ผู้ร่วมก่อตั้ง Gnosis ยืนยันว่า Gnosis Pay ถูก exploit และประกาศต่อสาธารณะว่าจะครอบคลุมความเสียหายทั้งหมดของผู้ใช้ (100%) ตามรายงานของ CriptoNoticias ณ เวลาที่เผยแพร่ข่าวนี้ ทาง Gnosis ยังไม่เปิดเผยทั้งจำนวนเงินที่ถูกขโมยและกลไกรวมถึงตารางเวลาการชดใช้ Gnosis Pay เป็นบัตรเดบิต Visa แบบ self-custody ที่ทำงานบน Gnosis Chain โดยมีจุดขายหลักคือ “ยอดเงินในบัตรถูกถือครองโดยผู้ใช้เองในกระเป๋าเงินบนเชน” — และการออกแบบนี้เองที่เป็นหัวใจของเหตุการณ์ครั้งนี้
มุมมองบรรณาธิการ: ความเสี่ยงระดับ “สมาร์ตคอนแทรกต์” ของบัตรบนเชนถูกเปิดโปง
ขอสรุปก่อนเลยว่า สิ่งที่ได้รับความเสียหายในครั้งนี้ไม่ใช่บัตรแบบ custodial ที่รวมศูนย์ แต่เป็นผลิตภัณฑ์ที่สร้าง “จุดขายด้านความปลอดภัย” บนสมาร์ตคอนแทรกต์และบัญชีบนเชน เหตุการณ์นี้ให้บทเรียนกับผู้ใช้บัตร USDT ได้มากกว่าแค่ “มีบัตรอีกใบถูกแฮ็ก”
เรื่องเล่าหลักของ Gnosis Pay คือ “เงินของคุณอยู่ในกระเป๋า Safe ของคุณเอง ผู้ออกบัตรแตะต้องไม่ได้” ในทางทฤษฎีสิ่งนี้ปลอดภัยกว่าแบบ custodial แต่ต้องแลกมาด้วย — พื้นที่การโจมตีย้ายจาก “เซิร์ฟเวอร์ของผู้ออกบัตร” ไปเป็น “สมาร์ตคอนแทรกต์ + สิทธิ์อนุญาต (authorization) ในกระเป๋าเงินของคุณ” เมื่อคอนแทรกต์หรือตรรกะการอนุญาตเกิด exploit ข้อได้เปรียบของ self-custody ก็จะพลิกกลับเป็นข้อเสียในทันที
ผู้ใช้กลุ่มไหนที่ควรให้ความสนใจทันที?
- ผู้ใช้ที่ถือบัตรแบบ self-custody / ลงนามบนเชนใดๆ ก็ตาม: รวมถึงผลิตภัณฑ์อย่าง OneKey Card, Ledger Crypto Life ที่ใช้ฮาร์ดแวร์วอลเล็ตหรือบัญชีบนเชนเป็นแหล่งเงินทุน แม้เหตุการณ์นี้จะไม่ได้กระทบโดยตรง แต่ความเสี่ยงในสถาปัตยกรรมแบบเดียวกันนี้ควรค่าแก่การตรวจสอบบันทึกการอนุมัติ (approval) สัญญาของคุณอีกครั้ง
- ผู้ใช้บัตร USDT แบบ custodial: เช่น Bybit Card, MPCard ซึ่งเงินทุนถูกถือครองโดยผู้ออกบัตร/เอ็กซ์เชนจ์ เหตุการณ์ครั้งนี้ไม่ส่งผลกระทบทางเทคนิคโดยตรง — คุณไม่ได้ถือสิทธิ์อนุญาตใดๆ ที่เกี่ยวข้องกับ Gnosis
สิ่งที่ควรจับตาใน 7 / 30 / 90 วัน: ภายใน 7 วันจับตาว่า Gnosis จะเปิดเผยจำนวนเงินที่ถูกขโมยและรายละเอียดการชดใช้หรือไม่; ภายใน 30 วันเป็นช่วงเวลาสำคัญที่จะเห็นการชดใช้จริง (ระยะห่างระหว่าง “รับปากจะชดใช้” กับ “ชดใช้แล้ว” มักถูกประเมินต่ำกว่าความเป็นจริงในอดีต); ภายใน 90 วันจับตาว่า Gnosis Pay จะเผยแพร่รายงานตรวจสอบภายหลังเหตุการณ์หรือไม่
เทียบเคียงกับอดีต: รับปากชดใช้ ≠ ชดใช้แล้วจริง
การนำเหตุการณ์นี้มาเทียบกับสองกรณีเก่าจะช่วยให้เห็นภาพชัดขึ้น
ในเดือนมีนาคม 2023 USDC หลุด peg ชั่วคราวมาอยู่ที่ราว 0.87 เนื่องจากความเสี่ยงของ Silicon Valley Bank ตอนนั้น Circle รีบรับปากว่าจะ “แลกคืนเต็มจำนวน” และทำตามสัญญาได้จริงหลังวิกฤตธนาคารคลี่คลาย — นั่นคือคำมั่นสัญญาที่มีทุนสำรองโปร่งใสและกลไกชัดเจน ในขณะที่คำมั่นสัญญาของ Gnosis ครั้งนี้ขาดการเปิดเผยจำนวนเงินและกลไก นี่คือความแตกต่างสำคัญที่สุด: เมื่อบริษัทหนึ่งบอกว่า “เราจะครอบคลุมความเสียหายทั้งหมด” แต่ไม่บอกว่าครอบคลุมเท่าไร ใช้เงินทุนจากไหน และจะถึงมือผู้ใช้เมื่อใด ความน่าเชื่อถือของคำมั่นสัญญานั้นต้องรอการปฏิบัติจริงมาพิสูจน์เท่านั้น
อีกกรณีเปรียบเทียบหนึ่งคือกรณี “การชดใช้จากคลังกลางในการกำกับดูแล (governance)” ของโปรโตคอล DeFi หลายแห่งที่ถูกโจมตีในปี 2024 — ซึ่งสัดส่วนไม่น้อยจบลงด้วยการชดใช้เพียงบางส่วน หรือชดใช้เป็นโทเคนแทนที่จะเป็นสินทรัพย์ต้นทาง จุดร่วม: ทั้งคู่เป็นผลิตภัณฑ์บนเชนและมีคำมั่นสัญญาชดใช้ต่อสาธารณะ จุดต่าง: Gnosis Pay ผูกโยงโดยตรงกับการชำระเงินในโลกจริง (เครือข่าย Visa) และมีผู้ใช้จำนวนมากที่ใช้บัตรนี้เป็นบัตรใช้จ่ายประจำวันซึ่งไม่ใช่ผู้ใช้ DeFi โดยกำเนิด คนกลุ่มนี้มีความอดทนต่อ “ความเสี่ยงบนเชน” ต่ำกว่าผู้เล่น DeFi มาก
มุมมองด้านกำกับดูแลและ compliance: ขอบเขต EU กำลังเข้มงวดขึ้น
Gnosis Pay มุ่งเป้าไปที่ตลาดยุโรปเป็นหลัก ดำเนินงานภายใต้กรอบการกำกับดูแล MiCAR และ EMI (สถาบันเงินอิเล็กทรอนิกส์) เหตุการณ์ประเภทนี้เกิดขึ้นในจุดที่อ่อนไหวที่สุดต่อการกำกับดูแลพอดี: การผสมผสานระหว่างเงินทุนแบบ self-custody กับเครือข่ายการชำระเงินที่ถูกกำกับดูแล ในปัจจุบันยังอยู่ในเขตเทาที่กฎเกณฑ์ยังไม่ชัดเจนในสหภาพยุโรป ตัวบัตรเอง (Visa) ถูกผูกมัดด้วยใบอนุญาต EMI แต่ความรับผิดชอบด้านความปลอดภัยของบัญชีบนเชนที่อยู่เบื้องหลัง ภายใต้กรอบปัจจุบันยังไม่ชัดเจน
ผู้อ่านที่ต้องการทำความเข้าใจขอบเขต compliance ฝั่งสหภาพยุโรป สามารถอ่านเพิ่มเติมได้ที่ คู่มือ compliance สหภาพยุโรป ของเรา กล่าวโดยสรุป: ภายใต้ MiCAR ผู้ออกบัตรมีหน้าที่ชัดเจนในขั้นตอนการชำระเงิน แต่สถานการณ์แบบ “เงินทุนบนเชนที่ผู้ใช้ถือครองเองถูกโจมตี” นั้น ความรับผิดชอบในการชดใช้ปัจจุบันยังขึ้นอยู่กับคำมั่นสัญญาโดยสมัครใจของผู้ออกบัตรเป็นหลัก มากกว่าที่จะเป็นข้อบังคับทางกฎหมาย — นี่จึงเป็นเหตุผลว่าทำไม “คำมั่นสัญญา” ของ Gnosis จึงสำคัญมาก และจำเป็นต้องถูกจับตามองอย่างใกล้ชิด
จุดสำคัญที่ควรจับตาต่อจากนี้
- การเปิดเผยจำนวนเงินที่ถูกขโมย: Gnosis จะให้ตัวเลขที่ชัดเจนภายในหนึ่งสัปดาห์หรือไม่ ยิ่งไม่เปิดเผยนานเท่าไรยิ่งน่ากังวลมากเท่านั้น
- กลไกการชดใช้: จะชดใช้ด้วยสินทรัพย์ต้นทางหรือโทเคน GNO? ทยอยจ่ายหรือจ่ายครั้งเดียว? สิ่งนี้จะกำหนดว่าผู้ใช้จะได้รับเงินคืนจริงเท่าไร
- การตรวจสอบภายหลังเหตุการณ์: จะมีการว่าจ้างบริษัทความปลอดภัยบุคคลที่สามให้ออกรายงาน และเปิดเผย root cause ต่อสาธารณะหรือไม่
- ปฏิกิริยาจากหน่วยงานกำกับดูแลสหภาพยุโรป: จะมีหน่วยงานกำกับดูแล EMI ออกหนังสือหรือสอบถามเกี่ยวกับเหตุการณ์นี้หรือไม่ — สิ่งนี้จะกลายเป็นทิศทางบ่งชี้สำหรับผลิตภัณฑ์ประเภทเดียวกัน
คำแนะนำจากบรรณาธิการ
- ผู้ใช้ Gnosis Pay ปัจจุบัน: ก่อนที่รายละเอียดการชดใช้จะถูกเปิดเผย แนะนำให้โอนยอดเงินในกระเป๋าบนเชนที่เกินความจำเป็นสำหรับการใช้จ่ายในระยะใกล้ออกมา และตรวจสอบพร้อมยกเลิกสิทธิ์การอนุมัติ (approval) สัญญาที่ไม่จำเป็นใดๆ อย่าคงยอดเงินไว้สูงเพียงเพราะ “มีคำมั่นสัญญาว่าจะชดใช้เต็มจำนวน”
- ผู้ที่ถือบัตรประเภทบนเชน เช่น OneKey Card, Ledger Crypto Life: เหตุการณ์นี้ไม่ได้กระทบคุณโดยตรง แต่นี่เป็นโอกาสที่ดีในการทบทวนการอนุมัติสัญญาของคุณอีกครั้ง
- ผู้ใช้บัตร USDT แบบ custodial: ไม่จำเป็นต้องดำเนินการใดๆ หากคุณกำลังลังเลระหว่างแนวทาง self-custody กับ custodial ในเรื่องความปลอดภัย สามารถเปรียบเทียบข้อดีข้อเสียของสถาปัตยกรรมที่แตกต่างกันได้ใน 5 บัตรยอดนิยมประจำปี 2026
- ผู้ที่วางแผนจะสมัคร Gnosis Pay ใหม่: แนะนำให้ชะลอออกไป 30 วัน รอให้การชดใช้เกิดขึ้นจริงและรายงานการตรวจสอบออกมาก่อน จึงค่อยตัดสินใจว่าจะเข้าร่วมหรือไม่
สรุปเป็นประโยคเดียว: บัตรบนเชนเขียน “ความปลอดภัย” ไว้เป็นจุดขาย แต่ความปลอดภัยเป็นกระบวนการที่ต้องพิสูจน์อย่างต่อเนื่อง ไม่ใช่แค่คำโฆษณา การรับปากจะชดใช้เป็นเรื่องดี แต่การชดใช้จริงต่างหากคือคำตอบ