Le fondateur de Curve, Michael Egorov, pousse à l’instauration de normes de sécurité DeFi à l’échelle de la chaîne après que l’exploit Kelp rsETH a mis en évidence la façon dont des goulots d’étranglement « centralisés » peuvent encore ruiner des systèmes soi-disant décentralisés.
Résumé

• Michael Egorov de Curve affirme que de nombreux piratages en DeFi découlent de faiblesses centralisées évitables.
• Il cite l’exploit rsETH de KelpDAO et la réponse d’Aave comme avertissement systémique.
• Egorov veut que des fondations de l’Ethereum et de Solana contribuent à diriger des normes de sécurité communes.

Le fondateur de Curve, Michael Egorov, a appelé à l’adoption de normes de sécurité DeFi à l’échelle de l’industrie après ce qu’il décrit comme une vague d’exploits « évitables », alimentés par des points de défaillance uniques centralisés sur des piles soi-disant décentralisées.

Dans une publication détaillée en fil de discussion, Egorov a fait valoir qu’un « grand nombre d’incidents de sécurité évitables en DeFi proviennent de points de défaillance uniques centralisés, qui nuisent à l’ensemble de l’industrie », exhortant les équipes à supprimer ces goulots d’étranglement plutôt que d’essayer de « remédier » aux pertes après coup.

Alors commençons. La DeFi est l’avenir du Système financier mondial. C’est ma conviction, et c’est pour cela que nous sommes ici.

Ce nombre d’attaques absolument évitables que nous voyons en DeFi (avec des causes racines attribuables à des points de défaillance CENTRALISÉS) est énorme récemment. Cela endommage…

— Michael Egorov (@newmichwill) 21 avril 2026

Ses commentaires font suite à l’exploit KelpDAO rsETH, au cours duquel un attaquant a vidé environ 116,500 rsETH—d’une valeur d’environ $292 million à l’époque—en falsifiant un message inter-chaîne, puis a injecté les tokens volés dans Aave comme garantie, amplifiant les dégâts grâce à la composabilité de la DeFi.

Aave, rsETH et des « points de défaillance uniques » évitables {#aave-rseth-and-preventable-single-points-of-failur}

D’après LayerZero, qui a fourni la couche de messagerie de KelpDAO, la brèche a été possible parce que Kelp exécutait un vérificateur DVN 1-sur-1 unique, sans sauvegarde, créant exactement le genre de point de défaillance unique qu’Egorov affirme ne devrait pas exister dans une infrastructure DeFi moderne.

Une fois le message falsifié validé, l’attaquant a utilisé rsETH sur Aave V3 pour emprunter de grandes quantités de ether enveloppé, déclenchant plus de $10 billion de sorties d’argent d’Aave alors que les utilisateurs se précipitaient pour retirer des fonds, tandis que le protocole gelait les marchés rsETH sur V3 et V4 afin de contenir le risque.

Les observateurs de l’industrie estiment que les pertes plus larges liées à Kelp se montent à environ $293 million, neuf protocoles connectés ayant interrompu ou restreint l’activité rsETH, et le conseil de sécurité d’Arbitrum ayant ensuite saisi environ 30,766 ETH liés à l’attaquant.

Egorov a déclaré que cet épisode illustre comment « les ponts, les oracles, les multisigs de gouvernance et les clés d’administration » peuvent devenir des dépendances centralisées cachées, même lorsque les contrats de prêt de base ou les contrats AMM restent formellement décentralisés et audités.

Il a également pointé du doigt des exploits antérieurs de ponts et de liquidité, notamment des attaques inter-chaînes contre des protocoles comme CrossCurve—qui fonctionne avec Curve Finance et met en avant une conception multi-validateurs afin de réduire les points de défaillance uniques—comme des exemples de la manière dont les choix de conception déterminent directement le périmètre d’impact lorsque quelque chose se brise.

Egorov veut que les projets, les auditeurs et les équipes de gestion des risques partagent des bonnes pratiques concrètes sur tout, des vérificateurs inter-chaînes aux limites de taux, en passant par les politiques de multisig et les commutateurs d’arrêt, puis « établissent conjointement des normes de sécurité DeFi » qui puissent être appliquées à travers les chaînes.

Il a suggéré que la Ethereum Foundation et la Solana Foundationshould aident à convoquer ce travail, en faisant valoir que des lignes directrices soutenues par des fondations—tout en n’étant pas une réglementation formelle—pourraient agir comme un recueil de règles commun et rendre plus difficile pour les équipes de déployer des architectures avec des goulots d’étranglement centralisés évidents.

Comme l’a résumé un commentateur dans un rapport de l’industrie, des échecs répétés comme l’exploit rsETH et la mise sous tension du risque sur Aave qui a suivi ont ancré la perception selon laquelle « au lieu d’éliminer les points de défaillance uniques, l’industrie continue de les reconstruire », ce qui affaiblit la proposition de valeur fondamentale de la DeFi en tant qu’alternative à des « rails [TradFi](https://www.gate.com/zh/tradfi) » opaques et fragiles.