เงินใน DeFi จะปลอดภัยแค่ไหน ขึ้นอยู่กับ admin key ของโปรโตคอล

คุณคงเคยได้ยินประโยคที่ว่า "Not your keys, not your coins" มาเป็นพันรอบแล้ว มันคือกฎเหล็กของโลกคริปโต แต่มีกฎข้อที่สองที่เงียบกว่าและมือใหม่ส่วนใหญ่พลาดไปอย่างสิ้นเชิง นั่นคือ ต่อให้คุณเก็บ private key ไว้ใน hardware wallet อย่างดี แต่คุณก็ยังถูกปล้นได้ถ้าโปรโตคอลที่คุณใช้งานมี admin key แบบรวมศูนย์

ฉันเห็นเรื่องแบบนี้เกิดขึ้นซ้ำแล้วซ้ำเล่าตั้งแต่เริ่มตามตลาดในปี 2019 คุณอาจจะคิดว่ากำลังใช้งานโค้ดที่แก้ไขไม่ได้ แต่ความจริงคือคุณกำลังฝากเงินไว้กับทีมนักพัฒนาที่มีปุ่ม "โหมดพระเจ้า" อยู่ในมือ ถ้าคุณอยากรู้ว่าต้องเช็ค timelock ของโปรโตคอลยังไงเพื่อให้รู้ว่าโปรเจกต์นั้นกระจายอำนาจจริงหรือไม่ คุณต้องมองข้ามคำโฆษณาการตลาดแล้วเจาะเข้าไปดูที่ตรรกะของคอนแทรค

สรุปสั้นๆ คืออะไร

admin key คือ private key พิเศษที่ยอมให้นักพัฒนาเปลี่ยนกฎของสมาร์ทคอนแทรค ย้ายเงิน หรืออัปเกรดโค้ดได้โดยไม่ต้องขอความยินยอมจากผู้ใช้ ถ้ากุญแจนี้ถูกขโมยหรือนักพัฒนาเกิดเปลี่ยนใจเป็นสายดาร์ก พวกเขาสามารถสูบเงินออกจากทุกวอลเล็ตที่เชื่อมกับโปรโตคอลได้ในการทำธุรกรรมครั้งเดียว

ทางออกคือ timelock ซึ่งจะบังคับให้มีระยะเวลารอคอย (ปกติคือ 48 ชั่วโมงหรือมากกว่า) ก่อนที่การเปลี่ยนแปลงจาก admin จะมีผล วิธีนี้ช่วยให้คุณมีเวลาถอนเงินออกทันถ้าเห็นว่ามีการอัปเดตที่น่าสงสัยกำลังจะเกิดขึ้น

ความเป็นจริงของการทำงาน

ในโลกที่สมบูรณ์แบบ สมาร์ทคอนแทรคควรถูก deploy แล้ว "renounced" หรือการสละสิทธิ์ ซึ่งหมายถึงนักพัฒนาทิ้งกุญแจไปเลยและให้โค้ดเป็นกฎหมาย แต่โลกความจริงมันวุ่นวายกว่านั้น บั๊กเกิดขึ้นได้เสมอและโปรโตคอลต้องมีการพัฒนาต่อ นักพัฒนาจึงต้องเก็บ admin key ไว้

ปัญหาคือ โปรโตคอลส่วนใหญ่ใช้กระเป๋าแบบ signature เดียว (EOA) ถ้าโน้ตบุ๊กของนักพัฒนาคนเดียวโดนแฮ็ก แฮ็กเกอร์คนนั้นก็จะได้เป็นเจ้าของโปรโตคอลทั้งหมดทันที นี่คือวิธีที่กลุ่ม Lazarus จากเกาหลีเหนือใช้ขโมยเงินไปหลายพันล้านดอลลาร์ พวกเขาไม่ได้แฮ็กบล็อกเชนเสมอไป แต่แฮ็ก "มนุษย์" ที่ถือ admin key ต่างหาก

เพื่อแก้ปัญหานี้ โปรเจกต์ที่จริงจังจะใช้ multisig (การลงนามหลายคน) แทนที่จะใช้กุญแจดอกเดียว อาจจะต้องใช้คน 3 ใน 5 คนเซ็นชื่อยอมรับการเปลี่ยนแปลง ซึ่งดีขึ้นแต่ก็ยังรวมศูนย์อยู่ดี มาตรฐานสูงสุดคือการใช้ multisig ควบคู่กับ timelock โดย multisig จะเป็นคนเสนอการเปลี่ยนแปลง และ timelock จะทำให้มั่นใจว่าการเปลี่ยนแปลงนั้นไม่เกิดขึ้นทันที

จุดที่คนมักเข้าใจผิด

ความผิดพลาดที่ใหญ่ที่สุดที่ฉันเห็นคือการเชื่อว่าคำว่า "audited" (ผ่านการตรวจสอบ) หมายถึง "ปลอดภัย" การตรวจสอบบอกแค่ว่าโค้ดไม่มีบั๊กที่เห็นชัดๆ แต่มันไม่ได้บอกว่านักพัฒนาไม่ได้ถือกุญแจหลักที่สามารถสั่ง override ทุกอย่างได้

ฉันเจอโปรเจกต์มากมายที่อ้างว่า "ขับเคลื่อนโดยชุมชน" แต่ผู้ก่อตั้งยังคุมเงินใน treasury ได้เบ็ดเสร็จ พวกเขาจะบอกคุณว่ากำลังมุ่งหน้าสู่การกระจายอำนาจ แต่คำว่า "เร็วๆ นี้" เป็นคำที่อันตรายมากในโลก DeFi ถ้าโปรเจกต์ไม่ยอมเปิดเผยว่าใครถือ admin key หรือไม่มี timelock ให้เห็นสาธารณะ เท่ากับว่าพวกเขาขอให้คุณฝากชีวิตและเงินเก็บทั้งหมดไว้กับความเชื่อใจ ซึ่งจากประสบการณ์ของฉัน มันคือการเดิมพันที่คุณจะแพ้ในที่สุด

วิธีนำไปใช้จริง

ถ้าคุณใช้โปรโตคอลไหนอยู่และอยากเช็คความปลอดภัย อย่าอ่านแค่ใน docs ให้ไปที่ block explorer อย่าง Etherscan แล้วดูที่ที่อยู่คอนแทรคในแท็บ "Read Contract" ลองหาตัวแปรอย่าง owner, admin หรือ timelock ถ้าคุณเห็นที่อยู่วอลเล็ตเดียวถูกระบุว่าเป็นเจ้าของและไม่มีการพูดถึง timelock เลย แสดงว่าคุณกำลังดีลกับองค์กรแบบรวมศูนย์

ถึงแม้คุณจะควบคุมวิธีบริหารโปรโตคอลไม่ได้ แต่คุณควบคุมวิธีเก็บสินทรัพย์ที่ถอนออกมาได้ ฉันมักจะย้ายเงินที่ถือยาวออกจาก exchange และพูล DeFi ที่เสี่ยงๆ เสมอ สำหรับของส่วนตัวฉันใช้ Ledger Stax เพราะฟีเจอร์ Transaction Check ช่วยให้ฉันเห็นว่ากำลังเซ็นชื่อยอมรับอะไรก่อนจะกดยืนยัน มันเป็นเกราะป้องกันชั้นง่ายๆ ที่ช่วยไม่ให้เราเผลอไปเซ็น "setApprovalForAll" ซึ่งจะเปิดทางให้แฮ็กเกอร์สูบเงินหมดกระเป๋า

ก่อนจะฝาก 1,000 USDC ลงในฟาร์มที่ให้ผลตอบแทนสูงครั้งต่อไป ลองถามตัวเองดูว่า ใครเป็นคนถือกุญแจห้องนิรภัยนี้? ถ้าคำตอบคือ "คนไม่กี่คนในกลุ่ม Discord" ฉันว่าคุณควรคิดทบทวนตำแหน่งการลงทุนของคุณใหม่ดีกว่า