O fundador da Curve, Michael Egorov, está a impulsionar a criação de padrões de segurança DeFi para toda a cadeia, após o exploit Kelp rsETH ter exposto como os pontos de estrangulamento “centralizados” ainda podem destruir sistemas supostamente descentralizados.
O fundador da Curve, Michael Egorov, apelou para a criação de padrões de segurança DeFi em toda a indústria, após o que ele descreve como uma onda de exploits “evitáveis” impulsionados por pontos únicos de falha centralizados em stacks supostamente descentralizadas.
Numa thread detalhada, Egorov argumentou que “um grande número de incidentes de segurança evitáveis em DeFi decorre de pontos únicos de falha centralizados, que estão a prejudicar toda a indústria”, instando as equipas a eliminarem esses pontos de estrangulamento em vez de tentarem “remediar” as perdas após o facto.
Os seus comentários seguem o exploit KelpDAO rsETH, onde um atacante drenou cerca de 116.500 rsETH — avaliados em aproximadamente $292 milhões na altura — forjando uma mensagem cross-chain e depois empurrando os tokens roubados para a Aave como colateral, amplificando o dano através da composabilidade do DeFi.
De acordo com a LayerZero, que forneceu a camada de mensagens da KelpDAO, a violação foi possível porque a Kelp utilizava um único verificador DVN 1-de-1 sem backup, criando exatamente o tipo de ponto único de falha que Egorov diz que não deveria existir na infraestrutura DeFi moderna.
Uma vez que a mensagem forjada foi aprovada, o atacante usou rsETH na Aave V3 para emprestar grandes quantidades de wrapped ether, desencadeando mais de $10 mil milhões em saídas da Aave, à medida que os utilizadores se apressavam a retirar, enquanto o protocolo congelava os mercados de rsETH na V3 e V4 para conter o risco.
Rastreadores da indústria estimam as perdas mais amplas relacionadas à Kelp em cerca de $293 milhões, com nove protocolos conectados a parar ou restringir a atividade de rsETH e o conselho de segurança da Arbitrum a apreender mais tarde cerca de 30.766 ETH ligados ao atacante.
Egorov disse que o episódio ilustra como “pontes, oráculos, multisigs de governação e chaves de administração” podem tornar-se dependências centralizadas ocultas, mesmo quando os contratos base de empréstimo ou AMM permanecem formalmente descentralizados e auditados.
Ele também apontou para exploits anteriores de pontes e liquidez, incluindo ataques cross-chain a protocolos como o CrossCurve — que trabalha com a Curve Finance e ostenta um design multi-validador para reduzir pontos únicos de falha — como exemplos de como as escolhas de design moldam diretamente o raio de explosão quando algo falha.
Egorov quer que projetos, auditores e equipas de risco partilhem melhores práticas concretas em tudo, desde verificadores cross-chain e limites de taxa a políticas multisig e kill switches, e depois “estabeleçam em conjunto padrões de segurança DeFi” que possam ser aplicados em todas as cadeias.
Ele sugeriu que a Ethereum Foundation e a Solana Foundation deveriam ajudar a organizar o trabalho, argumentando que as diretrizes apoiadas por fundações — embora não sejam uma regulamentação formal — poderiam atuar como um livro de regras comum e dificultar que as equipas implementem arquiteturas com pontos de estrangulamento centralizados óbvios.
Como um comentador resumiu num relatório da indústria, falhas repetidas como o exploit rsETH e o subsequente stress na Aave arriscam cimentar a perceção de que “em vez de eliminar pontos únicos de falha, a indústria continua a reconstruí-los”, minando a proposta de valor central do DeFi como uma alternativa aos trilhos opacos e frágeis da TradFi.
