ผู้ให้บริการเหรียญสเตเบิลคอยน์ของยุโรป StablR ถูกโจมตีแบบหลายลายเซ็น (multi-signature) ตั้งแต่ช่วงค่ำวันที่ 24 พฤษภาคมจนถึงเช้าของวันที่ 25 พฤษภาคม โดยผู้โจมตีขโมยคีย์ส่วนตัวแบบหลายลายเซ็น 1/3 ของสัญญาเหรียญ (minting contract) ภายในราว 3 ชั่วโมงได้สร้างเหรียญ USDR จำนวน 8.35 ล้านเหรียญ และ EURR จำนวน 4.5 ล้านเหรียญ จากนั้นนำไปขายทิ้งบน DEX ส่งผลให้ราคา EURR ร่วงลงเหลือราว 0.85 ดอลลาร์สหรัฐ และ USDR ร่วงลงเหลือราว 0.64 ดอลลาร์สหรัฐ

กลไกเชิงเทคนิคของการโจมตี: วิธีที่เกณฑ์หลายลายเซ็น 1/3 ถูกเจาะทะลุ

Blockaid ยืนยันว่า รากเหง้าทางเทคนิคของการโจมตีครั้งนี้คือคีย์ส่วนตัวรั่วไหลของผู้ลงนามคนหนึ่งในระบบหลายลายเซ็นของฟังก์ชันการมินต์ของ StablR โดยฟังก์ชันการมินต์ของ StablR ใช้กลไกหลายลายเซ็น 1/3 (เกณฑ์ลายเซ็นหนึ่งในสาม) กล่าวคือ เพียงต้องให้ผู้ลงนามที่ได้รับอนุญาต 3 คนมี “หนึ่งคน” อนุมัติก็สามารถรันการมินต์ได้ ผู้โจมตีใช้คีย์ส่วนตัวที่รั่วไหลเพื่อ: เพิ่มตัวเองเป็นผู้ดูแล (admin) เปลี่ยนเจ้าของตามกฎหมายเดิม และเสร็จสิ้นการมินต์แบบไม่ได้รับอนุญาตของ USDR 8.35 ล้านเหรียญ และ EURR 4.5 ล้านเหรียญ ภายใน 3 ชั่วโมง

นอกจากนี้ผู้โจมตียังใช้สิทธิการบริหารที่ได้มาเพิ่มเติม โดยขึ้นบัญชีดำโทเค็นของอย่างน้อยหนึ่งคู่สัญญาที่เป็นฝ่ายถูกต้องตามกฎหมาย และทำลายทิ้ง—ข้อมูลบนเชนยืนยันอย่างน้อย 1 ครั้งที่มีการทำลาย EURR ราว 2.7 ล้านเหรียญ (ประมาณ 2.4 ล้านดอลลาร์สหรัฐ) โดยโทเค็นเหล่านี้มาจากกระเป๋าเงินที่ทำการไถ่ถอนตามปกติกับ StablR มาหลายเดือน กระเป๋าเงินของผู้โจมตีเติมเงินเริ่มต้นผ่าน Circle ผ่านข้อตกลงการโอนข้ามเชน (CCTP) บน Noble

ข้อมูลที่ยืนยัน: ความสูญเสียจริงและผลกระทบต่อราคา

Blockaid วิเคราะห์ยืนยันว่า โทเค็นมูลค่าเงินต้นราว 10.4 ล้านดอลลาร์สหรัฐ ถูกนำไปแลกเป็น ETH บน DEX แต่เนื่องจากสลิปเพจจำนวนมากจากสภาพคล่องที่ไม่พอ ทำให้คาดการณ์กำไรสุทธิที่แท้จริงจากการโจมตีอยู่ที่ราว 2.8 ล้านดอลลาร์สหรัฐ ณ ช่วงเช้าวันอาทิตย์ กระเป๋าเงินของผู้โจมตีซึ่ง Etherscan ระบุเป็น “StablR Exploiter 2” มี ETH 1,488 เหรียญ (ราว 3.15 ล้านดอลลาร์สหรัฐ) แล้ว และ ZachXBT ได้ช่วยตรึงเงินที่ถูกขโมยไว้แล้วเป็นจำนวนหลักแสน

ด้านราคา ตามข้อมูลของ CoinGecko: ราคาซื้อขาย EURR ร่วงลงเหลือราว 0.85 ดอลลาร์สหรัฐ (จุดอ้างอิงอิงค่าเงินยูโรต่อดอลลาร์อยู่ที่ประมาณ 1.15 ดอลลาร์สหรัฐ และร่วงลงราว 26%); USDR ร่วงลงเหลือราว 0.64 ดอลลาร์สหรัฐ (ร่วงลงราว 36%) ปัจจุบันอุปทานรวมของสเตเบิลคอยน์ที่หนุนด้วยยูโรบน Ethereum คิดเป็นราว 0.24% ของอุปทานรวมสเตเบิลคอยน์ที่หนุนด้วยเงินคำสั่งกฎหมาย (fiat) บน Ethereum

คำถามที่พบบ่อย

เกณฑ์หลายลายเซ็น 1/3 ในอุตสาหกรรมประเมินความปลอดภัยอย่างไร และเหตุใดจึงถูกมองว่าเป็นข้อบกพร่องด้านการออกแบบ?

หลักการออกแบบความปลอดภัยของหลายลายเซ็น (Multisig) คือการเพิ่มจำนวนคีย์ที่ผู้โจมตีต้องเจาะให้มากขึ้น โดยเกณฑ์ยิ่งต่ำ ยิ่งถูกเจาะได้ง่ายขึ้น เกณฑ์ 1/3 (หนึ่งในสาม) หมายความว่าผู้โจมตีเพียงต้องควบคุมผู้ลงนามที่ได้รับอนุญาต 1 คนจาก 3 คน ก็สามารถดำเนินการที่มีสิทธิ์สูง (high-privilege) แบบเต็มรูปแบบ เช่น การมินต์ได้ เมื่อเทียบกับอุตสาหกรรม: สะพาน Harmony Horizon ในปี 2022 ก่อนเกิดเหตุถูกฉ้อฉลมูลค่า 100 ล้านดอลลาร์สหรัฐ ใช้เกณฑ์ 2/5 และในตอนนั้น นักวิเคราะห์ความปลอดภัยก็ได้ชี้แล้วว่านี่เป็นการออกแบบความปลอดภัยที่ไม่เพียงพอ โดยโซลูชันหลายลายเซ็นกระแสหลักอย่าง Gnosis Safe มักแนะนำให้ใช้เกณฑ์ 3/5 หรือสูงกว่า สำหรับการทำงานระดับสิทธิ์สูงในเชิงโปรโตคอล Blockaid ระบุชัดเจนว่า เกณฑ์ 1/3 เป็นปัญหาด้านการกำกับดูแลและการจัดการคีย์ของ StablR ไม่ใช่ช่องโหว่ของโค้ดสัญญาอัจฉริยะโดยตรง

พื้นฐานการปฏิบัติตาม MiCA ของ StablR และการลงทุนของ Tether/Kraken ส่งผลต่อเหตุโจมตีครั้งนี้อย่างไร?

MiCA (ข้อกำหนดกำกับดูแลตลาดสินทรัพย์เข้ารหัส) จะกำหนดหลัก ๆ เกี่ยวกับข้อกำหนดด้านเงินสำรองของสเตเบิลคอยน์ คุณสมบัติในการออกเหรียญ และการเปิดเผยความเสี่ยง แต่ไม่ได้กำหนดข้อกำหนดเชิงเทคนิคเฉพาะเจาะจงเกี่ยวกับสถาปัตยกรรมความปลอดภัยของสัญญาอัจฉริยะโดยตรง StablR ถือใบอนุญาตอิเล็กทรอนิกส์มอนี่ (MFSA electronic money) และมีคุณสมบัติที่สอดคล้องตาม MiCA แต่การรับรองทางกฎระเบียบเหล่านี้ไม่ได้ครอบคลุมตัวเลือกด้านการออกแบบความปลอดภัยตอนที่มีการ deploy สัญญา Tether และ Kraken ในฐานะนักลงทุนเชิงกลยุทธ์ก็ไม่ได้รับความสูญเสียทางการเงินโดยตรงจากเหตุการณ์นี้เช่นกัน อย่างไรก็ดี เหตุการณ์ดังกล่าวส่งผลต่อชื่อเสียงการลงทุนของทั้งสองในตลาดสเตเบิลคอยน์ที่สอดคล้องกฎระเบียบในยุโรป

การโจมตีครั้งนี้สะท้อนการเปลี่ยนรูปแบบของภัยคุกคามด้านความปลอดภัยในคริปโตปี 2026 อย่างไร?

การวิเคราะห์ของ Blockaid และเคสโจมตีสำคัญหลายกรณีในปี 2026 ชี้ไปที่แนวโน้มเดียวกัน: เหตุการณ์ที่ทำให้สูญเสียหนักที่สุดในตอนนั้นไม่ได้เกิดจากช่องโหว่ของโค้ดสัญญาอัจฉริยะรูปแบบใหม่อีกต่อไป แต่เกิดจากความผิดพลาดด้านการออกแบบของ “การเข้าถึงสิทธิ์พิเศษ โครงสร้างการกำกับดูแล และการจัดการคีย์” เหตุการณ์ของ Drift Protocol วันที่ 1 เมษายน (สูญเสียมากกว่า 280 ล้านดอลลาร์สหรัฐ) ก็เช่นกันที่โอนเงินผ่าน Circle CCTP และเกี่ยวข้องกับรูปแบบการโจมตีแบบใช้สิทธิ์พิเศษ ข้อมูลของ DeFiLlama ยืนยันว่าเดือนเมษายน 2026 เป็นเดือนที่มีจำนวนเหตุโจมตีของแฮกเกอร์มากที่สุดในประวัติศาสตร์คริปโต การออกแบบหลายลายเซ็น 1/3 ของ StablR และหลายลายเซ็น 2/5 ของ Harmony ต่างก็สะท้อนว่าพร็อตคอลมักให้ความสำคัญกับความสะดวกในการปฏิบัติการมากกว่าความซ้ำซ้อนด้านความปลอดภัยของคีย์เมื่อขยายขนาดขึ้น

news.article.disclaimer

news.related.news

4 ชั่วโมง ที่แล้ว

วอลเล็ตที่ไม่ได้ใช้งาน 2 รายฝาก $127M มูลค่า 1,650 BTC เข้าสู่การแลกเปลี่ยนแบบรวมศูนย์

14 ชั่วโมง ที่แล้ว

Ethereum ร่วงลงต่ำกว่า $2,100 ระหว่างวัน เพิ่มขึ้น 1.88%

23 ชั่วโมง ที่แล้ว

StablR สูญเสีย 2.8 ล้านดอลลาร์สหรัฐจากการแฮก; USDR 8.35 ล้านดอลลาร์และ EURR 4.5 ล้านดอลลาร์ถูกมิ้นต์เมื่อวันที่ 18 พฤษภาคม

btc.bar.articles

รายงาน Gate ประจำวัน (25 พฤษภาคม): เจ้าหน้าที่ CFTC ตั้งข้อสงสัยตลาดคาดการณ์ ถูกสั่งพักงาน; Bitmine จัดทำรายชื่อผู้เข้าชิง Russell 1000

Market Whisper2 ชั่วโมง ที่แล้ว

แฮ็กเกอร์ของ Verus Bridge คืน ETH มูลค่า 8.5 ล้านดอลลาร์ หลังดีลรางวัล 1,350 ETH