มูลนิธิ Ethereum ใช้มันเช่นกัน! ฟรอนต์เอนด์ของ CoW Swap ถูกแฮ็ก ผู้เชี่ยวชาญ DeFi แนะนำให้เพิกถอน (revoke) การอนุญาต

หนึ่งในโครงสร้างพื้นฐานหลักของ DeFi บน Ethereum อย่าง CoW Swap มีรายงานเหตุด้านความปลอดภัยเมื่อวันที่ 14 เมษายน เหล่าทางการระบุว่าเว็บไซต์ส่วนหน้า (front-end) ถูกจี้ด้วย DNS (domain hijacking) ซึ่งอาจทำให้ผู้ใช้เสี่ยงต่อการถูกหลอกลวง (phishing) และได้เร่งด่วนเรียกร้องให้ผู้ใช้หยุดใช้งานแพลตฟอร์มชั่วคราว

ทีมงานบน X ระบุว่า: “ขณะนี้ส่วนหน้า (front-end) ของ CoW Swap มีปัญหา ระหว่างที่ยังไม่เสร็จสิ้นการตรวจสอบ โปรดอย่าใช้งาน” ส่วนบรรดานักพัฒนา DeFi ระดับอาวุโสยังแนะนำว่า ผู้ใช้ทั้งหมดที่ทำธุรกรรมหลังจากเวลา UTC 14:54 ของวันนั้น ควรเพิกถอน (revoke) การอนุญาตทันที

ส่วนหน้าถูกแฮ็ก: สัญญา (protocol) ยังไม่พัง แต่ความเสี่ยงยังสูง

เหตุการณ์ครั้งนี้เป็นการโจมตีส่วนหน้าแบบคลาสสิก กล่าวคือ แฮ็กเกอร์จะควบคุมจุดเข้าเว็บไซต์เพื่อชักจูงให้ผู้ใช้โต้ตอบกับสัญญาที่เป็นอันตราย ไม่ใช่การแฮ็กสัญญาโปรโตคอลโดยตรง CoW DAO ต่อมาชี้แจงว่า โปรโตคอลฝั่งหลัง (back-end) และ API ยังคงปลอดภัยอยู่ในปัจจุบัน แต่เพื่อความรอบคอบได้หยุดให้บริการชั่วคราว แม้ยังไม่ยืนยันว่าจะมีสินทรัพย์ของผู้ใช้ได้รับความเสียหายหรือไม่ แต่การโจมตีลักษณะนี้มักตรวจพบได้ยากทันท่วงที โดยความเสี่ยงหลักมาจากการที่การอนุญาตของผู้ใช้ถูกหลอกลวงไป

CoW Swap คืออะไร: เก็บรวบรวมธุรกรรมก่อน แล้วค่อยเปรียบเทียบราคา

CoW Swap เป็นโปรโตคอลการแลกเปลี่ยนแบบกระจายอำนาจ (decentralized) ที่ขับเคลื่อนด้วย intent และในขณะเดียวกันก็เป็นตัวรวบรวม (DEX aggregator) ของ DEX ต่างจากการแลกเปลี่ยนแบบกระจายอำนาจแบบดั้งเดิม (DEX) ตรงที่มันไม่ได้ทำให้ธุรกรรมของผู้ใช้ถูกบันทึกขึ้นเชนทันที แต่จะรวบรวมคำสั่งซื้อไว้เป็นระยะหนึ่ง แล้วทำ “การประมูลแบบล็อต”

กล่าวอย่างง่าย ๆ คุณสามารถมองว่ามันคือ: “รวบรวมคำสั่งซื้อ/ขายของทุกคนไว้ก่อน แล้วใช้การแข่งขันราคาเพื่อหาวิธีการจับคู่ที่ดีที่สุด” กลไกหลักประกอบด้วย การแข่งขันของ solver (ตัวถอดรหัส/ผู้แก้ปัญหา) เพื่อดำเนินคำสั่งซื้อ การเปรียบเทียบราคาข้าม DEX และตรรกะการจับคู่แบบ Coincidence of Wants (ความต้องการที่ตรงกัน): หากทิศทางของธุรกรรมของผู้ใช้สองคนพอดีเสริมกันได้ แม้กระทั่งสามารถจับคู่成交โดยตรง ลด slippage และเพิ่มประสิทธิภาพด้านราคา

ทำไมถึงฮิตใน DeFi: ทางเลือกที่เป็นตัวแทนในการต่อต้าน MEV

CoW Swap เป็นที่โดดเด่นในวงการ DeFi โดยจุดสำคัญอยู่ที่การออกแบบเพื่อต้าน MEV (มูลค่าสูงสุดที่สามารถสกัดได้) ธุรกรรมของ DEX แบบดั้งเดิมจะถูกเปิดเผยใน mempool สาธารณะ ซึ่งทำให้เสี่ยงต่อการถูกทำล่วงหน้า (front-running) หรือการโจมตีแบบแซนด์วิช (sandwich attack) CoW ลดโอกาสที่ธุรกรรมจะถูกบอตเก็งกำไรสกัดกั้นลงอย่างมาก ด้วยการประมูลแบบล็อตและการเก็บรวบรวมคำสั่งซื้อแบบส่วนตัว

ได้รับการรับรองโดย Ethereum Foundation: ก้าวเข้าสู่สถานการณ์ธุรกรรมระดับสถาบัน

ในเดือนเมษายน 2026 Ethereum Foundation ประกาศว่าจะใช้กลไก TWAP (time-weighted average price) ของ CoW DAO เพื่อแปลง 5,000 ETH เป็นเหรียญเสถียร (stablecoin) แบบแบ่งหลายงวด โดยนำไปใช้เป็นเงินสนับสนุนค่าใช้จ่ายด้านการพัฒนาและการดำเนินงาน

จากข้อมูลของ DeFiLlama ปริมาณการซื้อขายของ CoW Swap ในช่วง 30 วันที่ผ่านมาอยู่ที่ราว 3,500 ล้านดอลลาร์สหรัฐ และรายได้จากค่าธรรมเนียมสะสมประมาณ 50 ล้านดอลลาร์สหรัฐ

แม้เหตุการณ์นี้ในขณะนี้จะจำกัดอยู่แค่ส่วนหน้า แต่จุดสนใจของตลาดอยู่ที่ผลกระทบแบบลูกโซ่ที่อาจเกิดขึ้น เนื่องจาก CoW Swap ถูกผนวกรวมเข้ากับโปรโตคอล DeFi หลายแห่ง ความเสี่ยงอาจส่งผลต่อการใช้งานที่พึ่งพาชั้นการดำเนินการ (execution layer) ของมัน ในขณะเดียวกัน โปรโตคอลทั้งหมดที่ใช้กลไกแบบ intent-based, solver auction หรือการดำเนินการแบบเป็นล็อต อาจถูกตรวจสอบด้านความปลอดภัยไปพร้อมกันด้วย อย่างไรก็ตามควรเน้นว่า เหตุการณ์ลักษณะนี้โดยทั่วไปเป็น “ความเสี่ยงที่ชั้นทางเข้า” และไม่ได้เท่ากับว่าเกิดช่องโหว่เชิงระบบขึ้นทั้งระบบนิเวศของ Ethereum หรือ DEX

คำเตือนจากบรรดาเซียน DeFi: หากไม่ได้ทำอะไร ก็ revoke ทั้งหมด

เมื่อเหตุการณ์เริ่มลุกลาม ผู้เล่น DeFi รุ่นเก๋าคนหนึ่งแนะนำว่า หากช่วงนี้ไม่มีความจำเป็นต้องทำธุรกรรมบนเชน ก็ควรเพิกถอนการอนุญาตทั้งหมด (revoke) เหตุผลคือเคสการถูกขโมยสินทรัพย์ส่วนใหญ่มักไม่ได้มาจากสัญญาถูกเจาะ แต่เกิดจากที่ผู้ใช้ได้อนุญาตให้สัญญาที่เป็นอันตรายใช้งานสินทรัพย์โดยไม่รู้ตัว ในสถานการณ์ที่ส่วนหน้าถูกแฮ็ก แม้โปรโตคอลเองจะปลอดภัย หากเคยมีการอนุญาตผ่านช่องทางนี้ ก็อาจทิ้งความเสี่ยงไว้

บทความนี้ Ethereum Foundation ก็ใช้มันด้วย! ส่วนหน้า CoW Swap ถูกแฮ็ก เซียน DeFi แนะนำให้เพิกถอน (revoke) การอนุญาต เผยแพร่ครั้งแรกที่ 鏈新聞 ABMedia