Người sáng lập Curve Michael Egorov đang thúc đẩy các tiêu chuẩn bảo mật DeFi trên toàn chuỗi sau khi lỗ hổng Kelp rsETH đã phơi bày rằng các điểm thắt “mang tính tập trung” vẫn có thể làm hỏng các hệ thống vốn được cho là phi tập trung.
Tóm tắt

• Michael Egorov của Curve nói rằng nhiều vụ hack trong DeFi bắt nguồn từ các điểm yếu tập trung có thể tránh được.
• Ông dẫn chứng lỗ hổng khai thác rsETH của KelpDAO và phản hồi của Aave như một cảnh báo mang tính hệ thống.
• Egorov muốn các quỹ Ethereum và Solana giúp dẫn đầu việc xây dựng các tiêu chuẩn bảo mật chung.

Người sáng lập Curve Michael Egorov đã kêu gọi các tiêu chuẩn bảo mật DeFi trên toàn ngành sau những gì ông mô tả là làn sóng các vụ khai thác “có thể tránh được” được thúc đẩy bởi các điểm lỗi duy nhất tập trung trên những lớp được cho là phi tập trung.

Trong một chuỗi thảo luận chi tiết, Egorov lập luận rằng “một số lượng lớn các sự cố bảo mật có thể tránh được trong DeFi bắt nguồn từ các điểm lỗi duy nhất tập trung, đang gây hại cho toàn bộ ngành,” đồng thời kêu gọi các đội ngũ loại bỏ những điểm thắt cổ chai đó thay vì cố “khắc phục” các khoản lỗ sau sự việc.

Vì vậy hãy để tôi bắt đầu. DeFi là tương lai của Hệ thống Tài chính Thế giới. Đó là niềm tin của tôi, và vì thế chúng ta ở đây.

Số lượng các vụ hack hoàn toàn có thể ngăn chặn mà chúng ta thấy trong DeFi ( với nguyên nhân gốc xuất phát từ các điểm lỗi duy nhất MANG TÍNH TẬP TRUNG ) là vô cùng lớn gần đây. Điều này gây hại cho…

— Michael Egorov (@newmichwill) 21 tháng 4, 2026

Những bình luận của ông diễn ra sau lỗ hổng khai thác rsETH của KelpDAO, nơi một kẻ tấn công đã rút khoảng 116,500 rsETH—đổi lại trị giá vào khoảng $292 triệu tại thời điểm đó—bằng cách giả mạo một thông điệp xuyên chuỗi, rồi đẩy số token bị đánh cắp vào Aave làm tài sản thế chấp, khuếch đại mức độ thiệt hại nhờ tính “composability” của DeFi.

Aave, rsETH và các “điểm lỗi duy nhất” có thể ngăn ngừa {#aave-rseth-and-preventable-single-points-of-failur}

Theo LayerZero, đơn vị cung cấp lớp nhắn tin của KelpDAO, sự xâm nhập là có thể xảy ra vì Kelp đã chạy một trình xác minh DVN 1-of-1 duy nhất mà không có bản sao dự phòng, tạo ra đúng kiểu điểm lỗi duy nhất mà Egorov nói rằng không nên tồn tại trong hạ tầng DeFi hiện đại.

Khi thông điệp giả mạo được thông qua, kẻ tấn công sử dụng rsETH trên Aave V3 để vay các khoản lớn ether được bọc, kích hoạt hơn $10 tỷ USD tiền rút khỏi Aave khi người dùng chạy để rút tiền, trong khi giao thức đóng băng các thị trường rsETH trên V3 và V4 để kiểm soát rủi ro.

Các nhà theo dõi trong ngành ước tính tổng mức lỗ liên quan đến Kelp ở vào khoảng $293 triệu, với chín giao thức liên kết đã dừng hoặc hạn chế hoạt động rsETH và hội đồng an ninh của Arbitrum sau đó đã tịch thu khoảng 30,766 ETH gắn với kẻ tấn công.

Egorov nói rằng sự việc này cho thấy “các cầu nối, oracles, multisig quản trị và key quản trị” có thể trở thành các phụ thuộc tập trung ẩn, ngay cả khi các hợp đồng cho vay cơ sở hoặc hợp đồng AMM vẫn được duy trì một cách phi tập trung một cách chính thức và đã được kiểm toán.

Ông cũng chỉ ra các vụ khai thác cầu nối và khai thác thanh khoản trước đó, bao gồm các cuộc tấn công xuyên chuỗi nhắm vào các giao thức như CrossCurve—giao thức này hoạt động với Curve Finance và quảng bá thiết kế đa trình xác thực nhằm giảm các điểm lỗi duy nhất—như những ví dụ về việc các lựa chọn thiết kế tác động trực tiếp đến “vùng ảnh hưởng” (blast radius) khi mọi thứ bị hỏng.

Egorov muốn các dự án, các bên kiểm toán và các nhóm rủi ro chia sẻ các phương pháp thực hành tốt cụ thể cho mọi thứ từ bộ xác minh xuyên chuỗi và giới hạn theo tốc độ đến các chính sách multisig và cơ chế kill switch, rồi sau đó “cùng nhau thiết lập các tiêu chuẩn bảo mật DeFi” có thể được áp dụng trên nhiều chuỗi.

Ông gợi ý rằng Ethereum Foundation và Solana Foundationshould giúp triệu tập công việc này, lập luận rằng các hướng dẫn được hậu thuẫn bởi foundation—mặc dù không phải là quy định chính thức—có thể đóng vai trò như một cuốn sổ tay quy tắc chung và khiến việc các đội ngũ triển khai các kiến trúc có các điểm thắt cổ chai tập trung rõ ràng trở nên khó hơn.

Như một bình luận viên đã tóm lược trong một báo cáo của ngành, các thất bại lặp lại như vụ khai thác rsETH và rủi ro căng thẳng tiếp theo của Aave đã củng cố nhận thức rằng “thay vì loại bỏ các điểm lỗi duy nhất, ngành vẫn tiếp tục xây dựng lại chúng,” làm suy yếu đề xuất giá trị cốt lõi của DeFi như một lựa chọn thay thế cho những “làn ray” mờ ám và mong manh [TradFi](https://www.gate.com/zh/tradfi) .