#KelpDAOBridgeHacked

2026年最大のDeFiハッキング – Kelp DAOのrsETHブリッジから$292 百万ドルの資金流出
2026年4月18日、約17:35 UTCに、流動性再ステーキングプロトコルのKelp DAOはLayerZeroを基盤としたクロスチェーンブリッジで大規模なセキュリティ侵害を受けた。攻撃者は成功裏に116,500 rsETH（再ステーキングされたEther）を流出させ、およそ2億9200万～2億9300万ドルの価値を持つこの資金は、rsETHの総流通量の約18％に相当し、2026年に記録された最大のDeFiハッキングとなった。
攻撃の経緯
Kelp DAOのrsETHブリッジは、LayerZeroのクロスチェーンメッセージングインフラ、特にEndpointV2コントラクトに依存し、異なるブロックチェーン間でシームレスな資産移動を可能にしていた。攻撃者はこれを悪用し、lzReceive関数を呼び出し、偽造されたクロスチェーンメッセージを注入した。この操作により、ブリッジの検証ロジックが正当な資金が他のネットワークから到着したと誤認し、116,500 rsETHが攻撃者の管理するアドレスに直接送金された。
この攻撃に使用されたウォレットは、約10時間前にTornado Cashを通じて資金提供されており、取引の出所を隠す一般的な手法であった。ブリッジはEthereumメインネットとArbitrumを含む複数のLayer-2ネットワーク上で稼働しており、迅速なクロスチェーンの影響をもたらした。分析者は、LayerZeroのデフォルト設定やドキュメントへの過度な依存が要因の一つと指摘している。
Kelp DAOの迅速な対応
Kelp DAOのチームは、怪しい活動を早期に検知し、次の声明を出した。
「rsETHに関わる怪しいクロスチェーン活動を確認しました。調査は継続中ですが、メインネットおよびいくつかのL2ネットワーク上のrsETHコントラクトを一時停止しました。LayerZero、Unichain、監査人、セキュリティの専門家と密に連携し、根本原因の分析を進めています。」
これにより、rsETHコントラクトを即座に停止し、追加の流出リスクを防いだが、流動性の喪失はrsETHの価値に深刻な打撃を与え、ラップドEther資産は20以上の異なるチェーンに散在したままとなった。
DeFiと流動性危機に及ぼすドミノ効果
このハッキングは、DeFiエコシステム全体に広がる「銀行引き出し」のようなパニックを引き起こした。主要なレンディングプラットフォームのAaveは緊急の市場凍結を実施し、約(十億ドル（約33％のTVL）が引き出され、約1億9600万～2億3600万ドルの不良債権が発生した。SparkLend、Fluid、Upshift、Morphoなどのプロトコルも同様の流動性圧力に見舞われた。
全体のDeFiの総ロックされた価値（TVL）は、48時間以内に80億～130億ドル減少し、一部のSolanaプールでもストレスが観測された。この事件は、クロスチェーンブリッジがDeFiインフラの中で最も脆弱な要素の一つであることを改めて浮き彫りにした。2026年4月だけで、ハッキングによる総損失は)百万ドルを超え、Kelp DAOの事件は、わずか3週間前に記録されたDrift Protocolの事件（約2億8000万～2億8600万ドル）を上回る規模となった。
Lazarusグループの憶測と調査の進行
複数のセキュリティ企業やオンチェーン分析者は、北朝鮮に関連するLazarusグループとの関係を示唆しており、LayerZeroも関連の兆候を示しているが、公式な確認はまだ出ていない。盗まれた資金の一部はすでにEthereumやArbitrum上でETHにスワップされており、攻撃者は追跡を困難にしている。追跡作業は継続中だ。
業界への教訓
Kelp DAOのブリッジハッキングは、流動性再ステーキングとオムニチェーンブリッジアーキテクチャに内在する重大なリスクを浮き彫りにしている。LayerZeroや類似のソリューションは強力な相互運用性を提供する一方で、単一障害点やメッセージの偽造攻撃に対して脆弱である。
Kelp DAOは、調査が完了次第、詳細なポストモーテムレポートを公開することを約束している。DeFiのユーザーや開発者にとって、この事件はブリッジのセキュリティ強化、多検証者システムの導入、緊急対応プロトコルの改善の必要性を痛感させる出来事となった。