Curve 的創辦人 Michael Egorov 正在推動全鏈 DeFi 安全標準,原因是在 Kelp rsETH 剝削事件揭露:即使是「去中心化」的系統,仍可能被「中心化」的瓶頸攻破。
摘要
Curve 的創辦人 Michael Egorov 表示,在他所描述的一波「可避免」的剝削浪潮之後,業界應建立全產業的 DeFi 安全標準;這些剝削由各種看似去中心化的堆疊中存在的中心化單一失效點所驅動。
在一則詳盡的串文中,Egorov 主張:「大量可避免的 DeFi 安全事件源自中心化單一失效點,這正傷害整個產業」,並敦促各團隊要把這些瓶頸設計掉,而不是在事後試圖「補救」損失。
所以讓我先開始。DeFi 是世界金融體系的未來。這是我的信念,這就是我們為什麼在這裡。
我們最近在 DeFi 中看到的這些絕對可預防的駭客行為數量驚人 (,其根本原因可歸因於 CENTRALIZED 的失效點)。這會損害……
— Michael Egorov (@newmichwill) 2026 年 4 月 21 日
他的評論接續 KelpDAO rsETH 剝削事件:一名攻擊者竊走了約 116,500 rsETH——當時價值約 $292 百萬——方法是偽造一則跨鏈訊息,接著把被盜代幣作為抵押品存入 Aave,並透過 DeFi 的可組合性放大了損害。
根據 LayerZero(提供 KelpDAO 訊息傳遞層)指出,之所以能夠發生漏洞,是因為 Kelp 運作的是單一 1-of-1 DVN 驗證器,且沒有備援;這恰恰創造出 Egorov 所說不應存在於現代 DeFi 基礎設施中的那種單一失效點。
一旦偽造訊息通過,攻擊者就使用 Aave V3 上的 rsETH 來借出大量包裝以太幣(wrapped ether),觸發 Aave 端超過 $10 十億的資金外流,因為使用者湧入搶在提領時機同時撤出資金;同時,該協議在 V3 與 V4 凍結 rsETH 市場以遏制風險。
產業追蹤者估計,與 Kelp 相關的整體損失約為 $293 百萬;共有九個關聯協議停止或限制 rsETH 的活動,而 Arbitrum 的安全委員會後續則攔下了與攻擊者相關的約 30,766 ETH。
Egorov 表示,這次事件說明了:「橋(bridges)、預言機(oracles)、治理多重簽名(governance multisigs)以及管理員金鑰(admin keys)」如何可能成為隱藏的中心化依賴;即使底層的借貸或 AMM 合約在形式上仍然是去中心化,且已通過稽核。
他也提到先前的橋與流動性剝削,包括對 CrossCurve 等協議的跨鏈攻擊;CrossCurve 與 Curve Finance 合作,並宣稱採用多驗證器設計以降低單一失效點——作為設計選擇如何在某些東西壞掉時直接決定「爆炸半徑」的例子。
Egorov 希望計畫方、稽核機構與風險團隊能就從跨鏈驗證器與速率限制,到多重簽名政策與緊急停機(kill switches)等各方面分享具體的最佳實務,然後「共同建立 DeFi 安全標準」,以便能跨鏈套用。
他建議以太坊基金會與 Solana 基金會應協助召集這項工作;他認為基金會背書的指引——即便不是正式法規——也可能成為共同的規則手冊,讓團隊更難推出帶有明顯中心化瓶頸的架構。
正如一位在產業報告中作出總結的評論者所說,像 rsETH 剝削及其後續 Aave 壓力風險這樣反覆發生的失敗,使人們更堅信:「產業並沒有消除單一失效點,而是不斷重建它們」,從而削弱 DeFi 作為替代於模糊、脆弱的 [TradFi](https://www.gate.com/zh/tradfi) 路線(rails)的核心價值主張。
