Introducción
El fundador de Curve, Michael Egorov, está presionando por la implementación de estándares de seguridad DeFi a nivel de cadena, después de que la explotación de Kelp rsETH expusiera cómo los puntos de estrangulamiento «centralizados» pueden arruinar sistemas que se suponen descentralizados. En un hilo detallado, Egorov argumentó que «un gran número de incidentes de seguridad evitables en DeFi provienen de puntos de falla centralizados, que están perjudicando a toda la industria». Instó a los equipos a diseñar soluciones que eliminen estos puntos de estrangulamiento, en lugar de intentar «remediar» las pérdidas después de que ocurren los incidentes.
El Futuro de DeFi
«Déjame empezar. DeFi es el futuro del sistema financiero mundial. Esa es mi creencia, y por eso estamos aquí. La cantidad de hackeos absolutamente prevenibles que hemos visto en DeFi, con causas raíz atribuibles a PUNTOS DE FALLA CENTRALIZADOS, es enorme recientemente. Esto daña…»
Sus comentarios siguen a la explotación de rsETH de KelpDAO, donde un atacante drenó alrededor de 116,500 rsETH, valorados en aproximadamente $292 millones en ese momento, falsificando un mensaje entre cadenas y luego utilizando los tokens robados como colateral en Aave, amplificando el daño a través de la composabilidad de DeFi. Según LayerZero, que proporcionó la capa de mensajería de KelpDAO, la violación fue posible porque Kelp ejecutó un único verificador DVN 1-de-1 sin respaldo, creando exactamente el tipo de punto de falla único que Egorov sostiene que no debería existir en la infraestructura moderna de DeFi.
Consecuencias de la Explotación
Una vez que el mensaje falsificado fue procesado, el atacante utilizó rsETH en Aave V3 para pedir prestadas grandes cantidades de ether envuelto, provocando más de $10 mil millones en salidas de Aave mientras los usuarios se apresuraban a retirar sus fondos. Como resultado, el protocolo congeló los mercados de rsETH en V3 y V4 para contener el riesgo. Los rastreadores de la industria estiman que las pérdidas relacionadas con Kelp ascienden a alrededor de $293 millones, con nueve protocolos conectados deteniendo o restringiendo la actividad de rsETH. Además, el consejo de seguridad de Arbitrum confiscó alrededor de 30,766 ETH vinculados al atacante.
Dependencias Centralizadas
Egorov afirmó que este episodio ilustra cómo «los puentes, oráculos, multisigs de gobernanza y claves de administrador» pueden convertirse en dependencias centralizadas ocultas, incluso cuando los contratos base de préstamos o AMM permanecen formalmente descentralizados y auditados. También mencionó explotaciones anteriores de puentes y liquidez, incluidos ataques entre cadenas a protocolos como CrossCurve, que trabaja con Curve Finance y promueve un diseño de múltiples validadores para reducir puntos de falla únicos. Estos ejemplos demuestran cómo las decisiones de diseño influyen directamente en el riesgo de explosión cuando algo falla.
Propuestas para el Futuro
Egorov desea que los proyectos, auditores y equipos de riesgo compartan prácticas recomendadas concretas sobre todo, desde verificadores entre cadenas y límites de tasa hasta políticas de multisig y mecanismos de emergencia. Propone que se establezcan conjuntamente estándares de seguridad DeFi que puedan aplicarse a través de las cadenas. Sugerió que la Fundación Ethereum y la Fundación Solana deberían ayudar a coordinar este trabajo, argumentando que las pautas respaldadas por fundaciones, aunque no sean regulaciones formales, podrían actuar como un libro de reglas común y dificultar que los equipos implementen arquitecturas con puntos de estrangulamiento centralizados evidentes.
Conclusión
Como resumió un comentarista en un informe de la industria, fracasos repetidos como la explotación de rsETH y el posterior estrés de Aave corren el riesgo de cimentar la percepción de que «en lugar de eliminar los puntos de falla únicos, la industria sigue reconstruyéndolos», socavando la propuesta de valor central de DeFi como una alternativa a los frágiles y opacos sistemas de TradFi.
