O fundador da Curve, Michael Egorov, está a defender normas de segurança DeFi ao nível da cadeia após o exploit rsETH da Kelp ter exposto como gargalos “centralizados” ainda conseguem arrasar sistemas supostamente descentralizados.
Resumo

• Michael Egorov, da Curve, diz que muitos hacks DeFi resultam de fracos pontos centralizados evitáveis.
• Ele cita o exploit rsETH do KelpDAO e a resposta da Aave como um aviso sistémico.
• Egorov quer que as fundações da Ethereum e da Solana ajudem a liderar normas comuns de segurança.

O fundador da Curve, Michael Egorov, apelou a normas de segurança DeFi para toda a indústria depois do que ele descreve como uma vaga de explorações “evitáveis” impulsionadas por pontos únicos de falha centralizados em camadas supostamente descentralizadas.

Num fio detalhado, Egorov afirmou que “um grande número de incidentes de segurança evitáveis na DeFi resulta de pontos únicos de falha centralizados, que estão a prejudicar toda a indústria”, instando as equipas a eliminarem esses gargalos, em vez de tentarem “remediar” perdas após o facto.

Então, deixem-me começar. DeFi é o futuro do Sistema Financeiro Mundial. Essa é a minha convicção, e é por isso que estamos aqui.

Esta quantidade de hacks absolutamente preveníveis que vemos na DeFi (com causas-raiz atribuíveis a pontos de falha CENTRALIZADOS) é enorme recentemente. Isto prejudica-nos…

— Michael Egorov (@newmichwill) 21 de abril de 2026

Os seus comentários surgem na sequência do exploit rsETH do KelpDAO, em que um atacante drenou cerca de 116,500 rsETH—avaliados, aproximadamente, em $292 milhões na altura—ao forjar uma mensagem cross-chain e, em seguida, enviar os tokens roubados para a Aave como colateral, ampliando o dano através da composabilidade da DeFi.

Aave, rsETH e ‘pontos únicos de falha’ evitáveis {#aave-rseth-and-preventable-single-points-of-failur}

De acordo com a LayerZero, que forneceu a camada de mensagens do KelpDAO, a violação foi possível porque a Kelp executou um único verificador DVN 1-de-1, sem cópia de segurança, criando exatamente o tipo de ponto único de falha que Egorov diz que não deve existir na infraestrutra moderna da DeFi.

Depois de a mensagem forjada passar, o atacante usou o rsETH na Aave V3 para contrair grandes quantidades de ether envolvido, desencadeando mais de $10 mil milhões em saídas da Aave à medida que os utilizadores correram para levantar, enquanto o protocolo congelou os mercados de rsETH na V3 e V4 para conter o risco.

Os analistas do sector estimam as perdas mais amplas relacionadas com o Kelp em cerca de $293 milhões, com nove protocolos ligados a interromper ou restringir a atividade de rsETH e, mais tarde, o conselho de segurança da Arbitrum a apreender cerca de 30,766 ETH ligados ao atacante.

Egorov disse que o episódio ilustra como “pontes, oráculos, multisigs de governaça e chaves de administrador” podem tornar-se dependências centralizadas escondidas, mesmo quando os contratos base de concessão de empréstimos ou de AMM permanecem formalmente descentralizados e auditados.

Ele também apontou para exploits anteriores de pontes e de liquidez, incluindo ataques cross-chain a protocolos como o CrossCurve—que trabalha com a Curve Finance e promove um desenho multi-validadores para reduzir pontos únicos de falha—como exemplos de como as escolhas de design moldam diretamente o raio de impacto quando algo falha.

Egorov quer que os projetos, auditores e equipas de risco partilhem práticas recomendadas concretas em tudo, desde verificadores cross-chain e limites de taxa até políticas de multisig e kill switches, e depois que “estabeleçam em conjunto normas de segurança DeFi” que possam ser aplicadas em várias cadeias.

Ele sugeriu que a Ethereum Foundation e a Solana Foundationshould ajudem a convocar o trabalho, argumentando que orientações apoiadas por fundações—embora não sejam uma regulação formal—podem atuar como um livro de regras comum e dificultar que as equipas enviem arquiteturas com gargalos centralizados óbvios.

Como um comentador resumiu num relatório do sector, falhas repetidas como o exploit rsETH e o subsequente agravamento do risco na Aave solidificando a perceção de que “em vez de eliminar pontos únicos de falha, a indústria continua a reconstruí-los”, minando a proposta de valor central da DeFi como alternativa a carris opacos e frágeis [TradFi](https://www.gate.com/zh/tradfi).