Curve 创始人 Michael Egorov 正在推动在全链范围内建立 DeFi 安全标准,此前 Kelp rsETH 漏洞揭示了即便是“去中心化”的系统,仍可能被“中心化”瓶颈点彻底击穿。
总结
Curve 创始人 Michael Egorov 表示,在他所称的由“可避免”且由假装去中心化的各层堆栈中“单一故障点”驱动的漏洞浪潮之后,他呼吁整个行业建立 DeFi 安全标准。
在一篇详尽的帖子中,Egorov 认为,“大量原本可以避免的 DeFi 安全事故,源自中心化的单一故障点,这正在伤害整个行业”,并敦促各团队把这些瓶颈点在设计阶段移除,而不是在事后去“弥补”损失。
那让我先开始说。DeFi 是世界金融体系的未来。这是我的信念,因此我们才在这里。
我们在 DeFi 中看到的这种完全可以预防的黑客行为数量巨大,(其根本原因都可以归因于中心化的单一故障点)——最近尤其如此。这会伤害到……
— Michael Egorov (@newmichwill) 2026 年 4 月 21 日
他的评论紧随 KelpDAO rsETH 漏洞之后:该事件中,攻击者通过伪造跨链消息,最终将被盗资产推进 Aave 作为抵押,从而将约 116,500 rsETH 的资金掏空——当时价值大约 $292 百万美元——并借助 DeFi 的可组合性放大了破坏。
根据 LayerZero 的说法——它提供了 KelpDAO 的消息传递层——该次入侵之所以成为可能,是因为 Kelp 运行了一个单一的 1-of-1 DVN 验证器且没有备份,这正是 Egorov 所说不应该存在于现代 DeFi 基础设施中的那种单一故障点。
一旦伪造消息通过,攻击者就在 Aave V3 上使用 rsETH 借出大额的包裹以太(wrapped ether),从而在用户争相撤回的过程中引发了 Aave 的资金流出超过 $10 十亿美元;同时,为了遏制风险,协议在 V3 和 V4 上冻结了 rsETH 市场。
行业追踪者估计与 Kelp 相关的更广泛损失约为 $293 百万美元;有 9 个关联协议暂停或限制了 rsETH 活动,而 Arbitrum 的安全委员会随后接管了与攻击者相关的约 30,766 ETH。
Egorov 表示,该事件说明,“桥(bridges)、预言机(oracles)、治理多签(governance multisigs)和管理员密钥(admin keys)”都可能演变为隐藏的中心化依赖关系——即使基础借贷或 AMM 合约在形式上仍然去中心化并且已通过审计。
他还提到了更早的桥和流动性漏洞,包括对 CrossCurve 等协议的跨链攻击——CrossCurve 与 Curve Finance 协作,并宣称采用多验证器设计来降低单一故障点——作为设计选择如何在出现故障时直接塑造“爆炸半径(blast radius)”的例子。
Egorov 希望项目方、审计机构和风控团队在从跨链验证器和速率限制到多签策略与紧急关停开关(kill switches)的方方面面共享具体的最佳实践,然后“共同建立 DeFi 安全标准”,以便能够在各条链上适用。
他还建议以太坊基金会和 Solana Foundationshould 帮助组织这项工作,并指出基金会背书的指南——虽然并非正式监管——可以作为一套共同的“规则手册”,让团队更难发布那些带有明显中心化瓶颈点的架构。
正如一位评论者在一份行业报告中所总结的那样,像 rsETH 漏洞及其后续的 Aave 承压风险这样的反复失败,正在巩固这样的认知:行业“并没有消除单一故障点,而是不断重建它们”,从而削弱 DeFi 的核心价值主张——作为对那些隐匿、脆弱的 [TradFi](https://www.gate.com/zh/tradfi) 传输通道(rails)的替代方案。
