มานูเอล อราโอซ ผู้ร่วมก่อตั้ง Openzeppelin จุดชนวนการถกเถียงครั้งใหญ่ในวงการด้วยการระบุว่า การเงินแบบกระจายศูนย์ (DeFi) ไม่ปลอดภัย ผู้นำในอุตสาหกรรมโต้แย้งว่าการจัดกรอบของอราโอซพูดเกินจริงเรื่องความเสี่ยง โดยชี้ว่าความปลอดภัยของการปล่อยกู้ใน DeFi ดีขึ้นราว 98% นับตั้งแต่ปี 2020
DeFi ทั้งหมดไม่ปลอดภัยจริงหรือ? ผู้นำในอุตสาหกรรมออกมาโต้กลับหลังผู้ก่อตั้ง Openzeppelin เตือนนักลงทุนรายย่อยให้ออกจากบลูชิป
เขียนโดย
แชร์
ประเด็นสำคัญ
- ความเห็นล่าสุดของมานูเอล อราโอซ ผู้ก่อตั้ง Openzeppelin ทำให้ความกังวลด้านความปลอดภัยของ DeFi กลับมาปะทุอีกครั้ง
- ไฮน์ริช ซีอีโอของ 0G Labs ระบุว่าความปลอดภัยของการปล่อยกู้เพิ่มขึ้น 98% ตั้งแต่ปี 2020 ซึ่งหักล้างข้อกล่าวอ้างที่ว่า DeFi ทั้งหมดไม่ปลอดภัย
- ลีโอ ฟาน แห่ง Cysic คาดว่าตลาดประกันภัยจะเติบโตเกือบห้าเท่าภายในปี 2029 พร้อมกระตุ้นให้หน่วยงานกำกับดูแลมุ่งเป้าไปที่ความปลอดภัยเชิงปฏิบัติการ (opsec) มากกว่าการโฟกัสโค้ด AI
เปลี่ยนจากดราม่าเป็นข้อมูล
เมื่อมานูเอล อราโอซ ผู้ร่วมก่อตั้งและอดีตประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ Openzeppelin นิยาม การเงินแบบกระจายศูนย์ (DeFi) ว่าไม่ปลอดภัยทั้งหมด มันได้เขย่าวงการที่กำลังสะเทือนอยู่แล้วจาก จำนวนการแฮ็กที่พุ่งสูงขึ้น โดยตอกย้ำประเด็นช่องโหว่นี้ บทวิเคราะห์ล่าสุด ของบริษัทความปลอดภัยบล็อกเชน Peckshield พบว่า การโจมตีช่องโหว่โปรโตคอลข้ามเชนเพียงอย่างเดียวได้ดูดเงินออกไป $328.6 ล้าน ตั้งแต่ต้นปีจนถึงกลางเดือนพฤษภาคม
คำเตือนที่ไวรัลของอราโอซบีบให้ Openzeppelin ต้อง ออกมาสร้างระยะห่างต่อสาธารณะ จากบางส่วนของข้อกล่าวอ้างของเขา แต่ถ้อยคำดังกล่าวก็ประสบความสำเร็จในการจุดชนวนการถกเถียงอย่างดุเดือดเกี่ยวกับความปลอดภัยของ DeFi ถึงกระนั้น นักวิจารณ์ก็ปัดตกภาษาที่ดราม่าของเขาว่าเป็นความพยายามที่หวังประโยชน์ส่วนตนเพื่อปลุกปั่นความกลัวและความตื่นตระหนก ขณะที่บางคน เช่น ลีโอ ฟาน ผู้ก่อตั้ง Cysic เชื่อว่าการจัดกรอบดังกล่าวบั่นทอนความน่าเชื่อถือของสารที่แท้จริงแล้วมีแก่นสำคัญอยู่
“การห่อมันด้วย ‘หนีออกจากทุกอย่าง’ ทำให้คำเตือนที่จำเป็นกลายเป็นคอนเทนต์สายสิ้นหวัง (doomer) ไป” ฟานกล่าว “คุณไม่จำเป็นต้องใช้ดราม่าเพื่อขยับผู้คนในพื้นที่นี้ คุณต้องมีตัวเลข”
ความเห็นเดียวกันนี้ยังสะท้อนโดยไมเคิล ไฮน์ริช ผู้ร่วมก่อตั้งและซีอีโอของ 0G Labs ซึ่งชี้ไปที่การปรับปรุงความปลอดภัยของการปล่อยกู้ใน DeFi ประมาณ 98% เมื่อเทียบกับฐานปี 2020 ไฮน์ริชยังเน้นว่าอัตราการสูญเสียรายวันของโปรโตคอลปล่อยกู้รายใหญ่ลดลงอย่างชัดเจน ปัจจุบันอยู่ราว 0.001% ซึ่งเป็นอีกปัจจัยที่หักล้างคำกล่าวของอราโอซว่า “DeFi ทั้งหมดไม่ปลอดภัย”
“การบอกให้นักลงทุนรายย่อยออกจากบลูชิปอย่าง Aave และ Maker ไม่สอดคล้องกับภาพความเสี่ยงเมื่อปรับตามผลตอบแทนจริง” ไฮน์ริชบอกกับ Bitcoin.com News
ในการโต้แย้งต่อต้าน DeFi อราโอซยืนกรานว่าเอเจนต์เขียนโค้ดปัญญาประดิษฐ์ (AI) ได้พัฒนาไปอย่างก้าวกระโดดในการสแกนสมาร์ตคอนแทร็กต์โอเพ่นซอร์สและระบุช่องโหว่ซับซ้อนที่สามารถนำไปใช้โจมตีได้ด้วยความเร็วระดับเครื่อง ภัยคุกคามจากเอเจนต์เหล่านี้ร้ายแรงจนเขาได้แนะนำเป็นการส่วนตัวให้เพื่อนและครอบครัวออกจากการถือครองในโปรโตคอล DeFi “บลูชิป” รายใหญ่ที่มีมายาวนานโดยสิ้นเชิง
จุดจบของการตรวจสอบแบบคงที่
อย่างไรก็ตาม ไฮน์ริชและฟานโต้แย้งว่าการเพิ่มขึ้นของผู้โจมตี AI ระดับเหนือมนุษย์ไม่ได้หมายความว่าฝ่ายป้องกันควรทอดทิ้งสนาม แต่กลับต้องการการเปลี่ยนแปลงพื้นฐานในวิธีที่อุตสาหกรรมเข้าหาความปลอดภัย
“การตรวจสอบแบบจุดเวลา (point-in-time audit) ตายไปแล้ว แค่คนยังไม่จัดงานศพให้มัน” ฟานกล่าว เขาเตือนว่าการเปลี่ยนจากการตรวจสอบไปเป็นบั๊กบาวน์ตีทั้งหมดเป็นบทเรียนที่ผิด “คุณไม่ได้แทนที่การป้องกันด้วยการเฝ้าระวัง — คุณทำให้ช่องว่างระหว่างสองอย่างนี้ยุบลง”
ตามคำกล่าวของไฮน์ริช การพึ่งพาการตรวจสอบรายปีไม่ใช่การป้องกันที่น่าเชื่อถืออีกต่อไป แต่อนาคตของความปลอดภัยสมาร์ตคอนแทร็กต์จะพึ่งพาไปป์ไลน์การป้องกันแบบหลายชั้นที่ทำงานด้วยความเร็วระดับเครื่อง โดยที่การตรวจสอบทำหน้าที่เป็นด่านแรกมากกว่าจะเป็นเหตุการณ์ครั้งเดียว เขาได้สรุปสแตกความปลอดภัย 4 ชั้น ได้แก่ การตรวจสอบก่อนดีพลอยโดยใช้ AI ช่วยและจับคู่กับการทบทวนโดยมนุษย์ การมอนิเตอร์อย่างต่อเนื่องหลังดีพลอย บั๊กบาวน์ตีที่มีทุนสนับสนุนเพียงพอ และ AI ที่ตรวจสอบได้ฝั่งผู้ป้องกัน
เป้าหมายสูงสุด ไฮน์ริชกล่าว คือการผนวกการพิสูจน์เชิงรูปแบบ (formal verification) ในเส้นทางที่สำคัญ—ใช้หลักฐานเชิงคณิตศาสตร์แทนการทบทวนเชิงอัตวิสัย—ควบคู่กับการทบทวนแบบต่อเนื่องที่เสริมด้วย AI ซึ่งรันกับคอนแทร็กต์ที่ใช้งานจริงในลักษณะเดียวกับที่ผู้โจมตีทำ
“การตรวจสอบไม่ได้หายไป” เขากล่าว “แต่มันกลายเป็นด่านแรกในไปป์ไลน์การป้องกันด้วยความเร็วระดับเครื่อง”
นอกเหนือจากไปป์ไลน์ความปลอดภัยเชิงป้องกัน บทสนทนาเรื่องการลดความเสี่ยงก็หลีกเลี่ยงไม่ได้ที่จะไปถึงประกันภัย ซึ่งเป็นโครงสร้างพื้นฐานที่ไฮน์ริชมองว่ายังพัฒนาไม่พออย่างมากในระบบนิเวศคริปโต ตามคำกล่าวของไฮน์ริช อุปสรรคเชิงโครงสร้างบางประการทำให้ภาคประกันภัยแบบกระจายศูนย์ยังถูกจำกัด อย่างแรกคือพูลประกันต้องล็อกเงินทุนไว้ ซึ่งมิฉะนั้นอาจนำไปสร้างผลตอบแทนเชิงรุกใน DeFi ได้ที่อื่น
เพื่ออธิบายประเด็นนี้ ไฮน์ริชยกตัวอย่างผู้นำตลาดอย่าง Nexus Mutual ซึ่งถือเงินราว $190 ล้าน เมื่อเทียบกับตลาด DeFi ที่กว้างกว่าซึ่งมีมูลค่ารวมที่ล็อกไว้ (TVL) แกว่งตัวระหว่าง $40 พันล้านถึงมากกว่า $100 พันล้าน ไฮน์ริชระบุว่าอัตราส่วนเงินทุนนี้บางเชิงโครงสร้าง อีกอุปสรรคหนึ่งคือการนิยามว่าอะไรถือเป็นการโจมตีบนเชน ซึ่งเขาอธิบายว่าเป็นงานที่ไม่ง่าย
แม้มีอุปสรรคเหล่านี้ ไฮน์ริชโต้แย้งว่าการบังคับใช้ข้อกำหนดให้ต้องมีประกันภัยในทุกโปรโตคอลเป็นเครื่องมือที่ผิดในการผลักดันการยอมรับ แต่ภาคอุตสาหกรรมต้องสร้างนวัตกรรมในระดับผลิตภัณฑ์
“สิ่งที่ทำให้เกิดการเปลี่ยนแปลงจริงคือผลิตภัณฑ์ออนเชนแบบพาราเมตริกที่จ่ายเคลมอัตโนมัติจากสัญญาณที่ตรวจสอบได้ และโปรโตคอลที่บันเดิลประกันภัยเข้ากับผลิตภัณฑ์เหมือนกับค่าธรรมเนียมการชำระบัญชีในตลาดดั้งเดิม” ไฮน์ริชกล่าว
กำกับดูแลการปฏิบัติการ ไม่ใช่แค่โค้ด
แม้เครือข่ายความปลอดภัยในปัจจุบันยังแคบ แต่ความต้องการของตลาดกำลังเร่งตัว ตามการคาดการณ์เดือนมีนาคม 2026 ของ Coinlaw ตลาดประกันภัยแบบกระจายศูนย์คาดว่าจะเติบโตเกือบห้าเท่าภายในปี 2029
“เงินทุนกำลังมา” ไฮน์ริชกล่าว “สิ่งที่ขาดคือพื้นที่ผลิตภัณฑ์สำหรับนำมันไปใช้งาน”
การเปลี่ยนผ่านภายในอุตสาหกรรมไปสู่การป้องกันด้วยความเร็วระดับเครื่องและเครือข่ายความปลอดภัยอัตโนมัติ ทำให้เกิดคำถามที่กว้างขึ้นเกี่ยวกับการกำกับดูแล เมื่อผู้กำหนดนโยบายตรวจสอบความปลอดภัยสินทรัพย์ดิจิทัลเข้มข้นขึ้น ฟานเตือนว่าหน่วยงานกำกับดูแลเสี่ยงจะโฟกัสผิดเป้าเกินไป เช่น เงาของระบบ AI หลุดการควบคุม
“สัญชาตญาณด้านกฎระเบียบที่ฉลาดกว่าไม่ใช่การตื่นตระหนกต่อผู้โจมตี AI โดยเฉพาะ” ฟานกล่าว “แต่คือการโฟกัสชั้นปฏิบัติการที่เงินไหลออกจริง: การดูแลกุญแจ (key custody), ธรรมาภิบาลแบบ multisig, ความปลอดภัยของบริดจ์ และการตอบสนองต่อเหตุการณ์”
ฟานโต้แย้งว่าด้วยการบังคับใช้มาตรฐานความปลอดภัยเชิงปฏิบัติการที่เข้มงวดกับเวกเตอร์เฉพาะเหล่านี้ หน่วยงานกำกับดูแลสามารถกำจัดการสูญเสียเงินทุนส่วนใหญ่ในโลกจริงได้ การโฟกัสเฉพาะโค้ดสมาร์ตคอนแทร็กต์ แต่ละเลยการปฏิบัติการรายวัน เขาเตือน เท่ากับ “กำกับดูแล 10% แล้วพลาด 90%”
ยิ่งไปกว่านั้น ฟานชี้ถึงโครงสร้างทางเทคนิคพื้นฐานที่ผู้กำหนดนโยบายมักประเมินค่าต่ำอย่างต่อเนื่อง: คริปโตกราฟีขั้นสูง
“หลักฐานเชิงคริปโต เช่น zero-knowledge proofs ที่บอกว่าโค้ดใดถูกรันและรันได้ถูกต้อง เป็นโครงสร้างเพื่อการปฏิบัติตามกฎที่ดีกว่ารายงานตรวจสอบแบบ PDF มาก” ฟานกล่าว “มันตรวจสอบได้ด้วยคณิตศาสตร์ ไม่ใช่ด้วยความไว้ใจ นั่นคือจุดที่ผมอยากให้พลังงานด้านกฎระเบียบไปอยู่”
