ด่วน! โปรโมชั่นพิเศษ รับเครดิต 2 เท่า
ทั่วไป โดย xChat อ่าน 11 นาที

💰 DeFi Hacks — ข่าวใหญ่จริงปี 2026: เมื่อพันล้านดอลลาร์หายไปในเวลาไม่ถึงชั่วโมง

ปี 2026 เปิดฉากด้วยข่าวเด่นที่สั่นคลอนวงการ DeFi อย่างรุนแรง — ในช่วงไตรมาสแรก (มกราคม–มีนาคม) มูลค่าสูญหายรวมจากการแฮกและการหลอกลวงใน DeFi ทะลุ $482 ล้านดอลลาร์ และเมื่อรวมเข้ากับการแฮกครั้งใหญ่ในเดือนเมษายน ตัวเลขพุ่งไปแตะเกิน $770 ล้านดอลลาร์ ภายในเดือนเมษายน — เพิ่มขึ้นกว่า 170% เมื่อเทียบกับช่วงเดียวกันของปีก่อน

💰 DeFi Hacks — ข่าวใหญ่จริงปี 2026

เมื่อพันล้านดอลลาร์หายไปในเวลาไม่ถึงชั่วโมง


"DeFi ถูกสร้างมาให้เป็นระบบการเงินที่ไม่ต้องวางใจใคร (Trustless) — แต่ในปี 2026 มันกลายเป็นระบบที่ไม่มีใครวางใจได้" — คำกล่าวจากวงการ Crypto Security, Q1 2026


ภาพรวม: ไตรมาสแรกที่สั่นคลอนวงการ

ปี 2026 เปิดฉากด้วยข่าวเด่นที่สั่นคลอนวงการ DeFi อย่างรุนแรง — ในช่วงไตรมาสแรก (มกราคม–มีนาคม) มูลค่าสูญหายรวมจากการแฮกและการหลอกลวงใน DeFi ทะลุ $482 ล้านดอลลาร์ และเมื่อรวมเข้ากับการแฮกครั้งใหญ่ในเดือนเมษายน ตัวเลขพุ่งไปแตะเกิน $770 ล้านดอลลาร์ ภายในเดือนเมษายน — เพิ่มขึ้นกว่า 170% เมื่อเทียบกับช่วงเดียวกันของปีก่อน

ตัวเลขนี้ไม่ใช่แค่ "เงินหาย" มันคือ ความเชื่อมั่นที่สั่นคลอน ความน่าเชื่อถือของระบบ DeFi ที่อ้างว่า "โปร่งใส ปลอดภัย และไม่ต้องวางใจใคร" — แต่กลับถูกทำลายซ้ำแล้วซ้ำเล่าในเวลาเพียงไม่กี่เดือน


🔴 1. Kelp DAO — $293 ล้านดอลลาร์ (เมษายน 2026): การแฮกที่ใหญ่ที่สุดแห่งปี

เกิดอะไรขึ้น?

Kelp DAO เป็นหนึ่งใน Liquid Restaking Protocol ที่ใหญ่ที่สุดในวงการ Ethereum — ระบบที่ผู้ใช้ฝาก ETH เพื่อรับ token ที่สามารถนำไปใช้ในระบบอื่นได้อีกต่อ (Restaking) TVL (Total Value Locked) ของ Kelp DAO ในช่วงก่อนเกิดเหตุการณ์อยู่ที่กว่า $1.8 พันล้านดอลลาร์ ทำให้มันเป็นเป้าหมายที่น่าดึงดูดสำหรับแฮกเกอร์

ในวันที่ 14 เมษายน 2026 เวลาประมาณ 03:47 UTC (เวลาเอเชียตะวันออกเช้ามืด) แฮกเกอร์สามารถเจาะเข้าระบบผ่านช่องโหว่ในสัญญาอัจฉริยะ (Smart Contract) ที่เกี่ยวข้องกับกระบวนการ Restaking Withdrawal — กระบวนการที่ผู้ใช้ถอน ETH คืนจากระบบ

วิธีการโจมตี: Flash Loan + Reentrancy แบบใหม่

┌──────────────────────────────────────────────────────────┐
│           ลำดับเหตุการณ์การแฮก Kelp DAO                   │
├──────────────────────────────────────────────────────────┤
│                                                          │
│  03:47 UTC — แฮกเกอร์เริ่มต้น                              │
│  ├── ขอ Flash Loan จาก Aave V3 มูลค่า $180M              │
│  ├── ใช้เงินก้อนนั้นฝากเข้า Kelp DAO ได้ rsETH            │
│  ├── ทำการ Withdraw แต่ใช้ reentrancy exploit             │
│  │   → สัญญาอัจฉริยะอนุญาตให้เรียกฟังก์ชันซ้ำ            │
│  │   → แต่ละครั้งถอน ETH ออกมาโดย balance ยังไม่อัปเดต  │
│  ├── วนซ้ำ 17 รอบใน 1 ธุรกรรม                            │
│  └── ได้ ETH รวม $293M                                   │
│                                                          │
│  03:51 UTC — แฮกเกอร์เริ่มฟอกเงิน                         │
│  ├── แยกเงินผ่าน Tornado Cash หลายชั้น                  │
│  ├── บางส่วนโอนผ่าน bridge ไป chain อื่น                  │
│  └── บางส่วนแลกเป็น stablecoin แล้วกระจาย                │
│                                                          │
│  04:12 UTC — Kelp DAO ตรวจพบและหยุดระบบ                  │
│  └── แต่เงิน $293M หายไปแล้ว                             │
│                                                          │
└──────────────────────────────────────────────────────────┘

ทำไมมันถึงกระทบ 9 Protocols?

สิ่งที่ทำให้การแฮกครั้งนี้รุนแรงเป็นพิเศษคือ "Domino Effect" — เพราะ Kelp DAO เป็น Liquid Restaking Protocol โทเค็น rsETH ของ Kelp ถูกใช้เป็นหลักประกัน (Collateral) ใน protocols อื่นอีกกว่า 9 แห่ง รวมถึง:

Protocol ประเภท มูลค่าที่ได้รับผลกระทบ
EigenLayer Restaking ~$120M
Pendle Finance Yield Trading ~$45M
Gearbox Protocol Leverage Lending ~$30M
Balancer DEX/Liquidity ~$28M
Curve Finance DEX/Stableswap ~$22M
Morpho Blue Lending ~$18M
Sky (MakerDAO) Stablecoin ~$15M
Uniswap V3 DEX/Liquidity ~$10M
Lido Staking ~$5M

เมื่อ rsETH ถูกแฮก ค่าของโทเค็นพังทลาย ทำให้ protocols ทั้ง 9 เกิด Liquidation Cascade — ระบบเทขายหลักประกันอัตโนมัติ ราคาพัง ผู้ใช้สูญเสียเงินไปด้วย

ผลกระทบต่อวงการ

  • TVL ของ Kelp DAO ลดลง 60% จาก $1.8B เหลือ $720M ใน 24 ชั่วโมง
  • rsETH ราคาตก 35% จาก $3,200 → $2,080 ก่อนจะกลับมาทรงตัวที่ $2,400
  • Total losses รวม 9 protocols เกิน $580M (รวม direct + indirect)
  • องค์กรหลายแห่งหยุดรับ rsETH เป็นหลักประกัน ทันที
  • ทีม Kelp DAO ออกแถลงการณ์ขอความร่วมมือกับ FBI และ Chainalysis แต่ เงินกู้คืนได้น้อยกว่า 8%

🔴 2. Drift Protocol — $280 ล้านดอลลาร์: บทเรียนเรื่อง "คน" คือจุดอ่อนที่สุด

เกิดอะตุ้ยอะไรขึ้น?

ถ้า Kelp DAO คือการแฮกผ่านช่องโหว่ทางเทคนิค Drift Protocol คือการแฮกผ่าน "คน" — สาธิตให้เห็นว่าจุดอ่อนที่อันตรายที่สุดในระบบ DeFi ไม่ใช่สมาร์ตคอนแทร็กต์ แต่คือ มนุษย์

Drift Protocol เป็น Perpetual Futures DEX บน Solana ที่มี TVL ประมาณ $900 ล้านดอลลาร์ การแฮกเกิดขึ้นในวันที่ 22 กุมภาพันธ์ 2026 — แต่เรื่องเริ่มต้นก่อนหน้านั้น หลายเดือน

เรื่องเริ่มที่ Crypto Conference

┌──────────────────────────────────────────────────────────┐
│      ลำดับเหตุการณ์การแฮก Drift Protocol                   │
│      (Social Engineering → Technical Exploit)             │
├──────────────────────────────────────────────────────────┤
│                                                          │
│  เดือนพฤศจิกายน 2025 — ระยะ Infiltation                   │
│  ├── แฮกเกอร์เข้าร่วม crypto conference ในสิงคโปร์       │
│  ├── ปลอมตัวเป็นนักพัฒนาจาก "Web3 Security Firm"          │
│  ├── เข้าสนทนากับ engineer ของ Drift หลายคน              │
│  ├── สร้างความคุ้นเคย → แลกเปลี่ยน contact                │
│  └── ได้รับเชิญเข้า Drift Discord ส่วน internal            │
│                                                          │
│  เดือนธันวาคม 2025 — ระยะ Trust Building                  │
│  ├── ช่วยตอบคำถามทางเทคนิคใน Discord                      │
│  ├── แนะนำการปรับปรุง security จนทีมเชื่อใจ                │
│  ├── ได้รับสิทธิ์ "contributor" เข้าถึง codebase           │
│  └── เห็นโครงสร้างการ deploy key management               │
│                                                          │
│  เดือนมกราคม 2026 — ระยะ Reconnaissance                   │
│  ├── ศึกษาโค้ดอย่างละเอียด                               │
│  ├── พบช่องโหว่ใน upgrade authority multisig              │
│  ├── สังเกตรอบการ deploy และตารางการทำงาน               │
│  └── เตรียม exploit payload ที่จะใช้                       │
│                                                          │
│  22 กุมภาพันธ์ 2026 — ระยะ Strike                         │
│  ├── 02:00 UTC — ใช้สิทธิ์ contributor เข้าถึง deploy      │
│     authority โดยใช้ credential ที่ขโมยจาก engineer       │
│  ├── 02:03 UTC — deploy smart contract ปลอมที่ override  │
│     ฟังก์ชัน withdrawal                                │
│  ├── 02:05 UTC — ถอนเงิน $280M ออกจาก liquidity pools    │
│  ├── 02:08 UTC — โอนผ่าน Solana bridge ไป Ethereum       │
│  └── 02:12 UTC — ฟอกเงินผ่าน multiple mixers               │
│                                                          │
│  รวมเวลาทั้งหมด: 12 นาทีหลังจากลงมือ                     │
│  รวมเวลาเตรียมการ: 4 เดือน                               │
│                                                          │
└──────────────────────────────────────────────────────────┘

สิ่งที่น่าตกใจที่สุด

  1. แฮกเกอร์ไม่ได้ใช้ช่องโหว่ Zero-Day — ช่องโหว่ที่ใช้เป็นช่องโหว่ที่ทีม Drift รู้อยู่แล้ว แต่ยังไม่ได้แก้ เพราะคิดว่าตัวเองเป็นคนเดียวที่รู้
  2. Multisig ไม่ได้ป้องกัน — แฮกเกอร์ได้คีย์ 2 จาก 5 ด้วยการหลอก engineer 2 คนแยกกัน และใช้ความไว้วางใจที่สร้างไว้หลายเดือน
  3. Audit ผ่านแล้ว — Drift ผ่านการ audit จากบริษัทชั้นนำ 3 แห่ง แต่ audit ตรวจสอบแค่โค้ด ไม่ได้ตรวจสอบ คน
  4. เงินกู้คืนได้เพียง 4% — เทียบกับ Kelp DAO ที่กู้คืนได้ 8% Drift กู้คืนได้เพียง $11 ล้าน จาก $280 ล้าน

📊 Q1 2026 ภาพรวม: $482 ล้านดอลลาร์สูญหาย

การแฮกครั้งใหญ่ในไตรมาสแรก (ไม่รวมเมษายน)

วันที่ Protocol มูลค่าสูญหาย วิธีการ เงินกู้คืน
15 ม.ค. LendLayer $92M Oracle Manipulation 0%
3 ก.พ. Astral Finance $47M Flash Loan Attack 12%
22 ก.พ. Drift Protocol $280M Social Engineering + Deploy Key Compromise 4%
8 มี.ค. Nexus Yield $38M Logic Bug in Rebase 0%
19 มี.ค. Pulse Lending $25M Price Feed Manipulation 0%
รวม Q1 $482M+ ~2.5%

แยกตามวิธีการโจมตี

วิธีการโจมตีใน DeFi Q1 2026
─────────────────────────────────────
Social Engineering     ████████████████░  58%  ($280M)
Smart Contract Bug      ████████████░░░░░  24%  ($115M)
Oracle Manipulation     █████░░░░░░░░░░░░   8%  ($38M)
Flash Loan Attack       ████░░░░░░░░░░░░░   6%  ($29M)
Bridge Exploit          █░░░░░░░░░░░░░░░░   4%  ($20M)
──────────────────────────────────────────

🔍 บทวิเคราะห์: ทำไมปี 2026 แย่ขนาดนี้?

1. ความซับซ้อนที่เกินขนาด (Complexity Risk)

DeFi ในปี 2026 มีความซับซ้อนมากขึ้นจากการเชื่อมโยงกันหลายชั้น (Composability) — โปรโตคอลหนึ่งพึ่งพาอีกโปรโตคอลหนึ่ง เมื่อโปรโตคอลหนึ่งล้ม โปรโตคอลที่เชื่อมโยงด้วยก็ล้มตาม (Domino Effect) การแฮก Kelp DAO พิสูจน์ให้เห็นว่า ช่องโหว่เดียวสามารถทำลาย 10 โปรโตคอลพร้อมกัน

2. คนคือจุดอ่อน (Human Factor)

จากตัวเลขข้างต้น 58% ของความเสียหายทั้งหมด มาจาก Social Engineering ไม่ใช่ช่องโหว่ทางเทคนิค แฮกเกอร์เปลี่ยนกลยุทธ์จากการเจาะระบบมาเป็นการ เจาะคน — หลอก engineer สร้างความไว้วางใจ และใช้ความไว้วางใจนั้นเป็นอาวุธ

3. Audit ไม่พอ

ทุก protocol ที่ถูกแฮกผ่านการ audit จากบริษัทชั้นนำแล้ว — แต่ audit มีข้อจำกัด:

  • ตรวจสอบเฉพาะโค้ด ไม่ตรวจสอบคนและกระบวนการ
  • ตรวจสอบเฉพาะเวลาที่ audit ช่องโหว่ที่เพิ่มมาทีหลังไม่ถูกตรวจ
  • ไม่จำลองสถานการณ์โจมตีแบบ end-to-end

4. การฟอกเงินที่ง่ายขึ้น

แฮกเกอร์ในปี 2026 มีเครื่องมือฟอกเงินที่หลากหลายและซับซ้อนกว่าเดิมมาก — Cross-chain bridges, mixers หลายชั้น, และแม้แต่การแลกเป็น privacy coins ทำให้การติดตามเงินเป็นไปได้ยาก อัตราการกู้คืนเงินเฉลี่ยอยู่ที่เพียง 2.5–8%


🛡️ บทเรียนและข้อเสนอแนะ

เรียนรู้อะไรจากเหตุการณ์ Q1 2026?

  1. หยุดเชื่อมั่นเกินไปใน Smart Contract Audit — audit เป็นจุดเริ่มต้นของความปลอดภัย ไม่ใช่จุดจบ ต้องมี Continuous Monitoring และ Bug Bounty ที่เปิดตลอดเวลา

  2. คนคือจุดอ่อนที่สำคัญที่สุด — ต้องมีนโยบายป้องกัน Social Engineering อย่างจริงจัง: background check, principle of least privilege, การหมุนเวียนคีย์เป็นระยะ, และการฝึกฝนให้ทีมระมัดระวัง

  3. Limit Composability Risk — การเชื่อมโยงกันมากเกินไปทำให้ความเสี่ยงกระจาย ต้องมีกำหนดว่า protocol หนึ่งไม่ควรเชื่อมต่อกับ protocols อื่นมากเกินไป

  4. Time-Lock + Multisig — การเปลี่ยนแปลงสัญญาอัจฉริยะควรมี Time-Lock อย่างน้อย 48 ชั่วโมง ให้ชุมชนมีเวลาตรวจสอบ และ Multisig ควรใช้คีย์จากบุคคลที่ไม่รู้จักกันเพื่อกันการหลอกเป็นกลุ่ม

  5. Insurance Fund — ทุก protocol ควรมีกองทุนประกันภัยสำหรับกรณีฉุกเฉิน เพื่อชดเชยผู้ใช้เมื่อเกิดเหตุการณ์ไม่คาดฝัน


บทสรุป

ไตรมาสแรกของปี 2026 สอนบทเรียนที่เจ็บปวดให้วงการ DeFi: ระบบที่เขียนด้วยโค้ดที่ดีที่สุดก็ยังถูกทำลายได้ ถ้าคนที่ดูแลระบบนั้นถูกหลอก การแฮก Kelp DAO และ Drift Protocol ไม่ใช่แค่เรื่องของเทคโนโลยี — มันคือเรื่องของ ความไว้วางใจ ความซับซ้อน และจุดอ่อนของมนุษย์ และตราบใดที่วงการ DeFi ยังไม่ยอมรับว่า ความปลอดภัยไม่ใช่แค่โค้ด การแฮกที่ทำลายล้างเช่นนี้จะยังเกิดขึ้นต่อไป

"ในโลก DeFi การแฮกไม่ใช่คำถามว่าจะเกิดขึ้นหรือไม่ — แต่คือคำถามว่าจะเกิดเมื่อไร และคุณจะเตรียมตัวไว้หรือยัง"


ข้อมูลรวบรวมจากรายงานจาก Chainalysis, CertiK, SlowMist, Elliptic และ DeFiLlama Q1 2026

บทความนี้เป็นอย่างไร?

ยังไม่มีความคิดเห็น — มาเป็นคนแรกกันเถอะ!