แพลตฟอร์มการเงินแบบกระจายศูนย์ Moonwell ถูกโจมตีด้วยการ
สูญเสีย $1 ล้าน เมื่อวันที่ 4 พฤศจิกายน 2025 โดยเปิดเผยจุดอ่อนสำคัญในวิธีที่โปรโตคอล DeFi ใช้ข้อมูลราคาภายนอก การโจมตีมุ่งเป้าที่การดำเนินการของโปรโตคอลใน เครือข่าย Base และ Optimism โดยระบายเงินผ่านการโจมตีแบบฟลาชโลนขั้นสูงที่ทำให้ช่องสัญญาณราคาของออราเคิลบิดเบี้ยว
เหตุการณ์นี้เกิดขึ้นเมื่อ บริษัทด้านความปลอดภัยบล็อกเชน BlockSec ตรวจพบการทำธุรกรรมที่น่าสงสัยที่มุ่งเป้าไปที่สัญญาอัจฉริยะของ Moonwell จากการวิเคราะห์ของพวกเขา แฮกเกอร์ใช้ช่องข้อมูลออราเคิล rsETH/ETH ที่ผิดพลาดซึ่งรายงานราคาของ ETH ที่ปรับการเสี่ยงไว้อย่างไม่ถูกต้องที่ประมาณ $5.8 ล้านต่อโทเคน ซึ่งสูงเกินจริงเมื่อเทียบกับราคาตลาดที่แท้จริงซึ่งต่ำกว่า $3,500 สำหรับ ETH ที่แท้จริง
ด้วยข้อผิดพลาดทางราคานี้ทำให้แฮกเกอร์ดำเนินการโจมตีด้วยวิธีฟลาชโลนซ้ำ ๆ ที่อนุญาตให้พวกเขาเข้ายืมคริปโทเคอร์เรนซีจำนวนมากจากการใช้เงินประกันน้อยนิด บริษัทความปลอดภัย CertiK รายงาน ว่าแฮกเกอร์ "สามารถเข้ายืม wstETH ได้มากกว่า 20 ครั้งด้วยการฟาลชโลน ~0.02 wrstETH และฝากไว้" เนื่องจากออราเคิลทำงานผิดพลาด
การโจมตีนี้ในที่สุดก็ทำให้แฮกเกอร์ได้รับ ETH ประมาณ 295 หน่วย มีมูลค่าประมาณ $1 ล้าน
ลวดลายของช่องโหว่
การละเมิดล่าสุดนี้เป็นเหตุการณ์ความปลอดภัยใหญ่ครั้งที่สี่สำหรับ Moonwell ในระยะเวลา 3 ปี ทำให้เกิดคำถามอย่างจริงจังเกี่ยวกับโครงสร้างความปลอดภัยของโปรโตคอล
แพลตฟอร์มนี้ เคยสูญเสีย $1.7 ล้านในเดือนตุลาคม 2025 ในช่วงที่ตลาดแกว่งตัวจากการประกาศภาษี เมื่อช่องว่างราคาของออราเคิล-DEX อนุญาตให้โจมตีกลไกการชำระบัญชี
ใน เดือนธันวาคม 2024, Moonwell เสีย $320,000 ด้วยการโจมตีฟลาชโลน ที่มุ่งเป้าไปที่สัญญาการให้กู้ USDC ของมัน ซึ่งสัญญาที่เป็นอันตรายปลอมตัวเป็น "mToken" อนุญาตให้มีการอนุมัติโทเคนโดยไม่ได้รับอนุญาต แฮกเกอร์ใช้ Tornado Cash เพื่อเติมเงินในวอลเล็ตและแลกเปลี่ยน USDC ที่ขโมยมาเป็น DAI อย่างรวดเร็วก่อนที่เจ้าหน้าที่จะตอบกลับ
โปรโตคอลยังประสบปัญหาที่เกี่ยวข้องกับ Gate Bridge incident ในปี 2022 อย่างไรก็ตามผลกระทบทางการเงินที่แน่นอนยังไม่ชัดเจน ประวัติที่น่าคับข้องใจนี้กระตุ้นให้นักตรวจสอบความปลอดภัย QuillAudits ระบุว่า: "อีกวันผ่านไป อีกครั้งที่ Moonwell ถูกโจมตี เหตุการณ์ใหญ่ครั้งที่ 4 ใน 3 ปี"
ผลกระทบต่อตลาดและความเชื่อมั่นของนักลงทุน
การโจมตีนี้ส่งผลให้เกิดการกระจัดกระจายทั้งระบบใน Moonwell's ecosystem โทเคน WELL ลดลง 13.5% ภายในวันเดียว หลังจากที่มีการเผยแพร่ข่าวการโจมตี ซึ่งเลวร้ายกว่า 3.95% ที่ตลาดคริปโทเคอร์เรนซีลดลงภาพรวม
การรายงานของผู้มีอำนาจในเดือนตุลาคมที่เพิ่งผ่านมานี้ที่แสดงถึงค่าส่วนลดค่าธรรมเนียมสูงสุดในประวัติการณ์ โดยมีรายได้ $2.12 ล้านถูกแจกจ่ายให้แก่ผู้ให้กู้และกองทุนสำรองบน Base และ Optimism
ปัญหาออราเคิลใน DeFi
เหตุการณ์ Moonwell ของนี้เป็นตัวชี้ให้เห็นถึงความท้าทายพื้นฐานที่แพร่หลายใน DeFi: การพึ่งพาแหล่งข้อมูลภายนอกที่เรียกว่าออราเคิล ระบบเหล่านี้ให้ข้อมูลที่เป็นความจริงแก่สัญญาอัจฉริยะเช่นราคาสินทรัพย์ แต่ก็นำเอาจุดเสี่ยงที่อาจเกิดการโจมตีได้
การโจมตีตัวเองนั้นมีความซับซ้อน ด้วยการใช้เงินกู้ฟลาช ซึ่งเป็นเงินกู้แบบไม่มีการประกันที่ต้องชำระในธุรกรรมเดียว แฮกเกอร์เพิ่มมูลค่าค่าประกันตามข้อมูลออราเคิลที่ผิดพลาด
วิกฤตความปลอดภัย DeFi ที่กว้างขึ้น
การโจมตี Moonwell เกิดขึ้นในช่วงที่ DeFi กำลังเผชิญกับความผันผวนที่รุนแรง ก่อนหน้านี้ในวันที่ 3 พฤศจิกายน Balancer ถูกแฮกหนักถึง $128 ล้าน โดยการโจมตีของ Balancer นี้เกิดจากทางเข้าที่ไม่มีการควบคุม และกระบวนการ "manageUserBalance" แม้ว่าจะผ่านการตรวจสอบความปลอดภัยอย่างต่อเนื่องมากถึง 11 ครั้งตั้งแต่ปี 2021
ผลกระทบดังกล่าวนี้เป็นการตรวจสอบความเป็นจริงที่แสดงให้เห็นว่าการตรวจสอบอย่างถี่ถ้วนหลายครั้งยังไม่สามารถรับประกันความปลอดภัยของโปรโตคอลได้
นอกจากนี้ Berachain, ซึ่งเป็นบล็อคเชน Layer 1 ที่เข้ากันได้กับ Ethereum, ประสบปัญหาจากการถูกโจมตีเชื่อมโยงกับ Ethena/Honey tripool โดยที่คณะกรรมการ Berachain หยุดชั่วคราวเพื่อลดความเสี่ยง
สามเหตุการณ์นี้ในช่วงต้นเดือนพฤศจิกายน 2025 ได้ลบล้างมากกว่า $222 ล้านจากโปรโตคอล DeFi, ตามรายงานของ The Block
ข้อคิดสุดท้าย
ขณะที่ ข้อมูลจาก PeckShield แสดงให้เห็นว่าการโจมตีใน DeFi ลดลง 85.7% ในเดือนตุลาคม เหลือ $18.18 ล้านจาก 15 เหตุการณ์ - ลดลงจากกว่า $127 ล้านในเดือนกันยายน - การโจมตีในเดือนพฤศจิกายนชี้ให้เห็นว่าความเปราะบางอย่างมีนัยสำคัญยังคงมีอยู่
ความพยายามในการจัดให้มีการตรวจสอบออราเคิลที่เข้มงวดขึ้นและระบบตรวจสอบราคาแบบหลายแหล่งอาจจะช่วยป้องกันการโจมตีแบบเดียวกันในอนาคต
สำหรับ Moonwell โดยเฉพาะอย่างยิ่ง เส้นทางในการสร้างความเชื่อมั่นใหม่ทำให้มันยากขึ้น ด้วย มูลค่ารวมที่ลดลงจากเกือบ $400 ล้านเมื่อช่วงสูงสุด ถึงประมาณ $234 ล้าน ก่อนการโจมตีครั้งล่าสุด
การโจมตีในเดือนพฤศจิกายนปี 2025 ที่เกิดขึ้นนี้เป็นเครื่องเตือนใจอันชัดเจนว่าแม้จะมีการพัฒนาในวงการ DeFi มาหลายปีแล้วและมีมูลค่าเป็นพันล้านดอลลาร์ที่ถูกใส่ล็อคในโปรโตคอล DeFi ภาคส่วนนี้ยังคงอ่อนแอต่อการโจมตีที่ซับซ้อน