たった1つの設定ミスによる署名操作で、何もないところから2億9200万ドル相当のトークンが生み出されてしまうとなると、信頼不要の金融という概念そのものが、その名前が示唆するよりもはるかに不安定なものに見える。

攻撃の仕組み

2026年4月18日、攻撃者はLayerZeroを搭載したKelpDAOのクロスチェーンブリッジの脆弱性を悪用し、約2億9200万ドル相当のrsETHトークン11万6500個を流出させた。これはrsETHの流通総量の約18%に相当し、LayerZeroのプロトコル自体ではなく、Kelpがそれをどのように構成していたかという欠陥から生じたものだった。

このシステムは、クロスチェーンメッセージの認証に単一の検証ポイントに依存していた。攻撃者はそのポイントを発見し、悪用した結果、本来通過するはずのないメッセージが通過してしまった。「イーサリアム上に、署名1つと11万6500 rsETHが突如出現した」と、研究者たちは後に述べている。これらのトークンは担保として使用され、主にAaveから実物資産を借り入れ、プロトコルが一時停止する前に使い果たされた。

ラザルス・グループの指紋

情報漏洩から3日以内に、ブロックチェーン分析企業のChainalysisが 攻撃の原因となった ミキサーの使用パターンと資金分散方法が、北朝鮮のラザルス・グループの既知の活動スタイルと一致していることから、このグループは北朝鮮のラザルス・グループであると断定した。この推計は、ラザルス・グループがDeFiプロトコルを標的にしてきた実績と一致する。彼らはここ数年、オンチェーンにおける最も多発的な窃盗グループとして活動している。

今回の損失規模は、2026年最大のDeFi関連の不正攻撃となり、Driftハッキング事件の損失を数百万ドル上回る。今年のDeFi関連の累積損失は、30件以上の事件で7億7000万ドルを超えており、成熟期を迎えた業界の成長痛として片付けるのは難しい数字だ。

DeFiが救済に乗り出す

その後に起こったことは、見方によっては、驚くべき連携の証とも、DeFiにおけるセーフティネットが完全に非公式なものであることを改めて示すものとも言えるだろう。

Aaveは「DeFi United」と呼ばれる連合を結成し、Lido Finance、EtherFi、その他の主要プロトコルを巻き込み、Aaveのレンディングプールに残った不足分を補うためにETHを提供した。4月21日、Arbitrumのネットワークセキュリティ評議会は、攻撃者の所有する30,766 ETH（約7,100万ドル）を凍結し、盗まれた資産の約25%を回収した。スタンダードチャータード銀行は、このセクターの対応を回復力の証と評するメモを発表した。より広範な暗号通貨コミュニティはそれほど冷静ではなく、 DeFiは終わったと宣言する人もいる あからさま。

何を変える必要があるのか

土曜日に公開されたCoinDeskの事後分析レポートは、クロスチェーンブリッジがDeFiにおける最も根深い弱点であると指摘している。これは、数年前にワームホールブリッジやロニンブリッジの脆弱性が悪用された事件以来、業界が認識してきた問題だ。そのパターンは一貫している。ブリッジの複雑さが攻撃対象領域を生み出し、迅速な出荷を促すインセンティブが、綿密な監査を行うインセンティブを上回ってしまう傾向があるのだ。

この事件で最も厄介なのは、高度なゼロデイ攻撃ではなかったという点だ。単なる設定ミスだったのだ。LayerZeroのインフラストラクチャは設計通りに機能していたが、問題はKelpによるその展開方法にあった。これは監査だけで対処するにははるかに難しい問題だ。なぜなら、共有インフラストラクチャを使用するプロトコルは、コードだけでなく、クロスチェーンメッセージの信頼性と検証方法を規定するすべてのパラメータを検証する必要があるからだ。

KelpDAOとAaveは現在も復旧作業を進めている。一方、Lazarus Groupは推定2億9200万ドルの資産を資金洗浄する必要がある。仮想通貨の世界では、物事の進展速度に差がある。

---------------

著者： ライアン・ガードナー
シルicon バレー ニュース デスク

北朝鮮がDeFiのインフラから2億9200万ドルを盗んだ方法

DeFi業界は厳しい一週間を過ごしました。厳しいと言っても、まさに「存亡の危機」と言えるほどの激しさでした。4月18日、後に北朝鮮のラザルスグループと特定された攻撃者が、Kelp DAOのクロスチェーンブリッジを悪用し、約2億9200万ドル相当の11万6500rsETHを盗み出しました。この攻撃により、わずか48時間で、分散型金融全体にロックされていた総額130億ドル以上の資産が失われました。

これは2026年最大のDeFi関連の不正攻撃であり、業界が長年警告を受けてきた脆弱性を露呈させた。

実際に何が起こったのか

この脆弱性の根本原因は、技術的には高度なものであったものの、概念的には驚くほど単純なものだった。Kelp DAOのブリッジはクロスチェーンメッセージングにLayerZeroを使用していたが、1対1の検証方式が設定されていたため、資金が移動する前に単一のノードがすべてのクロスチェーンメッセージを検証する必要があった。

ラザルスは検証ツールを直接解読する必要はなかった。代わりに、グループは検証ツールにデータを供給する2つのリモートプロシージャコール（RPC）ノードを侵害した。これらのノードを制御下に置いた彼らは、LayerZeroを介して偽のクロスチェーンメッセージを注入し、ブリッジを騙して本来触れるべきではない資金を解放させた。 CoinDeskによると盗まれたrsETHは20以上のブロックチェーンネットワークに拡散しており、迅速な封じ込めはほぼ不可能となっている。

1対1の構成が決定的な障害点となった。マルチバリデータ構成であれば、攻撃者は複数の独立したノードを同時に侵害する必要があり、はるかに困難な作業となる。その代わりに、資金力のある国家によるハッキング作戦によって、単一障害点が崩壊したのである。

フォールアウト：DeFiの臨死体験

rsETHは複数のレイヤー2ネットワーク上のプロトコル間で担保として利用されていたため、被害はKelp DAOにとどまらなかった。Aave、SparkLend、Fluidは迅速に資産凍結措置を講じたが、市場全体が反応する前のことではなかった。Aaveだけでも、48時間で84億5000万ドルの預金が流出した。

同セクターのロックされた総額は、2日間で130億ドル以上減少した。 Crypto.newsが報じた 2026年4月は、2025年2月に発生した1.4億ドル規模のBybitの情報漏洩事件以来、仮想通貨ハッキング事件が最も多かった月となり、18日間で6億600万ドル以上が失われた。

連携した対応として、Aaveの創設者であるスタニ・クレチョフは、Lido FinanceおよびEtherFiと協力し、イーサリアム準備金を使って不足分を補填することを提案した。これはプロトコル間の異例の協力であり、より広範な不良債権の連鎖を防いだ可能性がある。

LayerZeroは、今回の攻撃をTraderTraitorによるものと正式に発表した。TraderTraitorは、近年発生した最も収益性の高い仮想通貨窃盗事件のいくつかに関与したLazarusのサブグループであり、2022年のRonin Bridgeの脆弱性悪用や、今年初めのBybit取引所のハッキング事件などが挙げられる。

これが橋のセキュリティに意味すること

Kelp DAOの脆弱性攻撃が証明したことがあるとすれば、それは暗号通貨ブリッジが依然として業界で最も危険な攻撃対象領域であるということだ。近年発生した主要なプロトコルハッキング事件のほぼすべてが、同じ基本的な問題を悪用している。それは、信頼すべきでないクロスチェーンメッセージが信頼されてしまったという点だ。

理論的には、解決策は複雑ではない。マルチバリデーター構成、分散型RPCノードネットワーク、ブリッジインフラストラクチャの独立したセキュリティ監査などを導入すれば、セキュリティレベルは大幅に向上するだろう。問題は、インフラストラクチャの手抜きが「迅速な対応」という名目で正当化されがちであること、そして、無限の忍耐力を持つ国家がその隙を突くまで、その状況が続くことだ。

DeFiは今回のハッキング被害から比較的容易に回復できそうだ。Aaveのセキュリティモジュールは持ちこたえ、プロトコル間の連携も迅速で、主要プラットフォームの崩壊は見られなかった。しかし、DeFi業界はわずか48時間で13億ドルもの損失を被った。1対1の検証システムを採用する次のブリッジは、これほど幸運ではないかもしれない。

---------------

著者： ライアン・ガードナー
シルicon バレー ニュース デスク