ล่าสุด โลกของสกุลเงินดิจิทัลได้เห็นอีก บทเรียนที่ทำลายล้าง เกี่ยวกับความเปราะบางของการเงินแบบกระจายอำนาจ
BunniDEX ซึ่งเป็นการแลกเปลี่ยนแบบกระจายอำนาจที่ถูกตั้งความหวังไว้ สร้างขึ้นบนสถาปัตยกรรม hooks ที่นวัตกรรมของ Uniswap v4 เฝ้าดูอย่างหมดหนทางเมื่อผู้โจมตีดูดเงิน 8.4 ล้านดอลลาร์จากพูลสภาพคล่องข้าม Ethereum และ Unichain ภายในไม่กี่ชั่วโมง โปรโตคอลที่ดึงดูดมูลค่ารวม $60 ล้านกลายเป็นผิดพลาดทางการเงินอย่างรุนแรง ทิศทางการเติบโตถูกทำลายโดยการโจมตีจุดอ่อนเชิงตรรกะเดิม
การโจมตีนี้มีลักษณะเฉพาะในความละเอียดแม่นยำ โดย บริษัทความปลอดภัยบล็อกเชน Halborn ผู้โจมตีใช้แฟลชเงินกู้ขั้นสูงควบคู่กับการจัดการฟังก์ชันการกระจายสภาพคล่องของ Bunni อย่างระมัดระวัง ผู้โจมตียืม USDT แลกเปลี่ยนเป็น USDC เพื่อเปลี่ยนตำแหน่งราคาในเวลาใกล้เคียง จากนั้นจึงใช้ประโยชน์จากข้อผิดพลาดในการปัดเศษในพูลเพื่อลดสภาพคล่องอย่างไม่สมสัดส่วนในขณะที่ถอนสินทรัพย์มากเกินกว่าได้รับสิทธิ ในพูลหนึ่ง พบว่าสภาพคล่องลดลงจาก 28 wei เหลือเพียง 4 wei - ลดลง 85.7% ซึ่งส่งผลให้เกิดการถอนเงินโดยไม่ได้รับอนุญาตอย่างมาก
สิ่งที่ทำให้เหตุการณ์นี้ยิ่งกดดันก็คือ Bunni ดูเหมือนว่าจะทำทุกสิ่งอย่างถูกต้อง โปรโตคอลได้ผ่านการตรวจสอบโดยบริษัทความปลอดภัยที่ได้รับการยอมรับสองราย: Trail of Bits และ Cyfrin แต่ทั้งคู่พลาดข้อบกพร่องสำคัญไป ตามที่ ทีมงาน Bunni ยอมรับในภายหลัง ข้อบกพร่องนั้นเป็น "ข้อบกพร่องเชิงตรรกะไม่ใช่ข้อผิดพลาดในการปฏิบัติ" - เป็นประเภทที่หลบเลี่ยงจากการตรวจสอบโค้ดแบบดั้งเดิมแต่ทำลายล้างในสภาวะแวดล้อมการผลิต ข้อผิดพลาดในการปัดเศษในฟังก์ชันการถอนทำงานตรงข้ามกับความคาดหวังของนักพัฒนา: แทนที่จะเพิ่มยอดเงินดูดเล็กน้อยกลับลดมันลง, สร้างเงื่อนไขสำหรับการแสวงประโยชน์
ภายในวันที่ 23 ตุลาคม 2025, Bunni ประกาศปิดการดำเนินการอย่างถาวร ทีมงานไม่สามารถจ่ายค่าสิ่งที่ต้องการในการเปิดใหม่อย่างปลอดภัยได้ เช่น การตรวจสอบครอบคลุมและระบบตรวจสอบ ใน คำแถลงปิดกิจการของพวกเขา, พวกเขาเขียนว่า: "การแสวงประโยชน์ล่าสุดนี้ได้หยุดการเติบโตของ Bunni ในการเปิดใหม่อย่างปลอดภัย เราจำเป็นต้องใช้จ่าย 6-7 ตัวเลขในการตรวจสอบและค่าใช้จ่ายการตรวจสอบเพียงอย่างเดียว - ต้องการทุนที่เราไม่มี"
นี้ตั้งคำถามพื้นฐานที่หลอกหลอนระบบนิเวศ DeFi ทั่วไปในปี 2025: หากโปรโตคอลที่ผ่านการตรวจสอบที่เทคนิคพัฒนาขึ้นโดยนักพัฒนาที่มีความกระตือรือร้นสามารถถูกทำลายลงจากข้อผิดพลาดเชิงตรรกะเดี่ยว ความหวังใดที่มีสำหรับการเงินกระจายศูนย์ที่แท้จริง? และทำไม หลังจากผ่านการแสวงประโยชน์ที่ทำลายล้างเป็นเวลาหลายปีและความสูญเสียเป็นพันล้าน เหตุการณ์เหล่านี้ยังคงเกิดขึ้น?
ขอบเขตของวิกฤต
การล่มสลายของ Bunni ไม่ใช่เหตุการณ์ที่แยกต่างหาก แต่เป็นส่วนหนึ่งของแบบแผนที่น่าหนักใจที่นิยามปี 2025 เป็นปีที่อันตรายที่สุดของสกุลเงินดิจิทัล จากรายงานความปลอดภัย Web3 ปี 2025 ของ Hacken อุตสาหกรรมคริปโตสูญเสียมากกว่า 3.1 พันล้านดอลลาร์ในครึ่งแรกของปี 2025 เพียงเพราะการโจมตีและการฉ้อโกง ตัวเลขอันน่ากลัวนี้เกินกว่าความสูญเสียทั้งหมดที่เกิดขึ้นในปี 2024 ที่ 2.85 พันล้านดอลลาร์ไปแล้ว
ความเข้มข้นของการโจมตีในแพลตฟอร์มการแลกเปลี่ยนแบบกระจายศูนย์นั้นเป็นสิ่งที่โดดเด่น โดยการวิเคราะห์ Q3 2025 ของ CertiK เปิดเผยว่าถึงแม้ว่าภาพรวมของการสูญเสียคริปโตรวมลดลง 37% ในไตรมาสที่สามเป็น 509 ล้านดอลลาร์, แต่โครงการ DeFi และแพลตฟอร์มการแลกเปลี่ยนยังคงเป็นเป้าหมายหลัก มีเงิน 182 ล้านดอลลาร์ที่ถูกขโมยจากการแลกเปลี่ยนที่มีการศูนย์กลาง, แต่โปรโตคอล DeFi ตามมาอย่างใกล้ชิดกับความสูญเสีย 86 ล้านดอลลาร์ในไตรมาส 3 เพียงอย่างเดียว
สถิติเหล่านี้วาดภาพที่น่ารบกวนของระบบนิเวศที่ถูกโจมตี นักวิจัยจาก Hacken พบว่าการใช้ประโยชน์จากการควบคุมการเข้าถึงนับประมาณ 59% ของความสูญเสียทั้งหมดในครึ่งแรกของปี 2025 หรือประมาณ 1.83 พันล้านดอลลาร์ซึ่งการโจมตีใช้ประโยชน์จากข้อผิดพลาดในสัญญาอัจฉริยะมีส่วนร่วมอีก 8% หรือ 263 ล้านดอลลาร์
ดาวตาของการโจมตีก่อให้เกิดความเสียหายทางการเงินสูงสุดนับตั้งแต่ต้นปี 2023 ระดับที่กังวลที่สุดก็คือความถี่ของเหตุการณ์ที่เพิ่มขึ้น กันยายน 2025 มีการโจมตีที่มูลค่ากว่า $1 ล้านถึง 16 ครั้งซึ่งเป็นจำนวนต่อเดือนสูงสุดเท่าที่เคยบันทึก เมื่อเทียบกับปีก่อนหน้า 2025 แสดงให้เห็นถึงทั้งความก้าวหน้าและอันตรายที่ติดอยู่ ปีที่ครอบคลุมสูงสุดยังคงเป็นปี 2022 ที่ถูกขโมยไปกว่า 3.7 พันล้านดอลลาร์ อุตสาหกรรมเห็นการปรับปรุงในปี 2023 และ 2024, โดยความสูญเสียลดลงในช่วง $2-3 พันล้านต่อปี อย่างไรก็ตาม 3.1 พันล้านดอลลาร์ในเพียงหกเดือนของปี 2025 บ่งชี้ว่าแนวโน้มอาจกลับทิศทาง
ผลกระทบมนุษย์แผ่ขยายเกินกว่าตัวเลขเชิงนามธรรมเหล่านี้ แต่ละเหตุการณ์โจมตีแสดงถึงคนจริงๆ - ผู้ให้บริการสภาพคล่อง, นักซื้อขาย, และนักลงทุน - ที่สูญเสียกองทุนของพวกเขา ผู้ใช้ที่ได้รับผลกระทบ 2,367 คนในเหตุกับการใช้ KyberSwap แสดงให้เห็นว่าวิธีกระจายการโจมตีเข้ามาทำลายความเชื่อมั่นและการดำรงชีวิตของชุมชนทั้งหมด
กายวิภาคของการโจมตี: กรณีศึกษาในความล้มเหลวของโค้ด
เพื่อให้เข้าใจว่าทำไมความปลอดภัย DeFi ยังคงยากจะได้รับ, เราต้องพิจารณาเหตุผลเฉพาะที่โปรโตคอลล้มเหลว กรณีศึกษาเหล่านี้เผยให้เห็นรูปแบบที่เกิดซ้ำ - เงินกู้ทันที, การจัดการโอราเคิล, การป้องกันเข้าสวน, ความล้มเหลวในการควบคุมการเข้าถึง, และข้อผิดพลาดเชิงตรรกะ - ที่กำหนดแนวเรื่องของการโจมตี
Bunni DEX ($8.4M, กันยายน 2025)
ดังที่ได้ระบุไว้ข้างต้น, การใช้ประโยชน์จาก Bunni นั้นเกิดจากข้อผิดพลาดทิศทางการปัดเศษในตรรกการถอน ผู้โจมตีใช้แฟลชเงินกู้, การถอนขนาดเล็ก, และการโจมตีซ้อนแซนวิชในภาพรวม. ฟังก์ชันการกระจายสภาพคล่องที่นวัตกรรมของโปรโตคอล, ที่ออกแบบมาเพื่อเพิ่มผลตอบแทนสำหรับผู้ให้บริการสภาพคล่อง, กลายเป็นข้อบกพร่องที่ทำให้เกิดความสำเร็จสูงสุด การโจมตีทางแสดงให้เห็นว่านวัตกรรม DeFi ที่ล้ำหน้าที่สุดสามารถสร้างทางสำหรับผู้โจมตีใหม่เมื่อตรรกคณิตที่สมคบกันผิด
Curve Finance ($69M, กรกฎาคม 2023)
การโจมตี Curve Finance เป็นหนึ่งในเหตุการณ์โจมตีที่น่าสนใจที่สุดในประวัติศาสตร์ DeFi ข้อพิสูจน์ไม่ได้อยู่ในโค้ดของ Curve, แต่ในตัว Vyper ที่สร้างรหัสของมันเอง รุ่น 0.2.15, 0.2.16, และ 0.3.0 มีข้อผิดพลาดที่สำคัญที่การล็อครีเศร์ตกลับทำงานผิดวิธี, อนุญาตให้ผู้โจมตีสามารถเรียกฟังก์ชันหลาย ๆ ฟังก์ชันพร้อมกันได้ Content: การป้องกันนี้ การออกแบบที่แม่นยำนี้แสดงให้เห็นถึงความซับซ้อนที่ผู้โจมตีสามารถทำได้ในปัจจุบัน
Euler Finance ($197M, มีนาคม 2023)
การโจมตีด้วย flash loan ของ Euler Finance ถือเป็นการหาประโยชน์จาก DeFi ที่ใหญ่ที่สุดในปี 2023 Euler ซึ่งเป็นโปรโตคอลการให้ยืมแบบไร้สิทธิ์บน Ethereum ตกเป็นเหยื่อจากช่องโหว่ในฟังก์ชั่น donateToReserves ซึ่งขาดการตรวจสอบสภาพคล่องอย่างเหมาะสม
ลำดับการโจมตีมีความซับซ้อน โดยผู้โจมตีได้ยืมเงิน 30 ล้าน DAI จาก Aave โดยใช้ flash loan พวกเขาฝาก 20 ล้าน DAI เข้าสู่ Euler และได้รับ eDAI ประมาณ 19.6 ล้านเหรียญ จากนั้นใช้ฟังก์ชั่น mint ของ Euler เพื่อยืมติดต่อกัน 10 เท่าของเงินที่ฝากไว้ ซึ่งเป็นฟังก์ชั่นที่ออกแบบมาเพื่อเพิ่มประสิทธิภาพการยืมที่สามารถโดนใช้ประโยชน์เมื่อนำมารวมกับการบริจาคได้
ขั้นตอนสำคัญคือการบริจาค 100 ล้าน eDAI เข้าสู่คลังของ Euler โดยไม่มีการตรวจสอบสร้างหนี้ที่มีการค้ำประกันเกินจริง และเมื่อผู้โจมตีทำการ liquidate ตำแหน่งของตัวเอง พวกเขาได้รับ 310 ล้าน dDAI และ 259 ล้าน eDAI หลังจากถอนเงิน 38.9 ล้าน DAI และชำระคืน flash loan พร้อมดอกเบี้ย พวกเขาได้รับกำไรประมาณ 8.9 ล้านเหรียญจาก pool DAI ที่เดียว ซึ่งรูปแบบนี้ถูกทำซ้ำในหลาย pool ทำให้รวบรวมเงินได้ทั้งสิ้น $197 ล้าน
ในที่สุด ผู้โจมตีก็คืนเงินทั้งหมดและขอโทษผ่านข้อความที่เข้ารหัสบน chain การแก้ไขที่แปลกประหลาดนี้แม้จะไม่ได้ลดทอนข้อผิดพลาดด้านความปลอดภัยพื้นฐานที่เกิดขึ้น
GMX v1 ($40M, กรกฎาคม 2025)
การโจมตี GMX v1 ในเดือนกรกฎาคม 2025 แสดงให้เห็นว่าถึงโปรโตคอลรุ่นแรกยังคงมีความเสี่ยงอยู่ หลายปีหลังจากที่เปิดตัว การโจมตีมุ่งเป้าไปที่ pool สภาพคล่องของ GMX บน Arbitrum โดยใช้จุดบกพร่องในวิธีคำนวณค่า GLP โทเคน
การใช้วิธีรุนแรงนี้ทำให้ผู้โจมตีสร้างตำแหน่ง short ขนาดใหญ่มากเพื่อจัดการกับราคาสั้นเฉลี่ยทั่วโลกที่ GMX v1 ออกแบบมาให้ปรับปรุงทันทีเมื่อเปิดตำแหน่งแบบ short และทำให้สามารถล่อราคา GLP ได้เทียมสำหรับการทำกำไรผ่านการแลกคืน
ข้อผิดพลาดนี้ถูกมองเป็นพื้นฐานมากกว่าข้อบกพร่องเพียงผิวเผิน ผู้โจมตีสามารถดึงสัญญาให้เชื่อว่าไม่มีการถอนเงินซึ่งทำให้สามารถ mint โทเคนโดยไม่ต้องการหลักทรัพย์ที่เหมาะสม
Balancer (สิงหาคม 2023, $2.8M ที่เสี่ยง)
เหตุการณ์ของ Balancer ในสิงหาคม 2023 นำเสนอแง่มุมต่างออกไป - เป็นการพลาดคราวที่เกือบจะเกิดไม่ใช่การสูญเสียใหญ่ เมื่อ Balancer ค้นพบช่องโหว่ที่สำคัญ นักพัฒนาจะแจ้งเตือนผู้ใช้ทันทีและพยายามลดความเสี่ยง โดยที่พวกเขาสามารถปกป้อง pool สภาพคล่องที่ได้รับผลกระทบ 95% แต่ $2.8 ล้าน (คิดเป็น 0.42% ของมูลค่ารวมที่ถูกล็อค) ยังคงมีความเสี่ยง
การโจมตีที่โดดเด่นอื่น ๆ
รูปแบบนี้ยังคงต่อเนื่องในหลายเหตุการณ์อื่นๆ:
Cetus ($223M, 2025): ตามรายงานของ Hacken Cetus ได้รับการหาประโยชน์จาก DeFi ที่ใหญ่ที่สุดในปี 2025 เงินจำนวน $223 ล้านถูกเบิกในเวลาเพียง 15 นาทีเนื่องจากช่องโหว่ในการตรวจสอบการ overflow ในการคำนวณสภาพคล่อง
Cork Protocol ($12M, 2025): ผลจากรายงานของ Hacken เดียวกัน ระบุว่าการหาประโยชน์ของ Cork นั้นเกิดจากนักพัฒนาที่ปรับเปลี่ยนสิทธิ์การใช้งานเริ่มต้นของ Uniswap V4 ที่ hook ก่อนการแลกเปลี่ยน
เหตุการณ์อื่นๆ เหล่านี้ทำให้เห็นภาพที่คล้ายกัน – การใช้ข้อผิดพลาดในการจัดการสภาพคล่อง การตรวจสอบป้อนข้อมูลที่ไม่เพียงพอ และควบคุมการเข้าใช้งานที่ไม่เหมาะสมซึ่งถูกผู้โจมตีใช้ประโยชน์ในการสูญเสียมูลค่าหลายล้าน
ทำไมการตรวจสอบยังคงพลาดภัยคุกคามจริง
เหตุการณ์ความผิดพลาดในการปิดของ Bunni สะท้อนถึงสิ่งที่น่าหงุดหงิดใน DeFi อย่างยิ่งคือวิธีที่โปรโตคอลที่ได้รับการตรวจสอบหลายครั้งยังคงล้มเหลวในที่สุด ToHere's the translation in the specified format, with markdown links preserved:
Content: สภาพแวดล้อมที่ "แข่งขันสู่ตลาด". โครงการต้องเผชิญกับแรงกดดันมหาศาลในการเปิดตัวเร็วที่สุดก่อนคู่แข่ง การพัฒนาล่าช้าทุกสัปดาห์ทำให้สูญเสียส่วนแบ่งตลาดที่เป็นไปได้และมูลค่ารวมที่ถูกล็อก การรีวิวความปลอดภัยอย่างละเอียดและยาวนานขัดแย้งกับความเร่งรีบนี้
พิจารณาความไม่สมดุลของแรงจูงใจ: ค่าใช้จ่ายในการตรวจสอบอาจอยู่ที่ $100,000 ในขณะที่ค่าเสียหายจากการเจาะระบบเฉลี่ยเกิน $10-30 ล้าน จากมุมมองของนักแสดงที่มีเหตุผล โครงการควรลงทุนหนักในด้านความปลอดภัย แต่เศรษฐศาสตร์พฤติกรรมบอกเล่าเรื่องราวที่แตกต่าง ผู้ก่อตั้งแสดงแนวโน้มมองโลกในแง่ดีเกินไป โดยเชื่อว่ารหัสของพวกเขามีความพิเศษ การโจมตีจะไม่มุ่งเป้าไปที่พวกเขาหรือการทำซ้ำอย่างรวดเร็วจะดีกว่าการเตรียมการที่รอบคอบ
ช่องโหว่ของ Vyper ที่ทำลาย Curve แสดงให้เห็นอีกมิติหนึ่ง: ความปลอดภัยของห่วงโซ่อุปทาน แม้ว่านักพัฒนาของโปรโตคอลจะเขียนรหัสได้อย่างสมบูรณ์แบบและผู้ตรวจสอบได้ทำการตรวจสอบอย่างละเอียด แต่ช่องโหว่ในตัวคอมไพเลอร์ ไลบรารี่ หรือเครื่องมือพัฒนาก็สามารถทำให้ความพยายามทั้งหมดนั้นเป็นโมฆะได้ สิ่งนี้สร้างความรู้สึกปลอดภัยที่ผิดพลาด โดยที่นักพัฒนาและผู้ตรวจสอบต่างเชื่อว่ารหัสนั้นปลอดภัยเพราะโดเมนเฉพาะของพวกเขาถูกตรวจสอบแล้ว
เศรษฐศาสตร์แห่งความไม่ปลอดภัย
การทำความเข้าใจความล้มเหลวด้านความปลอดภัยที่คงอยู่ของ DeFi จำเป็นต้องตรวจสอบแรงบันดาลใจทางเศรษฐกิจพื้นฐานที่ส่งเสริมการพัฒนาที่เสี่ยง
แนวคิด "Move Fast and Farm TVL" ครอบงำวัฒนธรรม DeFi มูลค่ารวมที่ล็อกไว้ทำหน้าที่เป็นตัวชี้วัดหลักของความสำเร็จของโปรโตคอล โดยส่งผลโดยตรงต่อต้นทุนโทเค็น ความเชื่อมั่นของผู้ใช้ และตำแหน่งการแข่งขัน โปรโตคอลต่างแข่งขันกันเพื่อดึงดูดสภาพคล่องผ่านผลผลิตสูง คุณลักษณะใหม่ๆ และการตลาดเชิงรุก ในทางกลับกัน ความปลอดภัยจะมองไม่เห็นจนกว่าจะเกิดความล้มเหลวอย่างร้ายแรง โครงการที่ใช้เวลาหกเดือนในการทดสอบอย่างเข้มงวดในขณะที่คู่แข่งเปิดตัวและครอบครองส่วนแบ่งการตลาดต้องเผชิญกับแรงกดดันที่มีอยู่ให้ประนีประนอมกับความปลอดภัย
พลวัตนี้สร้างผลกระทบจากการเลือกที่บิดเบือน โปรโตคอลอนุรักษ์นิยมที่ให้ความสำคัญกับความปลอดภัยอาจไม่บรรลุ TVL ที่จำเป็นเพื่อความอยู่รอดในระยะยาว ในขณะที่โครงการที่มีความเสี่ยงสูงที่ "เคลื่อนไหวเร็วและหยุดสิ่งต่างๆ" สามารถดึงดูดความกระตือรือร้นของผู้ใช้เริ่มต้นได้ ตลาดลงโทษความระมัดระวังอย่างมีประสิทธิภาพและให้รางวัลกับความประมาท - อย่างน้อยก็จนกว่าจะเกิดการโจมตี
ความสามารถในการทำงานร่วมกันที่ได้เปรียบที่สุดของ DeFi กลายเป็นจุดอ่อนที่ใหญ่ที่สุดในสภาพแวดล้อมนี้ โปรโตคอลสมัยใหม่รวมเข้ากับไพรซ์ออราเคิลภายนอกเช่น Chainlink ยืมสภาพคล่องจาก Aave หรือ Compound เส้นทางผ่าน Uniswap และโต้ตอบกับระบบอื่นๆ อีกหลายสิบระบบ แต่ละจุดเชื่อมต่อเพิ่มพื้นผิวการโจมตีและความเสี่ยง ช่องโหว่ในโปรโตคอลใดๆ ที่เชื่อมต่อสามารถส่งต่อผ่านระบบนิเวศทั้งหมดได้
ผลกระทบจากการโจมตี Euler กับ Balancer, Angle และ Idle Finance แสดงให้เห็นถึงความเสี่ยงต่อการแพร่กระจาย...Forta ใช้เครือข่ายการตรวจสอบแบบกระจายศูนย์ที่ใช้บอทรักษาความปลอดภัยในการตรวจสอบธุรกรรมของบล็อกเชนแบบเรียลไทม์ โดยมองหารูปแบบที่น่าสงสัย เมื่อมีกิจกรรมที่ผิดปกติเกิดขึ้น - เช่น การปล่อยกู้แบบฉับพลันที่ตามด้วยการระบายสภาพคล่องในทันที - บอทของ Forta จะส่งคำเตือนไปยังทีมโปรโตคอลและผู้ใช้งาน
แนวทางนี้ยอมรับข้อเท็จจริงว่าช่องโหว่จะมีอยู่จริงและมุ่งเน้นไปที่การตรวจจับและตอบสนองอย่างรวดเร็ว หากสามารถระบุการโจมตีได้ภายในไม่กี่วินาทีหรือไม่กี่นาทีแทนที่จะเป็นชั่วโมง โปรโตคอลสามารถหยุดการดำเนินงาน เพื่อลดความเสียหายได้ ปัจจุบันมีหลายโปรโตคอลที่รวมการตรวจสอบของ Forta เป็นเลเยอร์ความปลอดภัยมาตรฐาน
ความท้าทายอยู่ที่การแยกแยะกิจกรรมที่มุ่งร้ายจากการใช้งานกรณีขอบที่ถูกต้อง การให้ผลลวงที่หยุดการทำงานของโปรโตคอลโดยไม่จำเป็นทำลายความเชื่อมั่นและการทำงาน การปรับแต่งอัลกอริธึมการตรวจจับต้องการการปรับปรุงอย่างต่อเนื่องเมื่อผู้โจมตีพัฒนาเทคนิคของตน
Circuits Breakers และ Pause Guards
สัญญาอัจฉริยะสมัยใหม่เริ่มรวมฟังก์ชัน "หยุด" ที่ระงับการทำงานเมื่อเกิดความผิดปกติ Circuits Breakers เหล่านี้สามารถเปิดใช้งานด้วยมือโดยทีมโปรโตคอลหรือโดยอัตโนมัติตามเกณฑ์ที่กำหนดไว้ล่วงหน้า - ปริมาณการค้าขายที่ผิดปกติ การเปลี่ยนแปลงสภาพคล่องอย่างรวดเร็ว หรือการจดจำรูปแบบที่บ่งชี้ถึงการโจมตี
การตอบสนองของ GMX ต่อการโจมตีที่เกิดขึ้นรวมถึงการหยุดฟังก์ชันที่ได้รับผลกระทบทันทีหลังจากการตรวจจับได้ แม้ว่านี่จะไม่ได้ป้องกันการสูญเสียเริ่มแรก แต่ก็หยุดความเสียหายเพิ่มเติมและให้เวลาแก่ทีมในการเจรจากับผู้โจมตี Circuits Breakers แปลงการโจมตีจากข้อผิดพลาดทั้งหมดของโปรโตคอลเป็นการเกิดเหตุการณ์ที่ควบคุมได้
ข้อเสียคือการรวมศูนย์ เนื่องจากฟังก์ชันหยุดจำเป็นต้องมีบุคคลที่เชื่อถือได้ที่มีอำนาจในการหยุดการดำเนินการ ซึ่งขัดแย้งกับอุดมคติ DeFi ที่ไม่ต้องมีความเชื่อถือ หากสิทธิการหยุดถูกยึดครอง ผู้โจมตีสามารถหยุดโปรโตคอลเพื่อควบคุมตลาดหรือกรรโชกผู้ใช้ได้ การสมดุลระหว่างความปลอดภัยและการกระจายศูนย์ยังคงเป็นปัญหาที่ยังไม่แก้ไข
การตรวจจับความผิดปกติด้วย AI
ปัญญาประดิษฐ์และการเรียนรู้ด้วยเครื่องจักรเสนอการนำไปประยุกต์ใช้ในการรักษาความปลอดภัยที่มีความหวัง โดยการฝึกฝนโมเดลจากข้อมูลการโจมตีในประวัติศาสตร์และรูปแบบพฤติกรรมปกติของโปรโตคอล ระบบ AI สามารถระบุธุรกรรมที่น่าสงสัยซึ่งนักวิเคราะห์มนุษย์หรือระบบตามกฎอาจพลาด
Hacken's 2025 report ระบุว่าเกิดการโจมตีที่เกี่ยวข้องกับ AI เพิ่มขึ้น 1,025% แต่ยังได้รับการเน้นถึงประสิทธิภาพที่เป็นไปได้ของ AI ในการป้องกัน AI สามารถวิเคราะห์การโต้ตอบของสัญญาในระดับใหญ่, จำลองหลายพันกรณีขอบ, และเรียนรู้จากการโจมตีใหม่ ๆ เพื่อปรับปรุงการตรวจจับ
อย่างไรก็ตาม ความปลอดภัยของ AI เผชิญกับความท้าทายของตนเอง การเรียนรู้ด้วยเครื่องจักรเชิงรุกหมายถึงผู้โจมตีสามารถสร้างการโจมตีที่ออกแบบมาโดยเฉพาะเพื่อหลบหนีการตรวจจับของ AI อคติของข้อมูลฝึกฝนอาจสร้างจุดบอด และธรรมชาติของ "กล่องดำ" ของการตัดสินใจ AI บางรายการทำให้ยากที่จะเข้าใจว่าทำไมธุรกรรมบางรายการถึงทำให้เกิดการแจ้งเตือน
กรอบการตรวจสอบต่อเนื่อง
แทนที่จะเป็นการตรวจสอบเพียงครั้งเดียวก่อนเปิดตัว โครงการบางอย่างเช่น OpenZeppelin และ Certora สนับสนุนการทบทวนความปลอดภัยอย่างต่อเนื่อง แพลตฟอร์ม Defender ของ OpenZeppelin ให้บริการการตรวจสอบอย่างต่อเนื่องและการดำเนินงานด้านความปลอดภัยอัตโนมัติ ขณะที่ Certora เสนอการตรวจสอบที่เป็นทางการซึ่งพิสูจน์ความถูกต้องของโค้ดทางคณิตศาสตร์
การตรวจสอบที่เป็นทางการเป็นมาตรฐานทองคำ โดยการแสดงพฤติกรรมของสัญญาเป็นข้อมูลจำเพาะทางคณิตศาสตร์และใช้โปรแกรมพิสูจน์ศัพท์เพื่อยืนยันว่าโค้ดเป็นไปตามข้อกำหนดนั้น การตรวจสอบที่เป็นทางการสามารถระบุประเภทของบักส์ทั้งๆ ที่เป็นไปไม่ได้ที่จะค้นพบผ่านการทดสอบ ตัวอย่างเช่นช่องโหว่ของ Curve Vyper จะถูกจับได้ด้วยการตรวจสอบที่เป็นทางการของพฤติกรรมล็อค reentrancy
ข้อจำกัดคือค่าใช้จ่ายและความซับซ้อน การตรวจสอบที่เป็นทางการต้องการความเชี่ยวชาญที่เฉพาะทางและอาจมีค่าใช้จ่ายหลายแสนดอลลาร์ โครงการ DeFi ส่วนใหญ่ไม่สามารถใช้กระบวนการที่ครอบคลุมดังกล่าวได้ นอกจากนี้ การตรวจสอบที่เป็นทางการพิสูจน์ว่าโค้ดตรงกับข้อกำหนดเท่านั้น - ถ้าหากข้อกำหนดมีข้อผิดพลาด (เช่นในกรณีของ Bunni) การตรวจสอบจะมอบความมั่นใจที่ผิดพลาด
การพัฒนาของ Bug Bounty
Bug Bounties ได้รับการพัฒนาอย่างมาก Immunefi, แพลตฟอร์ม Bug Bounty ชั้นนำในโลก Web3, ได้จ่ายเงินกว่า $100 ล้านให้กับนักวิจัยความปลอดภัยจากปี 2025 ค่าหัวสำหรับช่องโหว่ร้ายแรงที่เพิ่มขึ้นอย่างต่อเนื่องปกติอยู่ที่ $1-2 ล้าน โดยบางโปรโตคอลเสนอมากถึง $10 ล้านสำหรับการค้นพบที่รุนแรงที่สุด
กรณีของ GMX เป็นตัวอย่างของแนวโน้มใหม่: โปรโตคอลเสนอค่าหัวย้อนหลังให้กับผู้โจมตี แทนที่จะไล่ตามผู้โจมตีผ่านการบังคับใช้กฎหมาย - ซึ่งมีราคาแพง, ช้า, และมักไม่ค่อยสำเร็จระหว่างธรรมชาติของคริปโตเคอเรนซี - โปรโตคอลเสนอดีล "หมวกขาว" ให้นำคืน 90% ของเงินที่ถูกขโมย, เก็บ 10% เป็นค่าหัว, และไม่ต้องเผชิญกับผลทางกฎหมาย
แนวทางปฏิบัตินี้ยอมรับว่า การกู้คืนเงินผ่านวิธีการดั้งเดิมมักจะไม่สำเร็จ Chainalysis data แสดงว่ามีเพียงประมาณ 10% ของคริปโตที่ถูกขโมยที่ถูกกู้คืนผ่านทางการบังคับใช้กฎหมาย การปฏิบัติต่อผู้โจมตีที่มีความชำนาญในฐานะนักล่า Bug Bounty แทนที่จะเป็นอาชญากรช่วยเพิ่มอัตราการกู้คืนอย่างมีนัยสำคัญ
นักวิจารณ์กล่าวว่านี่เป็นการสนับสนุนการแสวงหาผลประโยชน์ ทำไมต้องค้นหาบักส์เพื่อรายงานเพื่อค่าหัวที่ปานกลางเมื่อคุณสามารถขโมยมิลเลียนและเจรจาการคืน 10%? ข้อโต้แย้งที่อยู่ตรงข้ามคือว่าผู้โจมตีที่มีความชำนาญสามารถโจมตีช่องโหว่และซักฟอกเงินผ่านมิกเซอร์เช่น Tornado Cash ได้อยู่แล้ว ค่าหัวเพียงแค่ให้ทางออกที่เป็นประโยชน์ต่อทั้งสองฝ่าย
พันธมิตรความปลอดภัยบล็อกเชน
การประสานงานในอุตสาหกรรมผ่านกลุ่มต่างๆ เช่น พันธมิตรความปลอดภัยบล็อกเชน มีเป้าหมายเพื่อแชร์ข้อมูลภัยคุกคามและแนวทางปฏิบัติที่ดีที่สุดระหว่างโปรโตคอลต่าง ๆ เมื่อโปรโตคอลหนึ่งถูกโจมตี การเผยแพร่รายละเอียดการโจมตีอย่างรวดเร็วช่วยให้โปรโตคอลอื่น ๆ ตรวจสอบว่ามีช่องโหว่แบบเดียวกันในโค้ดของพวกเขาหรือไม่
แนวทางร่วมกันนี้มองว่าความปลอดภัยของ DeFi เป็นทรัพยากรสาธารณะที่ต้องการความร่วมมือแทนที่จะแข่งขัน อย่างไรก็ตาม การประสานงานยังคงมีข้อจำกัด โปรโตคอลมักจะไม่เปิดเผยรายละเอียดการโจมตีเนื่องจากกลัวการโจมตีซ้ำหรือความเสียหายทางชื่อเสียง การสร้างความเชื่อมั่นเพียงพอสำหรับการแบ่งปันข้อมูลอย่างเปิดเผยอย่างแท้จริงระหว่างโปรโตคอลคู่แข่งเป็นเรื่องที่ยาก
ผลกระทบจาก Uniswap V4: Hooks ที่กำหนดเอง, ความเสี่ยงที่กำหนดเอง
การเปิดตัว Uniswap V4 ในปลายปี 2024 แสดงถึงการเปลี่ยนแปลงขนานใหญ่ในสถาปัตยกรรม DEX และในข้อพิจารณาด้านความปลอดภัย การแนะนำ Hooks ช่วยให้สามารถปรับแต่งสระสภาพคล่องได้อย่างไม่จำกัด ทำให้นักพัฒนาสามารถฉีดตรรกะที่กำหนดเองในจุดสำคัญของวงจรชีวิตของสระน้ำ: ก่อนการแลกเปลี่ยน, หลังการแลกเปลี่ยน, ก่อนการเพิ่มสภาพคล่อง, หลังการลบสภาพคล่อง, และอื่น ๆ
พลังนี้ปลดปล่อยความเป็นไปได้อย่างมากมาย นักพัฒนาสามารถสร้างโครงสร้างค่าธรรมเนียมแบบไดนามิกที่ปรับตามความผันผวนได้ พวกเขาสามารถนำไปใช้กับการดูแลราคาที่กำหนดเอง, คำสั่งจำกัด, ตัวแทนหมากตลาดแบบถ่วงน้ำหนักตลอดเวลา, การเพิ่มประสิทธิภาพสภาพคล่องที่มุ่งหมาย, และกลยุทธ์ที่ซับซ้อนซึ่งไม่เคยเป็นไปได้ในผู้จัดหาถนอมตลาดแบบอัตโนมัติ แต่ละสระน้ำกลายเป็นโปรแกรมที่ปรับแต่งได้, ไม่ใช่เพียงแค่กำหนดค่าได้
Bunni เป็นตัวอย่างของศักยภาพนี้ สร้างบน Uniswap V4 hooks, ฟังก์ชันการกระจายสภาพคล่องของ Bunni พยายามเพิ่มประสิทธิภาพผลตอบแทนสำหรับผู้ให้บริการสภาพคล่องโดยการจัดสรรทุนอย่างเต็มรูปแบบเข้าสู่ช่วงราคาที่มีปริมาณสูง นวัตกรรมเป็นของแท้ - เทคโนโลยีของ Bunni ดึงดูด TVL มูลค่า $60 ล้าน ก่อนการโจมตี - แต่ความซับซ้อนพิสูจน์ให้เห็นว่าร้ายแรง
การวิเคราะห์ Hooks โดยบริษัทความปลอดภัย Hacken ระบุประเภทความเสี่ยงมากมายที่เข้าสู่โดยสถาปัตยกรรมนี้:
ความเสี่ยงในการกำหนดค่า: การกำหนดสิทธิ์การใช้งาน Hooks ผิดพลาดสามารถนำไปสู่การล้มเหลวในการแลกเปลี่ยน, เงื่อนไขในการขัดขวางบริการ, หรือพฤติกรรมที่ไม่คาดคิด Hooks ต้องระบุจุดวงจรชีวิตที่พวกเขาเข้าถึงอย่างถูกต้อง ข้อผิดพลาดสามารถล็อกผู้ใช้ออกจากสระน้ำหรือเปิดให้เข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
การจัดการ Delta: Uniswap V4 ใช้กลไกการบันทึกบัญชีที่กำหนดขึ้นเองที่ Hooks จะส่งคืน "เดลต้า" - การเปลี่ยนแปลงยอดคงเหลือที่มีผลต่อการดำเนินการแลกเปลี่ยน การคำนวณเดลต้าที่ไม่ถูกต้องสามารถทำให้การจัดสรรเงินป
โดยมีความผิดพลาด, เปิดทางให้การโจรกรรมจากการจัดการ, หรือทำลายการแลกเปลี่ยนได้ ความแม่นยำทางคณิตศาสตร์ที่จำเป็นเกินกว่าที่การพัฒนาสัญญาอัจฉริยะปกติมักพบเจอ
Async Hooks: บาง Hooks ได้รับการครอบครองสินทรัพย์เต็มระหว่างการดำเนินการแทนที่จะเพียงแค่การเปลี่ยนแปลงพารามิเตอร์ "Async Hooks" เหล่านี้เพิ่มความเสี่ยงของการครอบครอง - ถ้าหากสัญญา Hook ถูกบุกรุก, เงินทุนจะสามารถเข้าถึงได้โดยตรง Uniswap แบบดั้งเดิมรักษาการครอบครองของผู้ใช้อยู่ตลอดการแลกเปลี่ยน Hooks สามารถทำลายคุณสมบัติความปลอดภัยนี้ได้
การควบคุมการเข้าถึง: Hooks อาจรวมถึงฟังก์ชันที่มีสิทธิพิเศษ - การหยุด, การอัปเกรด, การปรับเปลี่ยนพารามิเตอร์ หากการควบคุมการเข้าถึงอ่อนแอหรือกุญแจถูกโจมตี, ผู้โจมตีสามารถฉีดตรรกะที่มุ่งร้ายหรือขโมยเงินทุนได้ การวิเคราะห์โดย CertiK ระบุว่า Hooks ที่สามารถอัปเกรดซึ่งถือเงินทุนของผู้ใช้สร้างความเสี่ยงพิเศษหากอำนาจอัปเกรดถูกยึด
การระเบิดของการประกอบเป็นระบบ: Hooks สามารถโต้ตอบกับสัญญาภายนอก, สร้างห่วงโซ่ของการพึ่งพาอาศัย ข้อบกพร่องในระบบภายนอกใด ๆ สามารถแพร่กระจายผ่าน Hook ไปยังสระน้ำฐาน พื้นที่โจมตีมากขึ้นในแต่ละจุดเชื่อมต่อ
ความล้มเหลวของ Bunni เกิดจากความซับซ้อนในการจัดการเดลตาในตรรกะการกระจายสภาพคล่องที่กำหนดเอง ความผิดพลาดในการปัดเศษในการคำนวณการถอนเป็นที่รู้จักเพราะเป็นข้อผิดพลาดทางคณิตศาสตร์ที่ซับซ้อนซึ่งกลับกลายเป็นความหายนะเมื่อมาถึงขนาด การตรวจสอบทั่วไปไม่สามารถจับข้อผิดพลาดนี้ได้เนื่องจาก Hooks เป็นรูปแบบโค้ดใหม่ที่ไม่มีฐานข้อมูลช่องโหว่ที่เป็นที่ตั้งอยู่แล้ว
เอกสาร v4 ของ Uniswap foundation เน้นข้อควรพิจารณาด้านความปลอดภัย แต่ยอมรับว่านักพัฒนา Hook รับผิดชอบต่อการใช้งานของตน Uniswap V4's core contracts ถูกตรวจสอบอิสระถึงเก้ารอบและมีการแข่งขัน Bug Bounty มูลค่า $15.5 ล้าน. ชั้นฐานมีความปลอดภัย แต่ Hooks ที่ถูกสร้างบน, เช่น Bunni, ต้องบรรลุการป้องกันฐานของตนเองการรักษาความปลอดภัย - ความท้าทายที่หลายทีมขาดทรัพยากรในการตอบสนอง
การเพิ่มขึ้นของโปรโตคอลที่ใช้ฮุกสร้างโครงการเล็ก ๆ มากมาย แต่ละโครงการมีตรรกะเฉพาะของตัวเองที่จำเป็นต้องมีการตรวจสอบเป็นรายบุคคล สิ่งนี้ทำให้การให้ความสำคัญกับความปลอดภัยกระจัดกระจายไปยังสิ่งที่ถูกนำไปใช้หลายสิบหรือหลายร้อยอย่าง แทนที่จะมุ่งเน้นไปที่โปรโตคอลหลักไม่กี่อย่าง ความหลากหลายช่วยให้เกิดนวัตกรรม แต่ก็สร้างความเสี่ยงที่สูงขึ้น
นักวิจัยด้านความปลอดภัยบางคนคาดการณ์ว่าฮุกจะเป็นตัวกระตุ้นให้เกิดการแสวงหาประโยชน์ในคลื่นลูกใหม่ในปี 2025 และ 2026 เมื่อผู้พัฒนาเรียนรู้บทเรียนราคาแพงเกี่ยวกับการเตรียมการที่ถูกต้อง คนอื่นเชื่อว่าการสร้างมาตรฐานของรูปแบบฮุกทั่วไป - ไลบรารีอย่าง OpenZeppelin's hook implementations - จะสร้างบล็อกการก่อสร้างที่มีความปลอดภัยซึ่งช่วยลดความเสี่ยงจากนวัตกรรมในที่สุด
มิติทางกฎหมาย ประกันภัย และนโยบาย
ด้วยการสูญเสียใน DeFi ที่เพิ่มขึ้น กลไกการกำกับดูแลและการโอนความเสี่ยงกำลังเกิดขึ้น แม้ว่าประสิทธิภาพของพวกเขาจะยังไม่แน่นอน
แรงกดดันด้านกฎหมาย
กฎหมายตลาดสินทรัพย์ดิจิทัลของสหภาพยุโรป (MiCA) ซึ่งมีผลบังคับใช้เต็มรูปแบบในปี 2024 กำหนดข้อกำหนดด้านใบอนุญาตและมาตรฐานการปฏิบัติการสำหรับผู้ให้บริการคริปโต แม้ว่า MiCA จะมุ่งเป้าไปที่ตลาดกลางและผู้ดูแลสินทรัพย์เป็นหลัก แต่บทบัญญัติด้านความสามารถในการปฏิบัติการและมาตรฐานความปลอดภัยของมันสร้างแรงกดดันทางอ้อมแก่โปรโตคอล DeFi
คำแนะนำที่อัปเดตโดยกลุ่มปฏิบัติการด้านการเงิน (FATF) เน้นว่าพรอตโคอล DeFi ที่มีองค์ประกอบควบคุมศูนย์กลางใด ๆ เช่นคีย์แอดมินหรือการเปลี่ยนแปลงค่าธรรมเนียม ควรถูกควบคุมเช่นเดียวกับตัวกลางทางการเงินแบบดั้งเดิม สิ่งนี้สร้างความไม่แน่นอนทางกฎหมายสำหรับโครงการที่พยายามสถานสมดุลระหว่างความปลอดภัย (ที่ต้องการการควบคุมทางด้านการบริหาร) กับการหลีกเลี่ยงการควบคุม (ที่ต้องการความกระจายศูนย์อย่างสมบูรณ์)
ผู้ควบคุมในสหรัฐมีนโยบายที่ไม่สอดคล้องกัน โดยที่ SEC และ CFTC แข่งขันกันในเรื่องเขตอำนาจศาลในขณะที่ให้คำชี้แจงเกี่ยวกับข้อกำหนดการปฏิบัติตามกฎระเบียบเพียงเล็กน้อย การคลุมเครือทางกฎหมายกลับมาสร้างปัญหาให้กับการลงทุนเกี่ยวกับความปลอดภัย - หากไม่มีความชัดเจนในสถานะทางกฎหมายของโปรโตคอล ผู้ก่อตั้งลังเลที่จะใช้ทรัพยากรไปกับการปฏิบัติตามกฎระเบียบและความปลอดภัยในเมื่อนางแบบทางธุรกิจอาจถูกพิจารณาว่าผิดกฎหมาย
ประกันภัยบนเชน
Nexus Mutual, Sherlock Protocol, และ Risk Harbor ได้บุกเบิกการประกันภัยแบบกระจายแบบสำหรับความเสี่ยงของสมาร์ทคอนแทรคต์ ผู้ใช้สามารถซื้อความคุ้มครองสำหรับโปรโตคอลเฉพาะ ในกรณีที่เกิดการให้ค่าชดเชยจากเงินประกันที่ได้รับค่าพรีเมียมและการลงทุนเงินทุน
โปรโตคอลเหล่านี้มีความท้าทายของตัวเอง การประเมินความเสี่ยงในสภาพแวดล้อมที่เปลี่ยนแปลงเร็วและมีข้อมูลในประวัติศาสตร์เพียงเล็กน้อยเป็นเรื่องยาก อัตราการขาดทุนของ Nexus Mutual มีความผันผวน - บางช่วงเวลามีการเรียกร้องที่น้อยมาก บ้างก็มีการจ่ายเงินมหาศาลที่ทำให้เงินสำรองในกองทุนอ่อนแอลง
โมเดลของ Sherlock พยายามแก้ปัญหานี้ด้วยการให้ผู้เชิญเข้าเสี่ยงค้ำประกันด้วยเงินทุนของตนเอง ผู้เชี่ยวชาญตรวจสอบโปรโตคอลและวางเงินเดิมพันของพวกเขา ขณะที่เดิมพันความถูกต้องของการประเมิน หากพวกเขาพลาดช่องโหว่ที่นำไปสู่การแสวงหาประโยชน์ เงินที่ลงทุนจะถูกนำไปใช้เพื่อค้ำประกันความเสียหาย สิ่งนี้จะเป็นแรงจูงใจให้ตามที่ $4.5 ล้านดอลลาร์การจ่ายของ Sherlock ให้กับ Euler แสดงให้เห็น - ผู้เชิญของ Sherlock ต้องรับขาดทุนเมื่อพลาดช่องโหว่ระหว่างการตรวจสอบ
อย่างไรก็ตาม การประกันภัยยังคงเป็นตลาดเฉพาะ จากข้อมูลของ DeFi Llama มูลค่าทั้งหมดที่ถูกล็อคในโปรโตคอลการประกันภัยใน DeFi มีเพียงประมาณ $500 ล้าน - น้อยกว่า 0.1% ของ TVL ทั้งหมดของ DeFi ผู้ใช้ส่วนใหญ่ยังคงไม่ได้รับการประกัน ไม่ว่าจะเป็นเนื่องจากความไม่รู้ ค่าใช้จ่าย หรือเชื่อว่าการแสวงหาประโยชน์จะไม่ส่งผลกระทบต่อพวกเขา
คำถามเรื่องความรับผิดชอบทางกฎหมาย
คำถามทางปรัชญาและกฎหมายหนึ่งกำลังค้างคา: ควรมีความรับผิดชอบทางกฎหมายสำหรับโปรโตคอล DeFi ที่ละเลยหรือไม่? สถาบันการเงินแบบดั้งเดิมเผชิญกับคดีความและบทลงโทษการกำกับดูแลสำหรับความล้มเหลวของความปลอดภัย ควรหรือไม่ที่ผู้พัฒนาที่เปิดตัวโค้ดที่ผ่านการตรวจสอบแต่มีช่องโหว่จะต้องรับความรับผิดชอบในแบบเดียวกัน?
ข้อโต้แย้งสำหรับความรับผิดชอบรวมถึงการปกป้องผู้ใช้และสิ่งจูงใจในการลงทุนเกี่ยวกับความปลอดภัย หากผู้พัฒนาไม่เผชิญกับผลกระทบจากการออกแบบที่ละเลย พวกเขาจะส่งสถานเสี่ยงไปยังผู้ใช้ ความรับผิดชอบทางกฎหมายจะปรับการตั้งต้นเหล่านี้ให้เข้าในสิ่งที่พวกเขาต้องรับผิดชอบ ซึ่งช่วยกระตุ้นการปฏิบัติตามความปลอดภัยที่มีประสิทธิภาพมากขึ้น
ข้อโต้แย้งต่อต้านรวมถึงการทำลายล้างนวัตกรรมและขัดแย้งกับหลักการโอเพ่นซอร์ส โปรโตคอล DeFi มักประกาศการปฏิเสธความรับผิดชอบอย่างชัดเจนผ่านข้อกำหนดการให้บริการที่เตือนผู้ใช้เกี่ยวกับความเสี่ยง การทำให้ผู้พัฒนาเป็นผู้รับผิดเรื่องช่องโหว่ที่ไม่ได้ตั้งใจอาจขับไล่ความสามารถออกจาก Web3 ทั้งหมด นอกจากนี้ โปรโตคอลหลาย ๆ แห่งเป็นการกระจายศูนย์จริง ๆ ไม่มีหน่วยงานทางกฎหมายที่ชัดเจนที่จะรับผิดชอบ
กรณีของ Bunni แสดงให้เห็นถึงความตึงเครียดนี้ ทีม 6 คนใช้เวลาหลายปีในการพัฒนาโปรโตคอล เข้ารับการตรวจสอบมืออาชีพ และเสียทุนที่พวกเขาลงทุนเองในกรณีการแสวงหาประโยชน์ ควรที่พวกเขาจะต้องเผชิญกับความรับผิดทางกฎหมายสำหรับข้อเขียนที่แหล่งที่มาเป็นข้อผิดพลาดที่ผู้เชี่ยวชาญหลายคนมองไม่เห็น? หรือการพยายามที่จะให้พวกเขารับผิดชอบต่อความผิดพลาดที่ซื่อสัตย์ในขณะที่ดำเนินการอยู่บนขอบสุดของเทคโนโลยีเพียงแค่ลงโทษนวัตกรรม?
คำถามเหล่านี้ยังคงไม่ได้รับการตอบสนองเมื่อระบบกฎหมายพยายามที่จะปรับตนเข้ากับสิ่งแวดล้อมที่กระจายศูนย์
อนาคตของความปลอดภัยบนเชน
มองไปข้างหน้า มีแนวโน้มหลายประการที่อาจปรับรูปแบบความปลอดภัยของ DeFi ในอีกทศวรรษข้างหน้า:
มาตรฐานความปลอดภัยที่ตรวจสอบได้
อุตสาหกรรมกำลังเคลื่อนไปสู่ "ความถูกต้องตามโปรด" - ใช้การตรวจสอบที่อย่างเป็นทางการและหลักฐานทางคณิตศาสตร์เพื่อรับประกันพฤติกรรมของคอนแทรคแทนที่จะพึ่งพาการทดสอบ Runtime Verification และ Certora กำลังพัฒนาเครื่องมือที่ทำให้การตรวจสอบที่อย่างเป็นทางการสามารถเข้าถึงได้สำหรับโครงการมากขึ้น
จินตนาการถึงอนาคตที่สัญญามีหลักฐานคริปโตกราฟของคุณสมบัติความปลอดภัย ผู้ใช้สามารถตรวจสอบคำกล่าวก่อนการโต้ตอบ คล้ายกับใบรับรอง SSL ที่พิสูจน์ตัวตนของเว็บไซต์ โปรโตคอลที่ไม่มีหลักฐานจะประสบปัญหาความไม่เชื่อมั่นของตลาด สร้างแรงกดดันในการนำการตรวจสอบที่ให้การรับรองไปใช้
สิ่งนี้ต้องการการสร้างมาตรฐานของคุณสมบัติความปลอดภัยและวิธีการพิสูจน์ องค์กรเช่น Ethereum Foundation กำลังทำงานในมาตรฐานดังกล่าว แต่การนำมาใช้เป็นวงกว้างยังเป็นเรื่องที่ต้องรอคอยหลายปี
เลเยอร์ความปลอดภัยแบบกระจายศูนย์
เลเยอร์ความปลอดภัย DeFi ที่เสนอ - โปรโตคอลเมืองกลางที่เฝ้าดูแลโปรโตคอลอื่น ๆ - สามารถให้การควบคุมระบบ การตรวจสอบเบื้องต้น การประสานงานในการตอบกลับ และการแบ่งปันข้อมูล
คิดถึงสิ่งนี้ว่าเป็นการทำงานเหมือนการจัดการความเสี่ยงในวงการการเงินดั้งเดิม: สำนักงานจัดอันดับเครดิต บริษัทตรวจสอบ ผู้กำกับดูแล และบริษัทประกันภัยที่ให้ฟังก์ชันความปลอดภัยซ้อนกัน DeFi ต้องการการป้องกันหลายชั้นที่ปรับตามบริบทการกระจายศูนย์ของมัน
ความท้าทายรวมถึงการทำให้เลเยอร์ความปลอดภัยไม่ได้กลายเป็นจุดเสียหลักเพียงจุดเดียว การรักษาการกระจายศูนย์ในขณะที่ให้การควบคุมที่มีประสิทธิภาพ และการสร้างแบบจำลองเศรษฐกิจที่ยั่งยืนสำหรับโครงสร้างพื้นฐานดังกล่าว
ความปลอดภัยทางวิวัฒนาการผ่่านการแข่งขัน
แรงตลาดอาจส่งเสริมการปรับปรุงความปลอดภัยมากกว่ากฎระเบียบ เมื่อผู้ใช้ยิ่งมีความชาญฉลาดและความสูญเสียจากการแสวงหาผลประโยชน์เพิ่มขึ้น ทุนจะไหลเข้าสู่โปรโตคอลที่มีประวัติความปลอดภัยที่แข็งแกร่งมากขึ้น โปรโตคอลที่ลงทุนเกี่ยวกับความปลอดภัยมาก จะได้เปรียบในด้านการแข่งขันในการดึงสภาพคล่องที่ต้องการความเสี่ยงในการตัดสินใจ
กระบวนการวิวัฒนาการนี้เริ่มมองเห็นได้แล้ว Aave ที่หลีกเลี่ยงการถูกแสวงหาประโยชน์จากการปฏิบัติการความปลอดภัยที่เข้มงวด ควบคุม TVL ที่สูงกว่าคู่แข่งที่มีประวัติความปลอดภัยที่ไม่เสมอเหมือนมาก ผู้ใช้งานตรวจสอบรายงานการตรวจสอบและประเมินความปลอดภัยก่อนที่จะลงทุนทุนมากขึ้น
แม้ว่ากระบวนการนี้จะช้าและเจ็บปวด ต้องการความล้มเหลวที่ใหญ่มากเกินพอที่สอนบทเรียน อุตสาหกรรมอาจไม่รอดพ้นจากการแสวงหาผลประโยชน์ขนาดมหาศาลจริง ๆ - เหตุการณ์เดียวที่ล้างมูลค่าหลายพันล้านดอลลาร์และทำลายความเชื่อมั่นใน DeFi ว่าเป็นไปได้จริงในระยะหายนะ
การป้องกันด้วย AI
ปัญญาประดิษฐ์อาจมีส่วนในการป้องกันในทั้งด้านการโจมตีและการป้องกัน AI สามารถวิเคราะห์โค้ดของสัญญาสำหรับช่องโหว่ จำลองสถานการณ์การแสวงหาผลประโยชน์ เฝ้าระวังธุรกรรมเพื่อหาลักษณะการทำธุรกรรมที่ไม่ปกติ และแม้แต่อุดช่องโหว่บางอย่างโดยอัตโนมัติ
ในทางกลับกัน ผู้โจมตีจะใช้ AI เพื่อค้นหาช่องโหว่และพัฒนาแนวคิดในการแสวงหาประโยชน์ สิ่งนี้สร้างการแข่งขันการใช้งานเครื่องมือที่ทรงพลังมากขึ้น คู่มืออาจไม่เคยคงอยู่ แต่จะทะยานขึ้นใหม่เนื่องจากความสามารถของ AI ที่ใหม่เกิดขึ้น และนำไปใช้โดยผู้ป้องกันและผู้โจมตีตามดูเหมาะสม
การเปลี่ยนไปใช้การออกแบบที่คำนึงถึงความเสี่ยง
การเปลี่ยนแปลงที่สำคัญที่สุดอาจจำเป็นคือในทางวัฒนธรรม: ยอมรับว่าไม่มีความปลอดภัยที่สมบูรณ์แบบ และออกแบบระบบเพื่อให้มีความเป็นยินดีในเผชิญกับความล้มเหลวที่หลีกเลี่ยงไม่ได้
นี่หมายถึง:
- จำกัดขอบเขตการระเบิด: หากโปรโตคอลหนึ่งถูกแสวงหาผลประโยชน์ โปรโตคอลอื่น ๆ ควรยังคงไม่มีผลกระทบ
- การเสื่อมถอยที่เป็นระเบียบ: โปรโตคอลควรล้มเหลวอย่างปลอดภัยแทนที่จะมีผลมหาศาล
- กลไกการคืนสถานที่อย่างรวดเร็ว: ขั้นตอนในการปลดล็อกทุนที่ถูกแช่แข็งหรือกระจายความสูญเสีย
- การสื่อสารความเสี่ยงอย่างโปร่งใส: ผู้ใช้ต้องการความเข้าใจที่ชัดเจนเกี่ยวกับสิ่งที่พวกเขาเสี่ยง
สภาวะ DeFi หมายถึง "ไม่ต้องทดสอบ" ว่าหมายถึง "ปลอดภัยตามค่าเริ่มต้น" แนวทางที่เป็นผู้ใหญ่กว่าคือการยอมรับ "ไม่ต้องทดสอบ" ว่าหมายถึง "โปร่งใสเกี่ยวกับการพิธีการของความเชื่อ" ผู้ใช้สามารถตัดสินใจด้วยความเข้าใจซึ่งจะยอมรับเรื่องเสี่ยงแบบใด
บทเรียนจาก Bunni และอื่น ๆ
การปิดตัวลงของ Bunni DEX เป็นมากกว่าการลงทะเบียนอีกหนึ่งรายการในรายงานความล้มเหลวของ DeFi มันเป็นสัญลักษณ์ของความต่างที่ยังคงมีอยู่ระหว่างความทะเยอทะยานและการดำเนินการที่กำหนดการเงินกระจายศูนย์ในปี 2025
เรื่องราวของโปรโตคอลมีบทเรียนหลายประการ หนึ่งคือ นวัตกรรมและความเสี่ยงไม่สามารถแยกจากกันได้ การทำหน้าที่เหมือนกลไกตลาดโดยอัตโนมัติของ Bunni แสดงถึงความก้าวหน้าที่แท้จริงในออกแบบเครื่องมือการกระจายเสรีภาพ ความซับซ้อนที่ทำให้มันเป็นนวัตกรรมยังทำให้มันเสี่ยง ไม่มีเส้นทางที่ชัดเจนในการประดิษฐ์ใหม่โดยไม่ต้องยอมรับความเสี่ยงที่สูงขึ้น - ข้อเท็จจริงที่อุตสาหกรรมต้องยอมรับอย่างเปิดเผยแทนที่จะปิดบังอยู่เบื้องหลังการตรวจสอบSure, here is the translation formatted as requested:
Content: badges.
ประการที่สอง การตรวจสอบให้การป้องกันที่จำกัด Trail of Bits และ Cyfrin เป็นบริษัทที่ได้รับความเคารพซึ่งได้รักษาความปลอดภัยมูลค่าหลายพันล้านผ่านหลายโปรโตคอล ความล้มเหลวในการตรวจพบช่องโหว่ของ Bunni สะท้อนถึงข้อจำกัดพื้นฐานของวิธีการตรวจสอบมากกว่าความไร้ความสามารถ ช่องโหว่ในการตีความที่ระดับตรรกะจะยังคงหลบหลีกการตรวจสอบแบบเดิมๆ อุตสาหกรรมต้องการชั้นความปลอดภัยเพิ่มเติมนอกเหนือจากการตรวจสอบ
ประการที่สาม เศรษฐศาสตร์ของความปลอดภัยใน DeFi ยังคงแตกสลาย Bunni ไม่สามารถแบกรับค่าใช้จ่ายสูงถึงหกถึงเจ็ดหลักที่จำเป็นในการเปิดตัวใหม่อย่างปลอดภัยได้ แต่อุตสาหกรรมโดยรวมสูญเสียหลายพันล้านให้กับการโจมตี การไม่ตรงกันนี้บ่งบอกถึงความล้มเหลวของตลาดเชิงระบบที่โครงการแต่ละโครงการลงทุนในความปลอดภัยน้อยเกินไป แม้ว่าความสูญเสียทั้งหมดจะมีเหตุผลในการลงทุนครั้งใหญ่ก็ตาม การแก้ปัญหาอาจต้องการการดำเนินการร่วมกันบางรูปแบบ - โครงสร้างพื้นฐานด้านความปลอดภัยแบบร่วมกัน, ประกันภัยร่วมกัน, หรือข้อกำหนดด้านกฎระเบียบ
ประการที่สี่ ปัจจัยมนุษย์มีอิทธิพลมากกว่าปัจจัยทางเทคนิค ทีมของ Bunni มีความสามารถและมีเจตนาดี พวกเขาปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดและลงทุนในการตรวจสอบ ความล้มเหลวไม่ได้เกิดจากความจงใจหรือความไร้ความสามารถ แต่เป็นความยากโดยธรรมชาติของการสร้างระบบซับซ้อนโดยปราศจากข้อผิดพลาด การกล่าวโทษบุคคลมองข้ามประเด็นสำคัญ - ระบบเองก่อให้เกิดช่องโหว่เร็วเกินกว่าที่มนุษย์จะสามารถระบุและแก้ไขได้
ตามที่ Doug Colkitt ได้พูดถึงการโจมตี KyberSwap, การโจมตีบางอย่างมีความซับซ้อนมากถึงขนาดที่การป้องกันอาจเป็นไปไม่ได้หากไม่ได้มีการเปลี่ยนแปลงในโครงสร้างพื้นฐานพื้นฐาน ผู้โจมตี KyberSwap แสดงให้เห็นถึงความเชี่ยวชาญที่เทียบเท่ากับนักพัฒนาของโปรโตคอลเอง เมื่อผู้โจมตีและผู้พิทักษ์มีทักษะเท่ากัน ผู้พิทักษ์ต้องเผชิญกับความเสียเปรียบอสมมาตร - พวกเขาจำเป็นต้องคาดการณ์การโจมตีทั้งหมดที่เป็นไปได้ ในขณะที่ผู้โจมตีเพียงค้นหามุมที่มองข้ามเพียงหนึ่งเดียว
รูปแบบที่กว้างขึ้นทั่วปี 2025 เผยให้เห็นธีมที่เกิดซ้ำหลายครั้ง:
Flash Loans เป็นตัวคูณแรง: การโจมตีครั้งใหญ่เกือบทุกครั้งใช้ flash loans ในการขยายผลลัพธ์ จนกว่า DeFi จะพัฒนากลไกที่ดีขึ้นในการป้องกันการใช้ flash loans โดยยังคงรักษาการทำงานที่ถูกต้อง การโจมตีรูปแบบนี้ก็จะยังคงมีอยู่
คอมโพสิตบิลิตี้เป็นความเสี่ยงที่เพิ่มขึ้น: โปรโตคอลที่รวมกับระบบภายนอกจำนวนมากสืบทอดช่องโหว่ทั้งหมดของระบบเหล่านั้น การระบาดของ Euler ที่ส่งผลกระทบต่อ Balancer, Angle, และ Idle Finance แสดงให้เห็นว่า DeFi ที่เกี่ยวข้องกันขยายความสูญเสียได้อย่างไร ต้องมีการแยกโปรโตคอลที่ดีกว่าและโหมดความล้มเหลวที่แข็งแกร่งขึ้น
ปัญหาความเชื่อมั่นในคอมไพเลอร์: ช่องโหว่ของ Curve Vyper แสดงให้เห็นว่าแม้แต่โค้ดระดับโปรโตคอลที่สมบูรณ์แบบก็ยังล้มเหลวได้ถ้าหากเครื่องมือพื้นฐานมีบั๊ก อุตสาหกรรมต้องลงทุนในการรักษาความปลอดภัยชั้นสแต็คทั้งหมด - คอมไพเลอร์, ไลบรารี่, กรอบการพัฒนา - ไม่ใช่เพียงแค่สัญญาระดับแอปพลิเคชัน
การตอบสนองที่รวดเร็วมีความสำคัญ: ความสำเร็จของ GMX ในการฟื้นฟูโดยเสนอค่าหัวไวท์แฮทและการเปิดเผยช่องโหว่เชิงรุกของ Balancer แสดงให้เห็นว่าการตอบสนองอย่างรวดเร็วและโปร่งใสสามารถจำกัดความเสียหายและรักษาความเชื่อถือของผู้ใช้ได้ โปรโตคอลต้องเตรียมขั้นตอนการจัดการวิกฤตและกลยุทธ์การสื่อสารล่วงหน้า
ความจำของตลาดสั้น: แม้จะมีการโจมตีซ้ำแล้วซ้ำเล่า DeFi ยังคงเติบโต มูลค่าแหล่งเงินรวมที่ฟื้นตัวขึ้นจนเกิน $90 พันล้านในกลางปี 2025 แม้จะมีการสูญเสียพันล้าน สิ่งนี้บ่งชี้ว่าผู้ใช้ยอมรับความเสี่ยงเป็นส่วนหนึ่งของพื้นที่ หรือผู้เข้าร่วมส่วนใหญ่ขาดการรับรู้อย่างประวัติศาสตร์ของความล้มเหลวที่ผ่านมา ทั้งสองความเป็นไปได้เป็นเรื่องที่น่ากังวลต่อสุขภาพของระบบนิเวศในระยะยาว
เมื่อมองหาเป้าหมายที่เป็นตัวเลข ภาพจะผสมผสาน Hayden Adams ผู้ก่อตั้ง Uniswap ได้เน้นย้ำว่าความปลอดภัยต้องกลายเป็น "ความกังวลหลัก" แทนที่จะเป็นเพียงความคิดเพิ่มเติม อย่างไรก็ตามแม้แต่อาร์คิเทคเตอร์ V4 ที่ผ่านการตรวจสอบอย่างละเอียดของเขาเองก็นำเสนอพื้นผิวใหม่สำหรับการโจมตีผ่าน hooks นวัตกรรมและความเสี่ยงยังคงเชื่อมโยงกัน
Samczsun นักวิจัยความปลอดภัย Web3 ที่ได้รับการยกย่องมากที่สุดอาจได้เตือนซ้ำว่า ความซับซ้อนของ DeFi ได้แซงหน้าทางด้านโครงสร้างพื้นฐานทางความปลอดภัยของมัน การทำงานของเขาที่ค้นพบช่องโหว่ในโปรโตคอลหลักแสดงให้เห็นถึงทั้งความแพร่หลายของปัญหาและความจำเป็นอย่างยิ่งของนักวิจัยความปลอดภัยที่มีทักษะ
คำถามสุดท้ายยังคงไม่ได้รับคำตอบ: DeFi จะเคยมีความปลอดภัยแท้จริงได้หรือไม่ หรือความเปิดกว้างของมันไม่สามารถเข้ากันได้กับความปลอดภัย? การเงินแบบดั้งเดิมบรรลุความปลอดภัยผ่านการคัดกรอง, กฎระเบียบ, และการควบคุมศูนย์กลาง DeFi มีความฝันที่จะเป็นที่เปิดกว้าง, ใช้สิทธิ์น้อยที่สุด, และกระจายอำนาจ เป้าหมายเหล่านี้อาจขัดแย้งทางคณิตศาสตร์ – เมื่อระบบเปิดกว้างและจับเข้ารหัสได้มากขึ้น พวกมันก็จะมีความเปราะบางมากขึ้นอย่างเลี่ยงไม่ได้
คำถามที่เหมาะสมอาจไม่ใช่ "DeFi สามารถทำให้ปลอดภัยได้หรือไม่?" แต่เป็น "ความไม่ปลอดภัยในระดับใดที่ยอมรับได้สำหรับผลประโยชน์ที่ DeFi มอบให้?" ผู้ใช้ในปี 2025 ยังคงเลือก DeFi แม้ว่าจะมีความเสี่ยงที่ทราบ เนื่องจากพวกเขาให้คุณค่ากับการต่อต้านการเซ็นเซอร์, การเข้าถึงทั่วโลก, และโครงสร้างทางการเงินใหม่ๆ พวกเขาตัดสินใจอย่างมีความรู้ (หรือบางครั้งก็ไม่มีความรู้) ที่จะยอมรับความเปราะบางเป็นราคาของผลประโยชน์เหล่านี้
สำหรับให้ DeFi เติบโต ผู้ใช้ต้องมีข้อมูลที่ชัดเจนเกี่ยวกับสิ่งที่พวกเขายอมรับ โปรโตคอลควรแสดงเมตริกความปลอดภัยอย่างชัดเจน: รายงานการตรวจสอบ, เวลาตั้งแต่การตรวจสอบความปลอดภัยครั้งล่าสุด, TVL ที่เสี่ยงตามกรณีขอบที่ทราบ, ความคุ้มครองประกันที่มีอยู่ ตลาดสามารถกำหนดราคาความเสี่ยงอย่างเหมาะสมแทนที่จะคิดว่าโปรโตคอลทั้งหมดปลอดภัยเท่าเทียมกัน
นักพัฒนาต้องยอมรับว่าความปลอดภัยที่สมบูรณ์แบบนั้นเป็นไปไม่ได้ และออกแบบโดยมีความล้มเหลวในใจ เบรกเกอร์, การแยกเงิน, เส้นทางการอัปเกรด, และกลไกการฟื้นคืนควรเป็นคุณลักษณะมาตรฐาน ไม่ใช่ตัวเลือกเพิ่มเติม คำถามเปลี่ยนจาก "เราจะป้องกันการโจมตีทั้งหมดได้อย่างไร?" เป็น "เราจะลดความเสียหายเมื่อเกิดการโจมตีอย่างหลีกเลี่ยงไม่ได้ได้อย่างไร?"
ข้อสรุป: อะไรที่จำเป็นต้องเปลี่ยนแปลงจริงๆ
การสูญเสีย $3.1 พันล้านในครึ่งแรกของปี 2025 แสดงถึงอะไรมากกว่าตัวเลข – มันแสดงถึงชีวิตที่ถูกขัดขวาง, ความเชื่อที่ถูกทำลาย, และนวัตกรรมที่ถูกยับยั้ง การโจมตีแต่ละครั้งผลักดันการยอมรับหลักไปไกลออกไปและเสริมข้อโต้แย้งสำหรับกฎระเบียบเข้มงวดที่อาจฆ่านวัตกรรมได้ทั้งหมด
สำหรับผู้ใช้ คำแนะนำชัดเจนแต่ไม่เป็นที่น่าพอใจ: คาดว่าช่องโหว่มีอยู่ในทุกโปรโตคอล, กระจายการถือครองไปตามแพลตฟอร์มหลายตัว, คอยรับรู้ประวัติของการโจมตี, ใช้ประกันภัยถ้ามี, และอย่าเสี่ยงกับเงินทุนที่คุณไม่สามารถที่จะสูญเสียได้ DeFi ในสถานะปัจจุบันเหมาะสำหรับผู้ใช้ที่ยอมรับความเสี่ยงซึ่งเข้าใจว่าพวกเขากำลังส่วมถึงในการทดลองต่อเนื่อง
สำหรับนักพัฒนา ความท้าทายคือการยอมรับว่าความปลอดภัยไม่สามารถเป็นเพียงความคิดเพิ่มเติม โปรโตคอลต้องจัดสรรงบประมาณอย่างมาก - อาจเป็น 20-30% ของต้นทุนการพัฒนารวม - ให้กับมาตรการด้านความปลอดภัย ซึ่งรวมถึงการตรวจสอบอิสระหลายครั้ง, การตรวจสอบความถูกต้องอย่างเป็นทางการที่เป็นไปได้, การติดตามอย่างต่อเนื่อง, ความสามารถในการตอบสนองฉับไว, และการอัปเดตความปลอดภัยอย่างสม่ำเสมอ โครงการที่ไม่สามารถจะจ่ายได้นี้ควรตั้งคำถามว่าพวกเขาควรมีอยู่หรือไม่
สำหรับอุตสาหกรรมรวมการประสานงานจำเป็นอย่างยิ่ง โครงสร้างพื้นฐานด้านความปลอดภัยที่ใช้ร่วมกัน, วิธีการตรวจสอบมาตรฐาน, การสื่อสารแบบเปิดเกี่ยวกับช่องโหว่, และกลไกการประกันภัยแบบร่วมกันจะช่วยแก้ปัญหาความล้มเหลวของตลาดที่ทำให้โครงการเดียวต้องลงทุนในความปลอดภัยน้อยเกินไป ศูนย์กลางความปลอดภัยบางประการอาจจำเป็นต่อการบรรลุการเงินกระจายอำนาจที่ทำงานได้จริง
สำหรับหน่วยงานกำกับดูแล แรงจูงใจที่จะใช้กฎระเบียบทางการเงินแบบดั้งเดิมกับ DeFi ต้องได้รับการบรรเทาโดยการยอมรับว่านวัตกรรมต้องการให้มีความยอมรับความเสี่ยงบางอย่าง การควบคุมอย่างชาญฉลาดจะมุ่งเน้นไปที่ข้อกำหนดความโปร่งใส, การให้แน่ใจว่าผู้ใช้เข้าใจความเสี่ยง, และให้กรอบการทำงานสำหรับความรับผิดชอบเมื่อมีการละเลยที่ชัดเจน การห้ามโดยตรงจะเพียงแค่พา DeFi ไปยังเขตที่ไม่มีกฎเกณฑ์ ทำให้ทุกอย่างแย่ลง
คำประกาศสุดท้ายของทีม Bunni จับประเด็นในเชิงลึก: "เราเป็นทีมเล็กๆ 6 คนที่หลงใหลในการสร้างใน DeFi และผลักดันอุตสาหกรรมไปข้างหน้า เราใช้เวลาหลายปีในชีวิตและหลายล้านดอลลาร์เพื่อเปิดตัว Bunni เพราะเราเชื่อมั่นอย่างแน่วแน่ว่ามันเป็นอนาคตของ AMMs" ความเชื่อของพวกเขาอาจถูกต้อง - ผู้ผลิตตลาดอัตโนมัติอาจจัดการมูลค่าหลายล้านล้านวันหนึ่ง อย่างไรก็ตาม การไปถึงจากจุดนี้ถึงจุดนั้นต้องแก้ไขความท้าทายด้านความปลอดภัยที่ยังคงหลบลี้ไปจากความคิดของนักอุตสาหกรรมที่เก่งที่สุด
ขณะที่เราเดินหน้าผ่านช่วงที่เหลือของปี 2025 และไปสู่ปี 2026 คำถามคือว่า DeFi จะเติบโตเร็วพอที่จะป้องกันการโจมตีที่มีความซับซ้อนมากขึ้นไม่ให้ท่วมท้นระบบนิเวศหรือไม่ เทคโนโลยีที่ช่วยให้การเงินไม่ต้องเชื่อถือในตอนเดียวกันก็สร้างช่องโหว่ใหม่ที่ระบบศูนย์กลางไม่เคยเจอ บางทีนี่อาจเป็นการแลกเปลี่ยนที่หลีกเลี่ยงไม่ได้ หรืออาจจะเป็นการเติบโตอย่างยิ่งยวดในด้านการตรวจสอบการยืนยันอย่างเป็นทางการ, การป้องกันด้วย AI, และโครงสร้างพื้นฐานด้านความปลอดภัยที่จะในที่สุดจะเอียงดุลไปสู่ความปลอดภัย
สิ่งที่แน่นอนคือในทิศทางปัจจุบัน - มูลค่าหลายพันล้านในความสูญเสียประจำปีในขณะที่ความปลอดภัยยังเป็นความคิดเพิ่มเติม - ไม่สามารถดำเนินต่อไปเช่นนี้ได้ DeFi ต้องวิวัฒนาการหรือเผชิญกับความล้มเหลว ความเลือกที่อยู่ในมือของนักพัฒนา, ผู้ใช้, และนักลงทุนที่ร่วมกันกำหนดว่าไฟแนนซ์แบบกระจายอำนาจจะเป็นอนาคตทางการเงินของมนุษยชาติหรือเพียงอีกหนึ่งการทดลองที่ล้มเหลวในการสร้างระบบที่ไม่ต้องเชื่อถือในโลกที่ยังต้องการความเชื่อมั่น