ในวันที่ 26 พฤษภาคม 2026 ผู้ร่วมก่อตั้งบริษัทรักษาความปลอดภัยที่ได้รับความไว้วางใจมากที่สุดในวงการคริปโต ได้ประกาศคำตัดสินที่สร้างคลื่นกระแทกไปทั่วโลกการเงินแบบกระจายศูนย์ (DeFi) มานูเอล อาราโอซ (Manuel Aráoz) ผู้สร้างให้ OpenZeppelin เป็นมาตรฐานสูงสุดในการตรวจสอบสัญญาอัจฉริยะ โพสต์บน X ว่าตอนนี้เขามองว่า DeFi "ทั้งหมด" ไม่ปลอดภัย และเขาได้บอกให้เพื่อนและครอบครัวถอนเงินออกมาแล้ว แม้กระทั่งจากโปรโตคอลชื่อดังระดับหัวแถว อย่าง Aave, MakerDAO และ Compound
คำเตือนนี้ไม่ใช่แค่ความกังวลเชิงทฤษฎี มันมีรากฐานมาจากความเป็นจริงอันโหดร้าย นั่นคือเดือนเมษายน 2026 ที่เพิ่งผ่านพ้นไป ได้กลายเป็นเดือนที่เลวร้ายที่สุดสำหรับการแฮ็ก DeFi ในรอบกว่าหนึ่งปี โดยที่ผู้โจมตีใช้ประโยชน์จากภูมิทัศน์ภัยคุกคามรูปแบบใหม่ที่เปลี่ยนแปลงไปอย่างสิ้นเชิง
ข้อโต้แย้งของอาราโอซเรียบง่ายอย่างแยบยล และน่าตกใจมากขึ้นด้วยความเรียบง่ายนั้น ความปลอดภัยของสัญญาอัจฉริยะนั้น "ไม่สมมาตร" มาโดยตลอด แต่ปัญญาประดิษฐ์ได้เปลี่ยนความไม่สมมาตรนั้นให้กลายเป็น "กับดัก" ฝ่ายป้องกันต้องค้นหาและแก้ไขทุกช่องโหว่ในโค้ด โครงสร้างพื้นฐาน และระบบกำกับดูแลของโปรโตคอล ในขณะที่ผู้โจมตีที่ใช้เอไอในการเขียนโค้ด (AI Coding Agents) เพียงแค่หาช่องทางเดียวที่จะโจมตีได้ก็เพียงพอแล้ว
อาราโอซเขียนว่า "Coding Agents มีความสามารถเหนือมนุษย์ในการค้นหาช่องโหว่ ความปลอดภัยของสัญญาอัจฉริยะมันไม่สมมาตรเกินไป ฝ่ายป้องกันต้องแก้ไขทุกบั๊ก ในขณะที่ผู้โจมตีต้องการแค่ช่องโหว่เดียวเพื่อขโมยเงิน"
นี่ไม่ใช่บั๊กที่การตรวจสอบที่ดีขึ้นจะแก้ไขได้ มันคือคุณสมบัติเชิงโครงสร้างของวิธีการที่เอไอใช้ในการโจมตี การป้องกันแบบดั้งเดิม เช่น ความโปร่งใสของโอเพนซอร์ส การตรวจสอบอิสระหลายครั้ง และการตรวจสอบความถูกต้องเชิงรูปแบบ ถูกออกแบบมาสำหรับยุคที่ผู้โจมตีที่เป็นมนุษย์ต้องเผชิญหน้ากับฝ่ายป้องกันที่เป็นมนุษย์ในสนามรบที่ค่อนข้างเท่าเทียมกัน แต่เอไอได้เปลี่ยนสมการนั้นไปแล้ว
คำเตือนของอาราโอซไม่ได้มาจากสุญญากาศ เดือนเมษายน 2026 เกิดเหตุการณ์โจมตีต่อเนื่องที่ดูดเงินออกจากโปรโตคอล DeFi รวมแล้วมหาศาลระหว่าง 630 ถึง 647 ล้านดอลลาร์สหรัฐ (ประมาณ 22,000 ถึง 23,000 ล้านบาท) จากกว่า 25 เหตุการณ์ ซึ่งเป็นยอดรวมรายเดือนสูงที่สุดนับตั้งแต่เดือนกุมภาพันธ์ 2025 ที่มีการสูญเสียถึง 1.47 พันล้านดอลลาร์
เดือนนี้เริ่มต้นด้วยปฏิบัติการด้านวิศวกรรมสังคมอันแนบเนียน ซึ่งสืบเนื่องมาจากกลุ่มแฮกเกอร์ Lazarus Group แห่งเกาหลีเหนือ ผู้โจมตีใช้เวลาประมาณหกเดือนในการปลูกฝังความไว้วางใจกับสมาชิกสภาความปลอดภัยของ Drift ในท้ายที่สุดหลอกให้พวกเขาล่วงหน้าทำธุรกรรม (pre-signing transactions) เพื่อให้สิทธิ์การเข้าถึงระดับสูง เมื่อเข้าไปข้างในได้แล้ว ผู้โจมตีก็ฝากโทเค็นปลอมเป็นหลักประกัน และดูดเงินไปประมาณ 285 ล้านดอลลาร์ จากกระดานเทรดแบบกระจายศูนย์บนเครือข่าย Solana นี้ ภายในเวลาประมาณ 10 วินาที
นี่ไม่ใช่บั๊กในสัญญาอัจฉริยะ แต่มันคือการโจมตีด้วยมนุษย์เพื่อประนีประนอมโครงสร้างการกำกับดูแลต่างหาก
การโจมตี DeFi ครั้งใหญ่ที่สุดของปี 2026 เกิดขึ้นกับสะพานข้ามเครือข่าย (Cross-chain Bridge) LayerZero ของ KelpDAO ผู้โจมตีสร้างโทเค็น rsETH ขึ้นมา 116,500 เหรียญ มูลค่าประมาณ 293 ล้านดอลลาร์ โดยไม่มีหลักประกันจริง และใช้โทเค็นนั้นเป็นหลักประกันเพื่อกู้ยืม ETH จริงออกไป ซึ่งต่อมาถูกย้ายผ่าน THORChain Chainalysis บริษัทวิเคราะห์บล็อกเชน ระบุในภายหลังว่า การโจมตีครั้งนี้เผยให้เห็นจุดอ่อนของการตรวจสอบนอกเครือข่าย (off-chain verification) มากกว่าจะเป็นความล้มเหลวของสัญญาอัจฉริยะแบบปกติ
ภายใน 48 ชั่วโมง ผู้ใช้ที่ตื่นตระหนกพากันถอนเงินออกมาจนเกิดผลกระทบเชิงลูกโซ่ (Bank Run) ที่กวาดล้างมูลค่าหลายพันล้านดอลลาร์ไปจาก TVL (Total Value Locked) ของ DeFi Aave ซึ่งเป็นโปรโตคอลการให้กู้ยืมรายใหญ่ที่สุด ได้ระงับการใช้งานตลาด rsETH ในหลายเวอร์ชันทันที
เหตุการณ์ร้ายแรงครั้งที่สามในเดือนเมษายน มุ่งเป้าไปที่ Wasabi ซึ่งเกี่ยวข้องกับการที่กุญแจผู้ดูแลระบบถูกบุกรุก ก่อให้เกิดผลกระทบแบบโดมิโนไปทั่วทั้งโปรโตคอล เมื่อรวมกับ Drift และ KelpDAO การโจมตีทั้งสามครั้งนี้แสดงถึงสามประเภทที่แตกต่างกันอย่างชัดเจนของ "ความล้มเหลวที่ไม่ใช่โค้ด" (non-code failures) นั่นคือ วิศวกรรมสังคม จุดอ่อนในการตรวจสอบนอกเครือข่าย และการบุกรุกโครงสร้างพื้นฐาน
นักวิเคราะห์ความปลอดภัยตั้งข้อสังเกตว่า ประเภทของช่องโหว่ที่ทำให้เกิดความสูญเสียในปี 2026 ไม่ว่าจะเป็นความล้มเหลวในการควบคุมการเข้าถึง (Access Control) การใช้ประโยชน์จากช่องโหว่ในการอัปเกรดพร็อกซี (Proxy Upgradeability) และการโจมตีสะพานข้ามเครือข่าย คือรูปแบบการโจมตีที่แทบไม่มีอยู่เลยในปี 2020
ตัวเลขวาดภาพให้เห็นอย่างชัดเจน มูลค่ารวมที่ถูกล็อกไว้ (TVL) ของ DeFi ลดลงมากกว่า 50% จากจุดสูงสุดราว 170,000 ล้านดอลลาร์ในเดือนตุลาคม 2025 มาอยู่ที่ประมาณ 38,000 ถึง 43,000 ล้านดอลลาร์ ภายในกลางเดือนพฤษภาคม 2026 ซึ่งเป็นภาวะหดตัวที่เลวร้ายที่สุดนับตั้งแต่การล่มสลายของ FTX ข้อมูลติดตามชุดหนึ่งระบุว่า TVL อยู่ที่ 82,080 ล้านดอลลาร์ในช่วงปลายเดือนพฤษภาคม ซึ่งก็ยังสะท้อนให้เห็นถึงทั้งภาวะราคาสินทรัพย์ที่ลดลงและการถอนเงินทุนออกไปจริง
คำเตือนของอาราโอซเมื่อวันที่ 26 พฤษภาคม ทำให้เกิดคลื่นเงินไหลออกระลอกใหม่ จากผู้ใช้รายย่อยและสถาบันที่ประหม่าซึ่งพยายามยึดมั่นในความหวังว่า โปรโตคอลที่ก่อตั้งมานานจะยังคงปลอดภัย ความจริงก็คือ แม้แต่โปรโตคอลที่ OpenZeppelin ช่วยรักษาความปลอดภัยมาตั้งแต่ปี 2015 อย่าง Aave, MakerDAO และ Compound ตอนนี้ก็ยังถูกผู้เชี่ยวชาญด้านความปลอดภัยที่รู้จักโค้ดของพวกเขาดีที่สุด ประกาศว่า "ไม่ปลอดภัย"
ในการเผชิญหน้ากับวิกฤตการณ์การดำรงอยู่ วงการ DeFi ได้รวมตัวกันครั้งประวัติศาสตร์เพื่อรับมืออย่างเป็นระบบ
โครงการนี้ริเริ่มและนำโดย Aave โดยมีโปรโตคอลและบริษัทมากกว่า 30 แห่ง รวมถึง Mantle, Consensys, Lido, EtherFi และ Compound ที่ให้คำมั่นว่าจะระดมทุนกว่า 300 ล้านดอลลาร์ในสกุล Ether เพื่อชดเชยหนี้เสียและกอบกู้มูลค่าหนุนหลังของ rsETH หลังจากเหตุการณ์ KelpDAO การริเริ่มครั้งนี้รวบรวมคำมั่นสัญญาได้เกิน 43,500 ETH โดย Mantle เพียงรายเดียวเสนอที่จะให้กู้ยืม ETH มากถึง 30,000 ETH แก่ Aave DAO
ธนาคาร Standard Chartered ชื่นชมความพยายามนี้ต่อสาธารณะว่าเป็นหลักฐานของการเติบโตเต็มที่ของระบบนิเวศ
สภาความปลอดภัยของ Arbitrum ได้ตัดสินใจอย่างที่ไม่เคยมีมาก่อนและอาจเป็นที่ถกเถียง โดยการอายัดและเคลื่อนย้ายร่องรอยของเงินที่ได้จากการโจมตี KelpDAO มูลค่าประมาณ 30,766 ETH โดยไม่จำเป็นต้องใช้กุญแจส่วนตัวของผู้โจมตี นี่นับเป็นหนึ่งในการแทรกแซงบนเครือข่ายที่แข็งกร้าวที่สุดเท่าที่เคยทำโดยเครือข่ายเลเยอร์ 2
KelpDAO หยุดสัญญาทั้งหมดทั้งบนเมนเน็ตและเลเยอร์ 2 ภายในไม่กี่ชั่วโมงหลังจากตรวจพบการโจมตี ด้าน Aave ก็ระงับตลาด rsETH บน V3 และ V4 เพื่อป้องกันการล้มละลายต่อเนื่องแบบลูกโซ่
หน่วยงานกำกับดูแลทางการเงินของสหภาพยุโรปเริ่มร่างข้อกำหนดการออกใบอนุญาตฉุกเฉินสำหรับโปรโตคอล DeFi ในขณะที่กระทรวงการคลังสหรัฐฯ ส่งสัญญาณถึงการตรวจสอบที่เข้มงวดขึ้นสำหรับโปรโตคอลที่ดูแลสินทรัพย์ของผู้ใช้มากกว่า 50 ล้านดอลลาร์
Tether ประกาศให้คำมั่นสัญญา 127.5 ล้านดอลลาร์ เพื่อสนับสนุนกองทุนกอบกู้ที่เชื่อมโยงกับรายได้สำหรับผู้ใช้ Drift ซึ่งถือเป็นความช่วยเหลือครั้งใหญ่ที่สุดในประวัติศาสตร์จากผู้ออก Stablecoin
แม้จะมีความพยายามพิเศษเหล่านี้ แต่ข้อโต้แย้งหลักก็ยังคงไม่ได้รับการหักล้าง คำเตือนของอาราโอซไม่ได้เกี่ยวกับยอดการโจมตีที่พุ่งสูงชั่วคราว หรือโปรโตคอลไม่กี่แห่งที่ต้องการการตรวจสอบที่ดีขึ้น มันคือการวินิจฉัยเชิงโครงสร้าง: ผู้โจมตีที่ขับเคลื่อนด้วยเอไอ ได้เปลี่ยนแปลงสมการความปลอดภัยอย่างถาวร และอุตสาหกรรมยังไม่ได้แสดงให้เห็นถึงความก้าวหน้าด้านการป้องกันที่เทียบเคียงได้
โปรโตคอลที่รอดมาได้จากเดือนเมษายน 2026 ตอนนี้กำลังดำเนินการอยู่ในโลกที่ วิศวกรรมสังคมสามารถดูดเงิน 285 ล้านดอลลาร์ภายในไม่กี่วินาที ที่ซึ่งตัวตรวจสอบสะพาน (Bridge Verifiers) สามารถถูกปลอมแปลงเพื่อสร้างหลักประกันปลอมมูลค่า 293 ล้านดอลลาร์ และที่ซึ่งเอเจนต์เอไอสามารถสแกนหาช่องโหว่ใหม่ๆ ได้เร็วกว่าที่ทีมตรวจสอบที่เป็นมนุษย์จะแก้ไขได้ทัน ตราบใดที่ยังไม่มีการแก้ไขความไม่สมมาตรนี้ในระดับพื้นฐาน ผ่านทางสถาปัตยกรรม การออกแบบการกำกับดูแลใหม่ และการป้องกันที่ขับเคลื่อนด้วยเอไอ คำเตือนของอาราโอซก็ยังคงยืนหยัดอยู่
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
มานูเอล อาราโอซ ผู้ร่วมก่อตั้ง OpenZeppelin ประกาศเมื่อ 26 พฤษภาคม 2026 ว่า "DeFi ทั้งหมด" ไม่ปลอดภัยอีกต่อไป เนื่องจากเอไอสามารถค้นหาจุดบกพร่องในสัญญาอัจฉริยะได้เร็วกว่าที่ฝ่ายป้องกันจะแก้ไขทัน สร้างความได้เปรียบที่โ...
มานูเอล อาราโอซ ผู้ร่วมก่อตั้ง OpenZeppelin ประกาศเมื่อ 26 พฤษภาคม 2026 ว่า "DeFi ทั้งหมด" ไม่ปลอดภัยอีกต่อไป เนื่องจากเอไอสามารถค้นหาจุดบกพร่องในสัญญาอัจฉริยะได้เร็วกว่าที่ฝ่ายป้องกันจะแก้ไขทัน สร้างความได้เปรียบที่โ... คำเตือนนี้มีที่มาจากเดือนเมษายน 2026 ซึ่งกลายเป็นเดือนที่เลวร้ายที่สุดสำหรับการแฮ็ก DeFi ในรอบกว่า 1 ปี ด้วยความเสียหายรวมกว่า 630 647 ล้านดอลลาร์สหรัฐ ในกว่า 25 เหตุการณ์ นำโดยการเจาะระบบ KelpDAO มูลค่า 293 ล้านดอลลา...
มูลค่ารวมที่ถูกล็อกไว้ใน DeFi (TVL) ร่วงลงกว่า 50% จากจุดสูงสุด 170,000 ล้านดอลลาร์ในเดือนตุลาคม 2025 มาอยู่ที่ประมาณ 38,000 43,000 ล้านดอลลาร์ภายในกลางเดือนพฤษภาคม 2026 ขณะที่อุตสาหกรรมเร่งผนึกกำลังผ่านกองทุนกู้ภัย "...