ถอดรหัสศึก THORChain โดนเจาะช่องโหว่ ‘GG20’ สูญ $10.7 ล้าน ลั่นกู้ระบบโดยไม่พิมพ์ RUNE เทขาย
THORChain (โปรโตคอลแลกเปลี่ยนสินทรัพย์ข้ามเชนแบบกระจายศูนย์) ออกรายงาน Post-mortem ยอมรับว่าเหตุแฮกครั้งล่าสุดที่สูญเงินไปราว 10.7 ล้านดอลลาร์ เกิดจาก Node Operator ที่ไม่ประสงค์ดี ใช้ช่องโหว่ใน GG20 ระบบลงนามแบบ Threshold Signature เพื่อปะติดปะต่อกุญแจส่วนตัว (Private Key) จาก Vault หนึ่ง พูดง่ายๆ ก็คือ "คนใน" ใช้ช่องโหว่ทางคริปโตกราฟีดูดเงินออกไปนั่นเอง โดยระบบตรวจสอบสภาพคล่องอัตโนมัติของโปรโตคอลทำงานหยุดการรั่วไหลได้ภายในไม่กี่นาที
🛡️ GG20 คืออะไร? ทำไมแฮกได้ทั้งที่ออกแบบมาเพื่อความปลอดภัย?
GG20 (Threshold Signature Scheme เวอร์ชันออกแบบโดย Gennaro–Goldfeder ปี 2020) เป็นระบบลงนามที่ THORChain ใช้รักษาความปลอดภัยให้กับ Vault โดยมีหลักการสำคัญคือ กระจายอำนาจการถือกุญแจ ออกไปยัง Node Operator หลายราย — ภายใต้สถานการณ์ปกติ จะไม่มี Node ใดเพียงรายเดียวที่สามารถเข้าถึงกุญแจส่วนตัวฉบับเต็มได้
แต่ในการแฮกครั้งนี้ THORChain ระบุในรายงานที่เผยแพร่เมื่อวันพุธที่ผ่านมาว่า Node Operator ที่ไม่ประสงค์ดีสามารถ "รื้อ" (reconstruct) กุญแจส่วนตัวฉบับเต็มของ Vault หนึ่งได้สำเร็จ ผ่านสิ่งที่เรียกว่า "Progressive Key Material Leakage" หรือการรั่วไหลของชิ้นส่วนกุญแจอย่างต่อเนื่องในระหว่างกระบวนการลงนามตามปกติ
⚡ ระบบตรวจจับอัตโนมัติทำงานทัน หยุดความเสียหายในไม่กี่นาที
จุดที่ทีมงาน THORChain เน้นย้ำในรายงานคือ Automatic Solvency Check หรือระบบตรวจสอบสภาพคล่องอัตโนมัติของโปรโตคอล สามารถตรวจจับความผิดปกติและสั่งหยุดการลงนามและการเทรดข้ามเชนได้ภายในไม่กี่นาที โดยไม่ต้องรอการตัดสินใจจากมนุษย์
หลังจากนั้น Node Operator ทั้งเครือข่ายได้ประสานงานกันผ่าน Discord เพื่อหยุดเครือข่ายทั้งหมด (Network Halt) ภายในเวลาประมาณ 2 ชั่วโมง พร้อมปล่อยแพตช์อุดช่องโหว่ทันที
เหตุการณ์นี้เกิดขึ้นหลังจากที่ ZachXBT (นักสืบบล็อกเชนชื่อดัง) เป็นรายแรกที่ออกมาเปิดเผยเหตุแฮกมูลค่ากว่า 10 ล้านดอลลาร์ก่อนที่ THORChain จะประกาศหยุดทุกกิจกรรมในเครือข่าย
นอกจากนี้ เดือนเมษายน 2026 ที่ผ่านมา ตลาดคริปโตเผชิญกับการโจมตีอย่างหนัก โดยข้อมูลจาก DefiLlama ระบุว่ามีการขโมยทรัพย์สินดิจิทัลไปแล้วกว่า 634 ล้านดอลลาร์ (ราว 20,738 ล้านบาท) ภายในเดือนเดียว
📋 ADR-028: แผนฟื้นฟูที่ "ไม่ขาย RUNE"
THORChain เปิดเผยเมื่อวันศุกร์ว่าเส้นทางการฟื้นฟูจะต้องผ่านการลงคะแนนของชุมชนภายใต้ข้อเสนอ ADR-028 ซึ่งปัจจุบันเปิดให้ Node Operator โหวตแล้ว สาระสำคัญของข้อเสนอ ได้แก่
- ดูดซับความเสียหายจาก Protocol-Owned Liquidity (POL) ก่อนเป็นอันดับแรก
- ส่วนที่เหลือกระจายให้กับผู้ถือ Synth (สินทรัพย์สังเคราะห์ที่ออกโดยโปรโตคอล)
- POL จะถูกถอนใช้จนหมด แต่จะเปลี่ยนเส้นทางรายได้บางส่วนของโปรโตคอลกลับมาเติม POL ในระยะยาว
- ไม่มีการสร้าง (Mint) หรือเทขาย RUNE เพิ่ม เพื่อชดเชยความเสียหาย
นอกจากนี้ ทีมงานยังเสนอ เงินรางวัล (Bounty) ให้กับผู้ที่คืนเงินที่ถูกขโมย พร้อมระบุว่าจะ "Slash" หรือยึดทรัพย์ของ Node ผู้ก่อเหตุ แต่ยังคงปกป้อง Node ที่ไม่รู้เห็นซึ่งบังเอิญอยู่ใน Vault เดียวกับผู้โจมตี
ที่น่าสนใจคือ ADR-028 เลือกเก็บโครงสร้าง GG20 TSS ไว้ในเวอร์ชันที่แพตช์และอัปเกรดแล้ว ไม่ได้ถอดทิ้งไปทั้งระบบ และจะกลับมาเปิดเทรดอีกครั้งหลังช่องโหว่ได้รับการแก้ไขเรียบร้อย
💭 เสียงจากนักวิเคราะห์: ระหว่าง "แพตช์ต่อ" กับ "Black Box"
การตัดสินใจคงโครงสร้าง GG20 ไว้ทำให้เกิดเสียงสะท้อนทั้งในเชิงบวกและลบจากวงการ:
- Bird นักวิเคราะห์โครงการคริปโตชื่อปลอม ระบุว่าช่องโหว่นี้บ่งชี้ว่า GG20 TSS อาจมี "จุดอ่อนในกระบวนการสร้างตัวเลขสุ่ม (Randomness Generation) หรือการแยกการลงนามภายในเครื่อง (Local Signing Isolation)" แต่ก็ชื่นชม Auto-safeguard ของ THORChain ที่จำกัดความเสียหายได้
- JP นักลงทุนคริปโตอีกราย กลับมองในแง่ลบกว่า โดยโพสต์บน X ว่า "ในมุมของผม GG20 มีสมมติฐานที่เปราะบางหลายจุด คุณจะแพตช์มันต่อไปก็ได้ แต่มันจะเป็น Black Box ตลอดไป"
ในด้านราคา โทเค็น RUNE ร่วงลงไป 15.5% ในสัปดาห์หลังเกิดเหตุแฮก ก่อนจะดีดกลับขึ้นมาประมาณ 4% ใน 24 ชั่วโมงล่าสุด ตามข้อมูลจาก CoinMarketCap
📎 ข่าวที่เกี่ยวข้องจาก Bitcoinaddict.com เหตุการณ์นี้เป็นเพียงหนึ่งในคลื่นการแฮก DeFi ที่รุนแรงขึ้นในช่วงไม่กี่เดือนที่ผ่านมา ซึ่งเราเคยรายงานไว้ก่อนหน้านี้
👉 สรุปดราม่า: การแฮก Kelp DAO ลุกลามสู่ Aave ทำเงินไหลออก 6.2 พันล้านดอลลาร์
👉 Sui Blockchain สั่นสะเทือน! DEX Cetus โดนแฮก ถูกขโมยสินทรัพย์กว่า $200 ล้าน
🔗 อ้างอิงต้นฉบับ: The Block / cointelegraph ภาพ reddit.com
💬 ความเห็นบรรณาธิการ Bitcoinaddict เหตุการณ์ THORChain ครั้งนี้สะท้อนภาพ DeFi ในปี 2026 ได้ค่อนข้างชัดเจน — ฝั่งหนึ่งคือความเปราะบางของระบบ Cross-chain ที่ผูกกุญแจกับ Node หลายราย ซึ่งเป็นทั้งจุดแข็งและจุดอ่อนในเวลาเดียวกัน อีกฝั่งคือพัฒนาการของระบบป้องกันอัตโนมัติที่สามารถจำกัดความเสียหายให้อยู่ที่ระดับ "ล้านต้นๆ" แทนที่จะเป็น "ร้อยล้าน" อย่างที่เคยเกิดในอดีต น่าจับตามองว่าหลัง ADR-028 ผ่านการโหวตและแพตช์ออกใช้จริง ความเชื่อมั่นในโปรโตคอลและ TSS แบบ GG20 จะกลับคืนมาในระดับไหน รวมถึงทิศทางการพัฒนา คริปโตกราฟีรุ่นต่อไป (Next-gen TSS / MPC) ของวงการจะเร่งตัวขึ้นแค่ไหน
🏷️ Tags / คีย์เวิร์ด SEO THORChain · RUNE · GG20 exploit · Threshold Signature · DeFi hack 2026 · Cross-chain bridge · ADR-028 · Post-mortem THORChain
— รายงานโดยทีมข่าว Bitcoinaddict.com