โปรโตคอลการสเตกแบบ DeFi 3.0 ที่ขับเคลื่อนด้วย AI ชื่อว่า The New Gold Protocol (NGP) ซึ่งถูกออกแบบมาโดยเน้นความยั่งยืน กลับถูกแฮ็กเพียงไม่กี่ชั่วโมงหลังจากเปิดตัวในวันที่ 18 กันยายน 2025 เหตุการณ์นี้แสดงให้เห็นถึงผลกระทบร้ายแรงจากข้อผิดพลาดในการออกแบบระบบที่สามารถทำลายโปรเจกต์ได้ตั้งแต่เริ่มต้น
The New Gold Protocol ถูกสร้างบนบล็อกเชน BNB โดยมีเป้าหมายเพื่อแก้ไขปัญหาการกำหนดราคาที่ไม่มีมาตรฐานในระบบ DeFi หลายแห่ง ตามเอกสารไวท์เปเปอร์ของโครงการ โปรโตคอล DeFi ส่วนมากขาดกลไกที่ชัดเจนในการกำหนดมูลค่าการใช้งาน ทำให้เกิดความผันผวนและไร้ระเบียบ
NGP ถูกโฆษณาว่าเป็น “DeFi ยุคใหม่” ที่จะเหนือกว่าคู่แข่ง เพราะมีระบบที่โปร่งใส ยุติธรรม และยั่งยืน โดยใช้ AI มาช่วยในการวิเคราะห์และปรับปรุงระบบ เพื่อให้เกิดการกระจายรายได้ที่แท้จริง ไม่ใช่แค่การแจกเหรียญแบบเก็งกำไร ตัวเหรียญ NGP ยังถูกออกแบบให้เป็นเหรียญแบบลดจำนวน (deflationary) ผ่านกลไกการเผาเหรียญ (token burn)
อย่างไรก็ตาม ความพยายามเหล่านี้ไม่สามารถป้องกันเหตุการณ์ไม่พึงประสงค์ได้ เพราะหลังจากเปิดตัวไม่นาน แฮ็กเกอร์ก็สามารถหาช่องโหว่ในระบบและโจมตีได้สำเร็จ
นักวิเคราะห์จากบริษัทความปลอดภัย Hacken รายงานว่า แฮ็กเกอร์เริ่มเตรียมตัวล่วงหน้าประมาณ 6 ชั่วโมงก่อนลงมือ โดยใช้ฟีเจอร์ “แฟลชโลน” (Flash Loans) ซึ่งเป็นการกู้ยืมสินทรัพย์ดิจิทัลจำนวนมากในเวลาสั้น ๆ โดยไม่ต้องมีหลักประกัน จากนั้นก็ใช้กลยุทธ์การปั่นราคาเหรียญ NGP ผ่านกลไกของออราเคิล (Oracle Manipulation)
ระบบของ NGP ใช้ราคาจากพูลสภาพคล่องใน DEX เป็นตัวกำหนดมูลค่าเหรียญ แฮ็กเกอร์จึงใช้ช่องโหว่นี้ในการปั่นราคา โดยเริ่มจากการแลก BUSD เป็น NGP บน PancakePair ทำให้ราคาของ NGP พุ่งสูงขึ้นอย่างรวดเร็ว
แม้ว่า NGP จะใส่กลไกป้องกันการซื้อเหรียญเกินจำนวนและการซื้อซ้ำเร็วเกินไป แต่แฮ็กเกอร์ก็เลี่ยงข้อจำกัดเหล่านี้ได้โดยใช้ที่อยู่พิเศษชื่อว่า “dEaD” เป็นตัวรับเหรียญ
หลังจากปั่นราคาสำเร็จ แฮ็กเกอร์ก็ขายเหรียญ NGP ทิ้งอย่างรวดเร็ว ทำให้ดูดเอา BUSD ออกจากระบบไปเกือบทั้งหมด คาดว่ามูลค่าความเสียหายอยู่ที่ประมาณ 1.9 ล้านดอลลาร์ จากนั้นแฮ็กเกอร์ก็เปลี่ยนเงินเป็น ETH ที่อยู่บน BNB Chain
ขั้นตอนถัดไปคือการนำเงินที่ได้ไปฟอกผ่าน Tornado Cash โดยใช้สะพานเชื่อมข้ามบล็อกเชนอย่าง Across ทำให้ NGP เหลือเงินในระบบเพียงเล็กน้อย ราคาของเหรียญ NGP จึงร่วงลงถึง 88%
แม้ทีมงานของ NGP จะมีเป้าหมายที่ดีในการปฏิวัติวงการ DeFi แต่ความผิดพลาดด้านความปลอดภัยกลับทำให้โครงการเสียหายหนัก และจนถึงตอนนี้ยังไม่มีคำชี้แจงใด ๆ จากทีมพัฒนา โพสต์ล่าสุดบน X (Twitter เดิม) ที่เขียนว่า “เสถียรภาพควบคู่กับการเติบโต” ตอนนี้กลายเป็นคำประชดประชันที่เจ็บปวด
การโจมตีด้วยแฟลชโลนกลายเป็นวิธีที่นิยมในหมู่แฮ็กเกอร์ในช่วงไม่กี่ปีที่ผ่านมา เหตุการณ์ใหญ่ที่สุดเกิดขึ้นในเดือนมีนาคม 2023 เมื่อแฮ็กเกอร์ขโมยสินทรัพย์มูลค่ารวมประมาณ 197 ล้านดอลลาร์จากโปรโตคอล Euler Finance โดยใช้ข้อผิดพลาดในการคำนวณอัตราบนแพลตฟอร์ม ซึ่งเงินที่ได้ถูกส่งไปยังที่อยู่ที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ DPRK ชื่อดังอย่าง Lazarus Group
ถึงแม้ว่าภายหลังแฮ็กเกอร์รายนั้นจะคืนเงินทั้งหมดพร้อมขอโทษ แต่กรณีอื่น ๆ อย่าง Cream Finance (เสียหาย 130 ล้านดอลลาร์ในปี 2021), Polter (12 ล้านดอลลาร์ในปี 2024) และ Cetus Protocol บน Sui (223 ล้านดอลลาร์ในปี 2025) ล้วนเกิดจากแฟลชโลนเช่นกัน
บทเรียนครั้งนี้ชี้ชัดว่า ไม่ว่าความตั้งใจจะดีแค่ไหน ถ้าขาดระบบความปลอดภัยที่รัดกุม โครงการ DeFi ก็อาจพังทลายได้ภายในเวลาไม่กี่ชั่วโมง
