Einheitliche DeFi-Sicherheitsstandards gefordert
Der Curve-Gründer Michael Egorov setzt sich für einheitliche DeFi-Sicherheitsstandards ein, nachdem der rsETH-Exploit von Kelp aufgezeigt hat, wie „zentralisierte“ Engpässe angeblich dezentrale Systeme dennoch ruinieren können. Egorov hat nach dem, was er als Welle von „vermeidbaren“ Exploits beschreibt, die durch zentralisierte Einzelpunkte des Versagens in vermeintlich dezentralen Stacks verursacht wurden, branchenweite DeFi-Sicherheitsstandards gefordert.
„Eine große Anzahl von vermeidbaren Sicherheitsvorfällen in DeFi von zentralisierten Einzelpunkten des Versagens herrührt, die der gesamten Branche schaden.“
Er forderte die Teams auf, diese Engpässe zu beseitigen, anstatt zu versuchen, Verluste im Nachhinein zu „beheben“.
Die Zukunft von DeFi
Lassen Sie mich beginnen: DeFi ist die Zukunft des Weltfinanzsystems. Das ist mein Glaube, und deshalb sind wir hier. Die Anzahl der absolut vermeidbaren Hacks, die wir in DeFi beobachten (mit Ursachen, die auf zentrale Punkte des Versagens zurückzuführen sind), ist in letzter Zeit enorm gestiegen. Das schadet der gesamten Branche.
Der rsETH-Exploit
Seine Kommentare folgen dem rsETH-Exploit von KelpDAO, bei dem ein Angreifer etwa 116.500 rsETH – zum Zeitpunkt etwa 292 Millionen Dollar wert – abgezweigt hat, indem er eine Cross-Chain-Nachricht gefälscht hat. Anschließend brachte er die gestohlenen Token als Sicherheiten in Aave ein, wodurch der Schaden durch die Komponierbarkeit von DeFi verstärkt wurde.
Laut LayerZero, das die Messaging-Schicht von KelpDAO bereitstellte, war der Vorfall möglich, weil Kelp einen einzigen 1-von-1-DVN-Validator ohne Backup betrieb, was genau den zentralen Punkt des Versagens schafft, von dem Egorov sagt, dass er in der modernen DeFi-Infrastruktur nicht existieren sollte.
Nachdem die gefälschte Nachricht durchgegangen war, nutzte der Angreifer rsETH auf Aave V3, um große Mengen von Wrapped Ether zu leihen, was mehr als 10 Milliarden Dollar an Abflüssen von Aave auslöste, als die Nutzer hastig abheben wollten. Das Protokoll fror die rsETH-Märkte auf V3 und V4 ein, um das Risiko zu begrenzen. Branchenbeobachter schätzen die umfassenderen Verluste im Zusammenhang mit Kelp auf etwa 293 Millionen Dollar, wobei neun verbundene Protokolle die rsETH-Aktivitäten stoppten oder einschränkten. Der Sicherheitsrat von Arbitrum beschlagnahmte später etwa 30.766 ETH, die mit dem Angreifer verbunden waren.
Verborgene zentrale Abhängigkeiten
Egorov erklärte, der Vorfall veranschauliche, wie „Brücken, Orakel, Governance-Multisigs und Admin-Schlüssel“ zu versteckten zentralisierten Abhängigkeiten werden können, selbst wenn die Basisverträge für Kredite oder AMM formal dezentralisiert und geprüft bleiben. Er wies auch auf frühere Brücken- und Liquiditäts-Exploits hin, einschließlich Cross-Chain-Angriffe auf Protokolle wie CrossCurve – das mit Curve Finance arbeitet und ein Multi-Validator-Design anpreist, um Einzelpunkte des Versagens zu reduzieren – als Beispiele dafür, wie Designentscheidungen den Explosionsradius direkt beeinflussen, wenn etwas schiefgeht.
Gemeinsame Sicherheitsstandards
Egorov möchte, dass Projekte, Prüfer und Risikoteams konkrete Best Practices zu allem von Cross-Chain-Validierern und Ratenlimits bis hin zu Multisig-Richtlinien und Kill-Switches teilen und dann „gemeinsam DeFi-Sicherheitsstandards“ festlegen, die über die Chains hinweg angewendet werden können. Er schlug vor, dass die Ethereum Foundation und die Solana Foundation helfen sollten, die Arbeit zu koordinieren, und argumentierte, dass von Stiftungen unterstützte Richtlinien – obwohl sie keine formelle Regulierung darstellen – als gemeinsames Regelwerk fungieren könnten.
Dies würde es den Teams erschweren, Architekturen mit offensichtlichen zentralisierten Engpässen zu entwickeln.
„Anstatt Einzelpunkte des Versagens zu beseitigen, die Branche sie immer wieder neu aufbaut, was den Kernwert von DeFi als Alternative zu undurchsichtigen, fragilen TradFi-Strukturen untergräbt.“
