ผู้เขียน: 谷昱,ChainCatcher
แฮกเกอร์ เป็นศัตรูร้ายแรงของทุกโปรโตคอล DeFi โดยส่วนใหญ่แล้วโปรโตคอล DeFi จะล้มเหลวและเสื่อมถอยหลังจากเผชิญกับการโจมตีที่สูญเสียมูลค่าหลายล้านดอลลาร์ แต่ในฐานะโปรโตคอลกู้ยืมชั้นนำของ BNB Chain และโครงการบ่มเพาะภายในของ Binance Venus Protocol เป็นข้อยกเว้นที่หาได้ยาก
Venus เริ่มแรกพัฒนาขึ้นโดยทีม Swipe ซึ่ง Binance เข้าซื้อกิจการในปี 2020 และเปิดตัวบนเครือข่ายหลักของ BNB Chain ในเดือนถัดมาอย่างรวดเร็วกลายเป็นโปรโตคอลกู้ยืมที่มีสินทรัพย์ล็อคและจำนวนผู้ใช้มากที่สุดบน BNB Chain จากข้อมูล RootData ปัจจุบันมูลค่ารวมของเหรียญ Venus (FDV) อยู่ที่ 94 ล้านดอลลาร์ และ TVL อยู่ที่ 1.47 พันล้านดอลลาร์
เมื่อไม่นานมานี้ Venus กลับกลายเป็นเป้าหมายของการโจมตีจากแฮกเกอร์อีกครั้ง ตามรายงานของทีมงานอย่างเป็นทางการ ผู้โจมตีเริ่มสะสมเหรียญ THE อย่างช้าๆ ตั้งแต่เดือนมิถุนายน 2025 โดยใช้กระบวนการฝากเงินปกติ จนในที่สุดถือครองเหรียญ THE ประมาณ 12.2 ล้านเหรียญ มูลค่า 2.4 แสนดอลลาร์
เมื่อวันที่ 15 มีนาคม การโจมตีได้ใช้เหรียญ THE ทั้งหมดเป็นหลักประกันในสัญญากู้ยืม โดยใช้ความล่าช้าของราคาบน Chain และ TWAP oracle เพื่อสร้างกลไกการควบคุมราคาซ้ำซ้อน ทำให้สามารถปล่อยสินทรัพย์เช่น BTC, BNB, CAKE มูลค่าหลายล้านดอลลาร์
เมื่อราคาของ THE ร่วงลงอย่างรุนแรงและเกิดการชำระบัญชีเป็นลูกโซ่ เหตุการณ์นี้ส่งผลให้ Venus สูญเสียหนี้เสียประมาณ 2.15 ล้านดอลลาร์ ในช่วงหลายปีที่ผ่านมา Venus เกือบทุกปีจะเผชิญกับการโจมตีจากแฮกเกอร์ โดยเฉพาะการโจมตีที่เกี่ยวข้องกับ oracle ทำให้เกิดหนี้เสียรวมเกิน 1 พันล้านดอลลาร์
เหตุการณ์การควบคุมราคาของ oracle XVS
ในเดือนพฤษภาคม 2021 ผู้โจมตีใช้เหรียญ XVS ซึ่งเป็นเหรียญหลักของ Venus ในการโจมตีช่องโหว่ของความไม่สมดุลของสภาพคล่องในตลาดแลกเปลี่ยนแบบศูนย์กลาง (โดยเฉพาะ Binance) ชั่วคราว ทำให้ราคาของ XVS พุ่งขึ้นจากประมาณ 70 ดอลลาร์ ไปสูงกว่า 140 ดอลลาร์ จากนั้นผู้โจมตีใช้เหรียญ XVS ที่ถือครองเป็นหลักประกันในการกู้ยืมสินทรัพย์คุณภาพสูงจำนวนมากจาก Venus (ประมาณ 2000 BTC และ 5700 ETH)
หลังจากนั้น ราคาของ XVS ก็ร่วงลงอย่างรุนแรงต่ำสุดที่ 31 ดอลลาร์ ทำให้เกิดการชำระบัญชีจำนวนมาก เนื่องจากสภาพคล่องในตลาดไม่เพียงพอที่จะรองรับการขายจำนวนมากนี้ ส่งผลให้เกิดหนี้เสียเกิน 95 ล้านดอลลาร์
หลังเหตุการณ์นี้ โปรโตคอลประกาศให้ทีม Swipe ออกจากการบริหาร และให้สมาชิกชุมชนร่วมกันตั้งคณะกรรมการใหม่เพื่อดูแลการบริหารต่อไป แต่ยังคงมีพื้นฐานความสัมพันธ์กับ Binance อย่างแน่นแฟ้น
เหตุการณ์ล่มสลายของ LUNA
ในเดือนพฤษภาคม 2022 เหตุการณ์ล่มสลายของ LUNA ทำให้ราคาจริงของ LUNA ร่วงลงอย่างรวดเร็วต่ำกว่า 0.1 ดอลลาร์ในระยะเวลาสั้นๆ แต่เนื่องจาก Chainlink oracle หยุดอัปเดตราคาหลังจากราคาลงไปถึงจุดต่ำสุดที่ 0.10 ดอลลาร์ ทำให้ Venus ยังคงรับ LUNA เป็นหลักประกันในราคาที่ผิดพลาดที่ 0.1 ดอลลาร์
ผู้โจมตีพบช่องโหว่นี้ จึงซื้อ LUNA ในตลาดรองในราคาต่ำจำนวนมาก แล้วนำเข้ามาเป็นหลักประกันใน Venus ด้วยมูลค่าสูงเกินจริง ทำให้เกิดหนี้เสียเกิน 11.2 ล้านดอลลาร์อีกครั้ง
อุบัติเหตุ Binance Oracle
ในเดือนธันวาคม 2023 เนื่องจาก Venus ใช้ข้อมูลราคาจาก Binance Oracle ในกลุ่มยืมเงินแบบแยกของ snBNB ซึ่งเป็นสินทรัพย์ที่มีสภาพคล่องต่ำ ผู้โจมตีซื้อ snBNB ในพูลเล็กๆ บน PancakeSwap ซึ่งมีความลึกของตลาดต่ำมาก ทำให้ราคาของ snBNB พุ่งขึ้นอย่างรวดเร็วเป็นระดับที่ไม่สมเหตุสมผล
จากนั้น ผู้โจมตีฝาก snBNB จำนวน 0.49 เหรียญ และกู้ยืมสินทรัพย์เกือบทั้งหมดในพูล (รวมถึง WBNB, BNBx, ankrBNB ฯลฯ) มูลค่ารวมประมาณ 2.74 แสนดอลลาร์ แล้วล้างออกผ่านสะพานข้ามสายโซ่ สุดท้าย การบริหาร Venus ได้เสนอให้ใช้เงินกองทุน (Treasury) ชดเชยหนี้เสียทั้งหมด
เหตุการณ์ควบคุมราคาของ wUSDM
ในเดือนกุมภาพันธ์ 2024 ผู้โจมตีใช้ช่องโหว่ของโปรโตคอล ERC-4626 ทำให้ราคาเหรียญ stablecoin wUSDM ที่ออกโดย Mountain Protocol พุ่งขึ้นเป็น 1.7 ดอลลาร์ในระยะเวลาสั้นๆ จากนั้นโจมตีฝาก wUSDM เข้าสู่ Venus ในปริมาณน้อย
เนื่องจาก oracle อ่านค่าราคาที่ถูกควบคุมไว้ในระดับสูงเกินจริง ผู้โจมตีจึงใช้หลักประกัน wUSDM ที่มูลค่าสูงเกินจริงเหล่านี้ในการกู้ยืมสินทรัพย์อื่นๆ ที่มีมูลค่าสูงกว่า เช่น USDC, ETH ฯลฯ เมื่อราคาของ wUSDM กลับสู่ระดับปกติที่ 1 ดอลลาร์ ผู้โจมตีได้โอนสินทรัพย์ที่กู้ยืมออกไปแล้วและไม่คืน ทำให้ Venus เกิดหนี้เสียประมาณ 716,000 ดอลลาร์ หลังจากการชำระบัญชี
ข้อถกเถียงด้านการบริหารชุมชน
นอกจากเหตุการณ์โจมตีข้างต้นแล้ว ในเดือนกันยายน 2021 Venus ยังเคยเกิดข้อสงสัยจากภายนอกเกี่ยวกับเหตุการณ์การบริหาร เมื่อมีผู้ใช้ชุมชน Venus เสนอให้จัดตั้งทีม Bravo ซึ่งจะได้รับสิทธิ์โหวตและระดมทุนเทียบเท่ากับทีมบริหารเดิม
แต่ผู้เสนอข้อเสนอดูเหมือนจะใช้กลยุทธ์ล่อให้โหวตโดยการสัญญาแจกจ่ายโทเคน ตามรายละเอียดในข้อเสนอ ทีม Bravo จะได้รับการแจกจ่าย XVS จำนวน 900,000 เหรียญ จากโครงการระดมทุน 1.9 ล้านเหรียญ ซึ่งเป็นการแจกจ่ายให้กับที่อยู่ที่โหวตสนับสนุน ข้อเสนอนี้ผ่านด้วยคะแนนเสียง 1.29 ล้านเสียงสนับสนุน เทียบกับ 1.19 ล้านเสียงคัดค้าน ในวันที่ 14 กันยายน เวลา 22:33 น.
ตามแนวคิดของอุตสาหกรรม การเสนอแนวทางบนบล็อกเชนควรได้รับการดำเนินการโดยทีมงานหลังจากผ่านการโหวต แต่ทีม Venus กลับ “ยกเลิก” การตัดสินใจนี้ด้วยคำอธิบายว่าต้องการป้องกันบุคคลนิรนามไม่ให้ควบคุมโปรโตคอลผ่านการติดสินบน ซึ่งเป็นหนึ่งในกรณีไม่กี่ครั้งในอุตสาหกรรม DeFi ที่ข้อเสนอหรือการโหวตบนบล็อกเชนผ่านแต่ไม่ได้รับการดำเนินการ
นอกจากนี้ ในเดือนกันยายน 2025 เกิดเหตุการณ์ความปลอดภัยที่ทำให้ผู้ใช้สูญเสียเงินมากกว่า 13 ล้านดอลลาร์ ซึ่งส่วนใหญ่มาจากการที่ frontend ของผู้ใช้ถูกแฮกและแก้ไขโดยแฮกเกอร์ จนทำให้ผู้ใช้เซ็นอนุญาตให้ทำธุรกรรม “ตัวแทนที่อยู่ (delegate)” โดยไม่ได้ตั้งใจ ไม่ใช่ความผิดพลาดของ Venus เอง
ทำไม Venus ถึงเป็น “ผู้รอดชีวิต”
จากเหตุการณ์โจมตีต่างๆ เหล่านี้ Venus จึงถือเป็น “ผู้รอดชีวิต” ในวงการคริปโตที่หาได้ยาก หรืออาจเป็นโปรเจกต์ที่มีประสบการณ์ด้านการรับมือกับการโจมตีมากที่สุด ซึ่งส่วนหนึ่งเป็นผลมาจากการสนับสนุนอย่างต่อเนื่องของ Binance ในด้านทรัพยากรและแบรนด์ แม้จะเกิดเหตุการณ์ด้านความปลอดภัยมากมาย Binance ก็ยังคงแนะนำให้ผู้ใช้ในแพลตฟอร์มของตนฝากเงินใน Venus เพื่อรับผลตอบแทนที่สูงขึ้น
สถิติ TVL บน Venus อ้างอิงจาก :DeFillama
เป็นที่ทราบกันดีว่า Binance มีอิทธิพลอย่างมากในระบบนิเวศ BNB Chain ในฐานะผู้สนับสนุนหลักของ Venus ซึ่งได้รับการสนับสนุนด้านระบบนิเวศและความเสี่ยงที่เหนือกว่าโปรเจกต์ DeFi ส่วนใหญ่ แม้จะมีความเสี่ยงด้านความปลอดภัยก็ตาม
จากมุมมองอุตสาหกรรม ความเปราะบางของ DeFi ก็ชัดเจนในตัวอย่างเหล่านี้ ไม่ว่าจะเป็นความล่าช้าของ oracle สภาพคล่องต่ำ การควบคุมราคาหรือช่องโหว่ของกลไกการบริหาร ปัญหาเหล่านี้ล้วนปรากฏซ้ำแล้วซ้ำเล่าในประวัติศาสตร์ของ Venus และโปรเจกต์ DeFi อื่นๆ
ในระบบ DeFi ที่มีความอัตโนมัติสูง หากส่วนใดส่วนหนึ่งมีข้อบกพร่องในการออกแบบ ผู้โจมตีมักจะใช้ประโยชน์จากความล่าช้าของราคา สภาพคล่อง หรือเวลาในการสร้างกลไกการโจมตีแบบซับซ้อน
ความสามารถในการอยู่รอดของ Venus หลังจากวิกฤตหลายครั้งนั้นขึ้นอยู่กับการสนับสนุนจากระบบนิเวศและความสามารถในการชดเชยทางการเงิน แต่สำหรับโปรเจกต์ DeFi ส่วนใหญ่ การโจมตีมูลค่าหลายสิบล้านดอลลาร์ก็เพียงพอที่จะทำให้โปรโตคอลล้มละลายได้ในทันที
ความ “ข้อยกเว้น” ของ Venus ยืนยันถึงความสามารถในการป้องกันของระบบนิเวศชั้นนำ และสะท้อนให้เห็นถึงความเปราะบางของระบบความปลอดภัยใน DeFi ซึ่งหากความปลอดภัยต้องพึ่งพา “บิ๊กเท่านั้น” แทนที่จะเป็นกลไกและการบริหารความเสี่ยงของโปรโตคอลเอง ความปลอดภัยที่แท้จริงของ DeFi ยังคงเป็นเป้าหมายที่ต้องไปให้ถึงในอนาคต
