แฮกเกอร์ดูดเงิน 3 ล้านดอลลาร์จาก 86 วอลเล็ต หลังช่องโหว่ SquidRouterModule เพิ่งเกิดหลัง Squid ระดมทุน 6 ล้านดอลลาร์ได้ไม่กี่วัน

ท่ามกลางความสับสนที่เกิดขึ้น Squid รีบออกมาชี้แจงว่าโมดูล SquidRouterModule ที่ถูกโจมตีเป็นโมดูลของบุคคลที่สาม (Third-party module) สำหรับกระเป๋า Gnosis Safe ซึ่งทาง Squid ไม่ได้เป็นผู้พัฒนา ติดตั้ง หรือดำเนินการ โดยเน้นย้ำว่าโปรโตคอลหลักของ Squid และเงินทุนของผู้ใช้ไม่ได้รับผลกระทบแต่อย่างใด

วิธีการโจมตีที่หลบเลี่ยงระบบรักษาความปลอดภัยของ Gnosis Safe

จุดอ่อนของการโจมตีครั้งนี้อยู่ที่ฟังก์ชัน executeSameChainActions() ในโมดูล SquidRouterModule ซึ่งยอมรับข้อมูลคำสั่งจากภายนอกโดยไม่มีข้อจำกัด และใช้การตรวจสอบแบบใช้ข้อความตายตัวที่แฮกเกอร์สามารถนำกลับมาใช้ใหม่ได้ง่าย

สรุปขั้นตอนทางเทคนิคแบบย่อ:

1. สัญญาสวอปปลอม: แฮกเกอร์สร้าง Liquidity Pool ปลอมบน Uniswap V3 ซึ่งตนเป็นผู้ควบคุมอยู่เบื้องหลัง
2. ข้ามขั้นตอนอนุมัติ: โมดูลที่มีช่องโหว่อนุญาตให้แฮกเกอร์ปลอมตัวเป็นผู้มีสิทธิ์ในกระเป๋า Gnosis Safe ได้ โดยไม่ต้องผ่านระบบยืนยันแบบ Multi-signature ตามปกติ
3. ดูดเงินรวดเร็ว: ภายในสองชั่วโมง กระเป๋า Gnosis Safe จำนวน 86 กระเป๋าถูกดูดเงินออกไปอย่างรวดเร็วบนเครือข่าย Ethereum และ Base
4. รวมเงิน: เหรียญที่ถูกขโมยทั้งหมดกลายเป็น DAI และถูกส่งรวมเข้ากระเป๋าของแฮกเกอร์เพียงใบเดียว

รูปแบบการโจมตีแบบใหม่นี้ แตกต่างจากการแฮกครั้งใหญ่ๆ อื่นในปี 2026 ที่ส่วนใหญ่ใช้วิธีปลอมแปลงข้อความข้ามเครือข่าย (Forged cross-chain messages)

ระยะเวลาที่คาบเกี่ยวกันอย่างมีนัยยะสำคัญ

เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่อ่อนไหวต่อแบรนด์ Squid อย่างยิ่ง:

• 22 พฤษภาคม 2026: Squid ประกาศระดมทุนรอบกลยุทธ์มูลค่า 6 ล้านดอลลาร์ ทำยอดระดมทุนรวมอยู่ที่ 13.5 ล้านดอลลาร์ เพื่อขยายผลิตภัณฑ์ที่มุ่งเน้นผู้ใช้งานทั่วไป
• 25 พฤษภาคม 2026: Blockaid แจ้งเตือนการโจมตี SquidRouterModule ทำให้เกิดความสับสนในชุมชนคริปโตทันที

Squid ตอบสนองภายในไม่กี่ชั่วโมง โดยย้ำว่าโมดูลที่ถูกโจมตีนั้น “ไม่เกี่ยวข้องกับ Squid” และมีความแตกต่างเชิงโครงสร้างจากสัญญาหลักของตน การปกป้องชื่อเสียงอย่างรวดเร็วนี้จำเป็นอย่างยิ่ง เพราะชื่อของโมดูลทำให้เกิดความเชื่อมโยงโดยตรงในการรายงานข่าว

2026: ปีแห่งสถิติการแฮก Cross-Chain Bridge

เหตุการณ์ SquidRouterModule เป็นเพียงระลอกล่าสุดในคลื่นการโจมตีข้ามเครือข่ายที่ทำให้ปี 2026 เป็นปีที่เลวร้ายที่สุดด้านความปลอดภัยของสะพานเชื่อมต่อบล็อกเชน (Bridge):

จากข้อมูลของ PeckShield บริษัทด้านความปลอดภัยบล็อกเชน ระบุว่า ณ กลางเดือนพฤษภาคม 2026 มีการแฮกสะพานเชื่อมต่อบล็อกเชนครั้งใหญ่มาแล้วถึง 8 ครั้ง รวมมูลค่าความเสียหาย 328.6 ล้านดอลลาร์ และหากนับรวมการแฮกในหมวดอื่นๆ ยอดรวมความเสียหายในโลกคริปโตพุ่งเกิน 750 ล้านดอลลาร์ ภายในปลายเดือนพฤษภาคม โดยที่สะพานเชื่อมต่อบล็อกเชนคือเป้าหมายหลักอันดับหนึ่ง

รูปแบบการโจมตีแตกต่างกันไปแต่เผยให้เห็นจุดอ่อนซ้ำๆ การปลอมแปลงข้อความข้ามเครือข่ายทำให้เกิดการแฮกที่ใหญ่ที่สุด รวมถึงกรณีของ KelpDAO ที่สร้างโทเคน rsETH ปลอมขึ้นมา 116,500 เหรียญ และการแฮกสะพาน Verus ที่หลอกให้โปรโตคอลโอนเงินจากทุนสำรองของตัวเอง การรั่วไหลของ Private Key อย่างในกรณี ioTube ของ IoTeX และข้อบกพร่องของตรรกะในสัญญาอัจฉริยะก็ยังคงเป็นภัยคุกคามต่อเนื่อง การโจมตี SquidRouterModule เพิ่มรูปแบบใหม่เข้าไป นั่นคือการใช้สิทธิ์ของโมดูลwallet บุคคลที่สาม เพื่อหลบเลี่ยงกรอบความปลอดภัยที่มีอยู่

สถานะล่าสุดของเงินที่ถูกขโมย

จากรายงานล่าสุด ณ วันที่ 25-26 พฤษภาคม 2026 เงิน DAI จำนวน 3.07 ล้านเหรียญยังคงอยู่ในกระเป๋าของแฮกเกอร์ โดยไม่มีรายงานการอายัด กู้คืน หรือส่งคืนแต่อย่างใด กระเป๋าเงินของแฮกเกอร์ได้รับเงินทุนเริ่มต้นผ่าน Tornado Cash ซึ่งเป็นเครื่องมือผสมธุรกรรมเพื่อปกปิดตัวตนที่นิยมใช้ในหมู่แฮกเกอร์ DeFi

เหตุการณ์นี้ตอกย้ำความท้าทายที่เกิดขึ้นเรื้อรังในระบบนิเวศ DeFi นั่นคือ แม้แต่โครงสร้างพื้นฐานด้านวอลเล็ทที่ได้รับการตรวจสอบอย่างดีก็อาจถูกโจมตีได้ผ่านโมดูลของบุคคลที่สามที่ผู้ใช้ติดตั้งเพิ่มเข้ามาโดยไม่ตรวจสอบคุณสมบัติด้านความปลอดภัยอย่างถี่ถ้วน สำหรับผู้ใช้ Gnosis Safe บทเรียนนี้ชัดเจน — ทุกๆ โมดูลที่เพิ่มเข้ามาคือการเพิ่มพื้นผิวการโจมตี และช่องโหว่ของโมดูลสามารถก้าวข้ามระบบป้องกันแบบ Multi-signature ที่ทำให้ Gnosis Safe มีความปลอดภัยสูงไปได้