De oprichter van Curve, Michael Egorov, pleit voor ketenbrede DeFi-beveiligingsstandaarden nadat de Kelp rsETH-exploitatie aantoonde hoe 'gecentraliseerde' knelpunten nog steeds zogenaamd gedecentraliseerde systemen kunnen ontwrichten.
Curve-oprichter Michael Egorov heeft opgeroepen tot industriewijde DeFi-beveiligingsstandaarden na wat hij beschrijft als een golf van ‘vermijdbare’ exploits die worden veroorzaakt door gecentraliseerde single points of failure in zogenaamd gedecentraliseerde stacks.
In een gedetailleerde thread betoogde Egorov dat “een groot aantal vermijdbare beveiligingsincidenten in DeFi voortkomt uit gecentraliseerde single points of failure, die de hele sector schaden”, en drong hij er bij teams op aan om deze knelpunten uit het ontwerp te verwijderen in plaats van te proberen verliezen achteraf te “herstellen”.
Zijn opmerkingen volgen op de KelpDAO rsETH-exploitatie, waarbij een aanvaller ongeveer 116.500 rsETH – destijds ongeveer $292 miljoen waard – heeft weggesluisd door een cross-chain bericht te vervalsen en vervolgens de gestolen tokens als onderpand in Aave te plaatsen, waardoor de schade werd vergroot door de composability van DeFi.
Volgens LayerZero, dat de messaging-laag van KelpDAO leverde, was de inbreuk mogelijk omdat Kelp een enkele 1-van-1 DVN-verifier zonder back-up gebruikte, wat precies het soort single point of failure creëerde dat volgens Egorov niet zou mogen bestaan in moderne DeFi-infrastructuur.
Nadat het vervalste bericht was doorgekomen, gebruikte de aanvaller rsETH op Aave V3 om grote hoeveelheden wrapped ether te lenen, wat leidde tot meer dan $10 miljard aan uitstromen uit Aave toen gebruikers zich haastten om op te nemen, terwijl het protocol de rsETH-markten op V3 en V4 bevroor om risico's te beperken.
Sectortrackers schatten de totale Kelp-gerelateerde verliezen op ongeveer $293 miljoen, waarbij negen verbonden protocollen de rsETH-activiteit stopzetten of beperkten, en de veiligheidsraad van Arbitrum later ongeveer 30.766 ETH in beslag nam die aan de aanvaller waren gekoppeld.
Egorov zei dat de episode illustreert hoe “bruggen, orakels, governance multisigs en admin-sleutels” verborgen gecentraliseerde afhankelijkheden kunnen worden, zelfs wanneer basis leen- of AMM-contracten formeel gedecentraliseerd en gecontroleerd blijven.
Hij wees ook op eerdere bridge- en liquiditeitsexploits, waaronder cross-chain aanvallen op protocollen zoals CrossCurve – dat samenwerkt met Curve Finance en een multi-validator ontwerp promoot om single points of failure te verminderen – als voorbeelden van hoe ontwerpkeuzes de blast radius direct bepalen wanneer iets misgaat.
Egorov wil dat projecten, auditors en risicoteams concrete best practices delen over alles, van cross-chain verifiers en rate limits tot multisig-beleid en kill switches, en vervolgens “gezamenlijk DeFi-beveiligingsstandaarden opstellen” die kunnen worden toegepast op alle ketens.
Hij suggereerde dat de Ethereum Foundation en Solana Foundation zouden moeten helpen het werk bijeen te brengen, met het argument dat door stichtingen ondersteunde richtlijnen – hoewel geen formele regelgeving – kunnen fungeren als een gemeenschappelijk handboek en het moeilijker kunnen maken voor teams om architecturen met duidelijke gecentraliseerde knelpunten te lanceren.
Zoals een commentator in een brancherapport samenvatte, dreigen herhaalde mislukkingen zoals de rsETH-exploitatie en de daaropvolgende Aave-stress de perceptie te verstevigen dat “in plaats van single points of failure te elimineren, de industrie ze blijft herbouwen”, wat de kernwaardepropositie van DeFi ondermijnt als alternatief voor ondoorzichtige, fragiele TradFi-systemen.
