يدعو مؤسس Curve، مايكل إيغوروف، إلى وضع معايير أمان للتمويل اللامركزي (DeFi) على مستوى السلاسل بعد أن كشف استغلال Kelp rsETH كيف أن نقاط الاختناق "المركزية" لا تزال قادرة على تدمير الأنظمة التي يُفترض أنها لا مركزية.
دعا مؤسس Curve، مايكل إيغوروف، إلى وضع معايير أمان للتمويل اللامركزي (DeFi) على مستوى الصناعة بعد ما وصفه بموجة من الاستغلالات "التي يمكن تجنبها" والناجمة عن نقاط فشل فردية مركزية عبر مكدسات يُفترض أنها لا مركزية.
في سلسلة تغريدات مفصلة، جادل إيغوروف بأن "عددًا كبيرًا من الحوادث الأمنية التي يمكن تجنبها في التمويل اللامركزي (DeFi) تنبع من نقاط فشل فردية مركزية، والتي تضر بالصناعة بأكملها"، وحث الفرق على إزالة نقاط الاختناق هذه بدلاً من محاولة "تعويض" الخسائر بعد وقوعها.
تأتي تعليقاته في أعقاب استغلال KelpDAO rsETH، حيث قام مهاجم بسحب حوالي 116,500 rsETH — بقيمة تقدر بنحو 292 مليون دولار في ذلك الوقت — عن طريق تزوير رسالة عبر السلاسل، ثم دفع الرموز المسروقة إلى Aave كضمان، مما ضاعف الضرر من خلال قابلية التكوين في التمويل اللامركزي (DeFi).
وفقًا لـ LayerZero، التي وفرت طبقة المراسلة لـ KelpDAO، كان الاختراق ممكنًا لأن Kelp كانت تدير مدقق DVN واحدًا (1-of-1) بدون نسخة احتياطية، مما أوجد بالضبط نوع نقطة الفشل الفردية التي يقول إيغوروف إنه لا ينبغي أن توجد في البنية التحتية الحديثة للتمويل اللامركزي (DeFi).
بمجرد مرور الرسالة المزورة، استخدم المهاجم rsETH على Aave V3 لاقتراض كميات كبيرة من الإيثر المغلف، مما أدى إلى تدفقات خارجية تزيد عن 10 مليارات دولار من Aave مع تهافت المستخدمين على السحب، بينما قام البروتوكول بتجميد أسواق rsETH على V3 و V4 لاحتواء المخاطر.
يقدر متتبعو الصناعة الخسائر الأوسع المتعلقة بـ Kelp بحوالي 293 مليون دولار، مع تسعة بروتوكولات متصلة أوقفت أو قيدت نشاط rsETH، وقام مجلس أمان أربيتروم لاحقًا بمصادرة حوالي 30,766 إيثر مرتبطة بالمهاجم.
قال إيغوروف إن هذه الحادثة توضح كيف يمكن أن تصبح "الجسور، الأوراكل، محافظ التوقيعات المتعددة للحوكمة (multisigs)، ومفاتيح الإدارة" تبعيات مركزية مخفية، حتى عندما تظل عقود الإقراض الأساسية أو صانع السوق الآلي (AMM) لامركزية ومدققة رسميًا.
كما أشار إلى عمليات استغلال الجسور والسيولة السابقة، بما في ذلك الهجمات عبر السلاسل على بروتوكولات مثل CrossCurve — التي تعمل مع Curve Finance وتتميز بتصميم متعدد المدققين لتقليل نقاط الفشل الفردية — كأمثلة على كيف تشكل خيارات التصميم بشكل مباشر نطاق التأثير عندما يحدث خلل ما.
يريد إيغوروف من المشاريع والمدققين وفرق المخاطر مشاركة أفضل الممارسات الملموسة حول كل شيء من المدققين عبر السلاسل وحدود المعدل إلى سياسات التوقيعات المتعددة (multisig) ومفاتيح الإيقاف الفوري، ثم "وضع معايير أمان للتمويل اللامركزي (DeFi) بشكل مشترك" يمكن تطبيقها عبر السلاسل.
واقترح أن تساعد مؤسستي إيثيريوم وسولانا في تنظيم هذا العمل، مجادلًا بأن الإرشادات المدعومة من المؤسسات — بينما لا تعتبر تنظيمات رسمية — يمكن أن تكون بمثابة دليل قواعد مشترك وتجعل من الصعب على الفرق نشر هياكل بها نقاط اختناق مركزية واضحة.
كما لخص أحد المعلقين في تقرير صناعي، فإن الإخفاقات المتكررة مثل استغلال rsETH والضغط اللاحق على Aave تخاطر بترسيخ التصور بأنه "بدلاً من إزالة نقاط الفشل الفردية، تستمر الصناعة في إعادة بنائها"، مما يقوض اقتراح القيمة الأساسي للتمويل اللامركزي (DeFi) كبديل لسجلات التمويل التقليدي (TradFi) المعتمة والهشة.
