วงการ DeFi บน Ethereum สะเทือนอีกรอบ เมื่อโปรโตคอลสาย Yield Farming ชื่อดังอย่าง Yearn Finance ถูกโจมตีบนผลิตภัณฑ์ Yearn Ether (yETH) ที่ออกแบบมาเพื่อรวม Liquid Staking Token (LST) ยอดนิยมหลายตัวให้กลายเป็นโทเคนเดียวสำหรับนำไปต่อยอดผลตอบแทน

จากข้อมูลบนบล็อกเชน พบว่า พูล yETH ถูกดูดสภาพคล่องเกือบหมดภายใต้มิ้นต์โทเคน yETH แทบไม่จำกัด ผ่านธุรกรรมเดียว ส่งผลให้มี ETH จำนวน 1,000 เหรียญ (ราว 3 ล้านดอลลาร์) ถูกย้ายเข้าโปรโตคอลมิกเซอร์ Tornado Cash ทันทีหลังการโจมตี

โจมตีด้วย “ซูเปอร์มินต์” yETH กวาด LST ออกจากพูล

ข้อมูล on-chain ระบุว่า แฮกเกอร์ใช้สัญญาอัจฉริยะที่เพิ่งถูกดีพลอยหลายฉบับ ไล่ทำธุรกรรมอย่างแม่นยำจนสามารถ

• สร้างโทเคน yETH เพิ่มขึ้นในระดับเกือบไม่จำกัด

• นำโทเคนเหล่านี้ไปแลก LST และสินทรัพย์ในพูลออกมาเกือบหมดภายในการทำธุรกรรมเดียว

• จากนั้นย้าย ETH ส่วนหนึ่งคือ 1,000 ETH เข้า Tornado Cash เพื่อปกปิดเส้นทางเงิน

สัญญาบางตัวถูกตั้งให้ self-destruct หลังจบการโจมตี ทำให้การตามรอยเชิงเทคนิคยิ่งซับซ้อนขึ้น ขณะที่มูลค่าความเสียหายรวมทั้งหมด ณ ตอนนี้ยังไม่ชัดเจน

เหตุการณ์นี้ถูกพบโดยผู้ใช้ X ชื่อ Togbe ที่คอยมอนิเตอร์การโอนครั้งใหญ่บน Ethereum ซึ่งระบุว่าดูจาก Net Flow แล้วน่าจะเป็นการใช้กลไก “yETH super mint” ให้แฮกเกอร์ดูดสภาพคล่องออกจากพูล แม้จะมี ETH บางส่วนถูก “สละ” ไปในกระบวนการ แต่สุดท้ายก็ยังมีกำไรติดมือออกมา

Yearn ยืนยัน Vault ไม่ได้รับผลกระทบ แต่ยังอยู่ระหว่างสอบสวน

ฝั่ง Yearn Finance ออกมาประกาศบน X ว่า

“เรากำลังตรวจสอบเหตุการณ์ที่เกิดขึ้นกับ yETH LST stableswap pool และยืนยันว่า Yearn Vault ทั้ง V2 และ V3 ไม่ได้รับผลกระทบจากเหตุการณ์นี้”

นั่นหมายความว่า ผู้ใช้งานที่ฝากสินทรัพย์ผ่าน Yearn Vault โดยตรงยังไม่ถูกแตะ แต่ผู้ที่เกี่ยวข้องกับ พูล yETH อาจได้รับผลกระทบจากมูลค่าทรัพย์สินในพูลที่ถูกดึงออกไป

ในอดีต Yearn เคยเจอปัญหาด้านความปลอดภัยมาแล้วหลายครั้ง เช่น

• ปี 2021 ช่องโหว่ใน yDAI Vault ทำให้มูลค่าพอร์ตหายไปราว 11 ล้านดอลลาร์ โดยแฮกเกอร์ถือกำไรออกไปประมาณ 2.8 ล้านดอลลาร์

• ธ.ค. 2023 โปรโตคอลเผยว่ามีสคริปต์ภายในผิดพลาด ทำให้ Treasury Position หนึ่งถูก Liquidate ไปกว่า 63% แต่ยืนยันว่า เงินผู้ใช้ไม่เสียหาย

ผู้ก่อตั้งชื่อดังอย่าง Andre Cronje ก็ได้ถอนตัวจากการพัฒนา Yearn แล้วตั้งแต่ปี 2022 ทำให้การจัดการเหตุการณ์ด้านความเสี่ยงในยุคล่าสุดอยู่ในมือทีมงานชุดใหม่

บทเรียน DeFi: ความเสี่ยงของ LST Aggregator และความสำคัญของ Smart Contract Audit

กรณีของ yETH สะท้อนให้เห็นความเสี่ยงของโปรโตคอลประเภท LST Aggregator / Stableswap Pool ที่ต้องจัดการตรรกะการมินต์–รีดีมหลายชั้น หากมีบั๊กหรือการออกแบบสมการที่เปิดช่องให้ผู้โจมตี “ปั่นบาลานซ์” ก็อาจนำไปสู่การ

• สร้างโทเคนเกินจริง

• จูงให้พูลเสียสมดุลราคา

• ดูดสภาพคล่องทุกอย่างออกมาภายในไม่กี่บล็อก

แม้โปรโตคอลใหญ่ ๆ อย่าง Yearn จะผ่านการตรวจสอบโค้ด (Audit) มาหลายรอบ แต่ประวัติที่ผ่านมาในวงการ DeFi พิสูจน์แล้วว่า

“โค้ดที่ไม่ถูกอัปเดตอย่างระมัดระวัง หรือฟีเจอร์ใหม่ที่ซับซ้อนมากเกินไป มักเป็นจุดเริ่มต้นของช่องโหว่ชุดใหม่เสมอ”

ผู้ใช้งาน DeFi ที่ต้องการผลตอบแทนสูงจึงควร

• ตรวจสอบความเสี่ยงของผลิตภัณฑ์แต่ละตัว

• ติดตามข่าวด้านความปลอดภัยของโปรโตคอลอย่างใกล้ชิด

• กระจายความเสี่ยง ไม่ถือสินทรัพย์ทั้งหมดไว้ในพูลเดียว

โดยเฉพาะผลิตภัณฑ์ที่มีตรรกะเลเยอร์ซ้อนกันหลายชั้น เช่น LST Basket, Leveraged Yield, Stableswap ขั้นสูง ยิ่งต้องใช้ความระมัดระวังมากขึ้นเป็นพิเศษ

อ้างอิง : theblock.co