Curve-Gründer Michael Egorov drängt auf blockchainübergreifende DeFi-Sicherheitsstandards, nachdem der Kelp rsETH Exploit aufzeigte, wie „zentralisierte“ Engpässe vermeintlich dezentrale Systeme immer noch zerstören können.
Curve-Gründer Michael Egorov hat zu branchenweiten DeFi-Sicherheitsstandards aufgerufen, nachdem eine Welle „vermeidbarer“ Exploits, die er als solche beschreibt, durch zentralisierte Single Points of Failure in vermeintlich dezentralen Stacks verursacht wurden.
In einem detaillierten Thread argumentierte Egorov, dass „eine große Anzahl vermeidbarer Sicherheitsvorfälle im DeFi-Bereich auf zentralisierte Single Points of Failure zurückzuführen ist, die der gesamten Branche schaden“, und forderte die Teams auf, solche Engpässe von vornherein zu beseitigen, anstatt zu versuchen, Verluste im Nachhinein zu „beheben“.
Seine Kommentare folgen auf den KelpDAO rsETH Exploit, bei dem ein Angreifer rund 116.500 rsETH – zum damaligen Zeitpunkt etwa 292 Millionen US-Dollar wert – durch das Fälschen einer Cross-Chain-Nachricht entwendete und die gestohlenen Token dann als Sicherheit in Aave einbrachte, wodurch der Schaden durch die Kompatibilität von DeFi verstärkt wurde.
Laut LayerZero, das die Messaging-Schicht von KelpDAO bereitstellte, war die Sicherheitslücke möglich, weil Kelp einen einzelnen 1-von-1-DVN-Verifizierer ohne Backup betrieb, was genau die Art von Single Point of Failure darstellt, die Egorov zufolge in der modernen DeFi-Infrastruktur nicht existieren sollte.
Nachdem die gefälschte Nachricht durchgegangen war, nutzte der Angreifer rsETH auf Aave V3, um große Mengen an Wrapped Ether zu leihen, was Abflüsse von mehr als 10 Milliarden US-Dollar von Aave auslöste, da die Nutzer hastig Abhebungen vornahmen, während das Protokoll die rsETH-Märkte auf V3 und V4 einfrierte, um das Risiko einzudämmen.
Branchenbeobachter schätzen die umfassenderen Kelp-bezogenen Verluste auf rund 293 Millionen US-Dollar, wobei neun verbundene Protokolle die rsETH-Aktivität stoppten oder einschränkten und der Sicherheitsrat von Arbitrum später etwa 30.766 ETH, die mit dem Angreifer in Verbindung standen, beschlagnahmte.
Egorov sagte, die Episode zeige, wie „Bridges, Oracles, Governance-Multisigs und Admin-Schlüssel“ zu versteckten zentralisierten Abhängigkeiten werden können, selbst wenn Basis-Lending- oder AMM-Verträge formell dezentralisiert und auditiert bleiben.
Er verwies auch auf frühere Bridge- und Liquiditäts-Exploits, einschließlich Cross-Chain-Angriffe auf Protokolle wie CrossCurve – das mit Curve Finance zusammenarbeitet und ein Multi-Validator-Design zur Reduzierung von Single Points of Failure bewirbt – als Beispiele dafür, wie Designentscheidungen den Ausmaß des Schadens direkt beeinflussen, wenn etwas schiefgeht.
Egorov möchte, dass Projekte, Auditoren und Risikoteams konkrete Best Practices zu allem teilen, von Cross-Chain-Verifizierern und Ratenbegrenzungen bis hin zu Multisig-Richtlinien und Kill Switches, um dann „gemeinsam DeFi-Sicherheitsstandards zu etablieren“, die kettenübergreifend angewendet werden können.
Er schlug vor, dass die Ethereum Foundation und die Solana Foundation bei der Koordination dieser Arbeit helfen sollten, und argumentierte, dass von Stiftungen unterstützte Richtlinien – auch wenn sie keine formale Regulierung sind – als gemeinsames Regelwerk dienen und es Teams erschweren könnten, Architekturen mit offensichtlichen zentralisierten Engpässen zu implementieren.
Wie ein Kommentator in einem Branchenbericht zusammenfasste, bergen wiederholte Fehler wie der rsETH Exploit und der anschließende Aave-Stress das Risiko, die Wahrnehmung zu festigen, dass „anstatt Single Points of Failure zu eliminieren, die Branche sie immer wieder neu aufbaut“, was das zentrale Wertversprechen von DeFi als Alternative zu undurchsichtigen, fragilen TradFi-Schienen untergräbt.
