วิเคราะห์สถานะของบริการ Smart contract security auditในประเทศไทยในปี 2022
ตั้งแต่ปี 2020 เป็นต้นมาความนิยมของ Cryptocurrency ในประเทศไทยได้เพิ่มขึ้นเป็นอย่างมากโดยในปี 2020 Chainalysis ซึ่งเป็นผู้ให้บริการด้านข้อมูลเกี่ยวกับ Cryptocurrency transaction ได้จัดลำดับ 25 ประเทศที่ทำกำไรจากการซื้อขาย Bitcoin สูงที่สุด โดยประเทศไทยอยู่ในอันดับที่ 25 โดยมีกำไรจากการซื้อขายถึง 280 ล้านเหรียญสหรัฐ
โดยผลสำรวจเกี่ยวกับความสนใจในการลงทุนใน Bitcoin พบว่าคนไทยถึง 68% ให้ความสนใจ และ 42% จะลงทุนภายใน 1 ปี
ด้วยความนิยมนี้ทำให้ Cryptocurrency ต่างๆ และ บริการทางการเงินแบบ Decentralized Finance (DeFi) เป็นทางเลือกอันดับต้นๆ ของนักลงทุนที่ต้องการผลตอบแทนที่สูงโดยสามารถรับความเสี่ยงที่สูงได้ด้วยเช่นกัน
สำหรับการลงทุนผ่าน DeFi นั้นคือบริการทางการเงินที่ไม่ต้องพึ่งพาธนาคารในการเป็นศูนย์กลางในการระดมทุน นักลงทุนสามารถร่วมลงทุนในโครงการต่างๆ ได้โดยตรง โดยเจ้าของโครงการสามารถเปิดรับเงินลงทุนบน Platform ของตนเอง ซึ่ง Platform ของโครงการนั้นจะมีส่วนประกอบที่สำคัญคือ
- หนังสือชี้ชวน (Whitepaper) ซึ่งแสดงรายละเอียดต่างๆของโครงการซึ่งรวมถึงข้อมูลสำคัญเช่น แผนการลงทุน สัดส่วนรายได้ จำนวนเหรียญของโครงการ การ กระจายเหรียญ และ ผลตอบแทนที่นักลงทุนจะได้ เป็นต้น
- Smart Contract ซึ่งเป็น Code ที่เขียนอยู่บน blockchain ซึ่งทำหน้าที่ในการบริหารจัดการสินทรัพย์ที่นักลงทุนนำมาฝากเอาไว้ โดย Smart Contract นี้จะเป็นกลไกหลักในการควบคุมให้การบริหารจัดการนั้นเป็นไปตาม Whitepaper ที่ได้มีการกำหนดเอาไว้
ด้วยความสะดวกนี้ทำให้โครงการ DeFi เกิดขึ้น และเสนอผลตอบแทนให้กับนักลงทุนที่สูงมากเมื่อเทียบกับการลงทุนประเภทอื่นๆ ดังนั้นจึงเป็นเรื่องปกติที่จะได้เห็น Platform ที่มี Total Lock Value (TVL) หรือสินทรัพย์ที่ลงทุนอยู่อยู่ในหลักร้อยล้าน ถึง พันล้านบาทเกิดขึ้นมากมาย
แต่เมื่อมีสินทรัพท์อยู่จำนวนมากย่อมทำให้ Platform DeFi นั้นถูกเพ่งเล็งจาก Hacker หรือ ผู้ที่ไม่ประสงค์ดี โดย Smart Contract มีความเสี่ยงที่สำคัญอยู่ 2 ประการคือ
- ความเสี่ยงในตัว Code ของ Smart Contract เนื่องจาก Code ที่เขียนขึ้นมานั้นจะถูกเปิดเผยอยู่บน blockchain ทำให้ใครก็สามารถอ่าน code นั้นได้ และ หาก code ดังกล่าวมีความผิดพลาด (vulnerability) ไม่ว่าจะในระดับของ business logic หรือ ระดับ security ก็จะทำให้ผู้ที่ไม่ประสงค์ดีสามารถทำการส่งคำสั่งเข้ามาใน smart contract เพื่อโจมตี (exploit) ความผิดพลาดนั้นได้ ส่งผลให้เกิดความเสียหายทางด้านการเงิน โดยอาจจะถึงขั้นทำให้สูญเสียทรัพย์สินที่มีการลงทุนอยู่บน platform ได้
- ความเสี่ยงจากเจ้าของโครงการ (Project owner) เนื่องจาก project owner ในบางโครงการยังคงเก็บสิทธิสูงสุดในการบริหารจัดการ Smart Contract เอาไว้ ทำให้เจ้าของโครงการใช้สิทธ์ดังกล่าวทำการดึงทรัพย์สินที่เก็บไว้ออกไปเพื่อประโยชน์ของตนเอง หรือ ที่เรียกว่าเหตุการณ์ Rug Pull
ตัวอย่างเหตุการณ์ Rug Pull ของโครงการ DeFi ในไทย
ดังนั้นเพื่อลดความเสี่ยงที่จะสูญเสียทรัพย์สินที่ลงทุน นักลงทุนจะต้องทำการตรวจสอบโครงการที่จะลงทุนให้ดี โดยต้องพิจารณาทั้งในระดับของ whitepaper, Smart contract ว่ามีความปลอดภัย หรือไม่มีความเสี่ยงด้าน business logic หรือไม่ รวมถึงต้องตรวจสอบประวัติของเจ้าของโครงการถึงประวัติในการของโครงการอื่นๆที่ผ่านมาด้วย
แต่การตรวจสอบ Whitepaper และ Smart Contract นั้นมีความซับซ้อน และ ต้องใช้ความเข้าใจด้านทางด้านเทคนิคเป็นอย่างมากทำให้เกิดบริการ การตรวจสอบ smart contract เกิดขึ้นโดย ผู้ให้บริการตรวจสอบ Project Defi ในระดับโลกนั้นมีตัวอย่างเช่น Certik (https://www.certik.com/) เป็นต้น
ผู้ให้บริการตรวจสอบนั้นจะทำการตรวจสอบ Smart Contract ทั้งในส่วนของ Business Logic และ Security ว่ามีจุดอ่อน หรือ ช่องโหว่หรือไม่เพื่อให้เจ้าของโครงการได้ทำการแก้ไข รวมถึงออกรายงานผลการตรวจสอบเพื่อให้นักลงทุนสามารถ download ไปอ่านได้ ประกอบการตัดสินใจลงทุน
บริการประเภทนี้นั้นเริ่มต้นในต่างประเทศมาแล้วเป็นระยะหนึ่ง แต่ในประเทศไทยนั้นกำลังอยู่ในช่วงเริ่มต้น โดยมีบริษัทที่ให้บริการให้คำปรึกษาด้านความปลอดภัย และ ตรวจสอบ Smart Contract อยู่ไม่มาก โดยส่วนใหญ่เป็นการรวมตัวกันของผู้เชี่ยวชาญทางด้าน Cyber Security ของระบบที่เปลี่ยนมาศึกษา และ ให้ความสนใจในด้าน blockchain ซึ่งก็สามารถให้บริการตรวจสอบและให้คำแนะนำด้วยคุณภาพที่ไม่แตกต่างจากผู้ให้บริการในระดับโลก
ดังนั้นสถานการณ์ของบริการ Smart Contract security audit ในประเทศไทยจึงถือว่าเป็นช่วงเวลาที่น่าสนใจเป็นอย่างมาก เนื่องจากยังมีผู้ให้บริการจำนวนไม่มาก การแข่งขันยังไม่สูง แต่มีผู้ที่ต้องการให้ตรวจสอบโครงการอยู่จำนวนมากทั้งในไทย และ โครงการที่ต่างประเทศด้วย
แม้จะเป็นโอกาสที่ดีในการเติบโตของผู้ให้บริการ แต่ก็ยังมีอุปสรรคในการเติบโตอยู่นั้นคือจำนวนของผู้เชี่ยวชาญด้าน smart contract ที่ยังมีอยู่ไม่มากนัก โดยเฉพาะกลุ่มที่มีความเข้าใจทั้งด้านการพัฒนา และ ด้านของ security ด้วยนั้นยิ่งน้อยลงอีก ทำให้ยังคงต้องใช้เวลาอีกสักระยะหนึ่งก่อนที่บริษัทในไทยจะสามารถ scale ความสามารถในการให้บริการให้รองรับ demand ที่มีมากขึ้นได้อย่างเพียงพอ
แต่ด้วยลักษณะของการเปลี่ยนแปลงในวิธีการทำงาน ที่เป็น remote work มากขึ้นทำให้มีความเป็นไปได้ที่ บริษัทในไทยจะดึงเอาผู้เชี่ยวชาญที่อยู่ในประเทศเพื่อนบ้าน อย่างเช่น เวียดนามเข้ามาเพิ่มเติม เพื่อทำให้บริษัทมีความสามารถที่ scale up ได้เท่าทันกับความต้องการในตลาดต่อไป
โดยสรุปสถานการณ์ของบริการ Smart Contact security audit ในไทยในปี 2022 ยังอยู่ในช่วงขาขึ้น มีการเติบโตค่อนข้างสูง และมีบริษัทที่ให้บริการน้อยราย ดังนั้นหากใครสามารถเข้ามาในตลาดนี้ได้ในช่วงนี้ มีความเป็นไปได้สูงที่จะประสบความสำเร็จในการดำเนินงาน
