#KelpDAOBridgeHacked

KelpDAOブリッジの脆弱性悪用 - 2026年4月18日：何が起きたのかと現状

2026年4月18日、流動性リステーキングプロトコルのKelpDAOは、クロスチェーンブリッジが侵害され、今年最大規模のDeFiの脆弱性悪用の一つを経験しました。攻撃者は約116,500 rsETHトークンを盗み出し、その時点での価値は約$292 百万ドルと推定されます。これは2026年の暗号資産ハッキングの中で最も大きなものであり、4月初旬に発生したDrift Protocolの脆弱性を上回っています。

脆弱性悪用の経緯

この攻撃は、KelpDAOのLayerZeroを利用したブリッジインフラの重大な脆弱性を突いたものでした。攻撃者は、Ethereumメインネット上のKelpDAOのOFTアダプターに対し、Unichainからの発信を偽装した偽のクロスチェーンメッセージを送信しました。根本原因は、ブリッジのセキュリティ設定の重大な誤設定にありました。KelpDAOは、1つのLayerZero Labsの検証者だけに依存した1対1のDVN（分散検証者ネットワーク）(を導入しており、冗長性や二次検証者を持たない最小限のセキュリティ構成を採用していました。この最小限のセキュリティアプローチにより、偽のメッセージは検証を通過し、ブリッジの金庫から未裏付けのrsETHトークンが攻撃者のウォレットに送信される事態を招きました。

なお、これはLayerZeroプロトコル自体のバグではありません。LayerZero V2はモジュール化されており、各プロジェクトが独自の検証者スタックを選択できる設計となっています。KelpDAOは最も最小限のセキュリティ設定を選択しましたが、それが致命的な結果を招きました。

攻撃者のDeFi戦略

未裏付けのrsETHを入手した攻撃者は、直ちにそれを担保として複数のDeFiプロトコルで最大限の価値を引き出すために利用しました。EthereumメインネットとArbitrum上のAave V3およびV4の市場で、攻撃者は約52,834 WETHを借り入れ、Arbitrumではさらに29,782 WETHと821 wstETHを借り入れました。その他、CompoundやEulerなどのプロトコルでも借入活動が観測され、総引き出し額は)百万ドルを超えました。盗まれた資金は、その後Tornado Cashを通じて洗浄されました。

即時対応と被害抑制

KelpDAOは、約1時間以内にこの脆弱性を検知しました。これは、ZachXBTを含むセキュリティ研究者によるオンチェーン監視のおかげです。プロトコルは直ちにEthereumや他のサポートチェーンのブリッジを停止し、2回の追撃攻撃を阻止しました。KelpDAOは、攻撃者とのホワイトハット交渉に前向きであることを示す公式声明を出しています。

Aaveは、EthereumとArbitrumのV3およびV4のrsETH市場を凍結しました。SparkLend、Fluid、Upshiftなど他のプロトコルも予防措置を講じました。この事件により、Aaveは主にArbitrum上で約$200 百万ドルの不良債権を抱えましたが、Ethereumメインネットの市場は担保維持されているものの、スピルオーバーのリスクがあります。Lidoは、earnETHの預入を一時停止し、EthenaやUSDT0も直接的なエクスポージャーがなくともブリッジを事前に停止しました。

二次的なリスクとして、ETHの利用率がAaveで100%に達し、清算遅延や借入インセンティブの不均衡を引き起こす可能性も指摘されています。

現状と今後の展望

2026年4月19日〜20日現在、ブリッジされたrsETHの保有者は、回復措置が取られない場合、15〜20%のヘアカットを受ける可能性があります。Aaveコミュニティは、不良債権の解決に向けたガバナンス提案について活発に議論しており、ArbitrumとEthereumメインネットのポジションを別々に扱うべきかどうかについても議論が続いています。

この事件は、DeFiプロジェクトにとって、OAppの設定監査と、単一の失敗点に依存しない3〜4検証者のマルチDVN構成の導入の重要性を痛感させるものです。幸いにも、この特定の脆弱性によりLayerZeroの他のOFTプロジェクトが影響を受けることはありませんでした。

セキュリティ研究者は、今後数日以内に根本原因の詳細な分析結果を公開する見込みです。ユーザーは、KelpDAO、Aave、ZachXBTなどの公式チャンネルを通じて、リアルタイムの状況アップデートを監視することが推奨されます。