ข้อกำหนด Smart Contract Audit ของ กลต.: สิ่งที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องรู้
สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) วางกรอบกำกับดูแลธุรกิจสินทรัพย์ดิจิทัลไว้เข้มงวดเป็นอันดับต้นๆ ของเอเชียตะวันออกเฉียงใต้ โดย Smart Contract Audit ถือเป็นหัวใจสำคัญของกรอบนี้
ไม่ว่าคุณจะทำธุรกิจ exchange, broker, ICO portal หรือ tokenized asset platform ในไทย — หรือกำลังวางแผนจะเปิดตัว — บทความนี้รวบรวมทุกเรื่องที่ต้องรู้เกี่ยวกับข้อกำหนดด้าน Smart Contract Security ของ ก.ล.ต. พร้อมอธิบายว่า Smart Contract Audit และ Secure Code Review เข้ามามีบทบาทอย่างไรในกระบวนการ Compliance
กรอบกฎระเบียบที่เกี่ยวข้อง
พ.ร.ก. การประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561
กฎหมายแม่บทที่ใช้กำกับดูแลธุรกิจสินทรัพย์ดิจิทัลในไทย กำหนดเรื่องหลักๆ ไว้ดังนี้:
- ข้อกำหนดใบอนุญาต สำหรับศูนย์ซื้อขาย นายหน้า และ dealer สินทรัพย์ดิจิทัล
- อำนาจกำกับดูแลของ ก.ล.ต. เหนือ ICO portal และการเสนอขาย token
- ข้อกำหนดด้านความปลอดภัย สำหรับแพลตฟอร์มที่จัดการสินทรัพย์ดิจิทัล
- มาตรการคุ้มครองผู้ลงทุน รวมถึงกฎเกณฑ์ด้าน custody และการแยกทรัพย์สิน
ประกาศ ก.ล.ต. ว่าด้วยแนวปฏิบัติด้านระบบ IT (ประกาศที่ 6/2567)
ประกาศฉบับนี้ระบุข้อกำหนดด้าน cybersecurity ที่บังคับใช้กับทุกหน่วยงานภายใต้กำกับของ ก.ล.ต. รวมถึงธุรกิจสินทรัพย์ดิจิทัลด้วย:
- การประเมินช่องโหว่ (Vulnerability Assessment) ตามขอบเขตและความถี่ที่กำหนด
- การทดสอบเจาะระบบ (Penetration Testing) ประจำปี โดยผู้เชี่ยวชาญอิสระภายนอก
- ข้อกำหนด Secure Software Development Life Cycle (SSDLC)
- Cyber Resilience Assessment Framework (CRAF) สำหรับผู้ประกอบธุรกิจหลักทรัพย์
ข้อบังคับ Smart Contract Audit
กฎระเบียบของ ก.ล.ต. กำหนดให้ Smart Contract Audit เป็นข้อบังคับที่ต้องทำก่อนเสนอขายสินทรัพย์ดิจิทัลต่อสาธารณะ พูดง่ายๆ คือ:
- ICO token ต้องผ่าน Smart Contract Audit ก่อนเริ่มเสนอขาย
- ศูนย์ซื้อขายสินทรัพย์ดิจิทัลต้อง audit contract ที่จัดการเงินทุนของผู้ใช้
- Security Token Offering (STO) ต้อง audit contract เป็นส่วนหนึ่งของกระบวนการขอใบอนุญาต
- การ tokenize อสังหาริมทรัพย์ต้องตรวจสอบความปลอดภัยของ Smart Contract ด้วย
ใครต้องปฏิบัติตาม
| ประเภทองค์กร | ต้อง Audit Smart Contract? | ข้อกำหนดเพิ่มเติม |
|---|---|---|
| ศูนย์ซื้อขายสินทรัพย์ดิจิทัล | ต้องทำ, ทุก contract ที่จัดการเงินทุนผู้ใช้ | Pentest ประจำปี, VA, SSDLC |
| นายหน้าสินทรัพย์ดิจิทัล | ต้องทำ, หากใช้ Smart Contract | Pentest ประจำปี, VA |
| ICO Portal | ต้องทำ, ก่อนเสนอขาย | รายงานความปลอดภัยก่อนเสนอขาย |
| ผู้ออก Token | ต้องทำ, ก่อนเสนอขาย | รายงาน Audit ยื่นต่อ ก.ล.ต. |
| บริษัทหลักทรัพย์ | เฉพาะกรณี deploy Smart Contract | CRAF, Pentest ประจำปี |
| บริษัทจัดการสินทรัพย์ | เฉพาะกรณี tokenize สินทรัพย์ | ขึ้นอยู่กับรูปแบบการใช้งาน |
Smart Contract Audit ครอบคลุมอะไรบ้าง
Smart Contract Audit ที่จะใช้ยื่น compliance กับ ก.ล.ต. ได้ ต้องครอบคลุมหัวข้อต่อไปนี้:
1. Code-Level Security Review
Manual review โดย security researcher:
- อ่านโค้ดทีละบรรทัด
- ระบุรูปแบบช่องโหว่ที่รู้จัก (SWC Registry)
- วิเคราะห์ logic flow ว่า contract ทำงานตามที่ออกแบบไว้จริงหรือไม่ ในทุกสถานการณ์
- ตรวจ access control ว่า admin function ถูกจำกัดสิทธิ์ถูกต้องหรือไม่
Automated analysis:
- Static analysis tools (Slither, Mythril, Securify)
- Symbolic execution เพื่อสำรวจ execution path ทั้งหมดที่เป็นไปได้
- Formal verification สำหรับ logic ทางการเงินที่สำคัญ
2. ช่องโหว่ที่ต้องตรวจสอบ
ผู้ตรวจจะโฟกัสช่องโหว่เหล่านี้เป็นพิเศษ:
| ช่องโหว่ | ระดับความเสี่ยง | ตัวอย่าง |
|---|---|---|
| Reentrancy | Critical, อาจทำให้เงินทุนถูกดูดออก | เหตุการณ์ The DAO hack (สูญเสีย $60M) |
| Integer Overflow/Underflow | High, ข้อผิดพลาดทางคณิตศาสตร์ | การปลอมแปลงยอดคงเหลือ token |
| Access Control Flaws | Critical, การกระทำที่ไม่ได้รับอนุญาต | ขาด onlyOwner modifier ใน admin function |
| Front-running | Medium, การสับเปลี่ยนลำดับ transaction | MEV attacks บน DEX |
| Oracle Manipulation | Critical, โจมตี price feed | Flash loan attacks บน DeFi protocol |
| Unchecked Return Values | Medium, failure แบบเงียบ | Token transfer ที่ fail โดยไม่ revert |
| Denial of Service | High, contract อาจถูกทำให้หยุดทำงาน | Gas limit attacks, unexpected reverts ใน loops |
| Logic Errors | Critical, ข้อผิดพลาดใน business logic | คำนวณ reward ผิด, แจกจ่าย fee ไม่ถูกต้อง |
| Timestamp Dependence | Low ถึง Medium, miner ปลอมแปลงได้ | กลไก unlock ที่อิงเวลา |
| Upgrade Vulnerabilities | Critical, ความเสี่ยงจาก proxy pattern | Storage collision ใน upgradeable contract |
3. Economic and Game Theory Analysis
สำหรับ DeFi protocol และ tokenomics:
- Tokenomics review: โมเดลเศรษฐกิจทำงานตามที่ออกแบบไว้จริงหรือไม่ มีช่องโหว่ที่ถูก exploit ได้ไหม
- Flash loan attack vectors: protocol ถูก manipulate ผ่าน flash loan ได้หรือไม่
- Liquidity pool risks: ความเสี่ยง impermanent loss และ rug-pull
- Governance attacks: กลไก voting ถูก manipulate ได้หรือไม่
4. Deployment and Configuration Review
- Constructor parameters: ตั้งค่า initialization ถูกต้องหรือไม่
- Proxy patterns: กลไก upgrade ปลอดภัยไหม ใครเป็นคนควบคุม
- External dependencies: library และ oracle ที่ใช้น่าเชื่อถือหรือเปล่า
- Network-specific considerations: Gas optimization และพฤติกรรมเฉพาะของแต่ละ chain
5. Testing and Verification
- Test coverage analysis: critical path ทั้งหมดมี test ครอบคลุมครบไหม
- Invariant testing: คุณสมบัติพื้นฐานยังคงเป็นจริงในทุกเงื่อนไขไหม
- Fuzzing: ยิง random input อัตโนมัติเพื่อหา edge case
- Mainnet fork testing: ทดสอบกับ state จริงบน mainnet เพื่อจับปัญหา integration
ขั้นตอนการ Audit เพื่อ Compliance ตาม ก.ล.ต.
ขั้นตอนที่ 1: เตรียมความพร้อมก่อน Audit
ก่อนเริ่มจ้าง auditor ควรเตรียมสิ่งเหล่านี้ให้พร้อม:
- Source code ที่สมบูรณ์: ทุก contract รวมถึง dependencies และ test suite
- เอกสารทางเทคนิค: architecture diagram, design decision, พฤติกรรมที่ต้องการ
- แผนการ deploy: blockchain เป้าหมาย, constructor parameters, กลยุทธ์ upgrade
- ปัญหาที่รู้แล้ว: จุดที่ทีมพัฒนายังไม่มั่นใจหรือเป็นกังวล
ขั้นตอนที่ 2: ดำเนินการ Audit (2-6 สัปดาห์)
ขั้นตอนที่ทีม audit ทำ:
- ศึกษาเอกสาร และทำความเข้าใจพฤติกรรมที่ contract ควรทำงาน
- สแกนอัตโนมัติ ด้วย static analysis tools หลายตัว
- Manual code review โดย senior security researcher
- ทดสอบช่องโหว่ พยายาม exploit ปัญหาที่พบ
- ส่งมอบผลเบื้องต้น พร้อมระดับความรุนแรง
ขั้นตอนที่ 3: แก้ไขช่องโหว่ (Remediation)
เมื่อได้ผล audit แล้ว:
- Critical และ High: ต้องแก้ไขก่อน deploy
- Medium: ควรแก้ไข, ก.ล.ต. อาจต้องการคำชี้แจงหากยอมรับความเสี่ยง
- Low และ Informational: แนะนำให้แก้ไข, ควรบันทึกเหตุผลหากยอมรับ
ขั้นตอนที่ 4: ตรวจสอบซ้ำและรายงานฉบับสุดท้าย
เมื่อแก้ไขเสร็จ:
- Re-audit ทุกการเปลี่ยนแปลง เพื่อยืนยันว่าแก้ไขถูกต้องและไม่มี regression
- รายงาน audit ฉบับสุดท้าย ที่ประกอบด้วย:
- รายการช่องโหว่ทั้งหมด (ก่อนและหลังแก้ไข)
- Code hash verification
- ความเห็นของ auditor ต่อสถานะความปลอดภัยโดยรวม
- คำแนะนำสำหรับการ monitor ต่อเนื่อง
ขั้นตอนที่ 5: ยื่นเอกสารต่อ ก.ล.ต.
รายงาน audit ฉบับสุดท้ายต้องยื่นต่อ ก.ล.ต. เป็นส่วนหนึ่งของ:
- ชุดเอกสารคำขออนุญาต ICO/STO
- เอกสารใบอนุญาตศูนย์ซื้อขาย
- รายงาน compliance ต่อเนื่อง
ข้อควรพิจารณาสำหรับ Multi-Chain
ธุรกิจสินทรัพย์ดิจิทัลในไทยไม่ได้อยู่บน blockchain เดียว ต้องพิจารณาเรื่องเฉพาะของแต่ละ chain ด้วย:
Ethereum และ EVM-Compatible Chains
โปรเจกต์ DeFi ไทยส่วนใหญ่ deploy บน Ethereum หรือ EVM-compatible chain (BSC, Polygon) โดยต้องระวัง:
- รูปแบบช่องโหว่เฉพาะของ Solidity
- Gas optimization และความเสี่ยง DoS
- ความปลอดภัยของ cross-chain bridge (หากใช้งาน)
Bitkub Chain
Blockchain ในประเทศที่มี ecosystem ใหญ่ที่สุดของไทย มีจุดที่ต้องดูเพิ่มเติม:
- EVM-compatible แต่มี parameter เฉพาะของ chain
- validator set และ consensus mechanism ต่างจาก Ethereum
- ต้องดูเรื่อง integration กับ ecosystem ในประเทศ (Bitkub DEX, KUB token)
การ Deploy บนหลาย Chain
ถ้า deploy contract เดียวกันข้ามหลาย chain ต้องรู้ว่า:
- gas cost และพฤติกรรมการ execute อาจต่างกันในแต่ละ chain
- Bridge contract เพิ่ม attack surface อีกชั้น
- oracle แต่ละ chain มีความเสถียรและความน่าเชื่อถือไม่เท่ากัน
- ควร audit แต่ละ chain deployment แยกกัน
การเลือกผู้ตรวจสอบ Smart Contract
สิ่งที่ ก.ล.ต. คาดหวัง
ก.ล.ต. กำหนดว่า การประเมินความปลอดภัยต้องทำโดยผู้เชี่ยวชาญอิสระจากภายนอกที่มีคุณสมบัติเหมาะสม แม้จะยังไม่มีรายชื่อ auditor ที่ ก.ล.ต. รับรองสำหรับ Smart Contract โดยเฉพาะ แต่ผู้ตรวจสอบควรพิสูจน์ได้ว่า:
- ผลงานที่ดูได้: มีรายงาน audit ที่เผยแพร่สาธารณะสำหรับโปรเจกต์ระดับใกล้เคียงกัน
- ความเชี่ยวชาญตรงจุด: ทีมมีคนที่เก่ง Smart Contract Security จริงๆ ไม่ใช่แค่ทำ cybersecurity ทั่วไป
- ความเป็นอิสระ: ไม่มีผลประโยชน์ทางการเงินในโปรเจกต์ที่ตรวจ
- Methodology ชัดเจน: มีแนวทางตรวจสอบที่เป็นระบบ ไม่ใช่ตรวจแบบ ad-hoc
สิ่งที่ควรมองหา
-
รายงาน audit ที่เผยแพร่แล้ว auditor ที่ดีจะเปิดเผยรายงานให้ดูได้ ลองอ่านผลงานเก่าเพื่อประเมินคุณภาพและความละเอียด
-
เชี่ยวชาญ blockchain โดยเฉพาะ Solidity security เป็นทักษะเฉพาะทาง pentester ทั่วไปอาจพลาดช่องโหว่ที่เกิดเฉพาะใน Smart Contract
-
วิเคราะห์ด้านเศรษฐกิจได้ สำหรับ DeFi protocol ความเข้าใจ tokenomics กับ game theory สำคัญไม่แพ้ security ระดับโค้ด
-
ดูแลหลัง audit มีบริการ monitoring ต่อเนื่อง ช่วยเรื่อง incident response และ re-audit เมื่อ upgrade contract
-
เข้าใจกฎระเบียบไทย คุ้นเคยกับข้อกำหนดของ ก.ล.ต. และรู้ว่ารายงานต้องจัดทำในรูปแบบไหน Reconix มีประสบการณ์ทำ Smart Contract Audit ให้โปรเจกต์ที่อยู่ภายใต้กำกับของ ก.ล.ต. โดยตรง
ค่าใช้จ่ายโดยประมาณ
| ขอบเขต Audit | ราคาโดยประมาณ (บาท) | ระยะเวลา |
|---|---|---|
| Contract เดี่ยว (< 500 SLOC) | ฿200,000 - ฿400,000 | 1-2 สัปดาห์ |
| Protocol ขนาดเล็ก (2-5 contracts) | ฿400,000 - ฿800,000 | 2-3 สัปดาห์ |
| Protocol ขนาดกลาง (5-15 contracts, DeFi) | ฿800,000 - ฿1,500,000 | 3-5 สัปดาห์ |
| Protocol ขนาดใหญ่ (15+ contracts, complex DeFi) | ฿1,500,000 - ฿3,000,000+ | 5-8 สัปดาห์ |
| Full platform (exchange + contracts + API) | ฿2,000,000 - ฿5,000,000+ | 6-12 สัปดาห์ |
หมายเหตุ: ราคาข้างต้นเป็นตัวเลขประมาณการเบื้องต้น ขึ้นอยู่กับขอบเขตงานจริง ความซับซ้อนของ contract และข้อกำหนดเฉพาะ ทั้งนี้ราคาเป็นเฉพาะส่วน Smart Contract Audit เท่านั้น ถ้าต้องการ comply กับ ก.ล.ต. แบบครบวงจร ยังต้องทำ platform penetration testing, vulnerability assessment และ SSDLC compliance เพิ่มเติม ติดต่อเรา เพื่อขอใบเสนอราคาตามขอบเขตงานจริง
สรุปประเด็นสำคัญ
-
Smart Contract Audit เป็นข้อบังคับ สำหรับธุรกิจสินทรัพย์ดิจิทัลภายใต้ ก.ล.ต. ไม่ใช่ทางเลือก ไม่ใช่ "ทำก็ดี ไม่ทำก็ได้"
-
ต้อง audit ก่อนเสนอขาย ICO, STO หรือการเปิดตัว token ใดๆ ไม่สามารถดำเนินการได้ถ้าไม่มีรายงาน audit ฉบับสมบูรณ์ยื่นต่อ ก.ล.ต.
-
Audit ไม่ได้ดูแค่ bug ในโค้ด ยังครอบคลุม economic analysis, access control, กลไก upgrade และ oracle dependency ด้วย
-
ช่องโหว่ร้ายแรงต้องแก้ ปัญหาระดับ Critical และ High ต้องแก้ไขและยืนยันความถูกต้องก่อน deploy ไม่มีข้อยกเว้น
-
เลือก auditor ที่เชี่ยวชาญ blockchain จริงๆ บริษัท cybersecurity ทั่วไปอาจไม่มีความรู้เฉพาะทางที่ต้องใช้สำหรับ Smart Contract Security
-
ตั้งงบสำหรับ audit ต่อเนื่องด้วย ทุกครั้งที่ upgrade contract, เพิ่มฟีเจอร์ใหม่ หรือเปลี่ยนแปลง protocol ต้องประเมินซ้ำ
ต้องการ Smart Contract Audit หรือประเมินความปลอดภัยแพลตฟอร์มสินทรัพย์ดิจิทัลตามเกณฑ์ ก.ล.ต.? ดูรายละเอียดได้ที่ หน้า SEC Compliance หรือ ติดต่อ Reconix เพื่อปรึกษาเกี่ยวกับโปรเจกต์ของคุณ
แหล่งอ้างอิงกฎระเบียบและมาตรฐาน
- ประกาศ ก.ล.ต. ว่าด้วยแนวปฏิบัติด้านระบบ IT ที่ 6/2567 (PDF)
- พ.ร.ก. การประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561
- ก.ล.ต. กฎระเบียบธุรกิจสินทรัพย์ดิจิทัล
- พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
- OWASP Web Security Testing Guide (WSTG)
บริการที่เกี่ยวข้องจาก Reconix
- Smart Contract Audit — ตรวจสอบความปลอดภัย Smart Contract ตามเกณฑ์ ก.ล.ต. ครอบคลุม Code Review, Economic Analysis และ Formal Verification
- Secure Code Review — ตรวจสอบโค้ดแพลตฟอร์มสินทรัพย์ดิจิทัล ครอบคลุมทั้ง Smart Contract และ Backend Application ตาม OWASP Top 10
![Featured image for [Writeup] Thailand Cyber Top Talent 2025: Bangkok Casino (Mobile 300 Pts) - Android Application Manual Static Analysis Solution](/blog-images/optimized/thctt2025-writeup-mobile-featured-opt-3840.WEBP)
![Featured image for [Review] eMAPT 2025 - Mobile Penetration Testing Certification That Updated Their Exam Format Right After I Purchased the Course](/blog-images/optimized/emapt-2025-review-en-header-opt-3840.WEBP)
