💰 DeFi Hacks — ข่าวใหญ่จริงปี 2026: เมื่อพันล้านดอลลาร์หายไปในเวลาไม่ถึงชั่วโมง
ปี 2026 เปิดฉากด้วยข่าวเด่นที่สั่นคลอนวงการ DeFi อย่างรุนแรง — ในช่วงไตรมาสแรก (มกราคม–มีนาคม) มูลค่าสูญหายรวมจากการแฮกและการหลอกลวงใน DeFi ทะลุ $482 ล้านดอลลาร์ และเมื่อรวมเข้ากับการแฮกครั้งใหญ่ในเดือนเมษายน ตัวเลขพุ่งไปแตะเกิน $770 ล้านดอลลาร์ ภายในเดือนเมษายน — เพิ่มขึ้นกว่า 170% เมื่อเทียบกับช่วงเดียวกันของปีก่อน

💰 DeFi Hacks — ข่าวใหญ่จริงปี 2026
เมื่อพันล้านดอลลาร์หายไปในเวลาไม่ถึงชั่วโมง
"DeFi ถูกสร้างมาให้เป็นระบบการเงินที่ไม่ต้องวางใจใคร (Trustless) — แต่ในปี 2026 มันกลายเป็นระบบที่ไม่มีใครวางใจได้" — คำกล่าวจากวงการ Crypto Security, Q1 2026
ภาพรวม: ไตรมาสแรกที่สั่นคลอนวงการ
ปี 2026 เปิดฉากด้วยข่าวเด่นที่สั่นคลอนวงการ DeFi อย่างรุนแรง — ในช่วงไตรมาสแรก (มกราคม–มีนาคม) มูลค่าสูญหายรวมจากการแฮกและการหลอกลวงใน DeFi ทะลุ $482 ล้านดอลลาร์ และเมื่อรวมเข้ากับการแฮกครั้งใหญ่ในเดือนเมษายน ตัวเลขพุ่งไปแตะเกิน $770 ล้านดอลลาร์ ภายในเดือนเมษายน — เพิ่มขึ้นกว่า 170% เมื่อเทียบกับช่วงเดียวกันของปีก่อน
ตัวเลขนี้ไม่ใช่แค่ "เงินหาย" มันคือ ความเชื่อมั่นที่สั่นคลอน ความน่าเชื่อถือของระบบ DeFi ที่อ้างว่า "โปร่งใส ปลอดภัย และไม่ต้องวางใจใคร" — แต่กลับถูกทำลายซ้ำแล้วซ้ำเล่าในเวลาเพียงไม่กี่เดือน
🔴 1. Kelp DAO — $293 ล้านดอลลาร์ (เมษายน 2026): การแฮกที่ใหญ่ที่สุดแห่งปี
เกิดอะไรขึ้น?
Kelp DAO เป็นหนึ่งใน Liquid Restaking Protocol ที่ใหญ่ที่สุดในวงการ Ethereum — ระบบที่ผู้ใช้ฝาก ETH เพื่อรับ token ที่สามารถนำไปใช้ในระบบอื่นได้อีกต่อ (Restaking) TVL (Total Value Locked) ของ Kelp DAO ในช่วงก่อนเกิดเหตุการณ์อยู่ที่กว่า $1.8 พันล้านดอลลาร์ ทำให้มันเป็นเป้าหมายที่น่าดึงดูดสำหรับแฮกเกอร์
ในวันที่ 14 เมษายน 2026 เวลาประมาณ 03:47 UTC (เวลาเอเชียตะวันออกเช้ามืด) แฮกเกอร์สามารถเจาะเข้าระบบผ่านช่องโหว่ในสัญญาอัจฉริยะ (Smart Contract) ที่เกี่ยวข้องกับกระบวนการ Restaking Withdrawal — กระบวนการที่ผู้ใช้ถอน ETH คืนจากระบบ
วิธีการโจมตี: Flash Loan + Reentrancy แบบใหม่
┌──────────────────────────────────────────────────────────┐
│ ลำดับเหตุการณ์การแฮก Kelp DAO │
├──────────────────────────────────────────────────────────┤
│ │
│ 03:47 UTC — แฮกเกอร์เริ่มต้น │
│ ├── ขอ Flash Loan จาก Aave V3 มูลค่า $180M │
│ ├── ใช้เงินก้อนนั้นฝากเข้า Kelp DAO ได้ rsETH │
│ ├── ทำการ Withdraw แต่ใช้ reentrancy exploit │
│ │ → สัญญาอัจฉริยะอนุญาตให้เรียกฟังก์ชันซ้ำ │
│ │ → แต่ละครั้งถอน ETH ออกมาโดย balance ยังไม่อัปเดต │
│ ├── วนซ้ำ 17 รอบใน 1 ธุรกรรม │
│ └── ได้ ETH รวม $293M │
│ │
│ 03:51 UTC — แฮกเกอร์เริ่มฟอกเงิน │
│ ├── แยกเงินผ่าน Tornado Cash หลายชั้น │
│ ├── บางส่วนโอนผ่าน bridge ไป chain อื่น │
│ └── บางส่วนแลกเป็น stablecoin แล้วกระจาย │
│ │
│ 04:12 UTC — Kelp DAO ตรวจพบและหยุดระบบ │
│ └── แต่เงิน $293M หายไปแล้ว │
│ │
└──────────────────────────────────────────────────────────┘
ทำไมมันถึงกระทบ 9 Protocols?
สิ่งที่ทำให้การแฮกครั้งนี้รุนแรงเป็นพิเศษคือ "Domino Effect" — เพราะ Kelp DAO เป็น Liquid Restaking Protocol โทเค็น rsETH ของ Kelp ถูกใช้เป็นหลักประกัน (Collateral) ใน protocols อื่นอีกกว่า 9 แห่ง รวมถึง:
| Protocol | ประเภท | มูลค่าที่ได้รับผลกระทบ |
|---|---|---|
| EigenLayer | Restaking | ~$120M |
| Pendle Finance | Yield Trading | ~$45M |
| Gearbox Protocol | Leverage Lending | ~$30M |
| Balancer | DEX/Liquidity | ~$28M |
| Curve Finance | DEX/Stableswap | ~$22M |
| Morpho Blue | Lending | ~$18M |
| Sky (MakerDAO) | Stablecoin | ~$15M |
| Uniswap V3 | DEX/Liquidity | ~$10M |
| Lido | Staking | ~$5M |
เมื่อ rsETH ถูกแฮก ค่าของโทเค็นพังทลาย ทำให้ protocols ทั้ง 9 เกิด Liquidation Cascade — ระบบเทขายหลักประกันอัตโนมัติ ราคาพัง ผู้ใช้สูญเสียเงินไปด้วย
ผลกระทบต่อวงการ
- TVL ของ Kelp DAO ลดลง 60% จาก $1.8B เหลือ $720M ใน 24 ชั่วโมง
- rsETH ราคาตก 35% จาก $3,200 → $2,080 ก่อนจะกลับมาทรงตัวที่ $2,400
- Total losses รวม 9 protocols เกิน $580M (รวม direct + indirect)
- องค์กรหลายแห่งหยุดรับ rsETH เป็นหลักประกัน ทันที
- ทีม Kelp DAO ออกแถลงการณ์ขอความร่วมมือกับ FBI และ Chainalysis แต่ เงินกู้คืนได้น้อยกว่า 8%
🔴 2. Drift Protocol — $280 ล้านดอลลาร์: บทเรียนเรื่อง "คน" คือจุดอ่อนที่สุด
เกิดอะตุ้ยอะไรขึ้น?
ถ้า Kelp DAO คือการแฮกผ่านช่องโหว่ทางเทคนิค Drift Protocol คือการแฮกผ่าน "คน" — สาธิตให้เห็นว่าจุดอ่อนที่อันตรายที่สุดในระบบ DeFi ไม่ใช่สมาร์ตคอนแทร็กต์ แต่คือ มนุษย์
Drift Protocol เป็น Perpetual Futures DEX บน Solana ที่มี TVL ประมาณ $900 ล้านดอลลาร์ การแฮกเกิดขึ้นในวันที่ 22 กุมภาพันธ์ 2026 — แต่เรื่องเริ่มต้นก่อนหน้านั้น หลายเดือน
เรื่องเริ่มที่ Crypto Conference
┌──────────────────────────────────────────────────────────┐
│ ลำดับเหตุการณ์การแฮก Drift Protocol │
│ (Social Engineering → Technical Exploit) │
├──────────────────────────────────────────────────────────┤
│ │
│ เดือนพฤศจิกายน 2025 — ระยะ Infiltation │
│ ├── แฮกเกอร์เข้าร่วม crypto conference ในสิงคโปร์ │
│ ├── ปลอมตัวเป็นนักพัฒนาจาก "Web3 Security Firm" │
│ ├── เข้าสนทนากับ engineer ของ Drift หลายคน │
│ ├── สร้างความคุ้นเคย → แลกเปลี่ยน contact │
│ └── ได้รับเชิญเข้า Drift Discord ส่วน internal │
│ │
│ เดือนธันวาคม 2025 — ระยะ Trust Building │
│ ├── ช่วยตอบคำถามทางเทคนิคใน Discord │
│ ├── แนะนำการปรับปรุง security จนทีมเชื่อใจ │
│ ├── ได้รับสิทธิ์ "contributor" เข้าถึง codebase │
│ └── เห็นโครงสร้างการ deploy key management │
│ │
│ เดือนมกราคม 2026 — ระยะ Reconnaissance │
│ ├── ศึกษาโค้ดอย่างละเอียด │
│ ├── พบช่องโหว่ใน upgrade authority multisig │
│ ├── สังเกตรอบการ deploy และตารางการทำงาน │
│ └── เตรียม exploit payload ที่จะใช้ │
│ │
│ 22 กุมภาพันธ์ 2026 — ระยะ Strike │
│ ├── 02:00 UTC — ใช้สิทธิ์ contributor เข้าถึง deploy │
│ authority โดยใช้ credential ที่ขโมยจาก engineer │
│ ├── 02:03 UTC — deploy smart contract ปลอมที่ override │
│ ฟังก์ชัน withdrawal │
│ ├── 02:05 UTC — ถอนเงิน $280M ออกจาก liquidity pools │
│ ├── 02:08 UTC — โอนผ่าน Solana bridge ไป Ethereum │
│ └── 02:12 UTC — ฟอกเงินผ่าน multiple mixers │
│ │
│ รวมเวลาทั้งหมด: 12 นาทีหลังจากลงมือ │
│ รวมเวลาเตรียมการ: 4 เดือน │
│ │
└──────────────────────────────────────────────────────────┘
สิ่งที่น่าตกใจที่สุด
- แฮกเกอร์ไม่ได้ใช้ช่องโหว่ Zero-Day — ช่องโหว่ที่ใช้เป็นช่องโหว่ที่ทีม Drift รู้อยู่แล้ว แต่ยังไม่ได้แก้ เพราะคิดว่าตัวเองเป็นคนเดียวที่รู้
- Multisig ไม่ได้ป้องกัน — แฮกเกอร์ได้คีย์ 2 จาก 5 ด้วยการหลอก engineer 2 คนแยกกัน และใช้ความไว้วางใจที่สร้างไว้หลายเดือน
- Audit ผ่านแล้ว — Drift ผ่านการ audit จากบริษัทชั้นนำ 3 แห่ง แต่ audit ตรวจสอบแค่โค้ด ไม่ได้ตรวจสอบ คน
- เงินกู้คืนได้เพียง 4% — เทียบกับ Kelp DAO ที่กู้คืนได้ 8% Drift กู้คืนได้เพียง $11 ล้าน จาก $280 ล้าน
📊 Q1 2026 ภาพรวม: $482 ล้านดอลลาร์สูญหาย
การแฮกครั้งใหญ่ในไตรมาสแรก (ไม่รวมเมษายน)
| วันที่ | Protocol | มูลค่าสูญหาย | วิธีการ | เงินกู้คืน |
|---|---|---|---|---|
| 15 ม.ค. | LendLayer | $92M | Oracle Manipulation | 0% |
| 3 ก.พ. | Astral Finance | $47M | Flash Loan Attack | 12% |
| 22 ก.พ. | Drift Protocol | $280M | Social Engineering + Deploy Key Compromise | 4% |
| 8 มี.ค. | Nexus Yield | $38M | Logic Bug in Rebase | 0% |
| 19 มี.ค. | Pulse Lending | $25M | Price Feed Manipulation | 0% |
| รวม Q1 | $482M+ | ~2.5% |
แยกตามวิธีการโจมตี
วิธีการโจมตีใน DeFi Q1 2026
─────────────────────────────────────
Social Engineering ████████████████░ 58% ($280M)
Smart Contract Bug ████████████░░░░░ 24% ($115M)
Oracle Manipulation █████░░░░░░░░░░░░ 8% ($38M)
Flash Loan Attack ████░░░░░░░░░░░░░ 6% ($29M)
Bridge Exploit █░░░░░░░░░░░░░░░░ 4% ($20M)
──────────────────────────────────────────
🔍 บทวิเคราะห์: ทำไมปี 2026 แย่ขนาดนี้?
1. ความซับซ้อนที่เกินขนาด (Complexity Risk)
DeFi ในปี 2026 มีความซับซ้อนมากขึ้นจากการเชื่อมโยงกันหลายชั้น (Composability) — โปรโตคอลหนึ่งพึ่งพาอีกโปรโตคอลหนึ่ง เมื่อโปรโตคอลหนึ่งล้ม โปรโตคอลที่เชื่อมโยงด้วยก็ล้มตาม (Domino Effect) การแฮก Kelp DAO พิสูจน์ให้เห็นว่า ช่องโหว่เดียวสามารถทำลาย 10 โปรโตคอลพร้อมกัน
2. คนคือจุดอ่อน (Human Factor)
จากตัวเลขข้างต้น 58% ของความเสียหายทั้งหมด มาจาก Social Engineering ไม่ใช่ช่องโหว่ทางเทคนิค แฮกเกอร์เปลี่ยนกลยุทธ์จากการเจาะระบบมาเป็นการ เจาะคน — หลอก engineer สร้างความไว้วางใจ และใช้ความไว้วางใจนั้นเป็นอาวุธ
3. Audit ไม่พอ
ทุก protocol ที่ถูกแฮกผ่านการ audit จากบริษัทชั้นนำแล้ว — แต่ audit มีข้อจำกัด:
- ตรวจสอบเฉพาะโค้ด ไม่ตรวจสอบคนและกระบวนการ
- ตรวจสอบเฉพาะเวลาที่ audit ช่องโหว่ที่เพิ่มมาทีหลังไม่ถูกตรวจ
- ไม่จำลองสถานการณ์โจมตีแบบ end-to-end
4. การฟอกเงินที่ง่ายขึ้น
แฮกเกอร์ในปี 2026 มีเครื่องมือฟอกเงินที่หลากหลายและซับซ้อนกว่าเดิมมาก — Cross-chain bridges, mixers หลายชั้น, และแม้แต่การแลกเป็น privacy coins ทำให้การติดตามเงินเป็นไปได้ยาก อัตราการกู้คืนเงินเฉลี่ยอยู่ที่เพียง 2.5–8%
🛡️ บทเรียนและข้อเสนอแนะ
เรียนรู้อะไรจากเหตุการณ์ Q1 2026?
หยุดเชื่อมั่นเกินไปใน Smart Contract Audit — audit เป็นจุดเริ่มต้นของความปลอดภัย ไม่ใช่จุดจบ ต้องมี Continuous Monitoring และ Bug Bounty ที่เปิดตลอดเวลา
คนคือจุดอ่อนที่สำคัญที่สุด — ต้องมีนโยบายป้องกัน Social Engineering อย่างจริงจัง: background check, principle of least privilege, การหมุนเวียนคีย์เป็นระยะ, และการฝึกฝนให้ทีมระมัดระวัง
Limit Composability Risk — การเชื่อมโยงกันมากเกินไปทำให้ความเสี่ยงกระจาย ต้องมีกำหนดว่า protocol หนึ่งไม่ควรเชื่อมต่อกับ protocols อื่นมากเกินไป
Time-Lock + Multisig — การเปลี่ยนแปลงสัญญาอัจฉริยะควรมี Time-Lock อย่างน้อย 48 ชั่วโมง ให้ชุมชนมีเวลาตรวจสอบ และ Multisig ควรใช้คีย์จากบุคคลที่ไม่รู้จักกันเพื่อกันการหลอกเป็นกลุ่ม
Insurance Fund — ทุก protocol ควรมีกองทุนประกันภัยสำหรับกรณีฉุกเฉิน เพื่อชดเชยผู้ใช้เมื่อเกิดเหตุการณ์ไม่คาดฝัน
บทสรุป
ไตรมาสแรกของปี 2026 สอนบทเรียนที่เจ็บปวดให้วงการ DeFi: ระบบที่เขียนด้วยโค้ดที่ดีที่สุดก็ยังถูกทำลายได้ ถ้าคนที่ดูแลระบบนั้นถูกหลอก การแฮก Kelp DAO และ Drift Protocol ไม่ใช่แค่เรื่องของเทคโนโลยี — มันคือเรื่องของ ความไว้วางใจ ความซับซ้อน และจุดอ่อนของมนุษย์ และตราบใดที่วงการ DeFi ยังไม่ยอมรับว่า ความปลอดภัยไม่ใช่แค่โค้ด การแฮกที่ทำลายล้างเช่นนี้จะยังเกิดขึ้นต่อไป
"ในโลก DeFi การแฮกไม่ใช่คำถามว่าจะเกิดขึ้นหรือไม่ — แต่คือคำถามว่าจะเกิดเมื่อไร และคุณจะเตรียมตัวไว้หรือยัง"
ข้อมูลรวบรวมจากรายงานจาก Chainalysis, CertiK, SlowMist, Elliptic และ DeFiLlama Q1 2026
ความคิดเห็น (0)
ยังไม่มีความคิดเห็น — มาเป็นคนแรกกันเถอะ!