O fundador da Curve, Michael Egorov, está pressionando por padrões de segurança DeFi em toda a cadeia depois que a exploração Kelp rsETH expôs como os pontos de estrangulamento “centralizados” ainda podem quebrar sistemas supostamente descentralizados.
resumo
Michael Egorov, da Curve, diz que muitos hacks de DeFi resultam de fraquezas centralizadas que podem ser evitadas. Ele cita a exploração KelpDAO rsETH e a resposta de Aave como um alerta sistêmico. Egorov espera que Ethereum e a Fundação Solana possam ajudar a liderar padrões de segurança comuns.
O fundador da Curve, Michael Egorov, pediu padrões de segurança DeFi para todo o setor após uma onda de explorações “evitáveis” causadas por pontos únicos de falha centralizados em uma pilha supostamente descentralizada.
Em um tópico detalhado, Egorov argumentou que “muitos incidentes de segurança evitáveis em DeFi resultam de pontos únicos e centralizados de falha, impactando negativamente a indústria como um todo”, e instou as equipes a projetarem para esses pontos problemáticos em vez de tentarem “remediar” as perdas após o fato.
Vamos começar. DeFi é o futuro do sistema financeiro global. Essa é a minha crença e é por isso que estamos aqui.
A quantidade de hacks completamente evitáveis que temos visto no DeFi atualmente (com causas decorrentes de pontos de falha centralizados) é impressionante. Isso causa danos…
-Michael Egorov (@newmichwill) 21 de abril de 2026
Seus comentários seguem a exploração KelpDAO rsETH, onde os invasores vazaram aproximadamente 116.500 rsETH (no valor de aproximadamente US$ 292 milhões na época) forjando mensagens entre cadeias e, em seguida, enviaram os tokens roubados para Aave como garantia, amplificando o dano por meio da composição DeFi.
De acordo com LayerZero, que forneceu a camada de mensagens do KelpDAO, a violação foi possível porque o Kelp executou um único validador DVN 1 de 1 sem backup, criando exatamente o tipo de ponto único de falha que Egorov diz que não deveria existir na infraestrutura DeFi moderna.
Assim que a mensagem forjada foi transmitida, os invasores usaram o rsETH no Aave V3 para emprestar grandes quantidades de éter embrulhado, fazendo com que mais de US$ 10 bilhões fossem drenados do Aave enquanto os usuários corriam para sair. Enquanto isso, o protocolo congelou o mercado rsETH em V3 e V4 para limitar os riscos.
Os rastreadores da indústria estimam perdas mais amplas relacionadas ao Kelp em aproximadamente US$ 293 milhões, com nove protocolos conectados interrompendo ou restringindo a atividade do rsETH, e o comitê de segurança da Arbitrum posteriormente apreendendo aproximadamente 30.766 ETH associados aos invasores.
Egorov disse que o episódio mostra como “pontes, oráculos, multisigs de governança e chaves administrativas” podem se tornar dependências centralizadas ocultas, mesmo quando os empréstimos básicos e os contratos AMM permanecem formalmente descentralizados e auditados.
Ele também apontou explorações anteriores de pontes e liquidez, incluindo ataques entre cadeias contra protocolos como CrossCurve, que trabalha com Curve Finance e apregoa um design multivalidador para reduzir pontos únicos de falha, como exemplos de como as escolhas de design moldam diretamente o escopo do impacto quando algo quebra.
Egorov deseja que projetos, auditores e equipes de risco “estabeleçam em conjunto padrões de segurança DeFi” que possam ser aplicados em toda a cadeia, compartilhando melhores práticas específicas para tudo, desde recursos de validação entre cadeias e limites de taxa até políticas multisig e kill switches.
Como um comentarista resumiu em um relatório do setor, falhas repetidas como a exploração do rsETH e o subsequente estresse do Aave cimentam a percepção de que “em vez de eliminar pontos únicos de falha, a indústria continua a reinventá-los”, arriscando minar a proposta de valor central do DeFi como uma alternativa aos trilhos opacos e frágeis do TradFi.
