بنیانگذار Curve، مایکل اگوروف، پس از سوءاستفاده Kelp rsETH که نشان داد چگونه نقاط ضعف "متمرکز" همچنان می‌توانند به سیستم‌های به ظاهر غیرمتمرکز آسیب بزنند، خواستار استانداردهای امنیتی دیفای در کل شبکه شده است.

مایکل اگوروف، بنیانگذار Curve، پس از آنچه که او موجی از سوءاستفاده‌های "قابل اجتناب" ناشی از نقاط شکست واحد متمرکز در سیستم‌های به ظاهر غیرمتمرکز توصیف می‌کند، خواستار استانداردهای امنیتی دیفای در سطح صنعت شده است.

در یک رشته توییت مفصل، اگوروف استدلال کرد که "تعداد زیادی از حوادث امنیتی قابل اجتناب در دیفای از نقاط شکست واحد متمرکز نشأت می‌گیرند که به کل صنعت آسیب می‌رسانند" و از تیم‌ها خواست تا به جای تلاش برای "جبران" ضرر و زیان پس از وقوع، این نقاط ضعف را از طراحی حذف کنند.

اظهارات او پس از سوءاستفاده KelpDAO rsETH مطرح می‌شود، جایی که مهاجم حدود ۱۱۶,۵۰۰ واحد rsETH —به ارزش تقریبی ۲۹۲ میلیون دلار در آن زمان— را با جعل یک پیام بین زنجیره‌ای تخلیه کرد و سپس توکن‌های سرقت شده را به عنوان وثیقه وارد Aave کرد و از طریق ترکیب‌پذیری (composability) دیفای، آسیب را تشدید نمود.

آوی، rsETH و «نقاط شکست واحد» قابل پیشگیری

به گفته LayerZero، که لایه پیام‌رسانی KelpDAO را فراهم می‌کرد، این نقض امنیتی ممکن شد زیرا Kelp یک تاییدکننده DVN تکی (۱ از ۱) بدون پشتیبان اجرا می‌کرد که دقیقاً همان نوع نقطه شکست واحدی را ایجاد می‌کرد که اگوروف می‌گوید نباید در زیرساخت دیفای مدرن وجود داشته باشد.

پس از اینکه پیام جعلی تأیید شد، مهاجم از rsETH در Aave V3 برای قرض گرفتن مقادیر زیادی اتر بسته‌بندی شده (wrapped ether) استفاده کرد که منجر به خروج بیش از ۱۰ میلیارد دلار از Aave شد زیرا کاربران برای برداشت عجله کردند، در حالی که پروتکل، بازارهای rsETH را در V3 و V4 مسدود کرد تا ریسک را مهار کند.

کارشناسان صنعت، زیان‌های گسترده‌تر مربوط به Kelp را حدود ۲۹۳ میلیون دلار تخمین می‌زنند، با توقف یا محدودیت فعالیت rsETH توسط ۹ پروتکل مرتبط و سپس شورای امنیت آربیتروم (Arbitrum) حدود ۳۰,۷۶۶ اتریوم مرتبط با مهاجم را توقیف کرد.

اگوروف گفت این حادثه نشان می‌دهد که چگونه "پل‌ها، اوراکل‌ها، چندامضایی‌های حاکمیتی و کلیدهای ادمین" می‌توانند به وابستگی‌های متمرکز پنهان تبدیل شوند، حتی زمانی که قراردادهای پایه وام‌دهی یا AMM به طور رسمی غیرمتمرکز و حسابرسی شده باقی بمانند.

او همچنین به سوءاستفاده‌های قبلی پل‌ها و نقدینگی، از جمله حملات بین زنجیره‌ای به پروتکل‌هایی مانند CrossCurve —که با Curve Finance کار می‌کند و طراحی چند تاییدکننده را برای کاهش نقاط شکست واحد تبلیغ می‌کند— اشاره کرد، به عنوان نمونه‌هایی از اینکه چگونه انتخاب‌های طراحی، شعاع انفجار (blast radius) را هنگام وقوع یک مشکل به طور مستقیم شکل می‌دهند.

اگوروف می‌خواهد پروژه‌ها، حسابرسان و تیم‌های ریسک، بهترین شیوه‌های مشخص را در مورد همه چیز از تاییدکننده‌های بین زنجیره‌ای و محدودیت‌های نرخ گرفته تا سیاست‌های چندامضایی و سوئیچ‌های اضطراری به اشتراک بگذارند، و سپس "استانداردهای امنیتی دیفای را به طور مشترک تدوین کنند" که بتواند در سراسر زنجیره‌ها اعمال شود.

او پیشنهاد کرد که بنیاد اتریوم و بنیاد سولانا باید به برگزاری این کار کمک کنند، با این استدلال که دستورالعمل‌های مورد حمایت بنیادها —در حالی که مقررات رسمی نیستند— می‌توانند به عنوان یک کتابچه راهنمای مشترک عمل کرده و ارسال معماری‌هایی با نقاط ضعف متمرکز آشکار را برای تیم‌ها دشوارتر کنند.

همانطور که یک مفسر در گزارشی صنعتی خلاصه کرد، شکست‌های مکرر مانند سوءاستفاده rsETH و استرس بعدی آوی، این تصور را تقویت می‌کند که "به جای حذف نقاط شکست واحد، صنعت همچنان در حال بازسازی آن‌ها است"، که ارزش اصلی دیفای را به عنوان جایگزینی برای سیستم‌های مالی سنتی (TradFi) مبهم و شکننده تضعیف می‌کند.