ย้อนกลับไปเมื่อวันที่ 30 มีนาคมที่ผ่านมา ทั้งวงการคริปโตเคอร์เรนซี (Cryptocurrency) และเกมต้องสั่นสะเทือนกันทั่วโลก เมื่อ Sky Mavis ผู้ให้บริการเกมชื่อดัง Axie Infinity และ Axie DAO ประกาศว่า Ronin Bridge ถูกโจมตี โดยมีมูลค่าความเสียหายสูงสุดในประวัติศาสตร์คริปโตมากกว่า 600 ล้านดอลลาร์สหรัฐ หรือกว่า 20,000 ล้านบาท ด้วยการทำธุรกรรมเพียง 2 ครั้ง
ซ้ำร้ายกว่านั้นกว่า Sky Mavis จะรู้ตัวว่าระบบถูกแฮ็กก็ใช้เวลาถึง 7 วัน จากรายงานปัญหาใช้งานของผู้เล่นรายหนึ่งที่ไม่สามารถถอนเหรียญ 5,000 ETH ออกจากระบบได้ ทำให้เกิดการวิพากษ์วิจารณ์ถึงความไม่รัดกุมของระบบรักษาความปลอดภัยและการบริหารของ Sky Mavis ที่ทำให้เกิดความเสียหายอย่างใหญ่หลวงและยากที่จะเรียกคืน โดยเฉพาะความน่าเชื่อถือของบริษัทที่ได้สะท้อนไปยังมูลค่าที่ลดลงอย่างหนักของบริษัทและเหรียญ AXS แม้ Sky Mavis ได้ประกาศเพิ่มทุน 150 ล้านดอลลาร์สหรัฐ เพื่อชดเชยความเสียหายที่เกิดขึ้นแล้วก็ตาม
ข่าวที่เกี่ยวข้อง
- สะเทือนวงการคริปโต! Ronin Bridge แพลตฟอร์มเครือข่ายเกม Axie Infinity ถูกแฮ็กเกอร์โจมตีสูญเงินกว่า 2 หมื่นล้านบาท
- Binance ระงับฝาก-ถอน ภายในเครือข่าย Ronin หลังเกิดการแฮ็ก Axie Infinity พร้อมส่งทีมงานเร่งสอบธุรกรรมไม่ปกติ
คำถามที่น่าสนใจจากกรณีนี้คือ Sky Mavis ไม่รู้เลยหรือว่าระบบรักษาความปลอดภัยและการบริหารงานสำหรับ Axie Infinity ที่มีจำนวนผู้ดูแลธุรกรรม หรือ Node Validator เพียงแค่ 9 โหนด นั้นหละหลวมเกินไปสำหรับเกมที่ได้รับความนิยมจนมีผู้ใช้งานหลักล้าน และเคยมีมูลค่าถึง 4,000 ล้านดอลลาร์สหรัฐ
คำตอบคือ Sky Mavis น่าจะรู้ แต่ยอมเสี่ยงเพื่อแลกกับประสบการณ์ความเร็วในการเล่นเกมของผู้ใช้งานและการประหยัดต้นทุน ซึ่งความประมาทนี้นำไปสู่หนึ่งในบทเรียนของ ‘การโจรกรรมที่มีมูลค่าสูงที่สุดในโลกคริปโตเคอร์เรนซีที่แฮ็กเกอร์แทบไม่ต้องใช้ความสามารถในการจู่โจม’ แต่เหตุการณ์นี้กลับชวนให้นักพัฒนาคำนึงถึงหลักพื้นฐานสำคัญของการสร้างระบบบล็อกเชนคือ ‘Decentralization’ ที่เป็นปราการสำคัญในการปกป้องระบบจากการจู่โจมของบรรดาแฮ็กเกอร์ เพราะความเสียหายที่เกิดขึ้นแล้วในโลกคริปโตนั้นยากจะตามคืน เว้นเสียแต่นักจู่โจมนั้นเป็นโจรกลับใจยอมคืนเงินที่ขโมยไปเหมือนอย่างกรณีที่เกิดขึ้นกับ Poly Network ที่ถูกจู่โจมเมื่อปีที่แล้ว แต่แฮ็กเกอร์เปลี่ยนใจคืนเงินเกือบทั้งหมดเข้าสู่ระบบในที่สุด
ทำความรู้จักกับ Axie Infinity…ผู้แพ้ในเกมนี้
‘Axie Infinity’ เป็นเกม Play-to-Earn (P2E) สัญชาติเวียดนาม ที่พัฒนาขึ้นในปี 2561 โดยบริษัท Sky Mavis ซึ่งบริหารโดย Trung Nguyen นักพัฒนาเกม และ Aleksander Larsen อดีตนักเล่นเกมชื่อดัง และทีมงานเต็มเวลาทั้งหมด 25 คน โดย Axie Infinity เป็นเกมออนไลน์บนระบบบล็อกเชน Ethereum ที่ได้รับแรงบันดาลใจมาจากเกมโปเกมอนและทามาก็อตจิ ซึ่งผู้เล่นสามารถรวบรวม ผสมพันธุ์ เลี้ยงดู ต่อสู้ และแลกเปลี่ยนสิ่งมีชีวิตในเกมโดยใช้โทเคนที่เรียกว่า Axies (AXS)
นอกจากนั้นผู้เล่นเกม Axie Infinity ยังสามารถสร้างรายได้จากการเล่นเกมและได้รับผลตอบแทนเป็นเหรียญ SLP และ AXS ซึ่งเหรียญ SLP สามารถนำไปขายใน Exchange เพื่อแลกกลับมาเป็นเงิน โดยอัตราแลกเปลี่ยนของเหรียญขึ้นอยู่กับความเคลื่อนไหวบนกระดานในแต่ละวัน ในขณะที่เหรียญ AXS (Axie Infinity Shard) นั้นมีความคล้ายกับ SLP แต่มีคุณค่ามากกว่า และทำหน้าที่เป็น Governance Token โดย AXS ถูกสร้างขึ้นด้วยเทคโนโลยี ERC-20 ของ Ethereum
โดยในช่วงกลางปี 2564 Axie Infinity ยังเป็นเกมที่ได้รับความนิยมอันดับต้นๆ ของโลก เหรียญ AXS เคยเป็นที่นิยมในหมู่นักเทรดคริปโตจนพุ่งไปติดอันดับ 52 ในเว็บไซต์ CoinMarketCap ซึ่งถือว่าทำผลงานได้โดดเด่นสวนทางกับภาพรวมของตลาดคริปโตที่กำลังซบเซาในช่วงเวลานั้น
ทำไม Axie Infinity ถึงโดนแฮ็ก
Axie Infinity เป็นเกมที่รันอยู่บน Sidechain หรือเลเยอร์ 2 ของบล็อกเชนที่มีชื่อเรียกว่า Ronin Network ซึ่งการดำเนินบนเลเยอร์ 2 นั้นสามารถลดเวลาในการตรวจสอบและอนุมัติธุรกรรม เพราะ Node Validator ของเลเยอร์ 2 นั้นจำกัดจำนวนสูงสุดที่ 21 โหนด นอกจากนั้นต้นทุนดำเนินการ (ค่าแก๊ส) ยังถูกกว่าเลเยอร์ 1 ทำให้ Sidechain ได้รับความนิยมอย่างมาก โดยเฉพาะในโลกของผู้ให้บริการเกม
สำหรับ Axie Infinity นั้นมี Node Validator ทั้งหมด 9 โหนด ในการตรวจสอบความถูกต้องของข้อมูล โดยหลักการในการอนุมัติการทำธุรกรรมบนเครือข่ายบล็อกเชนนั้นต้องได้รับ ‘ลายเซ็น’ เกินครึ่งของจำนวน Node Validator ทั้งหมด ดังนั้นการที่แฮ็กเกอร์จะประสบความสำเร็จในการจู่โจมได้นั้นจะต้องเข้าควบคุม Node Validator ให้ได้มากกว่าร้อยละ 51%
ด้วยเหตุนี้ การจู่โจม Axie Infinity สามารถทำได้ง่ายด้วยการควบคุม Private Key เพียงแค่ 5 คีย์ โดยแฮ็กเกอร์รายนี้ได้ลายเซ็นทั้งหมด 5 ลายเซ็น ประกอบด้วย 4 ลายเซ็นจาก Node Validator ของ Sky Mavis และอีก 1 ลายเซ็นจาก Axie Decentralized Autonomous Organization (DAO) ซึ่งเป็นบุคคลที่ 3 โดยแฮ็กเกอร์พบ Backdoor ผ่านโหนด RPC ทำให้ได้ลายเซ็นของ Axie DAO มาอย่างง่ายดาย
ดังนั้นหากมองภาพรวมจำนวน 9 Node Validator สำหรับเกมที่ได้รับความนิยมจนมีผู้เล่นจำนวนหลักล้านคนนั้นถือว่าน้อยไป เพราะจำนวนโหนดยิ่งน้อย ความปลอดภัยของระบบก็จะต่ำลงไปด้วย หากเปรียบเทียบกับเครือข่ายที่ดำเนินการบนบล็อกเชนเลเยอร์ 1 อย่าง Ethereum ที่มีมาตรฐาน Node Validator หลักหมื่น และมีพันธมิตรจำนวนมากกระจายการดูแลความถูกต้องและความปลอดภัย จึงไม่น่าแปลกใจว่าทำไม Axie Infinity ถึงถูกแฮ็กอย่างง่ายดายโดยที่นักจู่โจมแทบไม่ต้องใช้ความสามารถใดๆ ในการชนะเกมนี้
Decentralization และการบริหารจัดการที่ดี คือการปิดประตูความเสี่ยงจากการโจมตี
กรณีของ Axie Infinity แสดงให้เห็นแล้วว่าปัญหานั้นเกิดจากการบริหารที่ผิดพลาดของ Sky Mavis ที่มองข้ามความสำคัญในการทำ ‘Decentralization’ การลดมาตรฐานความปลอดภัยในโลกที่มีการเงินเข้ามาเกี่ยวข้อง เพื่อแลกกับความเร็ว ประสบการณ์ของผู้ใช้งาน หรือแม้แต่การลดต้นทุนเล็กๆ น้อยๆ นั้นไม่คุ้มค่าเอาเสียเลย ดังนั้นกรณีของ Axie Infinity นั้นจึงเปรียบได้กับสุภาษิตไทยที่กล่าวไว้ว่า ‘ได้ไม่คุ้มเสีย’ และทางบลูบิคได้วางแนวทางการป้องกันการจู่โจมจากการถอดบทเรียนของ Axie Infinity ไว้ดังนี้
- คำนึงถึงความปลอดภัยเป็นหลักด้วยการทำ Decentralization หลักพื้นฐานของการดำเนินการบนเครือข่ายบล็อกเชนต้องมีจำนวน Node Validator ให้มากที่สุดเท่าที่จะทำได้ และต้องกระจายการบริหารจัดการโหนดเหล่านั้นกับพันธมิตรที่เชื่อถือได้ เพื่อลดความเสี่ยงจากการถูกโจมตีแล้วทำให้ระบบล่ม โดยมีการตกลงค่าธรรมเนียมในการดำเนินการให้ชัดเจนเพื่อป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต
- มีการทำ Hardening ให้กับ Node Validator ให้ได้มาตรฐานก่อนนำมาใช้งานบนระบบ โดยการทำ Hardening นั้นจะเป็นการเพิ่มความแข็งแกร่งให้กับระบบ ทำให้มีความปลอดภัยตามวัตถุประสงค์ของการดำเนินการคือ การรักษาความลับ (Confidentiality), ความสมบูรณ์ (Integrity) และสภาพความพร้อมใช้งาน (Availability)
- ควรแยก Private Key ออกมาเก็บในรูปแบบ Hardware Wallet ที่มีขนาดเล็กเท่ากับ Flash Drive และใช้งานโดยการเสียบอุปกรณ์เข้าไปจึงจะสามารถทำธุรกรรมได้ การใช้ Hardware Wallet นั้นจะปลอดภัยกว่า Software Wallet เพราะไม่จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตตลอดเวลา และ Hardware Wallet รุ่นใหม่ยังสามารถรองรับ Private Key ได้หลายประเภท เช่น Bitcoin, Ethereum, ERP และ Litecoin เป็นต้น
- มีทีมงานหรือระบบตรวจสอบระบบการทำงานอย่างใกล้ชิด เมื่อเกิดธุรกรรมที่ผิดปกติผู้ดูแลระบบสามารถรับรู้และแก้ปัญหาได้ทันท่วงที
เมื่อความนิยมในสกุลเงินดิจิทัลยังเป็นกระแสขาขึ้น จึงไม่น่าแปลกใจว่าทำไมระบบเครือข่ายคริปโตเคอร์เรนซีจึงกลายเป็นเป้าโจมตีของเหล่าแฮ็กเกอร์ในช่วง 2-3 ปีที่ผ่านมา Chainalysis บริษัทวิเคราะห์ข้อมูลคริปโตรายงานว่า ในปี 2564 ความเสียหายจากการโจรกรรมบน Decentralized Finance (DeFi) ทำลายสถิติสูงสุด โดยมีมูลค่าถึง 2,300 ล้านดอลลาร์สหรัฐ หรือเพิ่มขึ้นถึงร้อยละ 1,330 จากปีก่อนหน้านั้น และมีการคาดการณ์ว่าแนวโน้มจำนวนและมูลค่าความเสียหายจะมากขึ้นอีกในอนาคต
ดังนั้นจึงอนุมานได้ว่ากรณี Axie Infinity จะไม่ใช่กรณีสุดท้ายที่เกิดขึ้น นักพัฒนาสามารถเรียนรู้จากความเสียหายครั้งนี้เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นทั้งจากความประมาทและความผิดพลาดจากการตัดสินใจ เพื่อลดความเสี่ยงความสูญเสียทั้งเงินและความน่าเชื่อถือไปอย่างยากที่จะถอนคืนเหมือนอย่างที่เกิดขึ้นกับหลายกรณีรวมถึง Axie Infinity ด้วย
ช่องทางติดตาม THE STANDARD WEALTH
Twitter: twitter.com/standard_wealth
Instagram: instagram.com/thestandardwealth
Official Line: https://lin.ee/xfPbXUP
