Người sáng lập Curve kêu gọi thiết lập tiêu chuẩn an ninh DeFi
Người sáng lập Curve, Michael Egorov, đang thúc đẩy việc thiết lập các tiêu chuẩn an ninh DeFi trên toàn chuỗi sau khi vụ khai thác rsETH của Kelp phơi bày cách mà những điểm nghẽn “tập trung” vẫn có thể phá hủy các hệ thống được cho là phi tập trung. Egorov đã kêu gọi ngành công nghiệp thiết lập các tiêu chuẩn an ninh DeFi sau những gì ông mô tả là một làn sóng các vụ khai thác “có thể tránh được” do các điểm thất bại tập trung trong các hệ thống được cho là phi tập trung.
Những điểm nghẽn tập trung và thiệt hại trong DeFi
Trong một chuỗi bài viết chi tiết, ông lập luận rằng “một số lượng lớn các sự cố an ninh có thể tránh được trong DeFi xuất phát từ các điểm thất bại tập trung, điều này đang gây hại cho toàn bộ ngành”, và kêu gọi các nhóm thiết kế để loại bỏ những điểm nghẽn đó thay vì cố gắng “khắc phục” tổn thất sau khi sự việc xảy ra.
Egorov nhấn mạnh rằng DeFi là tương lai của hệ thống tài chính thế giới. Ông tin rằng số lượng các vụ hack hoàn toàn có thể ngăn chặn mà chúng ta thấy trong DeFi (với nguyên nhân gốc rễ có thể quy cho các điểm thất bại TẬP TRUNG) là rất lớn gần đây. Điều này gây thiệt hại cho…
Những bình luận của ông theo sau vụ khai thác rsETH của KelpDAO, nơi một kẻ tấn công đã rút khoảng 116,500 rsETH—trị giá khoảng 292 triệu đô la vào thời điểm đó—bằng cách làm giả một thông điệp chuỗi chéo và sau đó đẩy các token bị đánh cắp vào Aave làm tài sản thế chấp, khuếch đại thiệt hại thông qua khả năng kết hợp của DeFi.
Vụ khai thác rsETH và bài học cho DeFi
Theo LayerZero, đơn vị cung cấp lớp nhắn tin cho KelpDAO, vụ vi phạm này có thể xảy ra vì Kelp đã chạy một trình xác thực DVN 1-of-1 duy nhất mà không có bản sao lưu, tạo ra chính loại điểm thất bại mà Egorov nói rằng không nên tồn tại trong cơ sở hạ tầng DeFi hiện đại. Khi thông điệp giả mạo được thông qua, kẻ tấn công đã sử dụng rsETH trên Aave V3 để vay một số lượng lớn ether đã được bọc, kích hoạt hơn 10 tỷ đô la trong dòng tiền ra từ Aave khi người dùng vội vàng rút tiền, trong khi giao thức đã đóng băng các thị trường rsETH trên V3 và V4 để kiểm soát rủi ro.
Các nhà theo dõi ngành ước tính tổng thiệt hại liên quan đến Kelp lên tới khoảng 293 triệu đô la, với chín giao thức liên quan đã ngừng hoặc hạn chế hoạt động rsETH và hội đồng an ninh của Arbitrum sau đó đã tịch thu khoảng 30,766 ETH liên quan đến kẻ tấn công.
Egorov cho biết sự cố này minh họa cách mà “các cầu nối, oracle, multisig quản trị và khóa quản trị” có thể trở thành những phụ thuộc tập trung ẩn giấu, ngay cả khi các hợp đồng cho vay cơ bản hoặc AMM vẫn chính thức phi tập trung và đã được kiểm toán.
Khuyến nghị cho ngành công nghiệp DeFi
Ông cũng chỉ ra các vụ khai thác cầu nối và thanh khoản trước đó, bao gồm các cuộc tấn công chuỗi chéo vào các giao thức như CrossCurve—giao thức làm việc với Curve Finance và tự hào có thiết kế đa xác thực để giảm thiểu các điểm thất bại đơn lẻ—như là những ví dụ về cách mà các lựa chọn thiết kế trực tiếp hình thành bán kính thiệt hại khi một thứ gì đó bị hỏng.
Egorov muốn các dự án, kiểm toán viên và các nhóm rủi ro chia sẻ các thực tiễn tốt nhất cụ thể về mọi thứ từ các trình xác thực chuỗi chéo và giới hạn tỷ lệ đến chính sách multisig và công tắc ngắt, sau đó “cùng nhau thiết lập các tiêu chuẩn an ninh DeFi” có thể được áp dụng trên các chuỗi.
Ông đề xuất Quỹ Ethereum và Quỹ Solana nên giúp tổ chức công việc này, lập luận rằng các hướng dẫn được hỗ trợ bởi quỹ—mặc dù không phải là quy định chính thức—có thể hoạt động như một quy tắc chung và làm cho việc các nhóm phát triển kiến trúc với các điểm nghẽn tập trung rõ ràng trở nên khó khăn hơn.
Như một nhà bình luận đã tóm tắt trong một báo cáo ngành, những thất bại lặp đi lặp lại như vụ khai thác rsETH và rủi ro căng thẳng Aave sau đó có thể củng cố nhận thức rằng “thay vì loại bỏ các điểm thất bại đơn lẻ, ngành công nghiệp lại tiếp tục xây dựng chúng”, làm suy yếu giá trị cốt lõi của DeFi như một sự thay thế cho các đường ray TradFi mờ ám và dễ vỡ.
