Założyciel Curve, Michael Egorov, naciska na wprowadzenie ogólnosieciowych standardów bezpieczeństwa DeFi po tym, jak exploit Kelp rsETH ujawnił, w jaki sposób „scentralizowane” wąskie gardła mogą nadal niszczyć rzekomo zdecentralizowane systemy.
Założyciel Curve, Michael Egorov, wezwał do wprowadzenia ogólnobranżowych standardów bezpieczeństwa DeFi po tym, co opisuje jako falę „możliwych do uniknięcia” exploitów, wynikających ze scentralizowanych pojedynczych punktów awarii w rzekomo zdecentralizowanych systemach.
W szczegółowym wątku Egorov argumentował, że „duża liczba możliwych do uniknięcia incydentów bezpieczeństwa w DeFi wynika ze scentralizowanych pojedynczych punktów awarii, które szkodzą całej branży”, wzywając zespoły do eliminowania tych wąskich gardeł, zamiast próbować „naprawiać” straty po fakcie.
Jego komentarze są następstwem exploita KelpDAO rsETH, w którym atakujący wyczerpał około 116 500 rsETH — o wartości około 292 milionów dolarów w tamtym czasie — fałszując wiadomość międzyłańcuchową, a następnie wpychając skradzione tokeny do Aave jako zabezpieczenie, potęgując szkody poprzez kompozycyjność DeFi.
Według LayerZero, które dostarczyło warstwę wiadomości dla KelpDAO, naruszenie było możliwe, ponieważ Kelp używał pojedynczego weryfikatora DVN w konfiguracji 1-z-1 bez kopii zapasowej, tworząc dokładnie taki rodzaj pojedynczego punktu awarii, który według Egorova nie powinien istnieć w nowoczesnej infrastrukturze DeFi.
Gdy sfałszowana wiadomość przeszła, atakujący użył rsETH na Aave V3 do pożyczenia dużych ilości wrapped etheru, wywołując wypływy z Aave o wartości ponad 10 miliardów dolarów, gdy użytkownicy pospiesznie wypłacali środki, podczas gdy protokół zamroził rynki rsETH na V3 i V4, aby ograniczyć ryzyko.
Analitycy branżowi szacują ogólne straty związane z Kelp na około 293 miliony dolarów, przy czym dziewięć połączonych protokołów wstrzymało lub ograniczyło aktywność rsETH, a rada bezpieczeństwa Arbitrum później przejęła około 30 766 ETH związanych z atakującym.
Egorov stwierdził, że ten epizod ilustruje, jak „mosty, wyrocznie, multisigi zarządzające i klucze administracyjne” mogą stać się ukrytymi, scentralizowanymi zależnościami, nawet gdy podstawowe kontrakty pożyczkowe lub AMM pozostają formalnie zdecentralizowane i poddane audytowi.
Wskazał również na wcześniejsze exploity mostów i płynności, w tym ataki międzyłańcuchowe na protokoły takie jak CrossCurve — który współpracuje z Curve Finance i promuje projekt z wieloma walidatorami w celu zmniejszenia pojedynczych punktów awarii — jako przykłady tego, jak decyzje projektowe bezpośrednio wpływają na obszar szkód, gdy coś zawodzi.
Egorov chce, aby projekty, audytorzy i zespoły ds. ryzyka dzieliły się konkretnymi najlepszymi praktykami we wszystkim, od weryfikatorów międzyłańcuchowych i limitów transakcji po polityki multisig i kill switche, a następnie „wspólnie ustanowiły standardy bezpieczeństwa DeFi”, które można by stosować w różnych łańcuchach.
Zasugerował, aby Fundacja Ethereum i Fundacja Solana pomogły w koordynacji prac, argumentując, że wytyczne wspierane przez fundacje — choć nie będące formalnymi regulacjami — mogłyby służyć jako wspólny zbiór zasad i utrudnić zespołom wdrażanie architektur z oczywistymi scentralizowanymi wąskimi gardłami.
Jak podsumował jeden z komentatorów w raporcie branżowym, powtarzające się awarie, takie jak exploit rsETH i późniejszy stres Aave, ryzykują utrwalenie przekonania, że „zamiast eliminować pojedyncze punkty awarii, branża ciągle je odtwarza”, podważając podstawową propozycję wartości DeFi jako alternatywy dla nieprzejrzystych, kruchych systemów TradFi.
