Stablecoin เสี่ยงสูง! Resolv ถูกแฮกประจานระบบ ควบคุมห่วยจนโจรเข้าถึงหัวใจหลัก
#Stablecoin #ทันหุ้น - ข้อมูลจาก The Block ได้ระบุว่า การโจมตีอาศัยช่องโหว่ในสัญญาอัจฉริยะ (Smart Contract) สำหรับการสร้างเหรียญ (Minting) ของ USR ซึ่งเป็น Stablecoin ของ Resolv เมื่อวันอาทิตย์ที่ผ่านมา โดยการสร้างโทเค็นที่ไม่มีสินทรัพย์ค้ำประกันจำนวนประมาณ 80 ล้านเหรียญ และดึงเงินออกไปได้ราว 25 ล้านดอลลาร์ ตามรายงานจากบริษัทรักษาความปลอดภัยบล็อกเชนหลายแห่ง
การโจมตีเริ่มต้นขึ้นเมื่อเวลาประมาณ 02:21 น. ตามเวลา UTC โดยบัญชี X ชื่อ YieldsAndMore เป็นรายแรกที่แจ้งเหตุการณ์นี้ พร้อมโพสต์ข้อมูลธุรกรรมจาก Etherscan ที่แสดงให้เห็นว่าผู้โจมตีฝากเงินเพียง 100,000 USDC เข้าไปในสัญญา USR Counter ของ Resolv แต่กลับได้รับเหรียญ USR ออกมาถึง 50 ล้านเหรียญ ซึ่งมากกว่าจำนวนที่ควรจะเป็นถึง 500 เท่า และในธุรกรรมที่สองได้มีการสร้าง USR เพิ่มอีก 30 ล้านเหรียญ
USR คือ Stablecoin ที่ตรึงมูลค่ากับดอลลาร์ โดยใช้กลยุทธ์การป้องกันความเสี่ยงแบบ Delta-neutral ที่หนุนหลังด้วย ETH และ BTC แทนที่จะเป็นทุนสำรองเงินตราปกติ (Fiat) หลังจากการสร้างเหรียญครั้งแรกเพียง 17 นาที ราคาของโทเค็นได้ดิ่งลงเหลือเพียง 0.025 ดอลลาร์ในพูลที่มีสภาพคล่องสูงสุดบน Curve Finance ตามข้อมูลจาก DEX Screener ก่อนจะฟื้นตัวกลับมาอยู่ที่ประมาณ 0.85 ดอลลาร์ แต่ยังไม่สามารถกลับมาตรึงมูลค่าที่ 1 ดอลลาร์ได้ ณ เช้าวันอาทิตย์
ผู้โจมตีซึ่งใช้ที่อยู่กระเป๋าเงินขึ้นต้นด้วย 0x04A2 ได้นำ USR ที่สร้างขึ้นไปแลกเป็น USDC และ USDT ผ่านกระดานเทรดแบบกระจายศูนย์ (DEX) จากนั้นจึงเปลี่ยนเป็น ETH ปัจจุบันกระเป๋าเงินของผู้โจมตีถือครอง 11,409 ETH มูลค่าประมาณ 23.7 ล้านดอลลาร์ ณ เวลาที่เผยแพร่ข่าว นอกจากนี้ยังมีกระเป๋าเงินอีกใบที่ระบุว่าเป็นของผู้โจมตีถือครองโทเค็น wstUSR มูลค่าประมาณ 1.1 ล้านดอลลาร์
ในการแถลงผ่าน X ทาง Resolv Labs ระบุว่าได้ระงับฟังก์ชันทั้งหมดของโปรโตคอลแล้ว และยืนยันว่าพูลสินทรัพย์ค้ำประกัน "ยังคงอยู่ครบถ้วน" โดยไม่มี "สินทรัพย์พื้นฐาน" สูญหาย ทีมงานระบุว่าปัญหานี้ "จำกัดอยู่เพียงแค่กลไกการออกเหรียญ USR เท่านั้น"
นักวิเคราะห์ชี้เป้า: ระบบควบคุมการเข้าถึงอ่อนแอ
Andrew Hong นักวิเคราะห์ Onchain ระบุว่าการละเมิดครั้งนี้เกิดจากบทบาท SERVICE_ROLE ของโปรโตคอล ซึ่งเป็นบัญชีสิทธิพิเศษที่ทำหน้าที่จัดการคำขอแลกเปลี่ยน บทบาทดังกล่าวถูกควบคุมโดยบัญชีภายนอกทั่วไป (EOA) แทนที่จะเป็นระบบที่ต้องมีการลงนามร่วมจากหลายฝ่าย (Multisig) นอกจากนี้ สัญญาการสร้างเหรียญยังขาดการตรวจสอบจาก Oracle, ขาดการตรวจสอบความถูกต้องของจำนวนเงิน และไม่มีการจำกัดเพดานการสร้างเหรียญสูงสุด
กองทุน DeFi อย่าง D2 Finance วิเคราะห์ความเป็นไปได้ไว้ 3 ทางคือ: Oracle ถูกแทรกแซง, ผู้ลงนามนอกเครือข่ายถูกแฮก หรือระบบตรวจสอบความถูกต้องของจำนวนเงินระหว่างคำขอกับการทำรายการสูญหายไป ซึ่ง YieldsAndMore เห็นพ้องกับการวิเคราะห์นี้ และตั้งข้อสังเกตว่าบทบาทการบริหารจัดการนั้นขาดมาตรการป้องกันที่เหมาะสมกับขนาดของโปรโตคอลอย่าง Resolv
"นี่คือจุดที่ความเสี่ยงของ Stablecoin กลายเป็นเรื่องจริง" Deddy Lavid ซีอีโอของ Cyvers บริษัทรักษาความปลอดภัย Onchain กล่าวกับ The Block "การตรวจสอบ (Audit) เพียงอย่างเดียวไม่พอ หากคุณไม่ได้ตรวจสอบการสร้างเหรียญและอุปทานแบบเรียลไทม์ คุณก็เหมือนคนตาบอดในช่วงเวลาที่สำคัญที่สุด"
ผู้ถือ USR เผชิญความสูญเสียหนัก
แม้คำกล่าวของ Resolv ที่ว่าพูลสินทรัพย์ค้ำประกันยังอยู่ครบถ้วนจะถูกต้องในทางเทคนิค แต่ความเสียหายที่เกิดขึ้นนั้นรุนแรงกว่าที่ระบุ นักวิเคราะห์ Onchain ชี้ว่าการโจมตีครั้งนี้มาในรูปแบบของ "เงินเฟ้อในระบบอุปทาน" (Supply inflation) แทนที่จะเป็นการขโมยสินทรัพย์ค้ำประกันโดยตรง โทเค็นใหม่ 80 ล้านเหรียญได้เข้าไปเจือจางอุปทานเดิม และการเทขายของผู้โจมตีได้ทำลายสภาพคล่องในพูลจนหมดสิ้น ใครก็ตามที่ถือ USR ในเวลานั้นต้องเผชิญกับผลขาดทุนทันที
การหลุดมูลค่า (Depeg) ยังลามไปถึงตลาดกู้ยืม DeFi โดย USR และโทเค็นอนุพันธ์ wstUSR ถูกใช้เป็นสินทรัพย์ค้ำประกันบนแพลตฟอร์มอย่าง Morpho และ Gauntlet เทรดเดอร์ที่ฉวยโอกาสอาจซื้อ USR ในราคาตลาดที่ลดต่ำลง และนำไปกู้ USDC ออกมาโดยอิงจากมูลค่าที่ถูกกำหนดไว้ล่วงหน้า (Hardcoded) ที่ 1 ดอลลาร์ ซึ่งส่งผลให้สภาพคล่องของ Stablecoin ในห้องเก็บสินทรัพย์เหล่านั้นถูกสูบออกไป
ความเสียหายยังอาจลามไปถึงส่วนที่รับความเสี่ยงสูง (Junior Tranche) ของ Resolv ด้วย โดย YieldsAndMore ระบุว่า Resolv Liquidity Pool (RLP) ซึ่งทำหน้าที่เป็นชั้นประกันเพื่อรองรับผลขาดทุนแทนผู้ถือ USR มีมูลค่าหมุนเวียนประมาณ 38.6 ล้านดอลลาร์ก่อนเหตุการณ์ โดยผู้ถือครอง RLP รายใหญ่ที่สุดคือ Stream Finance ซึ่งเป็นโปรโตคอลที่เคยเปิดเผยผลขาดทุน 93 ล้านดอลลาร์ในเดือนพฤศจิกายน 2025 จากการยักยอกสินทรัพย์ของผู้จัดการกองทุนภายนอก ปัจจุบัน Stream ถือครอง RLP บน Morpho มูลค่าราว 17 ล้านดอลลาร์ ซึ่งหมายความว่าผู้ฝากเงินของพวกเขาอาจต้องเผชิญกับการสูญเสียครั้งใหญ่อีกครั้ง
บทเรียนจากปี 2026: สถิติการแฮก DeFi ยังพุ่งไม่หยุด
เหตุการณ์ของ Resolv เป็นคดีล่าสุดในระลอกการโจมตีคริปโตช่วงต้นปี 2026 โดยในเดือนมกราคม Truebit สูญเสีย 26.6 ล้านดอลลาร์ และ Makina Finance สูญเสียราว 5 ล้านดอลลาร์ รายงานจาก Immunefi เมื่อสัปดาห์ที่แล้วระบุว่า ค่าเฉลี่ยความเสียหายจากการแฮกคริปโตในปัจจุบันอยู่ที่ประมาณ 25 ล้านดอลลาร์ต่อครั้ง
จังหวะเวลาของเหตุการณ์นี้ยังน่าสนใจในแง่ของนโยบาย เนื่องจากฝ่ายนิติบัญญัติของสหรัฐฯ กำลังถกเถียงกันถึงวิธีการกำกับดูแล Stablecoin ที่ให้ผลตอบแทนภายใต้กฎหมาย GENIUS Act โดยสมาคมธนาคารอเมริกันได้เตือนว่าผลิตภัณฑ์เหล่านี้อาจดึงเงินฝากออกจากธนาคารดั้งเดิม ขณะที่สมาชิกวุฒิสภาคนสำคัญเพิ่งบรรลุ "ข้อตกลงในหลักการ" เกี่ยวกับการจัดการผลตอบแทนของ Stablecoin เมื่อวันศุกร์ที่ผ่านมา
Tag
ยอดนิยมในตอนนี้