Bonzo Lend บน Hedera ถูกแฮ็กสูญ 9 ล้านดอลลาร์! แฮกเกอร์ปั่นราคา SAUCE ผ่านช่องโหว่ Oracle ของ Supra
Bonzo Lend โปรโตคอลกู้ยืมรายใหญ่ที่สุดบนเครือข่าย Hedera ถูกโจมตีเมื่อวันเสาร์ที่ 11 กรกฎาคม 2569 สูญเงินราว 9 ล้านดอลลาร์ (ประมาณ 301 ล้านบาท) โดยแฮกเกอร์อาศัยช่องโหว่ในระบบ Oracle (ตัวป้อนราคาสินทรัพย์เข้าสู่ Blockchain) ของ Supra ปั่นราคาเหรียญ SAUCE ที่ใช้เป็นหลักประกันให้พุ่งสูงเกินจริง แล้วกู้ยืมสินทรัพย์ออกไปเกินมูลค่าที่ฝากจริงหลายเท่า พูดง่ายๆ ก็คือ วางหลักประกันมูลค่าไม่กี่ดอลลาร์ แต่กู้เงินออกไปได้หลายล้าน
🔍 เกิดอะไรขึ้น: หลักประกันไม่กี่ดอลลาร์ กู้เงินออกหลายล้าน
ตามรายงานเหตุการณ์เบื้องต้น (Preliminary Incident Report) ที่ทีมงาน Bonzo เผยแพร่ แฮกเกอร์เริ่มต้นด้วยการฝากเหรียญ SAUCE (โทเคนของ SaucerSwap แพลตฟอร์มแลกเปลี่ยนแบบกระจายศูนย์บน Hedera) จำนวนเพียง 250 เหรียญ ซึ่งมีมูลค่าแค่ไม่กี่ดอลลาร์ เข้าเป็นหลักประกัน
จากนั้นจึงส่งคำสั่งอัปเดตราคาปลอมเข้าสู่ระบบ ทำให้มูลค่าของ SAUCE พองตัวขึ้นราว 12 หลัก (12 orders of magnitude) หรือประมาณล้านล้านเท่าจากราคาจริง เมื่อระบบเข้าใจว่าหลักประกันมีมูลค่ามหาศาล แฮกเกอร์จึงกู้ยืม USDC จำนวน 6.63 ล้านเหรียญ (ราว 221 ล้านบาท) และ Wrapped HBAR อีก 34.5 ล้านเหรียญ ออกจากพูลกู้ยืมได้สำเร็จ
ที่น่าสนใจคือ มีกระเป๋าที่สองกู้ยืมออกไปอีกราว 1 ล้านดอลลาร์ (ประมาณ 33 ล้านบาท) ในช่วงเวลาเดียวกัน แต่ภายหลังกลับติดต่อกลับมาที่ Bonzo โดยระบุว่าตนเองเป็น White-hat (แฮกเกอร์สายขาวที่เจาะระบบเพื่อชี้จุดบกพร่อง) และแจ้งว่าจะคืนสินทรัพย์ให้
⚙️ ต้นตอปัญหา: ช่องโหว่ที่ตัวตรวจสอบลายเซ็นของ Supra
Bonzo ชี้ว่าสาเหตุหลักมาจากข้อบกพร่องใน Oracle Verifier (ระบบตรวจสอบความถูกต้องของราคาที่ป้อนเข้ามา) ของ Supra ผู้ให้บริการ Oracle ภายนอก โดยระบบดังกล่าวดันยอมรับราคา SAUCE ที่ถูกปั่น ทั้งที่คำสั่งนั้นแนบมาพร้อม "ลายเซ็นที่เป็นศูนย์" (Zeroed Signature) แทนที่จะเป็นลายเซ็นที่ถูกต้องจากคณะกรรมการ Oracle ที่ได้รับอนุญาต
ทีมงานย้ำชัดว่า เหตุการณ์นี้ ไม่ใช่ช่องโหว่ในสัญญาอัจฉริยะ (Smart Contract) ของ Bonzo Lend เอง และไม่ใช่ช่องโหว่ของเครือข่ายหลัก Hedera แต่เป็นปัญหาที่ชั้น Oracle ภายนอก ซึ่ง Supra ได้ยอมรับปัญหาและปล่อยแพตช์แก้ไขบนเมนเน็ตของ Hedera เรียบร้อยแล้ว กรณีนี้สะท้อนบทเรียนสำคัญว่า แม้ตรรกะการกู้ยืมและระบบฉันทามติของเครือข่ายจะทำงานได้ตามปกติ แต่ส่วนประกอบของ Oracle จากบุคคลที่สามก็ยังเป็นจุดเสี่ยงที่สร้างความเสียหายมหาศาลได้
📉 ผลกระทบต่อ Hedera และเงินที่ไหลข้ามเชน
หลังเหตุการณ์ ข้อมูลจากแหล่งภายนอกอย่าง CoinDesk รายงานว่า มูลค่ารวมที่ถูกล็อก (TVL — Total Value Locked) ของ Bonzo ร่วงลงถึง 77% ส่วน TVL ของทั้งเครือข่าย Hedera ลดลงเกือบ 40% ภายใน 24 ชั่วโมง ด้านราคา HBAR ก็อ่อนตัวลงมาแตะราว 0.07 ดอลลาร์ต่อเหรียญ ขณะที่กระดานเทรดในเกาหลีใต้อย่าง Upbit และ Bithumb ออกประกาศเตือนนักลงทุนเกี่ยวกับ Hedera
นอกจากนี้ บริษัทความปลอดภัยอย่าง PeckShield ยังติดตามพบว่า มีเงินราว 5.25 ล้านดอลลาร์ (ประมาณ 175 ล้านบาท) ถูกโอนข้ามเชนจาก Hedera ไปยัง Ethereum ผ่านสะพานเชื่อม (Bridge) LayerZero แล้ว
🌐 ภาพใหญ่: DeFi ยังเผชิญคลื่นการโจมตีต่อเนื่องในปี 2569
เหตุการณ์นี้เป็นอีกหนึ่งรายชื่อในลิสต์การโจมตี DeFi (การเงินแบบกระจายศูนย์) ที่เพิ่มขึ้นเรื่อยๆ ในปี 2569 โดยไตรมาสที่ 2 กลายเป็นไตรมาสที่มีการแฮ็กมากที่สุดเป็นประวัติการณ์เมื่อนับตามจำนวนครั้ง คือ 83 ครั้ง คิดเป็นมูลค่าราว 755 ล้านดอลลาร์ (ประมาณ 25,126 ล้านบาท) ในจำนวนนี้ การโจมตี Bridge ข้ามเชนคิดเป็น 351 ล้านดอลลาร์ (ราว 11,681 ล้านบาท) ส่วนการโจมตีผ่านบัญชีผู้ดูแลและการปั่นราคาโทเคนปลอมรวมกันคิดเป็น 37% ของความเสียหายทั้งไตรมาส
ขณะเดียวกัน TVL รวมของ DeFi ทั้งตลาดในเดือนมิถุนายนลดลง 39% เหลือกว่า 70,000 ล้านดอลลาร์ (ราว 2.33 ล้านล้านบาท) จากประมาณ 115,000 ล้านดอลลาร์ (ราว 3.83 ล้านล้านบาท) เมื่อเดือนมกราคม โดย CryptoRank บันทึกว่ามีการแฮ็กถึง 121 ครั้ง และความเสียหายรวมราว 942 ล้านดอลลาร์ (ประมาณ 31,350 ล้านบาท) ในช่วงเวลาดังกล่าว ซึ่งเหตุการณ์ความปลอดภัยซ้ำๆ น่าจะบั่นทอนความเชื่อมั่นของผู้ใช้และเร่งให้เงินทุนไหลออกจากภาคส่วนนี้
ที่สำคัญ เหตุการณ์ Bonzo ยังมีรูปแบบคล้ายกับการโจมตีบน Stellar ก่อนหน้านี้ เมื่อเดือนกุมภาพันธ์ ที่แฮกเกอร์ดูดเงินราว 10 ล้านดอลลาร์ (ประมาณ 333 ล้านบาท) จากพูลกู้ยืมที่บริหารโดย YieldBlox DAO ด้วยวิธีการปั่นราคาหลักประกัน USTRY เช่นเดียวกัน
📎 ข่าวที่เกี่ยวข้องจาก Bitcoinaddict.com: เหตุการณ์การปั่นราคาผ่านพูลในลักษณะนี้ เราเคยรายงานกรณีคล้ายกันไว้ก่อนหน้านี้
👉 โปรโตคอล GMX ถูกแฮก! สูญเงินกว่า 40 ล้านดอลลาร์จากช่องโหว่บน GLP Pool
👉 อัปเดตคดีดิ่งเหว 88%! Humanity เผยชนวนเหตุ "แล็ปท็อปพนักงานโดนแฮก" ทำคีย์หลุด
🔗 อ้างอิงต้นฉบับ: Cointelegraph, CoinDesk / ภาพ euronews.com
💬 ความเห็นบรรณาธิการ Bitcoinaddict เหตุการณ์นี้เป็นบทเรียนคลาสสิกของโลก DeFi ที่ตอกย้ำว่า ความปลอดภัยของโปรโตคอลไม่ได้ขึ้นอยู่กับโค้ดของตัวเองเพียงอย่างเดียว แต่ยังผูกติดกับความน่าเชื่อถือของ "ส่วนประกอบภายนอก" อย่าง Oracle ที่ป้อนข้อมูลเข้ามาด้วย จุดน่าชื่นชมคือทั้ง Bonzo และ Supra ออกมาเปิดเผยรายละเอียดและเร่งแก้ไขอย่างรวดเร็วและโปร่งใส ซึ่งเป็นแนวทางจัดการวิกฤตที่อุตสาหกรรมควรเดินหน้าต่อ น่าจับตามองไม่น้อยว่ากรณีนี้จะกระตุ้นให้โปรโตคอลอื่นๆ หันมาทบทวนการตรวจสอบชั้น Oracle ของตนอย่างเข้มข้นขึ้นเพียงใด
🏷️ Tags / คีย์เวิร์ด SEO: Bonzo Lend, Hedera, Oracle Exploit, Supra, DeFi Hack, SAUCE, ปั่นราคาหลักประกัน, ความปลอดภัยคริปโต
— รายงานโดยทีมข่าว Bitcoinaddict.com