Itinatulak ni Michael Egorov, tagapagtatag ng Curve, ang mga pamantayan ng seguridad sa DeFi sa buong chain matapos ilantad ng Kelp rsETH exploit kung paano masisira pa rin ng mga "sentralisadong" choke point ang mga sistemang inaakalang desentralisado.
Nanawagan si Michael Egorov, tagapagtatag ng Curve, para sa mga pamantayan ng seguridad sa DeFi sa buong industriya matapos ang inilarawan niya bilang isang dagsa ng "maiwasang" mga exploit na dulot ng sentralisadong iisang punto ng pagkabigo sa mga inaakalang desentralisadong stack.
Sa isang detalyadong thread, iginiit ni Egorov na "maraming maiiwasang insidente ng seguridad sa DeFi ang nagmumula sa sentralisadong iisang punto ng pagkabigo, na nakakasama sa buong industriya," at hinimok ang mga team na alisin sa disenyo ang mga choke point na iyon sa halip na subukang "sulusyunan" ang mga pagkalugi matapos mangyari.
Ang kanyang mga komento ay kasunod ng KelpDAO rsETH exploit, kung saan kinuha ng isang attacker ang humigit-kumulang 116,500 rsETH—na nagkakahalaga ng humigit-kumulang $292 milyon noon—sa pamamagitan ng pagpeke ng isang cross-chain na mensahe at pagkatapos ay itinulak ang nakaw na token sa Aave bilang kolateral, na nagpalala sa pinsala sa pamamagitan ng kakayahang magamit ng DeFi.
Ayon sa LayerZero, na nagbigay ng messaging layer ng KelpDAO, naging posible ang paglabag dahil nagpatakbo ang Kelp ng isang 1-of-1 DVN verifier na walang backup, na lumilikha ng eksaktong uri ng iisang punto ng pagkabigo na sinabi ni Egorov na hindi dapat umiral sa modernong imprastraktura ng DeFi.
Nang makalusot ang pekeng mensahe, ginamit ng attacker ang rsETH sa Aave V3 upang humiram ng malaking halaga ng wrapped ether, na nagdulot ng mahigit $10 bilyon na paglabas ng pondo mula sa Aave habang nagmamadali ang mga user na mag-withdraw, habang ni-freeze ng protocol ang mga rsETH market sa V3 at V4 upang pigilin ang panganib.
Tinatantya ng mga industry tracker ang mas malawak na pagkalugi na nauugnay sa Kelp sa humigit-kumulang $293 milyon, na may siyam na konektadong protocol na nagpatigil o naghigpit sa aktibidad ng rsETH at ang security council ng Arbitrum ay kalaunang kinuha ang humigit-kumulang 30,766 ETH na nauugnay sa attacker.
Sinabi ni Egorov na ipinapakita ng insidente kung paano ang “mga tulay, oracles, governance multisigs at admin keys” ay maaaring maging nakatagong sentralisadong dependency, kahit na ang mga pangunahing lending o AMM contract ay mananatiling pormal na desentralisado at na-audit.
Binanggit din niya ang naunang mga bridge at liquidity exploit, kabilang ang cross-chain na pag-atake sa mga protocol tulad ng CrossCurve—na gumagana sa Curve Finance at ipinagmamalaki ang isang multi-validator na disenyo upang mabawasan ang mga iisang punto ng pagkabigo—bilang mga halimbawa kung paano direktang hinuhubog ng mga pagpipilian sa disenyo ang blast radius kapag may nasira.
Nais ni Egorov na magbahagi ang mga proyekto, auditor at risk team ng kongkretong mga pinakamahusay na kasanayan sa lahat mula sa cross-chain verifier at rate limit hanggang sa mga patakaran ng multisig at kill switch, at pagkatapos ay "sabay-sabay na magtatag ng mga pamantayan ng seguridad sa DeFi" na mailalapat sa lahat ng chain.
Iminungkahi niya na dapat tumulong ang Ethereum Foundation at Solana Foundation sa pagpupulong para sa trabaho, at iginiit na ang mga alituntunin na suportado ng pundasyon—bagama't hindi pormal na regulasyon—ay maaaring kumilos bilang isang karaniwang rulebook at pahihirapan para sa mga team na maglabas ng mga arkitektura na may malinaw na sentralisadong choke point.
Tulad ng buod ng isang komentarista sa isang ulat ng industriya, ang paulit-ulit na pagkabigo tulad ng rsETH exploit at kasunod na stress ng Aave ay nagpapataas ng panganib na patatagin ang persepsyon na "sa halip na alisin ang mga iisang punto ng pagkabigo, patuloy na itinayo muli ng industriya ang mga ito," na sumisira sa pangunahing panukala ng halaga ng DeFi bilang isang alternatibo sa malabo, marupok na mga TradFi rail.
