Pendiri Curve Michael Egorov mendorong standar keamanan DeFi di seluruh rantai setelah eksploitasi Kelp rsETH mengungkap bagaimana titik-titik penyempitan yang “terpusat” masih dapat merusak sistem yang seharusnya terdesentralisasi.
Pendiri Curve Michael Egorov telah menyerukan standar keamanan DeFi di seluruh industri setelah apa yang ia gambarkan sebagai gelombang eksploitasi “yang dapat dihindari” yang didorong oleh titik kegagalan tunggal terpusat di seluruh tumpukan yang seharusnya terdesentralisasi.
Dalam utas yang terperinci, Egorov berpendapat bahwa “sejumlah besar insiden keamanan yang dapat dihindari di DeFi berasal dari titik-titik kegagalan tunggal terpusat, yang merugikan seluruh industri,” mendesak tim untuk menghilangkan titik-titik penyempitan tersebut dalam desain daripada mencoba “memperbaiki” kerugian setelah kejadian.
Komentarnya menyusul eksploitasi KelpDAO rsETH, di mana seorang penyerang menguras sekitar 116.500 rsETH—senilai sekitar $292 juta pada saat itu—dengan memalsukan pesan lintas-rantai dan kemudian mendorong token yang dicuri ke Aave sebagai jaminan, memperbesar kerusakan melalui komposabilitas DeFi.
Menurut LayerZero, yang menyediakan lapisan perpesanan KelpDAO, pelanggaran itu mungkin terjadi karena Kelp menjalankan satu verifier DVN 1-dari-1 tanpa cadangan, menciptakan persis jenis titik kegagalan tunggal yang menurut Egorov seharusnya tidak ada dalam infrastruktur DeFi modern.
Setelah pesan palsu itu lolos, penyerang menggunakan rsETH di Aave V3 untuk meminjam sejumlah besar wrapped ether, memicu lebih dari $10 miliar outflow dari Aave karena pengguna bergegas menarik dana, sementara protokol membekukan pasar rsETH di V3 dan V4 untuk menahan risiko.
Pelacak industri memperkirakan kerugian yang lebih luas terkait Kelp sekitar $293 juta, dengan sembilan protokol terkait menghentikan atau membatasi aktivitas rsETH dan dewan keamanan Arbitrum kemudian menyita sekitar 30.766 ETH yang terkait dengan penyerang.
Egorov mengatakan insiden ini menggambarkan bagaimana “jembatan, oracle, multisig tata kelola, dan kunci admin” dapat menjadi dependensi terpusat yang tersembunyi, bahkan ketika kontrak pinjaman dasar atau AMM tetap terdesentralisasi dan diaudit secara formal.
Ia juga menunjuk pada eksploitasi jembatan dan likuiditas sebelumnya, termasuk serangan lintas-rantai pada protokol seperti CrossCurve—yang bekerja dengan Curve Finance dan menggembar-gemborkan desain multi-validator untuk mengurangi titik-titik kegagalan tunggal—sebagai contoh bagaimana pilihan desain secara langsung membentuk radius ledakan ketika sesuatu rusak.
Egorov ingin proyek, auditor, dan tim risiko berbagi praktik terbaik konkret tentang segala sesuatu mulai dari verifikator lintas-rantai dan batasan tingkat hingga kebijakan multisig dan sakelar pemutus, kemudian “bersama-sama menetapkan standar keamanan DeFi” yang dapat diterapkan di seluruh rantai.
Ia menyarankan agar Ethereum Foundation dan Solana Foundation membantu menyelenggarakan pekerjaan ini, berargumen bahwa pedoman yang didukung yayasan—meskipun bukan regulasi formal—dapat bertindak sebagai buku aturan umum dan mempersulit tim untuk meluncurkan arsitektur dengan titik-titik penyempitan terpusat yang jelas.
Seperti yang diringkas seorang komentator dalam laporan industri, kegagalan berulang seperti eksploitasi rsETH dan tekanan Aave berikutnya berisiko memperkuat persepsi bahwa “alih-alih menghilangkan titik-titik kegagalan tunggal, industri terus membangunnya kembali,” merusak proposisi nilai inti DeFi sebagai alternatif dari jalur TradFi yang buram dan rapuh.
