MakinaFi ถูกโจมตี ดูดเงินกว่า 4.1 ล้านดอลลาร์ ขณะบอต MEV แย่งรันหน้าออเดอร์

Makina Finance แพลตฟอร์ม DeFi ด้านการจัดการสินทรัพย์และการสร้างผลตอบแทน เผชิญเหตุละเมิดความปลอดภัยครั้งใหญ่ เมื่อวันที่ 20 มกราคม แฮกเกอร์ได้โจมตีหนึ่งในพูลสเตเบิลคอยน์ของแพลตฟอร์ม และขโมยไปประมาณ 1,299 ETH คิดเป็นมูลค่าราว 4.1 ล้านดอลลาร์ตามราคาปัจจุบัน

#PeckShieldAlert @makinafi has been exploited for ~1,299 $ETH (~$4.13M).

The hacker was frontrun by MEV Builder (0xa6c2…).

The stolen funds are currently held in 2 addresses:
0xbed2…dE25 ($3.3M) & 0x573d…910e ($880K) pic.twitter.com/Q5WzHpfq7j

— PeckShieldAlert (@PeckShieldAlert) January 20, 2026

การโจมตีดังกล่าวถูกรายงานเป็นครั้งแรกโดย PeckShield บริษัทด้านความปลอดภัยบล็อกเชน ไม่นานหลังจากนั้น ภายในไม่กี่นาที เครื่องมือติดตามธุรกรรม on-chain ก็พบว่าเงินที่ถูกขโมยถูกโอนไปเก็บไว้ในสองวอลเล็ต เหตุการณ์นี้ตอกย้ำความกังวลเกี่ยวกับความเสี่ยงของแพลตฟอร์ม DeFi อีกครั้ง แม้จะเข้าสู่ปี 2026 แล้วก็ตาม และนี่ไม่ใช่ความผิดพลาดเล็กน้อย แต่เป็นการโจมตีที่รวดเร็วและแม่นยำ

เกิดอะไรขึ้นกันแน่?

เป้าหมายของการโจมตีคือพูล DUSD/USDC ของ MakinaFi บน Curve โดยพูลนี้สร้างอยู่บน Curve Finance และเชื่อมต่อโทเคนสร้างผลตอบแทน DUSD ของ Dialectic เข้ากับ USDC ในกรณีนี้ แฮกเกอร์ใช้วิธีโจมตีแบบแฟลชโลนตามแบบฉบับ กล่าวคือ กู้คริปโตจำนวนมากในช่วงเวลาสั้น ๆ เพียงไม่กี่วินาที แล้วนำไปใช้บิดเบือนราคา จากนั้นดูดสภาพคล่องออกจากพูลและชำระคืนเงินกู้ทั้งหมดภายในธุรกรรมเดียว

หากอธิบายแบบง่าย ๆ คือ ผู้โจมตีได้กู้เงินจากโปรโตคอลอย่าง Aave และ Morpho ก่อนจะทำชุดธุรกรรมสว็อปต่อเนื่องบน Curve และ Uniswap เมื่อสามารถควบคุมราคาภายในพูลได้ ก็ถอนมูลค่าออกมาได้มากกว่าที่ควรจะเป็น สุดท้ายจบด้วยการได้ไป 1,299 ETH

บอต MEV ก็เข้ามาร่วมวง

เหตุการณ์นี้ไม่ได้มีแค่แฮกเกอร์ที่ทำกำไร บอต MEV builder ก็เข้ามาแทรกแซงเช่นกัน บอต MEV จะสแกนบล็อกเชนเพื่อหาโอกาสทำกำไร และพยายามรันหน้าธุรกรรมเหล่านั้น ในกรณีนี้ ที่อยู่ MEV builder ที่ขึ้นต้นด้วย 0xa6c2 ได้สอดแทรกเข้าไปในชุดธุรกรรม และแบ่งกำไรไปส่วนเล็ก ๆ ได้ราว 0.13 ETH แม้จะไม่มาก แต่สะท้อนให้เห็นว่าการซื้อขายบน Ethereum มีการแข่งขันสูงและดุเดือดเพียงใด ทุกวันนี้แม้แต่แฮกเกอร์ก็ยังต้องแย่งกำไรกับบอต โลกคริปโตยังคงเป็นเหมือนแดนเถื่อน

ตอนนี้เงินที่ถูกขโมยอยู่ที่ไหน?

ETH ที่ถูกขโมยถูกเก็บไว้ในสองวอลเล็ต ได้แก่

0xbed2…dE25 ถือครองประมาณ 3.3 ล้านดอลลาร์

0x573d…910e ถือครองประมาณ 880,000 ดอลลาร์

จนถึงขณะนี้ เงินดังกล่าวยังไม่ถูกนำไปผสมหรือส่งผ่านเครื่องมือเพิ่มความเป็นส่วนตัว ทำให้ผู้ตรวจสอบยังสามารถติดตามความเคลื่อนไหวได้ทุกขั้นตอน บริษัทด้านความปลอดภัยอย่าง PeckShield, ExVul และ TenArmor ได้เตือนผู้ใช้งานให้ยกเลิกสิทธิ์การอนุญาตของสัญญา และหลีกเลี่ยงการโต้ตอบกับสัญญาของ MakinaFi ชั่วคราว ขณะที่ Makina ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการ

ทำไมเรื่องนี้จึงสำคัญต่อผู้ใช้ DeFi

MakinaFi เป็นที่รู้จักจากการนำเสนอกลยุทธ์สร้างผลตอบแทนขั้นสูง โดยใช้เครื่องมือ DeFi อย่าง Curve, Aave และ Uniswap โทเคน DUSD ถูกออกแบบมาเพื่อสร้างผลตอบแทนผ่านกลยุทธ์ on-chain ที่ซับซ้อน แต่การโจมตีครั้งนี้สะท้อนความจริงที่หลีกเลี่ยงไม่ได้ว่า แม้ระบบ DeFi ที่ออกแบบมาอย่างดีและซับซ้อน ก็ยังมีความเสี่ยง การโจมตีด้วยแฟลชโลนยังคงเป็นหนึ่งในวิธีที่แฮกเกอร์ใช้ขโมยเงินบ่อยที่สุด

พูลสเตเบิลคอยน์มักเป็นเป้าหมายหลัก เพราะมีสภาพคล่องสูง ในปี 2025 และช่วงต้นปี 2026 การแฮกในโลก DeFi ได้สร้างความเสียหายให้ผู้ใช้งานไปแล้วหลายพันล้านดอลลาร์ บทเรียนมีเพียงข้อเดียว หากเงินของคุณอยู่บนบล็อกเชน ก็มีความเสี่ยงเสมอ DeFi เคลื่อนไหวเร็ว และแฮกเกอร์ก็เร็วกว่าเสมอ