ช่องโหว่ด้านความปลอดภัยของ KelpDAO ถูกโจมตีและสร้างรายได้ 292 ล้านดอลลาร์สหรัฐ โดยกลุ่ม Lazarus Group มีส่วนเกี่ยวข้องกับการโจมตีครั้งนี้

เมื่อวันที่ 18 เมษายน 2026 ผู้โจมตีได้ลงมือ ถอน rsETH ออกไป 116,500 เหรียญ โทเค็นมูลค่าประมาณ 292 ล้านดอลลาร์ถูกขโมยไปจากสะพานเชื่อมข้ามเครือข่ายของ KelpDAO ส่งผลให้เกิดการโจรกรรมข้อมูลในระบบ DeFi ครั้งใหญ่ที่สุดครั้งหนึ่งของปีนี้ 

การแฮ็กครั้งนี้ทำให้โทเค็น rsETH หายไปประมาณ 18% จากจำนวนโทเค็นทั้งหมด 630,000 โทเค็น ส่งผลให้ตลาดในแพลตฟอร์มการให้ยืมหลักๆ หยุดชะงัก และมูลค่ารวมที่ถูกล็อกไว้ (TVL) ใน DeFi ลดลงมากกว่า 13 พันล้านดอลลาร์ภายใน 48 ชั่วโมง 

LayerZero ซึ่งเป็นบริษัทที่โครงสร้างพื้นฐานของสะพานเชื่อมต่อดังกล่าวพึ่งพา ได้ชี้ไปที่การเลือกการกำหนดค่าโดย KelpDAO ว่าเป็นสาเหตุหลัก ในขณะที่การระบุผู้กระทำความผิดเบื้องต้นเชื่อมโยงการโจมตีไปยังกลุ่ม Lazarus ของเกาหลีเหนือ

สะพาน KelpDAO แห้งได้อย่างไร?

KelpDAO เป็นโปรโตคอลการรีสเกมมิ่งที่มีสภาพคล่องสูง ซึ่งเป็นแพลตฟอร์ม DeFi ประเภทหนึ่งที่รับเงินฝากจากผู้ใช้ ETHโดยส่งผ่าน EigenLayer เพื่อให้ได้ผลตอบแทนเพิ่มเติมจากผลตอบแทนมาตรฐาน Ethereum rsETH ได้รับรางวัลจากการวางเดิมพัน และออกเป็นโทเค็นใบเสร็จที่สามารถซื้อขายได้ ลองนึกถึง rsETH ว่าเป็นเช็คยืนยันการรับสิทธิ์: มันแสดงถึงเงินที่วางเดิมพันไว้ ETH และผลตอบแทนที่ได้รับ ซึ่งสามารถนำไปซื้อขายหรือใช้เป็นหลักประกันในระบบ DeFi ได้

สะพานที่ถูกระบายน้ำออกนั้นสร้างขึ้นโดยใช้มาตรฐาน OFT (Omnichain Fungible Token) ของ LayerZero LayerZero เป็นเลเยอร์การส่งข้อความข้ามเชน ซึ่งหมายความว่าเป็นโครงสร้างพื้นฐานที่ช่วยให้บล็อกเชนต่างๆ สามารถส่งคำสั่งที่ได้รับการตรวจสอบแล้วถึงกันได้ 

KelpDAO ได้ติดตั้ง rsETH ในเครือข่ายมากกว่า 20 เครือข่าย รวมถึง Base ด้วย อนุญาโตตุลาการลิเนีย บลาสต์ เสื้อคลุมและ Scroll สะพานนี้เก็บรักษาทุนสำรอง rsETH ที่ใช้เป็นหลักประกันสำหรับโทเค็นเวอร์ชันที่ถูกห่อหุ้มไว้ในเชนเลเยอร์ 2 ทั้งหมดเหล่านั้น

เมื่อเวลา 17:35 UTC ของวันที่ 18 เมษายน ผู้โจมตีได้หลอกระบบรับส่งข้อความของ LayerZero ให้เชื่อว่ามีคำสั่งข้ามเชนที่ถูกต้องส่งมาจากเครือข่ายอื่น ส่งผลให้บริดจ์ของ KelpDAO ปล่อย rsETH จำนวน 116,500 เหรียญไปยังที่อยู่ที่ผู้โจมตีควบคุมอยู่ 

สัญญาณหลายตัวฉุกเฉินของ KelpDAO หยุดชั่วคราว แกน สัญญาถูกระงับในอีก 46 นาทีต่อมา เวลา 18:21 UTC ความพยายามติดตามผลอีกสองครั้ง ในเวลา 18:26 UTC และ 18:28 UTC ล้มเหลวทั้งสองครั้งหลังจากที่ระบบหยุดชั่วคราวไปแล้ว ตามรายงานของ CoinDesk ความพยายามติดตามผลแต่ละครั้งมีข้อความที่พยายามจะถอน rsETH อีก 40,000 เหรียญ ซึ่งมีมูลค่าประมาณ 100 ล้านดอลลาร์สหรัฐ

วิธีที่ผู้โจมตีหลีกเลี่ยงชั้นการตรวจสอบ

LayerZero ได้ดำเนินการตั้งแต่นั้นมา การเผยแพร่ มีการวิเคราะห์อย่างละเอียดเกี่ยวกับวิธีการทำงานทางเทคนิคของการโจมตี และมีความซับซ้อนมากกว่าแค่ข้อผิดพลาดในสัญญาอัจฉริยะทั่วไป

ค้นพบโครงการอันน่าตื่นเต้น...

โครงการอันน่าสัญญา...

(โฆษณา)

บทความต่อ...

ระบบตรวจสอบความถูกต้องของ LayerZero อาศัยโหนด RPC ซึ่งเป็นเซิร์ฟเวอร์ที่อนุญาตให้ซอฟต์แวร์อ่านและเขียนข้อมูลบนบล็อกเชน ผู้โจมตีระบุโหนด RPC สองโหนดที่ระบบตรวจสอบความถูกต้องของ LayerZero ใช้ในการยืนยันธุรกรรมข้ามเชน พวกเขาได้แทนที่ซอฟต์แวร์ที่ทำงานบนโหนดทั้งสองนั้นด้วยเวอร์ชันที่เป็นอันตราย ซึ่งได้รับการออกแบบมาเพื่อรายงานข้อมูลอย่างหนึ่งแก่ระบบตรวจสอบความถูกต้องของ LayerZero (ว่ามีการทำธุรกรรมที่ถูกต้องเกิดขึ้น) ในขณะที่ยังคงรายงานข้อมูลที่ถูกต้องไปยังระบบอื่นๆ ทุกระบบที่สอบถามโหนดเดียวกัน การหลอกลวงแบบเลือกเฉพาะนี้ได้รับการออกแบบมาโดยเฉพาะเพื่อให้มองไม่เห็นโดยระบบตรวจสอบของ LayerZero เอง ซึ่งสอบถาม RPC เดียวกันจากที่อยู่ IP ที่แตกต่างกัน

การเจาะระบบเพียงสองโหนดนั้นไม่เพียงพอ เพราะตัวตรวจสอบของ LayerZero ยังสอบถามโหนด RPC ภายนอกที่ไม่ถูกเจาะระบบด้วย ดังนั้นผู้โจมตีจึงทำการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ต่อโหนดภายนอกเหล่านั้น เพื่อบังคับให้ระบบเปลี่ยนไปใช้โหนดที่ถูกเจาะระบบแทน 

บันทึกการรับส่งข้อมูลที่ LayerZero แชร์แสดงให้เห็นว่าการโจมตี DDoS เกิดขึ้นระหว่างเวลา 10:20 น. ถึง 11:40 น. ตามเวลาแปซิฟิก ในวันที่ 18 เมษายน เมื่อระบบสลับการทำงานทำงาน โหนดที่ถูกโจมตีได้แจ้งไปยังผู้ตรวจสอบว่ามีข้อความข้ามเชนที่ถูกต้องเข้ามาแล้ว และบริดจ์จึงปล่อย rsETH ออกมา จากนั้นซอฟต์แวร์ของโหนดที่เป็นอันตรายก็ทำลายตัวเอง ลบไบนารีและบันทึกภายในเครื่องทั้งหมด

เหตุใดการตั้งค่าของ KelpDAO จึงทำให้สิ่งนี้เป็นไปได้?

LayerZero ได้ชี้แจงอย่างชัดเจนเกี่ยวกับความรับผิดชอบที่พวกเขาเชื่อว่าควรได้รับ KelpDAO ใช้การกำหนดค่า DVN แบบ 1 ต่อ 1 DVN ย่อมาจาก Decentralized Verifier Network ซึ่งเป็นคำที่ LayerZero ใช้เรียกหน่วยงานที่ตรวจสอบข้อความข้ามเชน 

การใช้งานการกำหนดค่าแบบ 1 ต่อ 1 หมายความว่า LayerZero Labs เป็นหน่วยงานเดียวที่ยืนยันข้อความเข้าและออกจากบริดจ์ rsETH หากข้อมูลของตัวตรวจสอบรายใดรายหนึ่งถูกบุกรุก คุณก็สามารถปลอมแปลงข้อความที่ถูกต้องได้

เอกสารประกอบการบูรณาการสาธารณะของ LayerZero และการสื่อสารโดยตรงกับ KelpDAO แนะนำการตั้งค่าแบบหลายผู้ตรวจสอบ โดยจะต้องได้รับฉันทามติจาก DVN อิสระหลายแห่งก่อนที่จะยอมรับข้อความว่าถูกต้อง ภายใต้การตั้งค่าดังกล่าว การปลอมแปลงข้อมูลของผู้ตรวจสอบเพียงรายเดียวจะไม่เพียงพอที่จะทำให้ธุรกรรมฉ้อโกงผ่านไปได้

"KelpDAO เลือกใช้การกำหนดค่า DVN แบบ 1/1" LayerZero เขียนไว้ในรายงานการวิเคราะห์หลังการโจมตี "การกำหนดค่าที่มีความปลอดภัยสูงกว่าจะต้องอาศัยความเห็นพ้องต้องกันจาก DVN อิสระหลายตัว ทำให้การโจมตีนี้ไม่ได้ผลแม้ว่า DVN ตัวใดตัวหนึ่งจะถูกเจาะระบบก็ตาม"

David Schwartz ซีทีโอของ Ripple ได้กล่าวว่า... แหลม ข้อสังเกตในหัวข้อเดียวกัน เขาตั้งข้อสังเกตว่าเมื่อประเมินระบบเชื่อมต่อ DeFi สำหรับ RLUSDเขาพบว่าโปรโตคอลส่วนใหญ่มีกลไกการรักษาความปลอดภัยที่แข็งแกร่ง แต่โดยทั่วไปมักนำเสนอกลไกเหล่านั้นเป็นคุณสมบัติเสริมที่เพิ่มความซับซ้อนในการดำเนินงาน 

ในมุมมองของเขา ข้อความโดยนัยจากผู้ขายคือ ลูกค้าไม่ควรเสียเวลาใช้คุณสมบัติความปลอดภัยที่สำคัญที่สุด เพราะมันไม่สะดวก เขาอธิบายว่าเขารู้สึกว่า KelpDAO น่าจะเลือกที่จะไม่ใช้คุณสมบัติความปลอดภัยหลักของ LayerZero ด้วยเหตุผลนั้นเอง

ชวาร์ตซ์กล่าวว่า "ผมรู้สึกว่าปัญหาบางส่วนอาจเกิดจากที่ KelpDAO เลือกที่จะไม่ใช้คุณสมบัติความปลอดภัยหลักของ LayerZero ด้วยเหตุผลด้านความสะดวกสบาย" 

KelpDAO ยังไม่ได้ออกมาตอบโต้ข้อกล่าวหาของ LayerZero หรือชี้แจงว่าเหตุใดจึงใช้ระบบตรวจสอบแบบ 1 ต่อ 1 ทั้งๆ ที่มีคำแนะนำเหล่านั้น

เกิดอะไรขึ้นกับ rsETH หลังจากถูกดึงข้อมูลออกไป?

เนื่องจากบริดจ์ถือครองเงินสำรองที่รองรับ rsETH ในทุกเชนเลเยอร์ 2 ที่ใช้งานอยู่ การที่เงินถูกดึงออกไปทำให้ผู้ถือครองในเครือข่ายเหล่านั้นต้องเผชิญกับคำถามสำคัญว่า: มีอะไรที่รองรับโทเค็นของฉันอยู่หรือไม่? ความไม่แน่นอนนี้สร้างวงจรป้อนกลับ: ความกังวลเกี่ยวกับการสนับสนุนในเชนเลเยอร์ 2 อาจผลักดันให้ผู้ถือครองแลก rsETH ของตนเป็นอย่างอื่น ETH on Ethereum ซึ่งอาจส่งผลให้ KelpDAO ต้องยกเลิกการวางเดิมพันซ้ำใน EigenLayer เพื่อรองรับการถอนเงินเหล่านั้น

KelpDAO ยืนยันเหตุการณ์ดังกล่าวในโพสต์สาธารณะครั้งแรกบน X เมื่อเวลา 20:10 UTC ซึ่งเป็นเวลาเกือบสามชั่วโมงหลังจากเกิดการถอนเหรียญ โปรโตคอลระบุว่ากำลังทำงานร่วมกับ LayerZero, Unichain, ผู้ตรวจสอบบัญชี และผู้เชี่ยวชาญด้านความปลอดภัยภายนอกเพื่อทำการสอบสวน

โปรโตคอลใดบ้างที่ทำให้ตลาดหยุดชะงัก?

โรคระบาดแพร่กระจายอย่างรวดเร็วทั่วระบบ DeFi:

• Aave การโจมตีดังกล่าวทำให้ตลาด rsETH บนทั้ง V3 และ V4 หยุดชะงักภายในเวลาไม่กี่ชั่วโมง ผู้ก่อตั้ง Stani Kulechov ชี้แจงว่าการโจมตีนั้นมาจากภายนอก Aaveสัญญาของเขาเองไม่ได้รับผลกระทบ
• SparkLend และ Fluid ต่างระงับการซื้อขาย rsETH ในตลาดของตน
• Lido Finance ได้ระงับการรับฝากเงินเพิ่มเติมในผลิตภัณฑ์ earnETH ซึ่งมีความเสี่ยงต่อ rsETH ไว้ชั่วคราว พร้อมทั้งชี้แจงว่า stETH และ wstETH ไม่ได้รับผลกระทบ
• เอเธน่า ได้ระงับการทำงานของบริดจ์ LayerZero OFT ชั่วคราว Ethereum เมนเน็ตได้โพสต์ข้อความเพื่อเป็นการป้องกันไว้ก่อน โดยระบุว่าไม่มีความเสี่ยงต่อ rsETH และยังคงมีหลักประกันเกินกว่า 101% 

มูลค่าสินทรัพย์รวมของ DeFi ลดลงไปเท่าไหร่?

ผลกระทบทางการเงินขยายวงกว้างออกไปไกลกว่าระบบนิเวศของ KelpDAO เอง มูลค่ารวมที่ถูกล็อกไว้ใน DeFi ลดลงจาก 99 พันล้านดอลลาร์เหลือ 86 พันล้านดอลลาร์ภายใน 48 ชั่วโมงหลังจากการโจมตี ซึ่งลดลงถึง 13.21 พันล้านดอลลาร์ ตามรายงาน ข้อมูลจาก DefiLlamaTVL (Total Value Licensing) เป็นมาตรวัดมาตรฐานของมูลค่ารวมของสินทรัพย์ที่ฝากไว้ในโปรโตคอล DeFi และใช้กันอย่างแพร่หลายเป็นตัวแทนของสภาพคล่องและกิจกรรมโดยรวมของตลาด

Aave เห็นเพียงลำพัง เงินฝาก 9.5 พันล้านดอลลาร์ การถอนตัวในช่วงเวลาดังกล่าว ส่งผลให้มูลค่าสินทรัพย์รวมลดลงเหลือ 17.947 พันล้านดอลลาร์ ข้อมูลระดับโปรโตคอลแสดงให้เห็นถึงการลดลงเป็นตัวเลขสองหลักในหลายแพลตฟอร์ม รวมถึง Euler, Sentora และ Aaveโดยความสูญเสียจะกระจุกตัวอยู่ในการให้กู้ยืม การวางเดิมพันซ้ำ และกลยุทธ์ผลตอบแทนที่ผูกติดกับหลักประกัน rsETH

กลไกเบื้องหลังการไหลออกเหล่านั้นตรงไปตรงมาแต่สร้างความเสียหายอย่างมาก ผู้โจมตีใช้ rsETH ที่ถูกขโมยไปเป็นหลักประกันในการกู้ยืมเงินบนแพลตฟอร์มการให้กู้ยืม เนื่องจากโทเค็นเหล่านั้นไม่มีหลักประกันที่ถูกต้องตามกฎหมายรองรับอีกต่อไป การกู้ยืมโดยใช้โทเค็นเหล่านั้นเป็นหลักประกันจึงทำให้เกิดปัญหาการขาดแคลนเงินทุนสำหรับผู้ให้กู้ มันคล้ายกับการฝากเงินปลอมในธนาคารและกู้ยืมเงินโดยใช้เงินนั้นเป็นหลักประกัน ธนาคารจึงต้องแบกรับหนี้เสีย โปรโตคอลต่างๆ จึงตอบสนองด้วยการระงับตลาดที่ได้รับผลกระทบ ซึ่งกระตุ้นให้ผู้ใช้ถอนเงินออกเป็นจำนวนมาก ส่งผลให้มูลค่ารวมของสินทรัพย์ที่ถูกล็อก (TVL) ลดลงอย่างรวดเร็ว

AAVE ลดลง 18% ในช่วง 48 ชั่วโมงที่ผ่านมา

กลุ่มลาซารัสอยู่เบื้องหลังการโจมตีครั้งนี้หรือไม่?

LayerZero ระบุอย่างมั่นใจเบื้องต้นว่าการโจมตีครั้งนี้เป็นฝีมือของกลุ่ม Lazarus Group ของเกาหลีเหนือและหน่วยงานย่อย TraderTraitor โดยอิงจากการวิเคราะห์วิธีการและโครงสร้างพื้นฐานของผู้โจมตี ปีเตอร์ ชุง หัวหน้าฝ่ายวิจัยของ Presto Research กล่าวในบันทึกการวิจัยว่า เหตุการณ์นี้เน้นย้ำถึงความเสี่ยงในโครงสร้างพื้นฐานข้ามเครือข่าย โดยเฉพาะอย่างยิ่งในระบบการตรวจสอบ และการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าปัญหาเกิดขึ้นในชั้นการตรวจสอบมากกว่าในสัญญาอัจฉริยะเอง

หากการระบุผู้กระทำผิดถูกต้อง การโจมตี KelpDAO จะถือเป็นการโจรกรรมข้อมูลในระบบ DeFi ครั้งใหญ่ครั้งที่สองที่เชื่อมโยงกับ Lazarus Group ภายใน 18 วัน โดยเหตุการณ์ดังกล่าวเกิดขึ้นเมื่อวันที่ 1 เมษายน โซลานาโปรโตคอล Drift ซึ่งเป็นโปรโตคอลที่ใช้เหรียญคริปโตแบบไม่จำกัดระยะเวลา ถูกโจมตีและขโมยเงินไปประมาณ 285 ล้านดอลลาร์สหรัฐ โดยการโจมตีครั้งนี้เชื่อมโยงกับหน่วยงานเดียวกันของเกาหลีเหนือ การโจมตีทั้งสองครั้งใช้วิธีการที่แตกต่างกันในเชิงโครงสร้าง คือ การใช้เทคนิคทางสังคม (Social Engineering) กับ Drift และการโจมตีด้วยการวางยาพิษโครงสร้างพื้นฐาน (Infrastructure Poisoning) กับ KelpDAO เมื่อรวมกันแล้ว เหตุการณ์ทั้งสองทำให้เงินใน DeFi หายไปมากกว่า 575 ล้านดอลลาร์สหรัฐภายในเวลาไม่ถึงสามสัปดาห์

หลังจากถูกโจมตี LayerZero ได้ทำอะไรไปบ้างแล้ว?

LayerZero ยืนยันว่าไม่มีการแพร่เชื้อไปยังแอปพลิเคชันอื่นใดบนโปรโตคอล โทเค็นมาตรฐาน OFT และแอปพลิเคชันทั้งหมดที่ใช้การตั้งค่าตัวตรวจสอบหลายตัวไม่ได้รับผลกระทบ ตัวตรวจสอบของ LayerZero Labs กลับมาใช้งานได้แล้ว บริษัทฯ ยังประกาศด้วยว่าจะไม่ลงนามข้อความสำหรับแอปพลิเคชันใด ๆ ที่ใช้การกำหนดค่า DVN แบบ 1 ใน 1 อีกต่อไป ซึ่งเป็นการบังคับให้โปรโตคอลทั้งหมดเปลี่ยนไปใช้การตั้งค่าตัวตรวจสอบอื่นแทนตัวตรวจสอบเดี่ยวอย่างมีประสิทธิภาพ

สรุป

การโจมตี KelpDAO ไม่ใช่ข้อผิดพลาดในโค้ดของ LayerZero แต่เป็นการโจมตีโครงสร้างพื้นฐานโดยเจาะจง ซึ่งเกิดขึ้นได้จากการตัดสินใจด้านการกำหนดค่าเพียงอย่างเดียว นั่นคือ การใช้การตั้งค่าตัวตรวจสอบแบบ 1 ต่อ 1 ทั้งๆ ที่มีคำแนะนำให้หลีกเลี่ยง ผู้โจมตี ซึ่งเบื้องต้นคาดว่าเป็นกลุ่ม Lazarus จากเกาหลีเหนือ ได้ทำการโจมตีโหนด RPC บังคับให้เกิดการสลับระบบผ่านการโจมตี DDoS ที่ประสานงานกัน และขโมย rsETH ไป 116,500 เหรียญ ก่อนที่ KelpDAO จะสามารถหยุดสัญญาได้ ผลกระทบที่ตามมาคือ มูลค่ารวมของสินทรัพย์ใน DeFi กว่า 13 พันล้านดอลลาร์หายไปใน 48 ชั่วโมง และระบบต่างๆ หยุดชะงัก Aaveรวมถึง SparkLend, Fluid และ Lido และการสนทนาในวงกว้างเกี่ยวกับช่องว่างระหว่างคุณสมบัติด้านความปลอดภัยที่ตัวเชื่อมต่อข้ามเชนนำเสนอและคุณสมบัติที่ผู้ผสานรวมใช้งานจริง

แหล่งข้อมูล

1. Lookonchain บน X: โพสต์ (18 เมษายน - 20 เมษายน)

2. รายงานโดย CoinDesk: การโจรกรรมข้อมูลคริปโตครั้งใหญ่ที่สุดในปี 2026: เงิน 292 ล้านดอลลาร์ถูกดูดออกจาก Kelp DAO โดยมีอีเธอร์ที่ถูกห่อหุ้มกระจัดกระจายอยู่ทั่ว 20 เครือข่าย

3. เลเยอร์ซีโร่บน Xโพสต์เมื่อวันที่ 20 เมษายน

4. รายงานโดย เดอะบล็อค: สะพานเชื่อม rsETH ของ Kelp DAO ถูกโจมตีโดยใช้ช่องโหว่ LayerZero คิดเป็นมูลค่าประมาณ 292 ล้านดอลลาร์สหรัฐ

5. พอร์ทัล DeFiLlamaข้อมูล TVL ของ DeFi