4 月多起 DeFi 攻擊事件後,การถกเถียงเรื่องความปลอดภัยของอุตสาหกรรมการเงินแบบกระจายอำนาจ (DeFi) กำลังเริ่มเปลี่ยนทิศทางอย่างชัดเจน ในอดีต โปรโตคอล DeFi มักถูกตรวจสอบมากที่สุดว่าโค้ดสัญญาอัจฉริยะผ่านการตรวจสอบ (audit) แล้วหรือไม่ และมีช่องโหว่ในโค้ดหรือเปล่า ทว่าล่าสุด Andre Cronje ผู้ก่อตั้ง Flying Tulip ให้สัมภาษณ์กับ Cointelegraph โดยระบุว่า ความเสี่ยงของ DeFi จำนวนมากในปัจจุบันไม่ได้อยู่แค่ในโค้ดที่อยู่บนเชนเท่านั้น แต่ยังมาจากสิทธิ์การอัปเกรด การกำกับดูแลแบบมัลติซิก (multisig) โครงสร้างพื้นฐานนอกเชน และขั้นตอนการดำเนินงานของทีม
DeFi ไม่ใช่โค้ดที่แก้ไขไม่ได้อีกต่อไป
Cronje ย้ำว่า หากยึดนิยาม DeFi ในยุคแรกที่เข้มงวดต่อแนวคิด “กระจายอำนาจ, แก้ไขไม่ได้ (immutable), ไม่ต้องเชื่อใจ” ปัจจุบันโปรโตคอลจำนวนมากก็ไม่สามารถถูกเรียกว่าเป็น DeFi แบบแท้จริงได้อีก เขายังรวม Flying Tulip เข้าไปในข้อสรุปนี้ด้วย โดยกล่าวว่าอุตสาหกรรมตอนนี้กลับกลายเป็นบริการการเงินเชิงพาณิชย์ที่ดำเนินงานโดยทีมงาน มากกว่าจะเป็นโครงสร้างพื้นฐานการเงินสาธารณะที่แก้ไขไม่ได้โดยสิ้นเชิง
เขากล่าวว่า “ผมคิดว่าสิ่งที่เรามีในวันนี้ รวมถึง Flying Tulip ด้วย ไม่ใช่ DeFi อีกต่อไป มันไม่ใช่การเงินแบบกระจายอำนาจ และไม่ใช่โค้ดที่แก้ไขไม่ได้ แต่เป็นธุรกิจที่ทีมงานดำเนินการเพื่อผลกำไร”
คำพูดนี้สะท้อนความจริงที่ค่อนข้างอึดอัดที่สุดของอุตสาหกรรม DeFi ในตอนนี้: โปรโตคอลจำนวนมากยังคงใช้เรื่องเล่า (narrative) การประเมินมูลค่า และภาษาทางแบรนด์แบบ DeFi แต่ในทางปฏิบัติกลับพึ่งพาการควบคุมโดยมนุษย์และกระบวนการนอกเชนจำนวนมากไปแล้ว
ความเสี่ยงสูงสุดของ DeFi ไม่ใช่แค่ช่องโหว่ในสัญญาอีกต่อไป
Cronje มองว่า โมเดลความปลอดภัยของ DeFi ยุคแรกค่อนข้างเรียบง่าย เมื่อโปรโตคอลถูกวาง (deploy) สัญญาอัจฉริยะจะไม่เปลี่ยนแปลง และสิ่งที่ผู้ใช้ต้องเผชิญเป็นหลักคือความเสี่ยงจากตรรกะของโค้ด ทว่า DeFi ในปัจจุบันมักซับซ้อนกว่านั้น โดยโปรโตคอลอาจใช้ proxy upgrade เพื่ออัปเกรดสัญญา จัดการสิทธิ์สำคัญผ่าน multisig อาศัยผู้ให้บริการโครงสร้างพื้นฐานภายนอก และเมื่อเกิดเหตุ ทีมหลักจะเป็นผู้รับมือวิกฤต
นี่ทำให้ปัญหาความปลอดภัยจากเดิมที่เป็น “มีบั๊กในโค้ดหรือไม่” ขยายไปสู่ “ใครมีสิทธิ์ในการอัปเกรดสัญญา” “ใครถือกุญแจ multisig” “time lock เพียงพอหรือไม่” “เซิร์ฟเวอร์นอกเชนหรืออินเทอร์เฟซการจัดการอาจถูกโจมตีได้หรือไม่” และ “ทีมสามารถตอบสนองอย่างถูกต้องในสถานการณ์ผิดปกติได้หรือไม่”
Cronje ชี้ว่า ที่ผ่านมาอุตสาหกรรมยังให้ความสำคัญกับการตรวจสอบสัญญาอัจฉริยะมากเกินไป แต่การโจมตีหลายกรณีในช่วงล่าสุดกลับใกล้เคียงปัญหาด้านความปลอดภัยแบบเดิมของ Web2 มากขึ้น หรือประเด็น TradFi เช่น การเข้าถึงโครงสร้างพื้นฐานถูกบุกรุก การโจมตีด้วยวิศวกรรมสังคม (social engineering) กระบวนการจัดการถูกนำไปใช้ในทางที่ผิด หรือโหนดสิทธิ์เพียงจุดเดียวถูกเจาะทะลุ
กล่าวอีกนัยหนึ่ง DeFi ยังต้องการการตรวจสอบ แต่แค่ตรวจสอบก็ไม่พอแล้ว เมื่อโปรโตคอล “อัปเกรดได้” “ถูกจัดการได้” และ “มีการแทรกแซงโดยมนุษย์ได้” ก็ต้องยอมรับว่ามันมีความเสี่ยงด้านการดำเนินงานแบบเดียวกับสถาบันการเงินดั้งเดิมด้วย
Flying Tulip เพิ่มกลไกตัดวงจรการถอนเงิน
ในบริบทนี้ Flying Tulip ได้เพิ่มกลไกตัดวงจรการถอนเงิน (withdrawal circuit breaker) ช่วงไม่นานมานี้ ทำให้เมื่อระบบตรวจพบเงินไหลออกผิดปกติ โปรโตคอลสามารถหน่วงเวลาหรือจัดคิวการถอนเงินได้ Cronje ย้ำว่ากลไกนี้ไม่ได้มีไว้เพื่อปิดกั้นการถอนเงินของผู้ใช้อย่างถาวร ไม่ได้ทำให้ทีมสามารถแช่แข็งเงินแบบตามอำเภอใจ แต่เป็นการ “ซื้อเวลา” ช่วงสั้นๆ สำหรับการตอบสนองเมื่อเกิดเหตุผิดปกติ
ยกตัวอย่าง Flying Tulip กลไกนี้จะช่วยให้ทีมมีเวลาประมาณ 6 ชั่วโมง Cronje เห็นว่า หากขนาดทีมเล็กกว่าและสมาชิกไม่ได้กระจายตัวกันทั่วโลก อาจต้องใช้เวลา 12 ถึง 24 ชั่วโมง หรือมากกว่านั้น เพื่อให้ทีมทำการยืนยันภายใน การลงนาม และการรับมือให้เสร็จสิ้นเมื่อเกิดการโจมตี
ตรรกะของการออกแบบลักษณะนี้คล้ายกับการ “พักการซื้อขาย” หรือ “ประตูควบคุมความเสี่ยง (risk control gate)” ในตลาดการเงินแบบดั้งเดิม เมื่อระบบเกิดความผิดปกติด้านสภาพคล่องหรือการไหลออกของสินทรัพย์ ก็ไม่ได้ตัดสินทันทีว่าธุรกรรมทั้งหมดเป็นโมฆะ แต่ให้ระบบชะลอลงก่อน เพื่อป้องกันไม่ให้ผู้โจมตีสามารถย้ายเงินทั้งหมดออกไปได้ภายในไม่กี่นาที
อย่างไรก็ตาม Cronje ยังย้ำด้วยว่า กลไกตัดวงจรเป็นเพียงส่วนหนึ่งของโครงสร้างความปลอดภัยหลายชั้น ไม่ควรถูกมองว่าเป็นยาวิเศษ การป้องกันที่แท้จริงยังต้องประกอบด้วยการตรวจสอบ การกระจาย multisig time lock กระบวนการกำกับดูแล กลไกการเฝ้าระวัง และการควบคุมสิทธิ์
ต้นทุนของกลไกตัดวงจร: ปกป้องผู้ใช้ หรือสร้างช่องโหว่แบบรวมศูนย์ใหม่?
แต่กลไกตัดวงจรก็ทำให้เกิดการถกเถียงแบบแบ่งฝักฝ่ายในชุมชนนักพัฒนา DeFi อย่างรวดเร็ว Curve Finance และ Michael Egorov ผู้ก่อตั้ง Yield Basis เห็นพ้องว่า การโจมตีช่วงล่าสุดได้เปิดเผยความเสี่ยงจากศูนย์กลางนอกเชนจริง แต่เขาตั้งความระแวดระวังสูงต่อ “ทางออก” ที่เพิ่มการควบคุมฉุกเฉินแบบที่มนุษย์เป็นผู้กำหนด
Egorov ระบุว่า เหตุการณ์ DeFi สำคัญจำนวนมากช่วงนี้ไม่ได้เกิดจากการที่สัญญาอัจฉริยะตัวเองถูกเจาะทะลุโดยตรง แต่กลับมาจากความล้มเหลวแบบ single point จากนอกเชน เขายกตัวอย่างเหตุการณ์ที่เกี่ยวข้องกับ rsETH โดยกล่าวว่า สัญญาอัจฉริยะของ Aave, Kelp และ LayerZero ไม่ได้ถูกแฮ็ก ปัญหาที่แท้จริงอยู่ที่โครงสร้างพื้นฐานนอกเชน
ดังนั้น ในมุมมองของ Egorov หากความเสี่ยงหลักมาจาก “คน” และ “สิทธิ์นอกเชน” อยู่แล้ว การเพิ่มกลไกตัดวงจรที่ถูกควบคุมโดยมนุษย์อีก ก็คงอาจเป็นเพียงการยิ่งกระจุกอำนาจไปที่ผู้ลงนามหรือผู้ดูแลไม่กี่รายมากขึ้น
Egorov กังวลว่า หากสิทธิ์ในการควบคุมฉุกเฉินอนุญาตให้ผู้ลงนามแก้ไขสัญญา หยุดการถอน หรือเข้าแทรกแซงทิศทางการไหลของเงิน เมื่อผู้ลงนามถูกโจมตี กลไกที่เดิมตั้งใจจะปกป้องผู้ใช้ อาจกลับกลายเป็นเครื่องมือที่แฮ็กเกอร์ใช้ “ดูดเงินออกไป” หรือกลายเป็นช่องทางหลัง (backdoor) สำหรับการแช่แข็งสินทรัพย์แบบรวมศูนย์ ข้อสรุปของเขาคือ การออกแบบ DeFi ควรลดโอกาสเกิดความล้มเหลวแบบ single point จากมนุษย์ให้ได้มากที่สุด ไม่ใช่แก้ปัญหาที่เกิดจากอำนาจแบบ single point ด้วยอำนาจแบบมนุษย์ที่มากขึ้น
DeFi ต้องยอมรับว่ามันกลายเป็นอะไร
ความเห็นที่ไม่ตรงกันระหว่าง Cronje กับ Egorov ในระดับผิวเผินดูเหมือนเป็นข้อถกเถียงเรื่องกลไกตัดวงจร แต่ในความเป็นจริงคือข้อถกเถียงด้านอัตลักษณ์ของ DeFi Cronje อยู่ฝั่งที่มองแบบใช้ความเป็นจริง (realism): หากโปรโตคอลจำนวนมากไม่ใช่สัญญาที่แก้ไขไม่ได้แล้ว แต่เป็นผลิตภัณฑ์ทางการเงินที่มีสิทธิ์อัปเกรด กระบวนการจัดการ และการดำเนินงานโดยทีม ก็ต้องยอมรับความจริงนี้ และนำมาตรการควบคุมความเสี่ยงที่เหมาะสมเข้ามาใช้
ส่วน Egorov ใกล้ชิดกับสาย DeFi แบบยึดหลักดั้งเดิม (originalism): หากความปลอดภัยของ DeFi มาจากการกระจายอำนาจ ดังนั้นทางออกไม่ควรเป็นการย้ายอำนาจการควบคุมไปให้คนมากขึ้น แต่ควรเป็นการออกแบบระบบที่ลดการพึ่งพาการแทรกแซงของมนุษย์ให้น้อยลง
ทั้งสองฝ่ายต่างก็ยอมรับเรื่องเดียวกัน: ปัญหาหลักของ DeFi ตอนนี้ ไม่ได้เป็นแค่เรื่องว่าสัญญาจะเขียนได้ดีหรือไม่ แต่เป็นผู้ใช้ “กำลังเชื่อใจใคร” หากโปรโตคอลอัปเกรดได้ หยุดได้ จัดคิวการถอนเงินได้ และปรับเปลี่ยนตรรกะหลักผ่าน multisig ได้ ความเสี่ยงที่ผู้ใช้ต้องรับไม่ใช่แค่ความเสี่ยงของสัญญาอัจฉริยะเท่านั้น แต่ยังรวมถึงความเสี่ยงด้านการกำกับดูแลของทีม ความเสี่ยงของผู้ลงนาม ความเสี่ยงของโครงสร้างพื้นฐาน และความเสี่ยงด้านการปฏิบัติงาน
บทความนี้ DeFi ยังเป็นแบบกระจายอำนาจอยู่ไหม? Andre Cronje: ยอมรับเถอะ โปรโตคอลส่วนใหญ่เป็นโค้ดที่แก้ไขได้แล้ว เป็นครั้งแรกที่ปรากฏใน 鏈新聞 ABMedia.
