DeFi-säkerhetsstandarder efter rsETH-exploateringen
Curve-grundaren Michael Egorov driver på för kedjeövergripande DeFi-säkerhetsstandarder efter att Kelp rsETH-exploateringen avslöjade hur ”centraliserade” flaskhalsar fortfarande kan förstöra påstått decentraliserade system. Egorov har kallat på branschen att införa DeFi-säkerhetsstandarder efter vad han beskriver som en våg av ”undvikbara” exploateringar, orsakade av centraliserade enskilda felpunkter i påstått decentraliserade system.
Argument för att designa bort flaskhalsar
I en detaljerad tråd argumenterade Egorov för att ”ett stort antal undvikbara säkerhetsincidenter inom DeFi härstammar från centraliserade enskilda felpunkter, vilket skadar hela branschen,” och uppmanade team att designa bort dessa flaskhalsar istället för att försöka ”åtgärda” förluster i efterhand.
”DeFi är framtiden för det globala finansiella systemet. Det är min övertygelse, och det är därför vi är här. Den mängd helt förebyggbara hack vi ser inom DeFi, med grundorsaker som kan hänföras till centraliserade felpunkter, är enorm på sistone. Detta skadar…”
KelpDAO rsETH-exploateringen
Hans kommentarer följer KelpDAO rsETH-exploateringen, där en angripare tömde cirka 116 500 rsETH—värt ungefär 292 miljoner dollar vid den tidpunkten—genom att förfalska ett meddelande över kedjor och sedan använda de stulna token som säkerhet i Aave, vilket förstärkte skadan genom DeFi:s sammansättbarhet.
Enligt LayerZero, som tillhandahöll KelpDAOs meddelandeskikt, var intrånget möjligt eftersom Kelp körde en enda 1-av-1 DVN-verifierare utan backup, vilket skapade just den typ av enskild felpunkt som Egorov säger inte bör existera i modern DeFi-infrastruktur. När det förfalskade meddelandet passerade, använde angriparen rsETH på Aave V3 för att låna stora mängder inlindad ether, vilket utlöste mer än 10 miljarder dollar i utflöden från Aave när användare skyndade sig att ta ut sina medel, medan protokollet frös rsETH-marknader på V3 och V4 för att begränsa risken.
Branschens reaktion och framtida åtgärder
Branschspårare uppskattar de bredare Kelp-relaterade förlusterna till cirka 293 miljoner dollar, med nio kopplade protokoll som stoppade eller begränsade rsETH-aktivitet. Arbitrum:s säkerhetsråd beslagtagit senare cirka 30 766 ETH kopplade till angriparen. Egorov sa att episoden illustrerar hur ”broar, orakler, styrningsmultisig och adminnycklar” kan bli dolda centraliserade beroenden, även när grundläggande utlåning eller AMM-kontrakt förblir formellt decentraliserade och granskade.
Han pekade också på tidigare bro- och likviditetsutnyttjanden, inklusive kedjeövergripande attacker på protokoll som CrossCurve—som arbetar med Curve Finance och skryter med en multi-validator-design för att minska enskilda felpunkter—som exempel på hur designval direkt formar blast radius när något går fel.
Egorov vill att projekt, revisorer och riskteam ska dela konkreta bästa metoder om allt från kedjeövergripande verifierare och hastighetsgränser till multisig-policyer och dödsbrytare, och sedan ”gemensamt fastställa DeFi-säkerhetsstandarder” som kan tillämpas över kedjor.
Framtiden för DeFi-säkerhet
Han föreslog att Ethereum Foundation och Solana Foundation bör hjälpa till att sammankalla arbetet och argumenterade för att stiftelsebackade riktlinjer—även om de inte är formell reglering—kan fungera som en gemensam regelbok och göra det svårare för team att lansera arkitekturer med uppenbara centraliserade flaskhalsar.
Som en kommentator sammanfattade i en branschrapport, cementerar upprepade misslyckanden som rsETH-exploateringen och den efterföljande Aave-stressen risken för att cementera uppfattningen att ”istället för att eliminera enskilda felpunkter, fortsätter branschen att återuppbygga dem,” vilket undergräver DeFi:s kärnvärdeerbjudande som ett alternativ till oklara, sköra TradFi-spår.
