Innledning
Curve-grunnlegger Michael Egorov presser på for kjedeomfattende DeFi-sikkerhetsstandarder etter at Kelp rsETH-utnyttelsen avdekket hvordan «sentraliserte» flaskehalser fortsatt kan ødelegge angivelig desentraliserte systemer. Egorov har kalt på bransjen for å etablere DeFi-sikkerhetsstandarder etter det han beskriver som en bølge av «unngåelige» utnyttelser drevet av sentraliserte enkeltpunkter av svikt i angivelig desentraliserte stakker.
Argumenter for sikkerhetsstandarder
I en detaljert tråd argumenterte Egorov for at «et stort antall unngåelige sikkerhetshendelser i DeFi stammer fra sentraliserte enkeltpunkter av svikt, som skader hele bransjen,» og oppfordret teamene til å designe bort disse flaskehalsene i stedet for å prøve å «reparere» tapene i etterkant.
«La meg begynne. DeFi er fremtiden for det globale finanssystemet. Det er min tro, og dette er grunnen til at vi er her. Det antallet absolutt forebyggbare hack vi ser i DeFi (med rotårsaker som kan tilskrives sentraliserte punkter av svikt) er enormt nylig. Dette skader oss…»
KelpDAO rsETH-utnyttelsen
Hans kommentarer kommer etter KelpDAO rsETH-utnyttelsen, hvor en angriper tappet rundt 116 500 rsETH—verdt omtrent 292 millioner dollar på den tiden—ved å forfalske en krysskjede-melding og deretter presse de stjålne tokenene inn i Aave som sikkerhet, noe som forsterket skaden gjennom DeFi’s komposisjon. Ifølge LayerZero, som leverte KelpDAO’s meldingslag, var bruddet mulig fordi Kelp kjørte en enkelt 1-av-1 DVN-verifiserer uten backup, noe som skapte akkurat den typen enkeltpunkt av svikt Egorov sier ikke bør eksistere i moderne DeFi-infrastruktur.
Når den forfalskede meldingen ble godkjent, brukte angriperen rsETH på Aave V3 for å låne store mengder innpakket ether, noe som utløste mer enn 10 milliarder dollar i utstrømninger fra Aave ettersom brukerne hastet for å ta ut, mens protokollen frøs rsETH-markeder på V3 og V4 for å begrense risikoen.
Konsekvenser og fremtidige tiltak
Bransjesporere anslår de bredere Kelp-relaterte tapene til rundt 293 millioner dollar, med ni tilknyttede protokoller som stoppet eller begrenset rsETH-aktivitet, og Arbitrum’s sikkerhetsråd beslagla senere omtrent 30 766 ETH knyttet til angriperen. Egorov sa at episoden illustrerer hvordan «broer, orakler, styringsmultisigs og admin-nøkler» kan bli skjulte sentraliserte avhengigheter, selv når grunnleggende utlåns- eller AMM-kontrakter forblir formelt desentraliserte og revidert.
Egorov ønsker at prosjekter, revisorer og risikoteam skal dele konkrete beste praksiser om alt fra krysskjedeverifiserere og hastighetsgrenser til multisig-politikker og kill switches, og deretter «felles etablere DeFi-sikkerhetsstandarder» som kan anvendes på tvers av kjeder. Han foreslo at Ethereum Foundation og Solana Foundation bør hjelpe til med å samle arbeidet, og argumenterte for at stiftelsesstøttede retningslinjer—selv om de ikke er formell regulering—kunne fungere som et felles regelverk og gjøre det vanskeligere for team å levere arkitekturer med åpenbare sentraliserte flaskehalser.
Avslutning
Som en kommentator oppsummerte i en bransjerapport, kan gjentatte feil som rsETH-utnyttelsen og påfølgende Aave-stressrisiko sementere oppfatningen av at «i stedet for å eliminere enkeltpunkter av svikt, fortsetter bransjen å gjenoppbygge dem,» noe som undergraver DeFi’s kjerneverdiforslag som et alternativ til uklare, skjøre TradFi-skinner.
