Curve 創辦人 Michael Egorov 正在推動全鏈 DeFi 安全標準,此前 Kelp rsETH 攻擊事件揭露了「中心化」瓶頸如何仍能破壞號稱去中心化的系統。
Curve 創辦人 Michael Egorov 呼籲制定全產業的 DeFi 安全標準,此前他將一系列「可避免的」攻擊事件歸因於號稱去中心化堆疊中,由中心化單點故障所驅動。
在一篇詳細的推文串中,Egorov 論證道:「DeFi 中大量可避免的安全事件源於中心化單點故障,這正在損害整個產業」,他敦促團隊在事後「補救」損失之前,就應在設計中消除這些瓶頸。
他的評論是在 KelpDAO rsETH 攻擊事件之後發表的,該事件中攻擊者透過偽造跨鏈訊息竊取了約 116,500 個 rsETH——當時價值約 2.92 億美元——然後將被盜代幣推入 Aave 作為抵押品,透過 DeFi 的可組合性擴大了損害。
據 LayerZero 稱,KelpDAO 的訊息層提供者,這次漏洞之所以可能發生,是因為 Kelp 運行了單個 1-of-1 DVN 驗證器,且沒有備份,這正是 Egorov 所說現代 DeFi 基礎設施中不應存在的單點故障。
一旦偽造的訊息通過,攻擊者便在 Aave V3 上使用 rsETH 借入大量封裝以太幣,觸發 Aave 超過 100 億美元的資金流出,用戶蜂擁提款,同時該協議凍結了 V3 和 V4 上的 rsETH 市場以控制風險。
產業追蹤者估計與 Kelp 相關的總損失約為 2.93 億美元,其中九個相關協議暫停或限制了 rsETH 活動,Arbitrum 的安全委員會隨後查獲了與攻擊者相關的約 30,766 個 ETH。
Egorov 表示,這起事件說明了即使基礎借貸或 AMM 合約形式上保持去中心化和經過審計,「橋接器、預言機、治理多重簽名和管理員密鑰」也可能成為隱藏的中心化依賴性。
他還指出早期的橋接器和流動性攻擊事件,包括對 CrossCurve 等協議的跨鏈攻擊——CrossCurve 與 Curve Finance 合作並宣稱採用多驗證器設計以減少單點故障——作為設計選擇如何直接影響事件發生時「爆炸半徑」的例子。
Egorov 希望專案、審計師和風險團隊分享具體的最佳實踐,涵蓋從跨鏈驗證器、費率限制到多重簽名政策和緊急開關等所有方面,然後「共同建立 DeFi 安全標準」,這些標準可以應用於所有鏈。
他建議以太坊基金會和 Solana 基金會應協助召集這項工作,認為基金會支持的準則——儘管不是正式法規——可以作為共同的規則手冊,並使團隊更難發布具有明顯中心化瓶頸的架構。
正如一位評論員在一份行業報告中總結的那樣,像 rsETH 攻擊事件和隨後 Aave 壓力測試這樣的重複失敗,有可能鞏固一種觀點,即「該行業非但沒有消除單點故障,反而不斷地重建它們」,這破壞了 DeFi 作為不透明、脆弱的傳統金融軌道的替代方案的核心價值主張。
