Moonwell ถูกโจมตีด้วยการโจรกรรมมูลค่า 1.78 ล้านดอลลาร์ ขณะที่การถกเถียงเกี่ยวกับการเขียนโค้ดด้วย AI เข้าสู่ DeFi

Moonwell ซึ่งเป็นโปรโตคอลการกู้ยืมแบบการเงินแบบกระจายศูนย์ (DeFi) ที่ทำงานบนระบบนิเวศ Base และ Optimism ถูกโจมตีด้วยการโจมตีอย่างมีแผนการที่ทำให้ผู้โจมตีได้กำไรประมาณ 1.78 ล้านดอลลาร์ สาเหตุหลักมาจากราคาของ Oracle สำหรับ Coinbase Wrapped Staked ETH (cbETH) ที่ส่งค่าที่ผิดปกติในระดับต่ำอย่างผิดปกติ—ประมาณ 1.12 ดอลลาร์ แทนที่จะเป็นราคาที่ถูกต้องใกล้เคียง 2,200 ดอลลาร์ ซึ่งสร้างความผิดพลาดด้านราคาที่ผู้มีความชำนาญสามารถใช้ประโยชน์เพื่อทำกำไร การเกิดเหตุการณ์นี้เน้นให้เห็นถึงความเปราะบางของโครงสร้างพื้นฐาน DeFi ข้ามเชน เมื่อข้อมูลราคาถูกส่งผิดพลาดและระบบอัตโนมัติยึดติดกับข้อมูลผิดพลาด นอกจากนี้ยังเป็นการสะท้อนบทบาทของการพัฒนาด้วย AI ในความปลอดภัยของสมาร์ทคอนแทรกต์ ซึ่งเป็นหัวข้อที่กลายเป็นประเด็นถกเถียงมากขึ้นเรื่อย ๆ เนื่องจากทีมงานพึ่งพาเครื่องมือที่ขับเคลื่อนด้วย AI เพื่อเร่งกระบวนการเขียนโค้ดและการตรวจสอบความปลอดภัย

เรื่องราวนี้เชื่อมโยงความผิดพลาดด้านเทคนิคด้านราคากับคำถามด้านการกำกับดูแลและวิศวกรรมที่เกินกว่าการโจมตีเพียงครั้งเดียว หลังจากเหตุการณ์ ทีมพัฒนาของ Moonwell ได้รับความสนใจอย่างมาก หลังจากนักวิจัยด้านความปลอดภัย Leonid Pashov ได้แจ้งเตือนบนโซเชียลมีเดียเกี่ยวกับความกังวลเกี่ยวกับการมีส่วนร่วมของ AI ในโค้ดเบสพื้นฐาน คำขอดึง (pull request) ที่เกี่ยวข้องกับสัญญาที่ได้รับผลกระทบแสดงให้เห็นว่ามีการคอมมิตหลายครั้งที่ร่วมเขียนโดย Claude Opus 4.6 ซึ่งเป็นเครื่องมือ AI ของ Anthropic ซึ่งทำให้ Pashov ออกมาวิพากษ์วิจารณ์อย่างเปิดเผยว่าเป็นตัวอย่างของโค้ด Solidity ที่เขียนโดย AI หรือได้รับความช่วยเหลือจาก AI ที่ล้มเหลว ความถกเถียงนี้ไม่ใช่แค่เรื่องของ AI เท่านั้น แต่ยังเกี่ยวกับว่าการเขียนโค้ดอัตโนมัติควรมีการควบคุมดูแลอย่างเพียงพอหรือไม่

ในการพูดคุยกับ Cointelegraph Pashov อธิบายว่าการค้นพบนี้เกิดขึ้นอย่างไร: ทีมงานเชื่อมโยงกรณีนี้กับ Claude เพราะหลายการคอมมิตในคำขอดึงถูกอ้างอิงว่าใช้เวิร์กโฟลว์ที่ได้รับความช่วยเหลือจาก AI ของ Claude ซึ่งบ่งชี้ว่าผู้พัฒนานำ AI มาใช้เขียนบางส่วนของโค้ด ผลกระทบที่กว้างขึ้น เขาแย้งว่าไม่ใช่ AI เองที่มีข้อบกพร่อง แต่เป็นกระบวนการที่ล้มเหลวในการดำเนินการตรวจสอบอย่างเข้มงวดและการตรวจสอบแบบครบวงจร ความแตกต่างนี้สำคัญเพราะเป็นการชี้ให้เห็นว่าเหตุการณ์นี้เป็นบทเรียนเตือนเกี่ยวกับการกำกับดูแล การตรวจสอบ และความเข้มงวดในการทดสอบ ซึ่งเป็นปัจจัยที่ควรมีในทุกโครงการ DeFi ที่ทดลองใช้เวิร์กโฟลว์การพัฒนาที่สนับสนุนด้วย AI

โค้ดที่อ่อนแอเป็นสาเหตุให้เกิดการโจมตีของ Moonwell แหล่งที่มา: Pashov

คำแถลงเบื้องต้นจากทีม Moonwell ระบุว่าไม่ได้มีการทดสอบหรือการตรวจสอบอย่างละเอียดตั้งแต่แรก ต่อมา ทีมงานยืนยันว่ามีการทดสอบหน่วยและการทดสอบบูรณาการในคำขอดึงแยกต่างหาก และได้ว่าจ้างการตรวจสอบจาก Halborn อย่างไรก็ตาม Pashov ยังคงเชื่อว่าการผิดพลาดด้านราคาอาจตรวจพบได้ด้วยการทดสอบบูรณาการที่เข้มงวดพอสมควร ซึ่งเชื่อมโยงระหว่างตรรกะบนบล็อกเชนและนอกบล็อกเชน ถึงแม้เขาจะไม่ระบุชื่อบริษัทตรวจสอบใดเป็นความผิดก็ตาม การถกเถียงนี้เน้นไปที่ว่ารหัสที่สร้างโดย AI หรือได้รับความช่วยเหลือจาก AI ควรถือเป็นข้อมูลที่ไม่น่าเชื่อถือและต้องผ่านกระบวนการกำกับดูแล การควบคุมเวอร์ชัน การตรวจสอบโดยหลายคน โดยเฉพาะในพื้นที่เสี่ยงสูง เช่น การควบคุมการเข้าถึง การโต้ตอบกับ Oracle กลไกการตั้งราคา และเส้นทางการอัปเกรด

นอกเหนือจากรายละเอียดทางเทคนิค เหตุการณ์ Moonwell ได้เน้นย้ำบทสนทนาในวงกว้างเกี่ยวกับบทบาทของ AI ในวงจรการพัฒนา crypto Fraser Edwards ซึ่งเป็นผู้ร่วมก่อตั้งและซีอีโอของ cheqd ซึ่งเป็นผู้ให้บริการโครงสร้างพื้นฐานระบุตัวตนแบบกระจายศูนย์ กล่าวว่าการสนทนาเรื่อง “Vibe coding” ซ่อนความเป็นจริงสองด้านในการใช้ AI ในอีกด้านหนึ่ง ผู้ก่อตั้งที่ไม่มีความเชี่ยวชาญด้านเทคนิคอาจพึ่งพา AI เพื่อร่างโค้ดที่พวกเขาไม่สามารถตรวจสอบได้ อีกด้านหนึ่ง นักพัฒนาที่มีประสบการณ์สามารถใช้ AI เพื่อเร่งการปรับปรุงโค้ด ค้นหาแพทเทิร์น และทดสอบแนวคิดในกรอบวิศวกรรมที่มีความเชี่ยวชาญมากขึ้น Edwards เน้นว่า การพัฒนาด้วย AI ที่สนับสนุนสามารถมีคุณค่าในช่วง MVP แต่ไม่ควรแทนที่โครงสร้างพื้นฐานที่พร้อมใช้งานในสภาพแวดล้อมที่ต้องการทุนสูงเช่น DeFi

Edwards เรียกร้องให้โค้ดสมาร์ทคอนแทรกต์ที่สร้างด้วย AI ควรถือเป็นข้อมูลที่ไม่น่าเชื่อถือ ต้องมีการควบคุมเวอร์ชันที่เข้มงวด การกำหนดเจ้าของอย่างชัดเจน การตรวจสอบโดยหลายคน และการทดสอบขั้นสูง โดยเฉพาะในโมดูลที่ควบคุมการเข้าถึง Oracle กลไกการตั้งราคา และกระบวนการอัปเกรด เขาเสริมว่าการบูรณาการ AI อย่างรับผิดชอบขึ้นอยู่กับการกำกับดูแลและวินัย โดยมีจุดตรวจสอบที่ชัดเจนและการแยกกระบวนการสร้างโค้ดกับการตรวจสอบ เป้าหมายคือเพื่อให้แน่ใจว่าการปรับใช้ในสภาพแวดล้อมที่เป็นศัตรูมีความเสี่ยงแฝงที่ต้องได้รับการบรรเทาอย่างรอบคอบ

ความเสียหายน้อยแต่คำถามด้านการกำกับดูแลใหญ่

เหตุการณ์ Moonwell ตั้งอยู่ในบริบทที่ความเสี่ยงของ DeFi เข้ากับแนวปฏิบัติการพัฒนาที่เปลี่ยนแปลงไป ในขณะที่ตัวเลขดอลลาร์ของการโจมตีนี้น้อยเมื่อเทียบกับการละเมิดที่มีชื่อเสียงที่สุดของ DeFi เช่น การโจมตีสะพาน Ronin ในเดือนมีนาคม 2022 ที่ได้ผลตอบแทนมากกว่า 600 ล้านดอลลาร์ เหตุการณ์นี้เปิดเผยให้เห็นว่าการตัดสินใจด้านการกำกับดูแล การทดสอบความเข้มงวด และเครื่องมือที่เลือกใช้สามารถส่งผลต่อผลลัพธ์ในเวลาจริง คำถามสำคัญคือ โครงการควรสมดุลระหว่างความเร็ว นวัตกรรม และความปลอดภัยอย่างไร เมื่อ AI เข้ามามีบทบาทในกระบวนการพัฒนา เรื่องราวนี้ยังเป็นบทเรียนสำหรับโปรโตคอลใด ๆ ที่พึ่งพาแหล่งข้อมูลราคาภายนอกและเส้นทางการอัปเกรดที่ซับซ้อน โดยเฉพาะเมื่อการอัปเกรดเหล่านั้นเกี่ยวข้องกับการค้ำประกันและความเสี่ยงด้านสภาพคล่อง

ในขณะที่อุตสาหกรรมพิจารณาปัจจัยเหล่านี้ เหตุการณ์ Moonwell ทำหน้าที่เป็นการทดสอบความเครียดเชิงปฏิบัติการสำหรับโมเดลความปลอดภัยที่พยายามขยายการพัฒนาด้วย AI โดยไม่ลดทอนมาตรการป้องกันที่สำคัญ มันชี้ให้เห็นว่าแม้จะมีการตรวจสอบและทดสอบแล้ว การตรวจสอบแบบครบวงจรที่ครอบคลุมการโต้ตอบบนบล็อกเชนและนอกบล็อกเชนยังคงเป็นสิ่งจำเป็น ความตึงเครียดระหว่างการทำซ้ำอย่างรวดเร็วและการตรวจสอบอย่างละเอียดอาจไม่ลดลง โดยเฉพาะอย่างยิ่งเมื่อโปรโตคอลอื่น ๆ เริ่มใช้เครื่องมือที่สนับสนุนด้วย AI เพื่อรักษาจังหวะของนวัตกรรมในขณะเดียวกันก็รักษาความปลอดภัย

“Vibe coding” กับการใช้ AI อย่างมีวินัย

บทสนทนาเกี่ยวกับการเขียนโค้ดด้วย AI ในวงการคริปโตได้เปลี่ยนจากการวิจารณ์แบบสองขั้วของ AI กับนักพัฒนามนุษย์ ไปสู่การถกเถียงที่ละเอียดขึ้นเกี่ยวกับกระบวนการ ความคิดเห็นของ Edwards เน้นว่า AI สามารถเป็นเครื่องมือที่มีประสิทธิผลเมื่อถูกรวมเข้าในกรอบวินัยที่เน้นการมีแนวทาง คำรับรอง และการทดสอบอย่างเข้มงวด เหตุการณ์ Moonwell ย้ำเตือนว่า โค้ดที่สร้างโดย AI ยังคงต้องได้รับการตรวจสอบในระดับเดียวกับโค้ดที่เขียนด้วยมือ หากไม่มากกว่านั้น เนื่องจากความเสี่ยงที่เพิ่มขึ้นใน DeFi

ในเชิงปฏิบัติ เหตุการณ์นี้ชวนให้มีการประเมินใหม่เกี่ยวกับวิธีการควบคุมเวิร์กโฟลว์ที่สนับสนุนด้วย AI ภายในทีมสมาร์ทคอนแทรกต์: ใครเป็นเจ้าของผลลัพธ์ที่ AI สร้างขึ้น การตรวจสอบการเปลี่ยนแปลง และการแมปเทียบกับสถานการณ์จริงบนบล็อกเชน ข้อสรุปสำคัญคือไม่ควรกลัวเทคโนโลยี แต่ควรให้แน่ใจว่ากระบวนการกำกับดูแล กระบวนการตรวจสอบ และการตรวจสอบบนเชนยังคงแข็งแกร่งพอที่จะจับความผิดพลาดด้านการตั้งราคาและความผิดพลาดด้านราคาก่อนที่ทุนจะเสี่ยง

สิ่งที่ควรจับตามองต่อไป

Moonwell ได้วางแผนแนวทางแก้ไขและการเปลี่ยนแปลงด้านการกำกับดูแลหลังจากเหตุการณ์ รวมถึงการเปลี่ยนแปลงในการบูรณาการ Oracle และเส้นทางการอัปเกรด

นักตรวจสอบและทีม Moonwell ได้เผยแพร่รายงานวิเคราะห์เหตุการณ์และกรอบการทดสอบใหม่ที่เชื่อมโยงสถานการณ์บนเชนกับการทดสอบหน่วยและการทดสอบบูรณาการอย่างชัดเจน

การตรวจสอบอิสระเพิ่มเติมมุ่งเน้นไปที่เวิร์กโฟลว์การพัฒนาด้วย AI และผลกระทบต่อส่วนประกอบสำคัญของสมาร์ทคอนแทรกต์

การปรับปรุงการตรวจสอบและการแจ้งเตือนบนเชนเพื่อจับความผิดปกติด้านราคาแบบเรียลไทม์และกระตุ้นมาตรการป้องกัน เช่น ตัวหยุดชั่วคราวหรือกลไกหยุดชะงัก

แหล่งข้อมูลและการตรวจสอบ

คำขอดึงของสัญญา Moonwell เวอร์ชัน 2 ที่เปิดเผยปัญหาการตั้งราคา: https://github.com/moonwell-fi/moonwell-contracts-v2/pull/578

การอภิปรายสาธารณะโดยนักวิจัยด้านความปลอดภัย Pashov อ้างอิงถึงการคอมมิตที่ได้รับความช่วยเหลือจาก AI ใน Moonwell: https://x.com/pashov/status/2023872510077616223

บริบทเกี่ยวกับการโจมตีใน DeFi และผลกระทบด้านการกำกับดูแล (เช่น การโจมตีสะพาน Ronin, Nomad ฯลฯ) ที่อ้างอิงในรายงานที่เกี่ยวข้อง: https://cointelegraph.com/news/battle-hardened-ronin-bridge-to-axie-reopens-following-600m-hack และ https://cointelegraph.com/news/suspect-behind-190-million-nomad-bridge-hack-extradited-us

การอภิปรายและการศึกษาด้านการกำกับดูแล AI ใน crypto และแนวปฏิบัติการพัฒนาด้วย AI ที่อ้างอิงในวงการ

การเขียนโค้ดด้วย AI การผิดพลาดด้านราคา และการกำกับดูแลใน Moonwell: ความหมายสำหรับ DeFi

ประสบการณ์ของ Moonwell แสดงให้เห็นถึงความตึงเครียดเชิงปฏิบัติการที่เกิดขึ้น ณ จุดตัดของเครื่องมือสนับสนุนด้วย AI และความปลอดภัยของ DeFi การผิดพลาดด้านราคาที่สามารถโจมตีได้ในข้อมูลราคาของ cbETH แสดงให้เห็นว่าแม้แต่ข้อผิดพลาดเชิงตัวเลขเล็กน้อยใน Oracle ก็สามารถส่งผลให้เกิดความสูญเสียที่สำคัญได้ เมื่อกลยุทธ์และการระดมทุนถูกใช้ผ่านโปรโตคอลการกู้ยืม บทเรียนที่ชัดเจนคือ การพัฒนาด้วย AI อาจเร่งการทำซ้ำ แต่ไม่ได้กำจัดความจำเป็นในการตรวจสอบแบบครบวงจรที่จำลองการโต้ตอบในโลกความเป็นจริงของบล็อกเชน

ในระยะเร่งด่วน เหตุการณ์นี้ควรเป็นแรงกระตุ้นให้ทีมโปรโตคอลทบทวนโครงสร้างการกำกับดูแลเกี่ยวกับการสร้างโค้ด การรับผิดชอบในการตรวจสอบ และสมดุลระหว่างเครื่องมืออัตโนมัติและการควบคุมโดยมนุษย์ รวมถึงเน้นความสำคัญของการทดสอบบูรณาการที่เชื่อมโยงสถานะบนเชนกับข้อมูลภายนอก เพื่อให้แน่ใจว่าความผิดพลาดด้านราคาไม่สามารถถูกใช้ประโยชน์ในลักษณะที่ละเมิดมาตรการความเสี่ยงได้ ขณะที่โปรโตคอลอื่น ๆ เริ่มใช้เวิร์กโฟลว์สนับสนุนด้วย AI เหตุการณ์ของ Moonwell จะเป็นแนวทางอ้างอิงว่าควรปรับสมดุลระหว่างความเร็วและความปลอดภัยอย่างไร และใครเป็นผู้รับผิดชอบเมื่อโค้ดที่สนับสนุนด้วย AI ก่อให้เกิดช่องโหว่

บทความนี้เผยแพร่ครั้งแรกในหัวข้อ Moonwell ถูกโจมตีด้วยมูลค่ากว่า 1.78 ล้านดอลลาร์ ขณะที่ถกเถียงเรื่องการเขียนโค้ดด้วย AI ใน DeFi บน Crypto Breaking News – แหล่งข่าวที่เชื่อถือได้ของคุณสำหรับข่าวคริปโต ข่าว Bitcoin และอัปเดตบล็อกเชน