Introduzione
Il fondatore di Curve, Michael Egorov, sta spingendo per l’adozione di standard di sicurezza unificati per la DeFi a livello di settore, dopo che l’exploit di Kelp rsETH ha messo in luce come i punti critici “centralizzati” possano ancora compromettere sistemi che si suppongono decentralizzati.
Necessità di Standard di Sicurezza
Egorov ha sottolineato la necessità di stabilire standard di sicurezza a livello di settore, dopo aver descritto una serie di exploit “evitabili” causati da punti di fallimento centralizzati all’interno di stack che dovrebbero essere decentralizzati. In un thread dettagliato, ha affermato che:
“Un gran numero di incidenti di sicurezza evitabili in DeFi deriva da punti di fallimento centralizzati, che danneggiano l’intero settore”, esortando i team a progettare per eliminare tali vulnerabilità piuttosto che cercare di “rimediare” alle perdite dopo il fatto.
Il Futuro della DeFi
Egorov ha dichiarato:
“DeFi è il futuro del sistema finanziario mondiale. Questa è la mia convinzione, ed è per questo che siamo qui. L’ammontare di hack assolutamente prevenibili che vediamo in DeFi, con cause radicate attribuibili a punti di fallimento centralizzati, è enorme. Questo danneggia…”
I suoi commenti seguono l’exploit di KelpDAO rsETH, dove un attaccante ha drenato circa 116.500 rsETH, del valore di circa 292 milioni di dollari all’epoca, falsificando un messaggio cross-chain e poi utilizzando i token rubati in Aave come collaterale, amplificando il danno attraverso la composabilità della DeFi.
Dettagli dell’Exploit
Secondo LayerZero, che ha fornito il layer di messaggistica di KelpDAO, la violazione è stata possibile perché Kelp gestiva un singolo verificatore DVN 1-of-1 senza backup, creando esattamente il tipo di punto di fallimento singolo che Egorov afferma non dovrebbe esistere nell’infrastruttura DeFi moderna. Una volta che il messaggio falsificato è passato, l’attaccante ha utilizzato rsETH su Aave V3 per prendere in prestito grandi quantità di ether avvolto, innescando oltre 10 miliardi di dollari in deflussi da Aave mentre gli utenti si affrettavano a ritirare, costringendo il protocollo a congelare i mercati rsETH su V3 e V4 per contenere il rischio.
Implicazioni e Riflessioni
I tracker di settore stimano le perdite complessive legate a Kelp intorno ai 293 milioni di dollari, con nove protocolli connessi che hanno interrotto o limitato l’attività di rsETH, e il consiglio di sicurezza di Arbitrum ha successivamente sequestrato circa 30.766 ETH legati all’attaccante.
Egorov ha affermato che l’episodio illustra come “ponti, oracoli, multisig di governance e chiavi di amministrazione” possano diventare dipendenze centralizzate nascoste, anche quando i contratti di prestito di base o AMM rimangono formalmente decentralizzati e auditati. Ha anche fatto riferimento a precedenti exploit di ponti e liquidità, inclusi attacchi cross-chain a protocolli come CrossCurve, che collabora con Curve Finance e vanta un design multi-validator per ridurre i punti di fallimento singoli, come esempi di come le scelte progettuali influenzino direttamente il rischio quando qualcosa va storto.
Proposte per il Futuro
Egorov desidera che progetti, auditor e team di rischio condividano pratiche migliori concrete su tutto, dai verificatori cross-chain e limiti di tasso alle politiche multisig e interruttori di emergenza, per poi “stabilire congiuntamente standard di sicurezza DeFi” che possano essere applicati attraverso le catene. Ha suggerito che la Ethereum Foundation e la Solana Foundation dovrebbero aiutare a convocare il lavoro, sostenendo che linee guida sostenute dalle fondazioni, anche se non una regolamentazione formale, potrebbero fungere da libro delle regole comune e rendere più difficile per i team implementare architetture con evidenti punti critici centralizzati.
Come ha riassunto un commentatore in un rapporto di settore, fallimenti ripetuti come l’exploit di rsETH e il successivo stress di Aave rischiano di cementare la percezione che:
“Invece di eliminare i punti di fallimento singoli, l’industria continua a ricostruirli”, minando la proposta di valore fondamentale della DeFi come alternativa a sistemi TradFi opachi e fragili.
