DeFiセキュリティ基準の必要性
Curveの創設者であるMichael Egorovは、KelpのrsETHの悪用が「中央集権的」な障害点が本来分散型のシステムをどのように破壊できるかを暴露した後、チェーン全体のDeFiセキュリティ基準の推進を呼びかけています。Egorovは、中央集権的な単一障害点によって引き起こされる「回避可能な」悪用の波を受けて、業界全体のDeFiセキュリティ基準を求めています。
中央集権的障害点の影響
「DeFiにおける多くの回避可能なセキュリティインシデントは、中央集権的な単一障害点に起因しており、業界全体に悪影響を及ぼしている」とEgorovは主張し、チームに対してそれらの障害点を設計から排除するよう促しました。
彼は「私の信念として、DeFiは世界金融システムの未来です。これが私たちがここにいる理由です」と述べています。最近、DeFiで見られる完全に防げるハッキングの数は非常に多く、その根本原因は中央集権的な障害点に起因しています。
KelpDAOのrsETHの悪用事件
Egorovのコメントは、KelpDAOのrsETHの悪用に続くもので、攻撃者はクロスチェーンメッセージを偽造し、約116,500 rsETH(当時の価値で約2億9200万ドル)を奪い、盗まれたトークンを担保としてAaveに押し込むことで、DeFiのコンポーザビリティを通じて被害を拡大しました。
KelpDAOのメッセージングレイヤーを提供したLayerZeroによると、侵害はKelpがバックアップなしの単一の1-of-1 DVN検証者を運営していたために可能になり、Egorovが現代のDeFiインフラに存在すべきではないと述べる単一障害点を生み出しました。
業界への影響と今後の展望
偽造されたメッセージが通過すると、攻撃者はAave V3でrsETHを使用して大量のラップドイーサを借り、ユーザーが急いで引き出す中でAaveから100億ドル以上の流出を引き起こし、プロトコルはリスクを抑えるためにV3およびV4のrsETH市場を凍結しました。
業界の追跡者は、Kelp関連の損失を約2億9300万ドルと見積もっており、9つの関連プロトコルがrsETHの活動を停止または制限し、Arbitrumのセキュリティ評議会は後に攻撃者に関連する約30,766 ETHを押収しました。
Egorovは、この事件が「ブリッジ、オラクル、ガバナンスマルチシグ、管理キー」が、基本的な貸付やAMM契約が形式的に分散型で監査されている場合でも、隠れた中央集権的依存関係になる可能性があることを示していると述べました。
また、彼はCrossCurveなどのプロトコルに対するクロスチェーン攻撃を含む以前のブリッジや流動性の悪用を指摘し、設計の選択が何かが壊れたときの影響範囲を直接形作る例として挙げました。
共同でDeFiセキュリティ基準を確立する必要性
Egorovは、プロジェクト、監査人、リスクチームがクロスチェーン検証者やレート制限からマルチシグポリシー、キルスイッチに至るまでの具体的なベストプラクティスを共有し、その後「共同でDeFiセキュリティ基準を確立」することを望んでいます。
彼は、Ethereum FoundationとSolana Foundationがこの作業を開催するのを助けるべきだと提案し、財団が支援するガイドラインは正式な規制ではないものの、共通のルールブックとして機能し、チームが明らかな中央集権的障害点を持つアーキテクチャを構築するのを難しくする可能性があると主張しました。
ある評論家が業界報告で要約したように、rsETHの悪用やその後のAaveのストレスリスクのような繰り返される失敗は、「単一障害点を排除するのではなく、業界がそれらを再構築し続けている」という認識を強化し、透明性がなく脆弱なTradFiのレールに対する代替手段としてのDeFiのコアバリュープロポジションを損なう恐れがあります。
