迈克尔·埃戈罗夫呼吁建立DeFi安全标准
Curve创始人迈克尔·埃戈罗夫(Michael Egorov)在Kelp rsETH漏洞事件后,呼吁建立全行业的DeFi安全标准。他指出,这一事件暴露了“集中化”瓶颈如何仍然能够破坏本应去中心化的系统。埃戈罗夫表示,近年来,DeFi领域出现了一波“可避免”的安全漏洞,这些漏洞源于集中化的单点故障,正在损害整个行业。
“大量可避免的安全事件源于集中化的单点故障,这些故障正在伤害整个行业。”
他呼吁各团队在设计时消除这些瓶颈,而不是在事后试图“补救”损失。
DeFi的未来与安全漏洞
埃戈罗夫表示:“让我开始说说。DeFi是全球金融系统的未来。这是我的信念,这也是我们在这里的原因。”他指出,最近DeFi中发生的绝大多数可预防的黑客攻击(根本原因归因于集中化的故障点)数量巨大,这对行业造成了损害。
埃戈罗夫的评论是在KelpDAO rsETH漏洞事件之后发表的,攻击者通过伪造跨链消息,盗取了约116,500个rsETH,价值当时约为2.92亿美元,并将被盗代币作为抵押物推入Aave,进一步放大了损害,利用了DeFi的可组合性。
根据LayerZero的说法,该公司为KelpDAO提供了消息层,漏洞的发生是因为Kelp运行了一个没有备份的1-of-1 DVN验证器,正是埃戈罗夫所说的现代DeFi基础设施中不应存在的单点故障。
事件影响与行业反应
一旦伪造的消息通过,攻击者便利用rsETH在Aave V3上借入大量的包裹以太,导致用户纷纷撤回资金,触发了超过100亿美元的资金流出,而该协议则冻结了V3和V4上的rsETH市场以控制风险。行业追踪者估计,Kelp相关的整体损失约为2.93亿美元,九个相关协议暂停或限制了rsETH的活动,而Arbitrum的安全委员会随后扣押了约30,766个与攻击者相关的以太坊。
埃戈罗夫表示,这一事件说明了“桥接、预言机、治理多签和管理员密钥”如何成为隐藏的集中化依赖,即使基础的借贷或AMM合约在形式上仍然是去中心化和经过审计的。
建立最佳实践与行业合作
他还提到了早期的桥接和流动性漏洞,包括对CrossCurve等协议的跨链攻击,CrossCurve与Curve Finance合作,并以多验证器设计来减少单点故障,作为设计选择如何直接影响故障时的影响范围的例子。
埃戈罗夫希望项目、审计师和风险团队能够分享从跨链验证器、速率限制到多签政策和紧急关闭开关等具体最佳实践,然后“共同建立可以跨链应用的DeFi安全标准”。
他建议以太坊基金会和Solana基金会应帮助召集这一工作,认为基金会支持的指南——尽管不是正式的监管——可以作为一个共同的规则手册,使团队更难以推出明显存在集中化瓶颈的架构。
正如一位评论员在行业报告中总结的那样,rsETH漏洞和随后的Aave压力等重复性失败,可能会巩固人们的看法,即“行业并没有消除单点故障,而是不断重建它们”,这削弱了DeFi作为不透明、脆弱的传统金融替代方案的核心价值主张。
