El fundador de Curve, Michael Egorov, está impulsando estándares de seguridad DeFi para toda la cadena después de que el exploit de Kelp rsETH expusiera cómo los "puntos de estrangulamiento" centralizados aún pueden arruinar sistemas supuestamente descentralizados.
El fundador de Curve, Michael Egorov, ha pedido estándares de seguridad DeFi para toda la industria después de lo que describe como una ola de exploits "evitables" impulsados por puntos únicos de fallo centralizados en stacks supuestamente descentralizados.
En un hilo detallado, Egorov argumentó que "un gran número de incidentes de seguridad evitables en DeFi provienen de puntos únicos de fallo centralizados, que están dañando a toda la industria", instando a los equipos a eliminar esos puntos de estrangulamiento en lugar de intentar "remediar" las pérdidas después del hecho.
Sus comentarios siguen al exploit de KelpDAO rsETH, donde un atacante drenó alrededor de 116,500 rsETH —valorados en aproximadamente 292 millones de dólares en ese momento— al falsificar un mensaje entre cadenas y luego introducir los tokens robados en Aave como garantía, amplificando el daño a través de la composabilidad de DeFi.
Según LayerZero, que proporcionó la capa de mensajería de KelpDAO, la brecha fue posible porque Kelp ejecutó un único verificador DVN 1 de 1 sin respaldo, creando exactamente el tipo de punto único de fallo que Egorov dice que no debería existir en la infraestructura DeFi moderna.
Una vez que el mensaje falsificado pasó, el atacante usó rsETH en Aave V3 para pedir prestadas grandes cantidades de ether envuelto, lo que provocó más de 10 mil millones de dólares en salidas de Aave mientras los usuarios se apresuraban a retirar sus fondos, mientras el protocolo congelaba los mercados de rsETH en V3 y V4 para contener el riesgo.
Los rastreadores de la industria estiman las pérdidas más amplias relacionadas con Kelp en alrededor de 293 millones de dólares, con nueve protocolos conectados deteniendo o restringiendo la actividad de rsETH y el consejo de seguridad de Arbitrum incautando posteriormente unos 30,766 ETH vinculados al atacante.
Egorov dijo que el episodio ilustra cómo "puentes, oráculos, multisigs de gobernanza y claves de administración" pueden convertirse en dependencias centralizadas ocultas, incluso cuando los contratos base de préstamo o AMM permanecen formalmente descentralizados y auditados.
También señaló exploits anteriores de puentes y liquidez, incluidos ataques entre cadenas a protocolos como CrossCurve —que funciona con Curve Finance y promueve un diseño multi-validador para reducir los puntos únicos de fallo— como ejemplos de cómo las decisiones de diseño dan forma directamente al radio de explosión cuando algo falla.
Egorov quiere que los proyectos, auditores y equipos de riesgo compartan mejores prácticas concretas sobre todo, desde verificadores entre cadenas y límites de tasa hasta políticas de multisig y kill switches, para luego "establecer conjuntamente estándares de seguridad DeFi" que puedan aplicarse en todas las cadenas.
Sugirió que la Fundación Ethereum y la Fundación Solana deberían ayudar a convocar el trabajo, argumentando que las directrices respaldadas por fundaciones —aunque no sean una regulación formal— podrían actuar como un libro de reglas común y dificultar que los equipos implementen arquitecturas con evidentes puntos de estrangulamiento centralizados.
Como resumió un comentarista en un informe de la industria, fallos repetidos como el exploit de rsETH y el posterior estrés en Aave corren el riesgo de consolidar la percepción de que "en lugar de eliminar los puntos únicos de fallo, la industria los sigue reconstruyendo", socavando la propuesta de valor central de DeFi como una alternativa a los rieles opacos y frágiles de TradFi.
