ผู้ร่วมก่อตั้ง Openzeppelin อย่าง Manuel Aráoz จุดชนวนให้เกิดการถกเถียงอย่างกว้างขวางในวงการ โดยกล่าวว่า decentralized finance (DeFi) ไม่ปลอดภัย ผู้บริหารในวงการโต้กลับว่าแนวทางการมองของ Aráoz ประเมินความเสี่ยงเกินจริง โดยชี้ว่าความปลอดภัยของการให้กู้ยืมใน DeFi ดีขึ้นราว 98% นับตั้งแต่ปี 2020
- ประเด็นสำคัญ:
-
- คำพูดล่าสุดของ Manuel Aráoz ผู้ก่อตั้ง Openzeppelin ทำให้ความกังวลเรื่องความปลอดภัยของ DeFi กลับมารุนแรงอีกครั้ง
-
- Heinrich ซีอีโอของ 0G Labs ระบุว่าความปลอดภัยในการให้กู้ยืมดีขึ้น 98% ตั้งแต่ปี 2020 ทำให้ข้อกล่าวอ้างที่ว่า DeFi ทั้งหมดไม่ปลอดภัยอ่อนแรงลง
-
- แฟนของ Cysic มองเห็นการเพิ่มขึ้นของประกันสูงถึงห้าเท่าภายในปี 2029 พร้อมเรียกร้องให้ผู้กำกับดูแลเน้น opsec มากกว่าซอร์สโค้ดของ AI
เปลี่ยนจากดราม่าสู่ข้อมูล
เมื่อ Manuel Aráoz ผู้ร่วมก่อตั้ง Openzeppelin และอดีต Chief Technology Officer (CTO) อธิบาย decentralized finance (DeFi) ว่า “ไม่ปลอดภัยโดยสิ้นเชิง” มันสะเทือนวงการที่กำลังเดือดร้อนอยู่แล้วจากเหตุการณ์การแฮ็กที่พุ่งสูงขึ้น ข้อมูลชี้ให้เห็นถึงช่องโหว่นี้ โดยการวิเคราะห์ล่าสุดจากบริษัทความปลอดภัยบล็อกเชน Peckshield พบว่า การถูกเอ็กซ์พลอยต์โปรโตคอลแบบข้ามเชนเพียงอย่างเดียว ทำให้เงินไหลออกถึง 328.6 ล้านดอลลาร์สหรัฐในช่วงตั้งแต่ต้นปีจนถึงกลางเดือนพฤษภาคม
คำเตือนที่แพร่ไวรัลของ Aráoz ทำให้ Openzeppelin ต้องออกมาวางระยะห่างต่อบางส่วนของข้อกล่าวอ้างของเขาอย่างเปิดเผย แต่คำพูดดังกล่าวก็ยังทำให้เกิดการถกเถียงอย่างดุเดือดเรื่องความปลอดภัยของ DeFi อย่างไรก็ตาม ฝ่ายวิจารณ์มองว่าถ้อยคำเชิงดราม่าของเขาคือความพยายามที่จะสร้างความกลัวและตื่นตระหนกเพื่อประโยชน์ของตัวเอง ขณะที่อีกกลุ่มอย่าง Leo Fan ผู้ก่อตั้ง Cysic เชื่อว่ากรอบการเล่านั้นทำลายความน่าเชื่อถือของข้อความที่มีแก่นจริงอยู่
“การห่อมันด้วย ‘ให้หนีออกไปทุกอย่าง’ ทำให้คำเตือนที่จำเป็นกลายเป็นคอนเทนต์สายคนแพนิค” Fan กล่าว “ในสายนี้คุณไม่จำเป็นต้องใช้ดราม่าเพื่อขยับคน คุณแค่ต้องมีตัวเลข”
ความเห็นเดียวกันสะท้อนโดย Michael Heinrich ผู้ร่วมก่อตั้งและซีอีโอของ 0G Labs ซึ่งชี้ไปที่การปรับปรุงความปลอดภัยของการให้กู้ยืมใน DeFi ที่ราว 98% เมื่อเทียบกับฐานตั้งต้นในปี 2020 Heinrich ยังชี้ด้วยว่าอัตราความสูญเสียรายวันของโปรโตคอลให้กู้ยืมหลักลดลงอย่างชัดเจน ปัจจุบันอยู่ราว 0.001% ซึ่งเป็นอีกเหตุผลที่ทำให้คำกล่าวของ Aráoz ที่ว่า “DeFi ทั้งหมดไม่ปลอดภัย” ดูอ่อนแรงลง
“Heinrich บอกกับ Bitcoin.com News ว่า “การบอกนักลงทุนรายย่อยให้หนีจากบลูชิปอย่าง Aave และ Maker ไม่สอดคล้องกับภาพความเสี่ยงเมื่อปรับตามผลตอบแทนจริง”
ในการโต้แย้งเรื่อง DeFi Aráoz ยืนยันว่าเอเจนต์เขียนโค้ดด้วยปัญญาประดิษฐ์ (AI) มีความก้าวหน้าอย่างมากในการสแกนสัญญาอัจฉริยะโอเพนซอร์ส และระบุช่องโหว่ที่ซับซ้อนซึ่งเอ็กซ์พลอยต์ได้ด้วยความเร็วระดับเครื่องจักร ความน่ากลัวของภัยคุกคามที่เกิดจากเอเจนต์เหล่านี้สูงมากจนเขาแนะนำอย่างเป็นการส่วนตัวให้เพื่อนและครอบครัวของเขา “ออกจากตำแหน่งทั้งหมด” ในโปรโตคอล DeFi “บลูชิป” ที่สำคัญและเป็นที่ยอมรับมายาวนาน
การสิ้นสุดของการตรวจสอบแบบคงที่
อย่างไรก็ตาม Heinrich และ Fan โต้แย้งว่า การเพิ่มขึ้นของผู้โจมตี AI ระดับเหนือมนุษย์ไม่ได้หมายความว่าผู้ปกป้องควรยอมแพ้หรือทิ้งเรือ แต่อย่างที่พวกเขาเห็น มันต้องการการเปลี่ยนแปลงเชิงโครงสร้างในการที่วงการเข้าหาความปลอดภัย
“การตรวจสอบ ณ ช่วงเวลาใดเวลาหนึ่งตายไปแล้ว แค่ไม่มีใครจัดงานศพให้เท่านั้น” Fan กล่าว เขาเตือนว่าการเปลี่ยนไปใช้งาน bug bounty แทนการตรวจสอบทั้งหมดคือบทเรียนที่ผิด “คุณไม่ได้แทนที่การป้องกันด้วยการเฝ้าระวัง — คุณทำให้ช่องว่างระหว่างสองสิ่งนั้นยุบหายไป”
ตามที่ Heinrich ระบุ การพึ่งพา “การตรวจสอบรายปี” ไม่ใช่กลไกป้องกันที่น่าเชื่อถืออีกต่อไป อนาคตของความปลอดภัยของสัญญาอัจฉริยะต้องอาศัยกระบวนการป้องกันแบบหลายชั้นที่ทำงานได้ด้วยความเร็วระดับเครื่อง โดยการตรวจสอบมีบทบาทเป็นด่านแรก มากกว่ากิจกรรมครั้งเดียว Heinrich วางกรอบ “สแต็กความปลอดภัย 4 ชั้น” ได้แก่ การตรวจสอบโดยใช้ AI ช่วยก่อนนำไปใช้งานควบคู่กับการทบทวนโดยมนุษย์ การเฝ้าระวังอย่างต่อเนื่องหลังการใช้งานจริง bug bounty ที่ได้รับงบดีพอ และการยืนยันได้ของ AI ฝั่งผู้ปกป้อง
เป้าหมายสูงสุด Heinrich ชี้ว่า คือการนำ formal verification มาใช้บนเส้นทางที่สำคัญ — โดยใช้การพิสูจน์ทางคณิตศาสตร์แทนการทบทวนที่อิงความเห็น — พร้อมด้วยการทบทวนด้วย AI แบบต่อเนื่องที่รันกับสัญญาแบบ “ใช้งานจริง” ในลักษณะเดียวกับที่ผู้โจมตีทำงาน
“การตรวจสอบไม่หายไป” เขากล่าว “แต่มันจะกลายเป็นด่านแรกในกระบวนการป้องกันแบบความเร็วระดับเครื่องจักร”
นอกเหนือจากกระบวนการความปลอดภัยเชิงป้องกันแล้ว การสนทนาเรื่องการลดความเสี่ยงก็เลี่ยงไม่ได้ที่จะไปถึงประกัน ซึ่ง Heinrich หมายว่าในระบบนิเวศคริปโตยังพัฒนาไม่เพียงพออย่างรุนแรง ตาม Heinrich อุปสรรคเชิงโครงสร้างบางประการทำให้ภาคประกันแบบกระจายอำนาจถูกจำกัดอยู่ ก่อนอื่น กองทุนประกันจะล็อกเงินทุนที่อาจนำไปสร้างผลตอบแทนเชิงรุกที่อื่นใน DeFi ได้
เพื่อยกตัวอย่าง Heinrich ชี้ไปที่ Nexus Mutual ซึ่งเป็นผู้นำตลาด โดยถือเงินราว 190 ล้านดอลลาร์สหรัฐ เทียบกับตลาด DeFi ที่กว้างกว่า ซึ่งผันผวนอยู่ระหว่าง 40 พันล้านดอลลาร์สหรัฐและมากกว่า 100 พันล้านดอลลาร์สหรัฐในมูลค่ารวมที่ถูกล็อก (TVL) Heinrich ระบุว่าอัตราส่วนเงินทุนดังกล่าว “บาง” เชิงโครงสร้าง อีกอุปสรรคคือการนิยามว่าอะไรถือเป็นการเอ็กซ์พลอยต์บนเชน ซึ่งเขาอธิบายว่าเป็นเรื่องที่ไม่ใช่เรื่องง่าย
แม้จะมีอุปสรรคเหล่านี้ Heinrich ยังโต้แย้งว่าการบังคับให้ใช้ข้อกำหนดด้านประกันกับทุกโปรโตคอลด้วยตัวมันเองคือเครื่องมือที่ผิดในการขับเคลื่อนการนำไปใช้ แทนที่จะเป็นเช่นนั้น วงการต้องสร้างนวัตกรรมในระดับผลิตภัณฑ์
“Heinrich กล่าวว่า “สิ่งที่ทำให้ตัวเลขขยับจริงๆ คือผลิตภัณฑ์บนเชนแบบพารามิเตอร์ที่จ่ายผลตอบแทนโดยอัตโนมัติเมื่อมีสัญญาณที่ยืนยันได้ และโปรโตคอลที่ฝังประกันเข้าไปในตัวผลิตภัณฑ์ในแบบเดียวกับที่ระบบคิดค่าธรรมเนียมการชำระบัญชีทำในตลาดแบบดั้งเดิม”
กำกับดูแลการปฏิบัติการ ไม่ใช่แค่โค้ด
แม้กระนั้น “ตาข่ายความปลอดภัย” ในปัจจุบันจะค่อนข้างแคบ แต่ความต้องการของตลาดกำลังเร่งขึ้น จากการคาดการณ์ในเดือนมีนาคม 2026 โดย Coinlaw ตลาดประกันแบบกระจายอำนาจคาดว่าจะเติบโตเกือบห้าเท่าภายในปี 2029
“Heinrich ระบุว่า “เงินทุนกำลังมา สิ่งที่ขาดคือพื้นผิวของผลิตภัณฑ์ที่จะเอาไปใช้งานจริง”
การเปลี่ยนแปลงภายในวงการไปสู่การป้องกันแบบความเร็วระดับเครื่องจักรและตาข่ายความปลอดภัยอัตโนมัติ ทำให้เกิดคำถามที่กว้างขึ้นเกี่ยวกับการกำกับดูแลโดยหน่วยงานรัฐ เมื่อผู้กำหนดนโยบายเริ่มจับตาความปลอดภัยของสินทรัพย์ดิจิทัลมากขึ้น Fan เตือนว่าผู้กำกับดูแลอาจเผลอให้ความสำคัญกับภัยคุกคามผิดประเภท เช่น เงาของระบบ AI ที่แฝงเจตนาร้าย
“สัญชาตญาณเชิงกำกับดูแลที่ฉลาดกว่าไม่ใช่การตื่นตระหนกกับผู้โจมตีด้วย AI โดยเฉพาะ” Fan กล่าว “แต่คือการโฟกัสชั้นปฏิบัติการที่เงินไหลออกจริงๆ: การคุมครองกุญแจ, การกำกับดูแลแบบ multisig, ความปลอดภัยของบริดจ์ และการตอบสนองต่อเหตุการณ์”
Fan โต้แย้งว่า หากบังคับใช้มาตรฐานความปลอดภัยด้านปฏิบัติการอย่างเข้มงวดในช่องทางเฉพาะเหล่านี้ หน่วยงานกำกับดูแลจะสามารถกำจัดการสูญเสียเงินทุนจากเหตุการณ์ในโลกจริงได้เป็นส่วนใหญ่ การโฟกัสเฉพาะโค้ดของสัญญาอัจฉริยะขณะที่ละเลยการปฏิบัติการในแต่ละวัน เขาเตือนว่าเท่ากับ “การกำกับดูแลแค่ 10% แล้วพลาด 90%”
นอกจากนี้ Fan ยังชี้ไปที่พื้นฐานเชิงเทคนิคที่ผู้กำหนดนโยบายมักประเมินค่าต่ำเกินไป: การเข้ารหัสขั้นสูง
“หลักฐานทางคณิตศาสตร์ของการพิสูจน์เช่น zero-knowledge proofs ว่าโค้ดตัวไหนรันและรันได้อย่างถูกต้อง เป็นหน่วยพื้นฐานด้านการปฏิบัติตามกฎที่ดีกว่ารายงานตรวจสอบแบบ PDF มาก” Fan กล่าว “ตรวจสอบได้ด้วยคณิตศาสตร์ ไม่ใช่ด้วยความไว้วางใจ นั่นแหละคือพลังงานด้านกำกับดูแลที่ผมอยากให้ทุ่มไป”
