El fundador de Curve, Michael Egorov, está impulsando estándares de seguridad DeFi a nivel de cadena después de que el exploit de Kelp rsETH expusiera cómo los cuellos de botella “centralizados” aún pueden arruinar sistemas que supuestamente son descentralizados.
Resumen

• Michael Egorov de Curve dice que muchas brechas de DeFi provienen de puntos débiles centralizados evitables.
• Cita el exploit de KelpDAO rsETH y la respuesta de Aave como una advertencia sistémica.
• Egorov quiere que las fundaciones de Ethereum y Solana ayuden a liderar estándares comunes de seguridad.

El fundador de Curve, Michael Egorov, ha pedido estándares de seguridad DeFi a nivel de la industria después de lo que describe como una ola de exploits “evitables” impulsados por puntos únicos de fallo centralizados en pilas supuestamente descentralizadas.

En un hilo detallado, Egorov sostuvo que “un gran número de incidentes de seguridad evitables en DeFi provienen de puntos únicos de fallo centralizados, que están perjudicando a toda la industria”, instando a los equipos a eliminar esos cuellos de botella en el diseño en lugar de intentar “remediar” las pérdidas después de los hechos.

Así que voy a empezar. DeFi es el futuro del Sistema Financiero Mundial. Esa es mi creencia, y por eso estamos aquí.

Esta cantidad de hacks absolutamente prevenibles que vemos en DeFi (con causas raíz atribuibles a puntos únicos de fallo CENTRALIZADOS) es enorme recientemente. Esto daña a…

— Michael Egorov (@newmichwill) 21 de abril de 2026

Sus comentarios siguen al exploit de KelpDAO rsETH, en el que un atacante drenó alrededor de 116,500 rsETH—valorados aproximadamente en $292 millones en ese momento—al falsificar un mensaje entre cadenas y luego empujar los tokens robados a Aave como colateral, amplificando el daño mediante la composabilidad de DeFi.

Aave, rsETH y “single points of failure” prevenibles {#aave-rseth-and-preventable-single-points-of-failur}

Según LayerZero, que proporcionó la capa de mensajería de KelpDAO, la brecha fue posible porque Kelp ejecutó un verificador DVN 1-de-1 único sin respaldo, creando exactamente el tipo de punto único de fallo que Egorov dice que no debería existir en la infraestructura DeFi moderna.

Una vez que el mensaje falsificado se verificó, el atacante usó rsETH en Aave V3 para pedir prestadas grandes cantidades de éter envuelto, lo que activó más de $10 mil millones en salidas desde Aave mientras los usuarios se apresuraban a retirar, mientras que el protocolo congeló los mercados de rsETH en V3 y V4 para contener el riesgo.

Los analistas de la industria estiman que las pérdidas más amplias relacionadas con Kelp rondan $293 millones, con nueve protocolos conectados que detuvieron o restringieron la actividad de rsETH y el consejo de seguridad de Arbitrum que luego incautó alrededor de 30,766 ETH vinculados al atacante.

Egorov dijo que el episodio ilustra cómo “bridges, oracles, governance multisigs y admin keys” pueden convertirse en dependencias centralizadas ocultas, incluso cuando los contratos base de préstamos o AMM sigan siendo formalmente descentralizados y auditados.

También señaló exploits anteriores de puentes y de liquidez, incluyendo ataques entre cadenas contra protocolos como CrossCurve—que funciona con Curve Finance y presume de un diseño multi-validator para reducir puntos únicos de fallo—como ejemplos de cómo las decisiones de diseño determinan directamente el radio de explosión cuando algo se rompe.

Egorov quiere que los proyectos, auditores y equipos de riesgo compartan prácticas recomendadas concretas sobre todo, desde verificadores entre cadenas y límites de tasa hasta políticas de multisig y kill switches, para luego “establecer conjuntamente estándares de seguridad DeFi” que puedan aplicarse en todas las cadenas.

Sugirió que la Ethereum Foundation y Solana Foundationshould help convene the work, argumentando que las guías respaldadas por la fundación—aunque no sean regulación formal—podrían actuar como un libro de reglas común y dificultar que los equipos envíen arquitecturas con cuellos de botella centralizados evidentes.

Como resumió un comentarista en un informe de la industria, fallos repetidos como el exploit de rsETH y el posterior riesgo de estrés en Aave consolidan la percepción de que “en lugar de eliminar puntos únicos de fallo, la industria sigue reconstruyéndolos”, socavando la propuesta de valor central de DeFi como una alternativa a carriles [TradFi](https://www.gate.com/zh/tradfi) opacos y frágiles.