์ และไม่ต้องเปิดบัญชีด้วย คุณอาจจะต้องจ่ายค่าธรรมเนียมบริการนิดหน่อย ประมาณ 0.4% แต่มันดีกว่าการเอาพอร์ตทั้งชีวิตไปเดิมพันว่า smart contract ของ bridge จะไม่มีบั๊ก

บทสรุปเรื่องความปลอดภัยใน DeFi

ผมเบื่อคำแก้ตัวที่บอกว่ามันคือ "นวัตกรรม" ทุกครั้งที่โปรโตคอลอย่าง THORChain เสียเงินหลายล้าน นักพัฒนามักจะบอกว่าพวกเขากำลังเรียนรู้และปรับปรุง แต่คนที่ต้องจ่ายค่าเทอมจริงๆ คือผู้ใช้งาน

ตอนนี้ตลาดกำลังย่อตัว S&P 500 ลง 1.19% และ NASDAQ ลง 1.50% เมื่อปัจจัยมหภาคไม่นิ่งและสภาพคล่องแห้งเหือด การโดน exploit แบบนี้จะยิ่งเจ็บปวด เพราะไม่มี "เงินโง่" (dumb money) ไหลเข้ามาช่วยพยุงราคา

คำแนะนำของผมคือ เลิกวิ่งไล่ล่า yield สูงๆ ในโปรโตคอลที่ซับซ้อนเกินไป ถ้าคุณอธิบายไม่ได้ว่าการสวอปหลังบ้านทำงานยังไง คุณนั่นแหละที่จะกลายเป็น exit liquidity ให้คนอื่น เก็บสินทรัพย์ระยะยาวไว้ใน hardware wallet และใช้เงินที่คุณยอมเสียได้เท่านั้นในการทดลองใช้ cross-chain พวกนี้

เทรดตามข่าวได้ที่ exchange ที่ทีมบรรณาธิการเลือก: Bybit