Appel à des Normes de Sécurité dans DeFi
Le fondateur de Curve, Michael Egorov, plaide pour l’établissement de normes de sécurité DeFi à l’échelle de l’industrie après l’exploitation de rsETH par Kelp. Cet incident a révélé comment des points de défaillance « centralisés » peuvent compromettre des systèmes supposément décentralisés. Egorov a exprimé sa préoccupation face à une vague d’exploitations « évitables » causées par ces points de défaillance centralisés dans des infrastructures qui se veulent décentralisées.
Les Incidents de Sécurité dans DeFi
Dans un fil détaillé, il a soutenu qu’un grand nombre d’incidents de sécurité dans DeFi proviennent de ces points de défaillance, nuisant ainsi à l’ensemble de l’industrie. Il exhorte les équipes à concevoir des solutions pour éviter ces points de blocage, plutôt que de tenter de « réparer » les pertes après coup.
« DeFi est l’avenir du système financier mondial. C’est ma conviction, et c’est pourquoi nous sommes ici. Le nombre de hacks absolument évitables que nous observons dans DeFi, dont les causes profondes sont attribuables à des points de défaillance centralisés, est alarmant. Cela nuit à notre écosystème », a-t-il déclaré.
Exploitation de rsETH par KelpDAO
Ses commentaires font suite à l’exploitation de rsETH par KelpDAO, où un attaquant a siphonné environ 116 500 rsETH, d’une valeur d’environ 292 millions de dollars à l’époque. L’attaquant a forgé un message inter-chaînes, puis utilisé les tokens volés comme garantie sur Aave, amplifiant ainsi les dégâts grâce à la composabilité de DeFi.
Selon LayerZero, qui a fourni la couche de messagerie de KelpDAO, la violation a été possible parce que Kelp fonctionnait avec un seul vérificateur DVN 1-of-1 sans sauvegarde, créant exactement le type de point de défaillance unique que dit Egorov ne devrait pas exister dans l’infrastructure DeFi moderne.
Conséquences de l’Incident
Une fois le message forgé validé, l’attaquant a utilisé rsETH sur Aave V3 pour emprunter de grandes quantités d’ether enveloppé, déclenchant plus de 10 milliards de dollars de sorties d’Aave alors que les utilisateurs se précipitaient pour retirer leurs fonds. Le protocole a gelé les marchés rsETH sur V3 et V4 pour contenir le risque. Les analystes estiment les pertes liées à Kelp à environ 293 millions de dollars, avec neuf protocoles connectés suspendant ou restreignant l’activité autour de rsETH.
Réflexions sur la Sécurité dans DeFi
Egorov a déclaré que cet épisode illustre comment « les ponts, les oracles, les multisigs de gouvernance et les clés d’administration » peuvent devenir des dépendances centralisées cachées, même lorsque les contrats de prêt de base ou les AMM restent formellement décentralisés et audités. Il a également cité des exploitations antérieures de ponts et de liquidités, y compris des attaques inter-chaînes sur des protocoles tels que CrossCurve, qui collabore avec Curve Finance.
Egorov souhaite que les projets, les auditeurs et les équipes de gestion des risques partagent des meilleures pratiques concrètes sur tout, des vérificateurs inter-chaînes et des limites de taux aux politiques de multisig et aux interrupteurs d’arrêt. Il a suggéré que la Fondation Ethereum et la Fondation Solana devraient aider à coordonner ce travail.
Comme l’a résumé un commentateur dans un rapport de l’industrie, des échecs répétés comme l’exploitation de rsETH et le stress subséquent d’Aave risquent de cimenter la perception que « plutôt que d’éliminer les points de défaillance uniques, l’industrie continue de les reconstruire », sapant ainsi la proposition de valeur fondamentale de DeFi en tant qu’alternative aux systèmes financiers traditionnels, souvent opaques et fragiles.
