Curve-Gründer Michael Egorov drängt nach dem Kelp-rsETH-Exploit auf Ketten-weit geltende DeFi-Sicherheitsstandards, nachdem der Vorfall gezeigt hat, wie „zentralisierte“ Engpässe auch angeblich dezentralisierte Systeme noch immer zum Absturz bringen können.
Zusammenfassung

• Curve’s Michael Egorov sagt, dass viele DeFi-Hacks aus vermeidbaren zentralisierten Schwachstellen entstehen.
• Er verweist auf den KelpDAO-rsETH-Exploit und Aave’s Reaktion als systematische Warnung.
• Egorov will, dass Ethereum- und Solana-Stiftungen dabei helfen, gemeinsame Sicherheitsstandards zu etablieren.

Curve-Gründer Michael Egorov hat nach dem, was er als eine Welle von „vermeidbaren“ Exploits beschreibt, die durch zentralisierte einzelne Punkte des Versagens über angeblich dezentralisierte Stacks angetrieben werden, eine branchenweite Forderung nach DeFi-Sicherheitsstandards gestellt.

In einem ausführlichen Thread argumentierte Egorov, dass „eine große Zahl vermeidbarer Sicherheitsvorfälle in DeFi aus zentralisierten einzelnen Punkten des Versagens resultiert, die der gesamten Branche schaden“, und forderte die Teams auf, diese Engpässe so zu gestalten, dass sie gar nicht erst entstehen, statt zu versuchen, „die Verluste“ erst danach zu „beheben“.

Also lasst mich anfangen. DeFi ist die Zukunft des Weltfinanzsystems. Das ist meine Überzeugung, und deshalb sind wir hier.

Diese Menge an absolut verhinderbaren Hacks, die wir in DeFi (mit den auf ZENTRALISIERTE Punkte des Versagens zurückführbaren Ursachen sehen), ist in letzter Zeit enorm. Das schadet…

— Michael Egorov (@newmichwill) 21. April 2026

Seine Kommentare folgen dem KelpDAO-rsETH-Exploit, bei dem ein Angreifer etwa 116.500 rsETH abgezogen hat—zum damaligen Zeitpunkt im Wert von ungefähr $292 Millionen—indem er eine Cross-Chain-Nachricht fälschte und dann die gestohlenen Tokens als Sicherheiten in Aave einbrachte, wodurch der Schaden durch die Komponierbarkeit von DeFi verstärkt wurde.

Aave, rsETH und vermeidbare „single points of failure“ {#aave-rseth-and-preventable-single-points-of-failur}

Laut LayerZero, das die Messaging-Ebene von KelpDAO bereitstellte, war die Sicherheitslücke möglich, weil Kelp einen einzigen 1-von-1-DVN-Verifizierer ohne Backup betrieb—und damit genau die Art von Single Point of Failure erzeugte, die Egorov zufolge in moderner DeFi-Infrastruktur nicht existieren sollte.

Sobald die gefälschte Nachricht durchgegangen war, nutzte der Angreifer rsETH auf Aave V3, um große Mengen an Wrapped Ether aufzunehmen, was mehr als $10 Milliarden in Abflüssen von Aave auslöste, als Nutzer eilten, um Gelder abzuziehen, während das Protokoll die rsETH-Märkte auf V3 und V4 einfrohr, um das Risiko einzudämmen.

Branchen-Tracker schätzen die breiteren, kelp-bezogenen Verluste auf rund $293 Millionen, wobei neun verbundene Protokolle das rsETH-Geschehen stoppten oder einschränkten und der Sicherheitsrat von Arbitrum später etwa 30.766 ETH beschlagnahmte, die mit dem Angreifer in Verbindung standen.

Egorov sagte, das Ereignis zeige, wie „Bridges, Oracles, Governance-Multisigs und Admin-Keys“ zu versteckten zentralisierten Abhängigkeiten werden können—selbst dann, wenn die zugrunde liegenden Lending- oder AMM-Verträge formal dezentralisiert und auditiert bleiben.

Er verwies außerdem auf frühere Bridge- und Liquiditäts-Exploits, darunter Cross-Chain-Angriffe auf Protokolle wie CrossCurve—das mit Curve Finance zusammenarbeitet und ein Multi-Validator-Design bewirbt, um Single Points of Failure zu reduzieren—als Beispiele dafür, wie Designentscheidungen direkt die „Blast Radius“ beeinflussen, wenn etwas kaputtgeht.

Egorov will, dass Projekte, Auditoren und Risk-Teams konkrete Best Practices für alles teilen, von Cross-Chain-Verifizierern und Rate Limits bis hin zu Multisig-Richtlinien und Kill Switches, und dann „gemeinsam DeFi-Sicherheitsstandards festlegen“, die über alle Chains hinweg angewendet werden können.

Er schlug vor, die Ethereum Foundation und Solana Foundationsollten dabei helfen, die Arbeit einzuberufen, und argumentierte, dass stiftungsunterstützte Leitlinien—obwohl keine formale Regulierung—als gemeinsames Regelwerk dienen könnten und es für Teams schwieriger machen würden, Architekturen mit offensichtlichen zentralisierten Engpässen auf den Weg zu bringen.

Wie ein Kommentator in einem Branchenbericht zusammenfasste, verfestigen wiederholte Ausfälle wie der rsETH-Exploit und das nachfolgende Aave-Stresstrisiko die Wahrnehmung, dass „die Industrie, statt Single Points of Failure zu eliminieren, sie immer wieder neu aufbaut“, und untergräbt damit das zentrale Wertversprechen von DeFi als Alternative zu undurchsichtigen, fragilen [TradFi](https://www.gate.com/zh/tradfi)-Rails.