Призыв к стандартам безопасности в DeFi
Основатель Curve, Майкл Егоров, выступает за установление стандартов безопасности в сфере DeFi на уровне всей экосистемы после инцидента с эксплуатацией Kelp rsETH, который продемонстрировал, как «централизованные» узкие места могут разрушить, казалось бы, децентрализованные системы. Егоров призвал к созданию отраслевых стандартов безопасности DeFi, отметив, что «множество избежных инцидентов безопасности в DeFi происходит от централизованных точек отказа, которые наносят ущерб всей отрасли». Он призвал команды проектировать системы с учетом этих узких мест, а не пытаться «исправить» последствия после инцидента.
«DeFi — это будущее мировой финансовой системы. Я в этом уверен, и именно поэтому мы здесь. Количество абсолютно предотвратимых взломов, которые мы наблюдаем в DeFi, связанных с централизованными точками отказа, в последнее время стало огромным. Это наносит серьезный ущерб», — отметил он.
Инцидент с KelpDAO rsETH
Его комментарии последовали за инцидентом с KelpDAO rsETH, когда злоумышленник вывел около 116 500 rsETH, что на тот момент стоило примерно 292 миллиона долларов, подделав межцепочечное сообщение и использовав украденные токены в Aave в качестве залога, что усугубило ущерб благодаря композируемости DeFi. Согласно LayerZero, который предоставил уровень сообщений KelpDAO, нарушение стало возможным из-за использования Kelp единственного 1-of-1 DVN-верификатора без резервной копии, создавая именно тот вид единственной точки отказа, который, по словам Егорова, не должен существовать в современной инфраструктуре DeFi.
После подделки сообщения злоумышленник использовал rsETH на Aave V3, чтобы занять большие суммы обернутого эфира, что вызвало отток более 10 миллиардов долларов из Aave, когда пользователи поспешили вывести свои средства. В ответ протокол заморозил рынки rsETH на V3 и V4, чтобы ограничить риски. Отраслевые аналитики оценивают общие убытки, связанные с Kelp, примерно в 293 миллиона долларов, при этом девять связанных протоколов приостановили или ограничили свою деятельность с rsETH, а совет безопасности Arbitrum позже изъял около 30 766 ETH, связанных со злоумышленником.
Централизованные зависимости в DeFi
Егоров отметил, что этот инцидент иллюстрирует, как «мосты, оракулы, мультиподписи управления и админские ключи» могут стать скрытыми централизованными зависимостями, даже когда базовые контракты по кредитованию или AMM остаются формально децентрализованными и проверенными. Он также указал на более ранние инциденты с мостами и ликвидностью, включая межцепочечные атаки на протоколы, такие как CrossCurve, который работает с Curve Finance и использует многовалидаторный дизайн для уменьшения единственных точек отказа, как примеры того, как выбор дизайна непосредственно влияет на масштаб разрушений, когда что-то идет не так.
Призыв к совместной работе
Егоров призывает проекты, аудиторов и команды по управлению рисками делиться конкретными лучшими практиками по всем аспектам, от межцепочечных верификаторов и лимитов ставок до политик мультиподписей и аварийных выключателей, а затем «совместно установить стандарты безопасности DeFi», которые могут быть применены на всех цепях. Он предложил, чтобы Ethereum Foundation и Solana Foundation помогли организовать эту работу, утверждая, что рекомендации, поддерживаемые фондами, хотя и не формальное регулирование, могут служить общим сводом правил и усложнить командам создание архитектур с очевидными централизованными узкими местами.
Как один из комментаторов резюмировал в отраслевом отчете, повторяющиеся неудачи, такие как эксплуатация rsETH и последующий стресс Aave, рискуют закрепить восприятие того, что «вместо устранения единственных точек отказа отрасль продолжает их восстанавливать», подрывая основное ценностное предложение DeFi как альтернативы непрозрачным и хрупким структурам традиционных финансов.
