Người sáng lập Curve, Michael Egorov, đang thúc đẩy các tiêu chuẩn bảo mật DeFi trên toàn chuỗi sau khi sự cố Kelp rsETH đã phơi bày cách các điểm nghẽn “tập trung” vẫn có thể phá hủy các hệ thống được cho là phi tập trung.
Người sáng lập Curve, Michael Egorov, đã kêu gọi các tiêu chuẩn bảo mật DeFi trên toàn ngành sau một làn sóng khai thác “có thể tránh được” mà ông mô tả là do các điểm lỗi tập trung duy nhất trên các chồng công nghệ được cho là phi tập trung gây ra.
Trong một chuỗi bài đăng chi tiết, Egorov lập luận rằng “một số lượng lớn các sự cố bảo mật có thể tránh được trong DeFi bắt nguồn từ các điểm lỗi tập trung duy nhất, gây hại cho toàn bộ ngành”, kêu gọi các nhóm loại bỏ những điểm nghẽn đó thay vì cố gắng “khắc phục” thiệt hại sau khi sự việc đã xảy ra.
Những bình luận của ông được đưa ra sau vụ khai thác KelpDAO rsETH, trong đó một kẻ tấn công đã rút khoảng 116.500 rsETH—trị giá khoảng 292 triệu đô la vào thời điểm đó—bằng cách giả mạo một tin nhắn xuyên chuỗi và sau đó đẩy các token bị đánh cắp vào Aave làm tài sản thế chấp, khuếch đại thiệt hại thông qua khả năng kết hợp của DeFi.
Theo LayerZero, bên cung cấp lớp tin nhắn cho KelpDAO, vụ vi phạm có thể xảy ra vì Kelp đã chạy một trình xác minh DVN 1-trên-1 duy nhất mà không có bản sao lưu, tạo ra chính xác loại điểm lỗi tập trung duy nhất mà Egorov nói rằng không nên tồn tại trong cơ sở hạ tầng DeFi hiện đại.
Khi tin nhắn giả mạo được thông qua, kẻ tấn công đã sử dụng rsETH trên Aave V3 để vay một lượng lớn wrapped ether, gây ra hơn 10 tỷ đô la dòng tiền chảy ra khỏi Aave khi người dùng đổ xô rút tiền, trong khi giao thức này đóng băng các thị trường rsETH trên V3 và V4 để kiểm soát rủi ro.
Các nhà theo dõi ngành ước tính tổng thiệt hại liên quan đến Kelp vào khoảng 293 triệu đô la, với chín giao thức liên quan đã ngừng hoặc hạn chế hoạt động của rsETH và hội đồng bảo mật của Arbitrum sau đó đã thu giữ khoảng 30.766 ETH liên quan đến kẻ tấn công.
Egorov cho biết sự việc này minh họa cách “cầu nối, oracle, multisig quản trị và khóa quản trị” có thể trở thành các phụ thuộc tập trung ẩn, ngay cả khi các hợp đồng cho vay cơ bản hoặc AMM vẫn chính thức phi tập trung và đã được kiểm toán.
Ông cũng chỉ ra các vụ khai thác cầu nối và thanh khoản trước đây, bao gồm các cuộc tấn công xuyên chuỗi vào các giao thức như CrossCurve—hoạt động với Curve Finance và quảng bá thiết kế đa trình xác thực để giảm các điểm lỗi tập trung duy nhất — như những ví dụ về cách các lựa chọn thiết kế trực tiếp định hình phạm vi ảnh hưởng khi có sự cố xảy ra.
Egorov muốn các dự án, kiểm toán viên và nhóm quản lý rủi ro chia sẻ các thực tiễn tốt nhất cụ thể về mọi thứ từ trình xác minh xuyên chuỗi và giới hạn tỷ lệ đến các chính sách multisig và công tắc dừng khẩn cấp, sau đó “cùng nhau thiết lập các tiêu chuẩn bảo mật DeFi” có thể áp dụng trên các chuỗi.
Ông đề xuất Quỹ Ethereum và Quỹ Solana nên giúp tổ chức công việc này, lập luận rằng các hướng dẫn được quỹ hỗ trợ—mặc dù không phải là quy định chính thức—có thể đóng vai trò như một bộ quy tắc chung và khiến các nhóm khó triển khai các kiến trúc với các điểm nghẽn tập trung rõ ràng hơn.
Như một nhà bình luận đã tóm tắt trong một báo cáo ngành, những thất bại lặp đi lặp lại như vụ khai thác rsETH và căng thẳng sau đó của Aave có nguy cơ củng cố nhận thức rằng “thay vì loại bỏ các điểm lỗi tập trung duy nhất, ngành công nghiệp tiếp tục xây dựng lại chúng”, làm suy yếu đề xuất giá trị cốt lõi của DeFi như một giải pháp thay thế cho các hệ thống tài chính truyền thống (TradFi) mờ ám, dễ đổ vỡ.
