北朝鮮がDeFiのインフラから2億9200万ドルを盗んだ方法

DeFi業界は厳しい一週間を過ごしました。厳しいと言っても、まさに「存亡の危機」と言えるほどの激しさでした。4月18日、後に北朝鮮のラザルスグループと特定された攻撃者が、Kelp DAOのクロスチェーンブリッジを悪用し、約2億9200万ドル相当の11万6500rsETHを盗み出しました。この攻撃により、わずか48時間で、分散型金融全体にロックされていた総額130億ドル以上の資産が失われました。

これは2026年最大のDeFi関連の不正攻撃であり、業界が長年警告を受けてきた脆弱性を露呈させた。

実際に何が起こったのか

この脆弱性の根本原因は、技術的には高度なものであったものの、概念的には驚くほど単純なものだった。Kelp DAOのブリッジはクロスチェーンメッセージングにLayerZeroを使用していたが、1対1の検証方式が設定されていたため、資金が移動する前に単一のノードがすべてのクロスチェーンメッセージを検証する必要があった。

ラザルスは検証ツールを直接解読する必要はなかった。代わりに、グループは検証ツールにデータを供給する2つのリモートプロシージャコール（RPC）ノードを侵害した。これらのノードを制御下に置いた彼らは、LayerZeroを介して偽のクロスチェーンメッセージを注入し、ブリッジを騙して本来触れるべきではない資金を解放させた。 CoinDeskによると盗まれたrsETHは20以上のブロックチェーンネットワークに拡散しており、迅速な封じ込めはほぼ不可能となっている。

1対1の構成が決定的な障害点となった。マルチバリデータ構成であれば、攻撃者は複数の独立したノードを同時に侵害する必要があり、はるかに困難な作業となる。その代わりに、資金力のある国家によるハッキング作戦によって、単一障害点が崩壊したのである。

フォールアウト：DeFiの臨死体験

rsETHは複数のレイヤー2ネットワーク上のプロトコル間で担保として利用されていたため、被害はKelp DAOにとどまらなかった。Aave、SparkLend、Fluidは迅速に資産凍結措置を講じたが、市場全体が反応する前のことではなかった。Aaveだけでも、48時間で84億5000万ドルの預金が流出した。

同セクターのロックされた総額は、2日間で130億ドル以上減少した。 Crypto.newsが報じた 2026年4月は、2025年2月に発生した1.4億ドル規模のBybitの情報漏洩事件以来、仮想通貨ハッキング事件が最も多かった月となり、18日間で6億600万ドル以上が失われた。

連携した対応として、Aaveの創設者であるスタニ・クレチョフは、Lido FinanceおよびEtherFiと協力し、イーサリアム準備金を使って不足分を補填することを提案した。これはプロトコル間の異例の協力であり、より広範な不良債権の連鎖を防いだ可能性がある。

LayerZeroは、今回の攻撃をTraderTraitorによるものと正式に発表した。TraderTraitorは、近年発生した最も収益性の高い仮想通貨窃盗事件のいくつかに関与したLazarusのサブグループであり、2022年のRonin Bridgeの脆弱性悪用や、今年初めのBybit取引所のハッキング事件などが挙げられる。

これが橋のセキュリティに意味すること

Kelp DAOの脆弱性攻撃が証明したことがあるとすれば、それは暗号通貨ブリッジが依然として業界で最も危険な攻撃対象領域であるということだ。近年発生した主要なプロトコルハッキング事件のほぼすべてが、同じ基本的な問題を悪用している。それは、信頼すべきでないクロスチェーンメッセージが信頼されてしまったという点だ。

理論的には、解決策は複雑ではない。マルチバリデーター構成、分散型RPCノードネットワーク、ブリッジインフラストラクチャの独立したセキュリティ監査などを導入すれば、セキュリティレベルは大幅に向上するだろう。問題は、インフラストラクチャの手抜きが「迅速な対応」という名目で正当化されがちであること、そして、無限の忍耐力を持つ国家がその隙を突くまで、その状況が続くことだ。

DeFiは今回のハッキング被害から比較的容易に回復できそうだ。Aaveのセキュリティモジュールは持ちこたえ、プロトコル間の連携も迅速で、主要プラットフォームの崩壊は見られなかった。しかし、DeFi業界はわずか48時間で13億ドルもの損失を被った。1対1の検証システムを採用する次のブリッジは、これほど幸運ではないかもしれない。

---------------

著者： ライアン・ガードナー
シルicon バレー ニュース デスク