Curveの創設者マイケル・エゴロフは、KelpのrsETHエクスプロイトが、「分散型」をうたうシステムでも「中央集権的」なボトルネックが依然として壊滅的な被害をもたらし得ることを露呈したことを受けて、チェーン全体のDeFiセキュリティ基準を推し進めている。
概要
Curveの創設者マイケル・エゴロフは、投機的に「回避可能」な一連のエクスプロイトが、分散型のスタック全体にわたって中央集権的な単一障害点(single points of failure)によって引き起こされている、と彼が説明する状況のなかで、業界全体のDeFiセキュリティ基準を求めた。
詳細なスレッドで、エゴロフは「DeFiにおける回避可能なセキュリティ事故の大多数は、中央集権的な単一障害点に起因しており、業界全体に害を与えている」と主張し、そうしたチョークポイントを「事後に損失を『是正』しようとする」のではなく、設計段階で取り除くようチームに促した。
まず始めさせてください。DeFiは世界の金融システムの未来です。これが私の信念であり、だからこそ私たちはここにいます。
最近、DeFiで見かける、絶対に防げたはずのハックのこの量は ( 中央集権的な単一障害点) に起因する根本原因を持つものです。これは…
— Michael Egorov (@newmichwill) 2026年4月21日
彼の発言は、KelpDAOのrsETHエクスプロイトに続くものだ。この事件では攻撃者がクロスチェーンメッセージを偽造し、その後盗んだトークンを担保としてAaveに投入することで、約116,500 rsETH――当時の価値で約 $292 百万――を流出させた。
メッセージング層を提供したLayerZeroによると、侵害が可能だったのは、Kelpがバックアップなしで、単一の1-of-1 DVN検証者を運用していたためであり、エゴロフが現代のDeFiインフラに存在してはならないと述べるまさにその種の単一障害点が作られていたからだ。
偽造メッセージが通過すると、攻撃者はAave V3上のrsETHを用いて大量のラップド・エーテルを借り入れし、ユーザーが引き出しを急いだことでAaveから $10 十億ドル超の流出が発生。さらにプロトコルはV3とV4におけるrsETH市場を凍結してリスクを抑えた。
業界トラッカーは、より広範なKelp関連の損失を約 $293 百万と見積もっており、9つの接続されたプロトコルがrsETHの活動を停止または制限したほか、Arbitrumのセキュリティ評議会が後に攻撃者に紐づく約30,766 ETHを押収した。
エゴロフは、この一件が「ブリッジ、オラクル、ガバナンスのマルチシグ、管理者キー(admin keys)」が、基礎となる貸付やAMMコントラクトが形式上は分散され監査済みであっても、隠れた中央集権的な依存関係になり得ることを示していると述べた。
また彼は、以前のブリッジや流動性のエクスプロイト、たとえばCrossCurve――Curve Financeと連携し、単一障害点を減らすためのマルチ・バリデータ設計を売りにしている――に対するクロスチェーン攻撃などを挙げ、設計上の選択が何かが壊れたときの被害範囲(blast radius)を直接左右する例だとした。
エゴロフは、プロジェクト、監査人、リスクチームが、クロスチェーンの検証者やレート制限から、マルチシグのポリシーやキルスイッチまで、あらゆる領域について具体的なベストプラクティスを共有し、そのうえで「共同でDeFiセキュリティ基準を確立」し、それをチェーン横断で適用できるようにすることを求めている。
彼は、Ethereum FoundationとSolana Foundationが、この取り組みの開催に協力すべきだと提案し、財団が後押しするガイドライン――正式な規制ではないにせよ――が共通のルールブックとして機能し、明白な中央集権的なチョークポイントを伴うアーキテクチャをチームが出荷しにくくすることになる、と論じた。
あるコメンテーターが業界レポートでまとめたところによれば、rsETHエクスプロイトやその後のAaveのストレス・リスクを含む繰り返しの失敗は、「単一障害点を排除するのではなく、業界はそれらを作り直し続けている」という認識を固定し、DeFiの中核的な価値提案――不透明で脆い [TradFi](https://www.gate.com/zh/tradfi) レールに代わるもの――を損ねている。
