Indledning
Curve-grundlægger Michael Egorov presser på for kædeomspændende DeFi-sikkerhedsstandarder efter Kelp rsETH-udnyttelsen, som afslørede, hvordan “centraliserede” flaskehalse stadig kan ødelægge angiveligt decentraliserede systemer. Egorov har kaldt på brancheomspændende DeFi-sikkerhedsstandarder efter, hvad han beskriver som en bølge af “undgåelige” udnyttelser drevet af centraliserede enkeltpunkter af fejl på tværs af angiveligt decentraliserede stakke.
Argumenter for Sikkerhedsstandarder
I en detaljeret tråd argumenterede Egorov for, at “et stort antal undgåelige sikkerhedshændelser i DeFi stammer fra centraliserede enkeltpunkter af fejl, som skader hele industrien,” og opfordrede teams til at designe disse flaskehalse ud i stedet for at forsøge at “afhjælpe” tab efterfølgende.
“DeFi er fremtiden for det globale finansielle system. Det er min overbevisning, og det er derfor, vi er her.”
Den mængde af fuldstændig forebyggelige hacks, vi ser i DeFi (med rodårsager, der kan tilskrives centraliserede fejlpunkter), er enormt bekymrende. Dette skader…
KelpDAO rsETH-udnyttelsen
Hans kommentarer følger KelpDAO rsETH-udnyttelsen, hvor en angriber drænede omkring 116.500 rsETH—værd omkring $292 millioner på det tidspunkt—ved at forfalske en tværkædebesked og derefter skubbe de stjålne tokens ind i Aave som sikkerhed, hvilket forstærkede skaden gennem DeFi’s sammensætning. Ifølge LayerZero, som leverede KelpDAO’s beskedlag, var bruddet muligt, fordi Kelp kørte en enkelt 1-af-1 DVN-verificering uden backup, hvilket skabte præcis den slags enkeltpunkt af fejl, som Egorov siger ikke bør eksistere i moderne DeFi-infrastruktur.
Da den forfalskede besked gik igennem, brugte angriberen rsETH på Aave V3 til at låne store mængder wrapped ether, hvilket udløste mere end $10 milliarder i udstrømninger fra Aave, da brugerne hastede for at trække sig tilbage, mens protokollen fryse rsETH-markederne på V3 og V4 for at indeholde risikoen. Brancheovervågere estimerer de bredere Kelp-relaterede tab til omkring $293 millioner, med ni tilknyttede protokoller, der stoppede eller begrænsede rsETH-aktivitet, og Arbitrum’s sikkerhedsråd beslaglagde senere omkring 30.766 ETH knyttet til angriberen.
Centraliserede Afhængigheder
Egorov sagde, at episoden illustrerer, hvordan “broer, orakler, governance multisigs og admin-nøgler” kan blive skjulte centraliserede afhængigheder, selv når grundlæggende låne- eller AMM-kontrakter forbliver formelt decentraliserede og reviderede. Han pegede også på tidligere bro- og likviditetsudnyttelser, herunder tværkædeangreb på protokoller som CrossCurve—som arbejder med Curve Finance og praler af et multi-validator design for at reducere enkeltpunkter af fejl—som eksempler på, hvordan designvalg direkte former blast radius, når noget går galt.
Fremtidige Initiativer
Egorov ønsker, at projekter, revisorer og risikoteams deler konkrete bedste praksisser om alt fra tværkædeverificering og hastighedsgrænser til multisig-politikker og kill switches, og derefter “fælles etablere DeFi-sikkerhedsstandarder”, der kan anvendes på tværs af kæder. Han foreslog, at Ethereum Foundation og Solana Foundation skulle hjælpe med at samle arbejdet, idet han argumenterede for, at fondsstøttede retningslinjer—selvom de ikke er formel regulering—kunne fungere som en fælles regelbog og gøre det sværere for teams at sende arkitekturer med åbenlyse centraliserede flaskehalse.
“I stedet for at eliminere enkeltpunkter af fejl, fortsætter industrien med at genopbygge dem,” sagde en kommentator i en branche rapport, hvilket underminerer DeFi’s kerneværdi som et alternativ til uigennemsigtige, skrøbelige TradFi-rails.
