Pagpapakilala
Ang tagapagtatag ng Curve na si Michael Egorov ay nagtutulak para sa mga pamantayan ng seguridad sa DeFi sa buong chain matapos ang Kelp rsETH exploit na nagpakita kung paano ang mga “sentralisadong” chokepoints ay maaari pa ring makasira sa mga sinasabing desentralisadong sistema. Tinawag ni Egorov ang mga pamantayan ng seguridad sa DeFi sa buong industriya matapos ang kanyang inilarawan na alon ng mga “maiiwasang” exploit na pinapagana ng mga sentralisadong solong punto ng pagkabigo sa mga sinasabing desentralisadong stack.
Mga Komento ni Egorov
Sa isang detalyadong thread, iginiit ni Egorov na “ang malaking bilang ng mga maiiwasang insidente ng seguridad sa DeFi ay nagmumula sa mga sentralisadong solong punto ng pagkabigo, na nakakasira sa buong industriya,” na hinihimok ang mga koponan na idisenyo ang mga chokepoint na iyon sa halip na subukang “ayusin” ang mga pagkalugi pagkatapos ng katotohanan.
Ang KelpDAO rsETH Exploit
Ang kanyang mga komento ay sumunod sa KelpDAO rsETH exploit, kung saan isang umaatake ang nag-alis ng humigit-kumulang 116,500 rsETH—na nagkakahalaga ng halos $292 milyon noong panahong iyon—sa pamamagitan ng pag-forge ng isang cross-chain message at pagkatapos ay itinulak ang mga ninakaw na token sa Aave bilang collateral, na pinalakas ang pinsala sa pamamagitan ng composability ng DeFi.
Ayon sa LayerZero, na nagbigay ng messaging layer ng KelpDAO, ang paglabag ay posible dahil ang Kelp ay nagpapatakbo ng isang solong 1-of-1 DVN verifier na walang backup, na lumilikha ng eksaktong uri ng solong punto ng pagkabigo na sinasabi ni Egorov na hindi dapat umiiral sa modernong imprastruktura ng DeFi.
Mga Epekto ng Exploit
Kapag ang forged message ay pumasa, ginamit ng umaatake ang rsETH sa Aave V3 upang manghiram ng malalaking halaga ng wrapped ether, na nag-trigger ng higit sa $10 bilyon sa paglabas mula sa Aave habang ang mga gumagamit ay nagmadaling mag-withdraw, habang ang protocol ay nag-freeze ng mga pamilihan ng rsETH sa V3 at V4 upang mapanatili ang panganib. Tinataya ng mga tracker ng industriya ang mas malawak na pagkalugi na may kaugnayan sa Kelp sa humigit-kumulang $293 milyon, na may siyam na konektadong protocol na huminto o naglimita sa aktibidad ng rsETH at ang security council ng Arbitrum ay kalaunan ay nag-aresto ng humigit-kumulang 30,766 ETH na nakatali sa umaatake.
Sentralisadong Dependencies
Sinabi ni Egorov na ang episode na ito ay nagpapakita kung paano ang “mga tulay, oracles, governance multisigs at admin keys” ay maaaring maging nakatagong sentralisadong dependencies, kahit na ang mga pangunahing kontrata sa pagpapautang o AMM ay nananatiling pormal na desentralisado at na-audit. Itinuro din niya ang mga naunang bridge at liquidity exploits, kabilang ang mga cross-chain attack sa mga protocol tulad ng CrossCurve—na nakikipagtulungan sa Curve Finance at nagtataguyod ng multi-validator design upang mabawasan ang mga solong punto ng pagkabigo—bilang mga halimbawa kung paano ang mga pagpipilian sa disenyo ay direktang humuhubog sa blast radius kapag may nasira.
Mga Rekomendasyon para sa Seguridad
Nais ni Egorov na ang mga proyekto, auditor at mga koponan sa panganib ay magbahagi ng mga konkretong pinakamahusay na kasanayan sa lahat mula sa cross-chain verifiers at rate limits hanggang sa multisig policies at kill switches, pagkatapos ay “sama-samang itatag ang mga pamantayan ng seguridad sa DeFi” na maaaring ilapat sa buong mga chain. Inirekomenda niya na ang Ethereum Foundation at Solana Foundation ay dapat tumulong sa pagbuo ng trabaho, na nagsasabing ang mga guideline na sinusuportahan ng foundation—bagaman hindi pormal na regulasyon—ay maaaring kumilos bilang isang karaniwang rulebook at gawing mas mahirap para sa mga koponan na maglunsad ng mga arkitektura na may mga halatang sentralisadong chokepoints.
Konklusyon
Tulad ng isang komentador na nagbubuod sa isang ulat ng industriya, ang mga paulit-ulit na pagkabigo tulad ng rsETH exploit at kasunod na Aave stress risk ay nag-uugat sa pananaw na “sa halip na alisin ang mga solong punto ng pagkabigo, patuloy na binubuo ng industriya ang mga ito,” na nagpapahina sa pangunahing halaga ng DeFi bilang isang alternatibo sa opaque, marupok na TradFi rails.
