ไทย · 中文 · English

Gnosis Pay ถูกแฮ็ก รับปากชดใช้เต็มจำนวน—แต่สิ่งที่ควรกังวลไม่ใช่แค่บัตรใบนี้

2026-06-02

ผู้ร่วมก่อตั้ง Gnosis ยืนยันว่า Gnosis Pay ถูก exploit และประกาศต่อสาธารณะว่าจะครอบคลุมความเสียหายทั้งหมดของผู้ใช้ (100%) ตามรายงานของ CriptoNoticias ณ เวลาที่เผยแพร่ข่าวนี้ ทาง Gnosis ยังไม่เปิดเผยทั้งจำนวนเงินที่ถูกขโมยและกลไกรวมถึงตารางเวลาการชดใช้ Gnosis Pay เป็นบัตรเดบิต Visa แบบ self-custody ที่ทำงานบน Gnosis Chain โดยมีจุดขายหลักคือ “ยอดเงินในบัตรถูกถือครองโดยผู้ใช้เองในกระเป๋าเงินบนเชน” — และการออกแบบนี้เองที่เป็นหัวใจของเหตุการณ์ครั้งนี้

มุมมองบรรณาธิการ: ความเสี่ยงระดับ “สมาร์ตคอนแทรกต์” ของบัตรบนเชนถูกเปิดโปง

ขอสรุปก่อนเลยว่า สิ่งที่ได้รับความเสียหายในครั้งนี้ไม่ใช่บัตรแบบ custodial ที่รวมศูนย์ แต่เป็นผลิตภัณฑ์ที่สร้าง “จุดขายด้านความปลอดภัย” บนสมาร์ตคอนแทรกต์และบัญชีบนเชน เหตุการณ์นี้ให้บทเรียนกับผู้ใช้บัตร USDT ได้มากกว่าแค่ “มีบัตรอีกใบถูกแฮ็ก”

เรื่องเล่าหลักของ Gnosis Pay คือ “เงินของคุณอยู่ในกระเป๋า Safe ของคุณเอง ผู้ออกบัตรแตะต้องไม่ได้” ในทางทฤษฎีสิ่งนี้ปลอดภัยกว่าแบบ custodial แต่ต้องแลกมาด้วย — พื้นที่การโจมตีย้ายจาก “เซิร์ฟเวอร์ของผู้ออกบัตร” ไปเป็น “สมาร์ตคอนแทรกต์ + สิทธิ์อนุญาต (authorization) ในกระเป๋าเงินของคุณ” เมื่อคอนแทรกต์หรือตรรกะการอนุญาตเกิด exploit ข้อได้เปรียบของ self-custody ก็จะพลิกกลับเป็นข้อเสียในทันที

ผู้ใช้กลุ่มไหนที่ควรให้ความสนใจทันที?

สิ่งที่ควรจับตาใน 7 / 30 / 90 วัน: ภายใน 7 วันจับตาว่า Gnosis จะเปิดเผยจำนวนเงินที่ถูกขโมยและรายละเอียดการชดใช้หรือไม่; ภายใน 30 วันเป็นช่วงเวลาสำคัญที่จะเห็นการชดใช้จริง (ระยะห่างระหว่าง “รับปากจะชดใช้” กับ “ชดใช้แล้ว” มักถูกประเมินต่ำกว่าความเป็นจริงในอดีต); ภายใน 90 วันจับตาว่า Gnosis Pay จะเผยแพร่รายงานตรวจสอบภายหลังเหตุการณ์หรือไม่

เทียบเคียงกับอดีต: รับปากชดใช้ ≠ ชดใช้แล้วจริง

การนำเหตุการณ์นี้มาเทียบกับสองกรณีเก่าจะช่วยให้เห็นภาพชัดขึ้น

ในเดือนมีนาคม 2023 USDC หลุด peg ชั่วคราวมาอยู่ที่ราว 0.87 เนื่องจากความเสี่ยงของ Silicon Valley Bank ตอนนั้น Circle รีบรับปากว่าจะ “แลกคืนเต็มจำนวน” และทำตามสัญญาได้จริงหลังวิกฤตธนาคารคลี่คลาย — นั่นคือคำมั่นสัญญาที่มีทุนสำรองโปร่งใสและกลไกชัดเจน ในขณะที่คำมั่นสัญญาของ Gnosis ครั้งนี้ขาดการเปิดเผยจำนวนเงินและกลไก นี่คือความแตกต่างสำคัญที่สุด: เมื่อบริษัทหนึ่งบอกว่า “เราจะครอบคลุมความเสียหายทั้งหมด” แต่ไม่บอกว่าครอบคลุมเท่าไร ใช้เงินทุนจากไหน และจะถึงมือผู้ใช้เมื่อใด ความน่าเชื่อถือของคำมั่นสัญญานั้นต้องรอการปฏิบัติจริงมาพิสูจน์เท่านั้น

อีกกรณีเปรียบเทียบหนึ่งคือกรณี “การชดใช้จากคลังกลางในการกำกับดูแล (governance)” ของโปรโตคอล DeFi หลายแห่งที่ถูกโจมตีในปี 2024 — ซึ่งสัดส่วนไม่น้อยจบลงด้วยการชดใช้เพียงบางส่วน หรือชดใช้เป็นโทเคนแทนที่จะเป็นสินทรัพย์ต้นทาง จุดร่วม: ทั้งคู่เป็นผลิตภัณฑ์บนเชนและมีคำมั่นสัญญาชดใช้ต่อสาธารณะ จุดต่าง: Gnosis Pay ผูกโยงโดยตรงกับการชำระเงินในโลกจริง (เครือข่าย Visa) และมีผู้ใช้จำนวนมากที่ใช้บัตรนี้เป็นบัตรใช้จ่ายประจำวันซึ่งไม่ใช่ผู้ใช้ DeFi โดยกำเนิด คนกลุ่มนี้มีความอดทนต่อ “ความเสี่ยงบนเชน” ต่ำกว่าผู้เล่น DeFi มาก

มุมมองด้านกำกับดูแลและ compliance: ขอบเขต EU กำลังเข้มงวดขึ้น

Gnosis Pay มุ่งเป้าไปที่ตลาดยุโรปเป็นหลัก ดำเนินงานภายใต้กรอบการกำกับดูแล MiCAR และ EMI (สถาบันเงินอิเล็กทรอนิกส์) เหตุการณ์ประเภทนี้เกิดขึ้นในจุดที่อ่อนไหวที่สุดต่อการกำกับดูแลพอดี: การผสมผสานระหว่างเงินทุนแบบ self-custody กับเครือข่ายการชำระเงินที่ถูกกำกับดูแล ในปัจจุบันยังอยู่ในเขตเทาที่กฎเกณฑ์ยังไม่ชัดเจนในสหภาพยุโรป ตัวบัตรเอง (Visa) ถูกผูกมัดด้วยใบอนุญาต EMI แต่ความรับผิดชอบด้านความปลอดภัยของบัญชีบนเชนที่อยู่เบื้องหลัง ภายใต้กรอบปัจจุบันยังไม่ชัดเจน

ผู้อ่านที่ต้องการทำความเข้าใจขอบเขต compliance ฝั่งสหภาพยุโรป สามารถอ่านเพิ่มเติมได้ที่ คู่มือ compliance สหภาพยุโรป ของเรา กล่าวโดยสรุป: ภายใต้ MiCAR ผู้ออกบัตรมีหน้าที่ชัดเจนในขั้นตอนการชำระเงิน แต่สถานการณ์แบบ “เงินทุนบนเชนที่ผู้ใช้ถือครองเองถูกโจมตี” นั้น ความรับผิดชอบในการชดใช้ปัจจุบันยังขึ้นอยู่กับคำมั่นสัญญาโดยสมัครใจของผู้ออกบัตรเป็นหลัก มากกว่าที่จะเป็นข้อบังคับทางกฎหมาย — นี่จึงเป็นเหตุผลว่าทำไม “คำมั่นสัญญา” ของ Gnosis จึงสำคัญมาก และจำเป็นต้องถูกจับตามองอย่างใกล้ชิด

จุดสำคัญที่ควรจับตาต่อจากนี้

คำแนะนำจากบรรณาธิการ

สรุปเป็นประโยคเดียว: บัตรบนเชนเขียน “ความปลอดภัย” ไว้เป็นจุดขาย แต่ความปลอดภัยเป็นกระบวนการที่ต้องพิสูจน์อย่างต่อเนื่อง ไม่ใช่แค่คำโฆษณา การรับปากจะชดใช้เป็นเรื่องดี แต่การชดใช้จริงต่างหากคือคำตอบ