โลก DeFi ตกอยู่ภายใต้อิทธิพลของพายุอีกครั้ง

เมื่อวันที่ 3 พฤศจิกายน หลายโครงการที่ใช้สถาปัตยกรรม Balancer V2 ต้องเผชิญกับการโจมตีที่วางแผนมาอย่างพิถีพิถัน ส่งผลให้เกิดความสูญเสียมากกว่า 120 ล้านดอลลาร์สหรัฐ เหตุการณ์นี้ไม่เพียงส่งผลกระทบต่อเมนเน็ตของ Ethereum เท่านั้น แต่ยังแพร่กระจายไปยังเชนอื่นๆ เช่น Arbitrum, Sonic และ Berachain ซึ่งกลายเป็นอีกหนึ่งเหตุการณ์โจมตีด้านความปลอดภัยทั่วทั้งอุตสาหกรรม ต่อจากเหตุการณ์ Euler Finance และ Curve Finance

การวิเคราะห์เบื้องต้นของ BlockSec ระบุว่านี่คือ "การโจมตีเพื่อปั่นราคาที่ซับซ้อนสูง" แก่นแท้ของการโจมตีนี้อยู่ที่การที่ผู้โจมตีบิดเบือนตรรกะการคำนวณราคาของ BPT (Balancer Pool Token) โดยการใช้ประโยชน์จากข้อผิดพลาดในการปัดเศษในค่าคงที่ ผู้โจมตีสร้างการบิดเบือนราคาและทำกำไรซ้ำแล้วซ้ำเล่าจากการแลกเปลี่ยนชุดเดียว

หากใช้การโจมตีธุรกรรมบน Arbitrum เป็นตัวอย่าง การโจมตีจะประกอบด้วย 3 ขั้นตอน:

โดยสรุป นี่คือการโจมตีอย่างแม่นยำซึ่งสร้างขึ้นบนขอบเขตของคณิตศาสตร์และโค้ด

Balancer ยืนยันอย่างเป็นทางการแล้วว่า V2 Composable Stable Pools ของตนถูกโจมตีด้วยช่องโหว่ ขณะนี้ทีมงานกำลังทำงานร่วมกับนักวิจัยด้านความปลอดภัยระดับสูงในการตรวจสอบ และให้คำมั่นว่าจะเผยแพร่รายงานการวิเคราะห์หลังเหตุการณ์ฉบับเต็มโดยเร็วที่สุด พูลที่ได้รับผลกระทบทั้งหมดที่สามารถหยุดการทำงานชั่วคราวได้จะถูกแช่แข็งและเข้าสู่โหมดการกู้คืนทันที ช่องโหว่นี้ส่งผลกระทบต่อ V2 Composable Stable Pools เท่านั้น และไม่ส่งผลกระทบต่อ Balancer V3 หรือพูลประเภทอื่นๆ

หลังจากเหตุการณ์ช่องโหว่ Balancer V2 โครงการที่แยก Balancer ออกมาต้องเผชิญกับความผันผวนอย่างมาก ข้อมูลจาก DeFiLlama ระบุว่า ณ วันที่ 4 พฤศจิกายน มูลค่ารวมที่ถูกล็อก (TVL) ของโครงการที่เกี่ยวข้องอยู่ที่ประมาณ 49.34 ล้านดอลลาร์สหรัฐ ลดลง 22.88% ภายในวันเดียว ในบรรดาโครงการเหล่านั้น BEX ซึ่งเป็น DEX ดั้งเดิมของ Berachain มี TVL ลดลง 26.4% เหลือ 40.27 ล้านดอลลาร์สหรัฐ ซึ่งยังคงคิดเป็น 81.6% ของระบบนิเวศทั้งหมด แต่เนื่องจากระบบหยุดทำงานและสภาพคล่องบนเครือข่าย ทำให้เงินทุนไหลออกอย่างต่อเนื่อง อีกหนึ่งเหยื่อคือ Beets DEX ที่ได้รับผลกระทบหนักกว่า โดย TVL 24 ชั่วโมงลดลง 75.85% และลดลงสะสมเกือบ 79% ในช่วงเจ็ดวันที่ผ่านมา

นอกจากข้อตกลงที่กล่าวถึงข้างต้นแล้ว DEX อื่นๆ ที่ใช้สถาปัตยกรรม Balancer ก็เผชิญกับภาวะขายแบบตื่นตระหนกเช่นกัน โดย PHUX ร่วงลง 26.8% ในวันเดียว Jellyverse ร่วงลง 15.5% และ Gaming DEX ร่วงลง 89.3% ส่งผลให้สภาพคล่องหายไปเกือบหมด แม้แต่โปรเจกต์ขนาดเล็กที่ไม่ได้รับผลกระทบโดยตรง เช่น KLEX Finance, Value Liquid และ Sobal ก็มีกระแสเงินไหลออกโดยทั่วไปประมาณ 5%–20%

ปฏิกิริยาลูกโซ่เริ่มปรากฏ และ Berachain ดำเนินการ hard fork อย่างเร่งด่วน

ช่องโหว่นี้ซึ่งมีต้นตอมาจาก Balancer V2 ทำให้เกิดปฏิกิริยาลูกโซ่ที่ใหญ่ขึ้นอย่างรวดเร็ว

Berachain ซึ่งเป็นบล็อกเชนสาธารณะที่เพิ่งเกิดใหม่ซึ่งสร้างขึ้นบน Cosmos SDK ก็ถูกแฮ็กภายในไม่กี่ชั่วโมงเช่นกัน เนื่องจาก BEX ใช้สถาปัตยกรรมสัญญา Balancer V2 เช่นกัน หลังจากค้นพบความผิดปกตินี้ ทางมูลนิธิจึงประกาศ "ปิดระบบทั้งหมด" อย่างรวดเร็ว

มีรายงานว่าสินทรัพย์ USDe Tripool ของ BEX และสินทรัพย์สภาพคล่องอื่นๆ ถูกบุกรุก ส่งผลกระทบต่อเงินทุนประมาณ 12 ล้านดอลลาร์ ผู้โจมตีใช้ประโยชน์จากช่องโหว่ทางตรรกะเดียวกันกับ Balancer โดยขโมยเงินทุนผ่านสมาร์ทคอนแทรคหลายรายการ เนื่องจากสินทรัพย์บางส่วนไม่ใช่โทเค็นดั้งเดิม ทีมงานจึงต้องใช้การฮาร์ดฟอร์กเพื่อย้อนกลับบล็อกบางส่วนเพื่อกู้คืนและติดตามให้เสร็จสมบูรณ์

ในขณะเดียวกัน โปรโตคอลต่างๆ ภายในระบบนิเวศ Berachain รวมถึง Ethena, Relay และ HONEY ก็ได้นำมาตรการป้องกันมาใช้ด้วยเช่นกัน:

มูลนิธิ Berachain ระบุว่ามีการวางแผนระงับเครือข่าย Berachain และเครือข่ายจะกลับมาทำงานตามปกติในเร็วๆ นี้ ช่องโหว่ Balancer ส่งผลกระทบต่อพูล Ethena, Honey และ Ethena เป็นหลัก ซึ่งเกิดจากธุรกรรมสัญญาอัจฉริยะที่ค่อนข้างซับซ้อน เนื่องจากช่องโหว่นี้ส่งผลกระทบต่อสินทรัพย์ที่ไม่ใช่แบบดั้งเดิม (ไม่ใช่แค่ BERA) กระบวนการโรลแบ็ค/โรลฟอร์เวิร์ดจึงไม่ใช่แค่การฮาร์ดฟอร์ก ดังนั้นเครือข่ายจะถูกระงับเพื่อดำเนินการแก้ไขปัญหาอย่างครอบคลุมจนกว่าจะได้โซลูชันขั้นสุดท้าย

เมื่อวันที่ 4 พฤศจิกายน มูลนิธิ Berachain ระบุว่าไบนารีฮาร์ดฟอร์กได้ถูกแจกจ่ายไปแล้ว และโหนดตรวจสอบความถูกต้องบางโหนดได้รับการอัปเกรด ก่อนที่จะเริ่มใช้งานและสร้างบล็อกอีกครั้ง มูลนิธิต้องการให้แน่ใจว่าพาร์ทเนอร์โครงสร้างพื้นฐานหลักที่จำเป็นสำหรับการดำเนินงานแบบออนเชน (เช่น ออราเคิลสำหรับชำระบัญชี) ได้อัปเดต RPC ของตนแล้ว เนื่องจากสิ่งเหล่านี้จะเป็นอุปสรรคหลักในการกู้คืนการดำเนินงานแบบออนเชน หลังจากดำเนินการตามคำขอ RPC สำหรับบริการหลักเสร็จสิ้นแล้ว ทีมงานจะประสานงานกับบริดจ์แบบครอสเชน พาร์ทเนอร์ CEX ผู้ดูแล และบุคคลอื่นๆ เพื่อกู้คืนบริการ

ในขณะเดียวกัน ผู้ดำเนินการบ็อต Berachain MEV ได้ติดต่อมูลนิธิหลังจากที่บล็อกเชนถูกระงับ โดยอ้างว่าเป็น "หมวกขาว" ในการถอนเงินและส่งข้อความบนบล็อกเชน พวกเขาแสดงความเต็มใจที่จะลงนามล่วงหน้าสำหรับธุรกรรมชุดหนึ่ง เพื่อให้สามารถโอนเงินกลับคืนได้หลังจากที่บล็อกเชนเปิดใช้งาน

ความปลอดภัยมาก่อนหรือการกระจายอำนาจ?

“เรารู้ว่าเรื่องนี้เป็นเรื่องที่ถกเถียงกัน แต่เมื่อสินทรัพย์ของผู้ใช้มูลค่าราว 12 ล้านดอลลาร์ตกอยู่ในความเสี่ยง การปกป้องผู้ใช้จึงเป็นทางเลือกเดียว” Smokey The Bera ผู้ก่อตั้งร่วมของ Berachain กล่าวตอบคำถามของชุมชนเกี่ยวกับเรื่อง “การรวมศูนย์”

ในแถลงการณ์ เขายอมรับว่า Berachain ยังไม่บรรลุการกระจายอำนาจในระดับ Ethereum และกลไกการประสานงานระหว่างผู้ตรวจสอบเป็นเหมือน "ศูนย์บัญชาการวิกฤต" มากกว่าเครือข่ายฉันทามติอัตโนมัติ ความจริงที่ว่าโหนดบนเชนปิดตัวลงพร้อมกันภายในหนึ่งชั่วโมงหลังจากช่องโหว่เกิดขึ้น แสดงให้เห็นถึงประสิทธิภาพของการตัดสินใจแบบรวมศูนย์ แต่ยังเผยให้เห็นระดับของการรวมศูนย์ในชั้นการกำกับดูแลอีกด้วย

ปฏิกิริยาของชุมชนแตกออกเป็นสองฝ่ายทันที

ผู้สนับสนุนโต้แย้งว่าการเคลื่อนไหวนี้สะท้อนถึงความรู้สึกของทีมที่มีต่อความรับผิดชอบต่อความปลอดภัยของผู้ใช้และเป็น "แนวทางที่สมจริงในการกระจายอำนาจ" ในทางกลับกัน ฝ่ายตรงข้ามกล่าวหาว่าการเคลื่อนไหวนี้ละเมิดหลักการ "โค้ดคือกฎหมาย" และเป็นการทรยศต่อความไม่สามารถย้อนกลับของออนเชนอย่างโจ่งแจ้ง

ในความเห็นของเขา นักสืบด้านบล็อคเชน ZachXBT กล่าวว่า "นี่เป็นการตัดสินใจที่ยากลำบากแต่ถูกต้อง เนื่องจากเงินของผู้ใช้ตกอยู่ในความเสี่ยง"

อย่างไรก็ตาม นักพัฒนาหัวรุนแรงบางรายกล่าวอย่างตรงไปตรงมาว่า: "หากบล็อคเชนสามารถหยุดชะงักได้ทุกเมื่อ แล้วจะมีความแตกต่างระหว่างมันกับระบบการเงินแบบดั้งเดิมอย่างไร"

เงาของเหตุการณ์ DAO กลับมาปรากฏอีกครั้ง

เหตุการณ์นี้ทำให้ผู้ที่อยู่ในอุตสาหกรรมหลายคนนึกถึงเหตุการณ์แฮ็ก Ethereum DAO เมื่อปี 2016 ในเวลานั้น เพื่อที่จะกู้คืนเงิน 50 ล้านเหรียญที่ถูกขโมยไป Ethereum ตัดสินใจย้อนกลับธุรกรรมผ่าน hard fork ซึ่งส่งผลให้ชุมชนถูกแบ่งออกเป็น Ethereum (ETH) และ Ethereum Classic (ETC)

เก้าปีต่อมา ทางเลือกที่คล้ายกันก็เกิดขึ้นอีกครั้ง

เหตุการณ์นี้ทำให้ผู้ที่อยู่ในอุตสาหกรรมหลายคนนึกถึงเหตุการณ์แฮ็ก Ethereum DAO เมื่อปี 2016 ในเวลานั้น เพื่อที่จะกู้คืนเงิน 50 ล้านเหรียญที่ถูกขโมยไป Ethereum ตัดสินใจย้อนกลับธุรกรรมผ่าน hard fork ซึ่งส่งผลให้ชุมชนถูกแบ่งออกเป็น Ethereum (ETH) และ Ethereum Classic (ETC)

เก้าปีต่อมา ทางเลือกที่คล้ายกันก็เกิดขึ้นอีกครั้ง

ความแตกต่างในครั้งนี้คือ ตัวเอกคือบล็อกเชนสาธารณะที่ยังอยู่ในช่วงเริ่มต้นของการพัฒนา ยังไม่มีการกระจายอำนาจมากพอ และยังไม่มีขนาดที่สามารถรองรับฉันทามติระดับโลกได้

แม้ว่าการแทรกแซงของ Berachain จะช่วยป้องกันการสูญเสียเพิ่มเติมได้ แต่ก็ยังคงตั้งคำถามเชิงปรัชญาขึ้นมาอีกครั้งว่าบล็อคเชนสามารถเป็นอิสระได้อย่างแท้จริงหรือไม่

ในอีกแง่หนึ่ง นี่ก็เป็นภาพสะท้อนของระบบนิเวศ DeFi ด้วยเช่นกัน นั่นก็คือ ความปลอดภัย ประสิทธิภาพ และการกระจายอำนาจ ซึ่งความสมดุลระหว่างสามสิ่งนี้ไม่เคยเกิดขึ้นจริงเลย

เมื่อแฮกเกอร์สามารถทำลายทรัพย์สินมูลค่าหลายสิบล้านดอลลาร์ได้ภายในไม่กี่วินาที "อุดมคติ" มักจะต้องหลีกทางให้กับ "ความเป็นจริง"

Balancer กล่าวว่าทีมงานกำลังทำงานร่วมกับนักวิจัยด้านความปลอดภัยชั้นนำ และวางแผนที่จะเผยแพร่รายงานการวิเคราะห์หลังเกิดเหตุฉบับเต็ม พร้อมทั้งเตือนผู้ใช้ให้ระวังข้อความหลอกลวงที่แอบอ้างว่าเป็นทีมงานด้านความปลอดภัย

Berachain คาดหวังว่าจะค่อยๆ ฟื้นฟูการผลิตบล็อกและฟังก์ชันธุรกรรมหลังจากการฮาร์ดฟอร์กเสร็จสิ้น

อย่างไรก็ตาม การฟื้นฟูความน่าเชื่อถือนั้นยากกว่าการแก้ไขช่องโหว่ สำหรับบล็อกเชนสาธารณะที่กำลังเกิดขึ้น การหยุดการทำงานของเชนชั่วคราวถือเป็นการแก้ไขปัญหาในระยะสั้น แต่อาจสร้างความเสียหายในระยะยาวให้กับชุมชน ผู้ใช้จะตั้งคำถามถึงความถูกต้องของการกระจายอำนาจ และนักพัฒนาจะกังวลว่าการรับประกันความไม่เปลี่ยนแปลงยังคงมีอยู่หรือไม่

โลกของ DeFi อาจกำลังนิยามการกระจายอำนาจใหม่ ไม่ใช่การปล่อยให้เป็นไปตามธรรมชาติโดยสิ้นเชิง แต่เป็นการค้นหาฉันทามติโดยมีการประนีประนอมน้อยที่สุดท่ามกลางวิกฤต