# KelpDAOBridgeHacked

事後分析：$272 百万 rsETHハックの経緯
​2026年4月18日、分散型金融の相互接続性が外部の脆弱性を致命的なシステム危機へと変貌させた。Kelp DAOのクロスチェーンインフラに対する高度な攻撃により、$292 百万以上の流動性リステーキングトークンが盗まれた。攻撃者はAaveの積極的なリスクパラメータを武器に、$272 百万のWETHを抽出し、一般預金者に永続的な損失をもたらし、ハイパーコモッサブルなDeFiアーキテクチャの致命的な欠陥を露呈させた。
​❍ LayerZeroブリッジの侵害
​危機は外部から始まった。LayerZeroインフラを基盤とするKelp DAOのクロスチェーンアダプターブリッジが標的となった。
​操作：攻撃者は偽造されたメッセージペイロードを用いてブリッジの複雑な検証層を操作し、自身に管理者権限を付与した。
​盗み：この技術的操作により、116,500 rsETHトークンが攻撃者管理のウォレットに直接流出した。
​規模の巨大さ：この金額はrsETHの世界的流通供給量の約18％に相当し、価値は$292 百万を超えた。
​❍ Aaveの効率モードを武器に
​攻撃者は直ちにAaveの深い流動性プールを狙い、盗んだrsETHを担保としてV3とV4の両方に預け入れた。
​最大抽出：AaveのEfficiency Mode (E-Mode)を利用し、rs

#KelpDAOBridgeHacked 1. 技術的な「偽造メッセージ」脆弱性
攻撃は構成性の悪用における名人芸だった。脆弱性はブリッジインフラに存在し、(LayerZero)を利用してKelpDAOのrsETHを複数のチェーンにまたがって接続していた。
偽造：攻撃者は検証層を回避する悪意のあるクロスチェーンペイロードを作成した。ブリッジは、実際には発生しなかった大量の預金の正当性を誤って「保証」した。
ミント：これにより、攻撃者はターゲットチェーン上で空気から116,500 rsETHをミントできた。
「ループ」ドレイン：rsETHを売却して価格を即座に崩壊させる代わりに(、ハッカーは偽のrsETHを担保としてAave V3、Compound、Eulerに預けた。その後、実際のETHとステーブルコインを借り入れた。
不良債権：担保は本質的に「価値がない」)、裏付けのない(ため、貸付プロトコルは現在、合計2億3千万ドル以上の不良債権に直面している。実際の基礎資産がないため、清算できる資産が存在しない。
2. 市場への影響と感染拡大
市場の反応は、「システミックDeFi失敗」の恐怖を反映しており、単一のプロトコルの損失だけではない。 3. 現在の回復状況
4月20日月曜日午後時点：
プロトコルの状況：KelpDAOはメインネットとL2上のすべてのrsETHコント

KelpDAOは壊滅的な攻撃を受け、ハッカーはクロスチェーンブリッジの脆弱性を利用してrsETHトークンをほぼ$293 百万ドル分流出させ、2026年の最大のDeFiハックとなった。この事件は分散型金融プラットフォーム全体に広範なパニックを引き起こし、市場を凍結させ、クロスチェーンのセキュリティに関する緊急の疑問を投げかけている。
---
🔎 何が起こったか
- 攻撃日時：2026年4月18日〜19日
- 流出額：約116,500 rsETH、価値は2億9200万〜2億9300万ドル
- 脆弱性の手法：攻撃者はLayerZeroのクロスチェーンメッセージングシステムを操作し、不正な取引を検証させた。
- 攻撃のスピード：資金は46分以内に流出し、そのほとんどがETHに変換され、Tornado Cashを通じて洗浄された。
---
🌐 DeFiエコシステムへの影響
- 2026年最大のDeFiハック：今月初めのDrift Protocolの脆弱性を超えた。
- 感染効果：Aave、SparkLend、FluidなどのレンディングプラットフォームはrsETH市場を凍結し、システム崩壊を防止した。
- 付随被害：rsETHは複数のプロトコルで担保や流動性として広く使用されており、リスクを増大させた。
---
🕵 可能な攻撃者
- 容疑グループ：事後分析によると、

#KelpDAOBridgeHacked
分散型金融（DeFi）エコシステムにとって衝撃的な出来事として、KelpDAOのブリッジが侵害されたと報告されており、クロスチェーンのセキュリティとユーザ資金の安全性に新たな懸念をもたらしています。初期の報告によると、攻撃者はブリッジのインフラの脆弱性を悪用し、問題が発覚する前に大量の資産を盗み出したとされています。
🔍 何が起こったのか？
ブリッジは異なるネットワーク間で資産を移動させるために設計されていますが、その複雑さから長らくハッカーの標的となってきました。このケースでは、エクスプロイトはスマートコントラクトのロジックや検証メカニズムを狙ったもので、不正な引き出しを可能にしました。
💰 ユーザーへの影響
詳細はまだ明らかになっていませんが、KelpDAOのブリッジに資金を預けていたユーザーは注意を払うように勧められています。チームはさらなる損失を防ぐためにブリッジの運用を停止し、侵害の調査を積極的に行っています。回復策や補償計画が後に発表される可能性がありますが、不確実性は残っています。
⚠️ DeFiにおけるセキュリティの懸念
この事件は、DeFi分野における繰り返される問題を浮き彫りにしています。それは、クロスチェーンプロトコルのセキュリティ脆弱性です。ブリッジは大量の流動性を保持していることが多く、魅力的なターゲットとな

DeFiの最も暗い週末2026年 $292M 46分で消失
2026年4月19日–20日 | オンチェーンで確認済み
╔══════════════════════════════════════════════════════════╗
║ 💀 資金流出 → 2億9200万〜2億9300万ドル ║
║ 🔗 プロトコル被害 → Kelp DAO — LayerZeroブリッジ ║
║ 📉 rsETH供給量 → 流通供給の18% ║
║ ⏱️ 流出時間 → 46分 ║
║ 🌐 影響を受けたチェーン → 20以上のネットワーク ║
║ 🏦 AAVEのTVL喪失 → 24時間で66億ドル減少 ║
╚══════════════════════════════════════════════════════════╝
◈ 01 — 事件概要：何が正確に起こったのか
2026年4月18日土曜日、約17:35 UTCに、史上最も高度で破壊的なDeFiのエクスプロイトの一つが、Ethereum上に構築された流動的リステーキングプロトコルKelp DAOに対して実行された。これが2026年最大のD

#KelpDAOBridgeHacked
最近のKelp DAOの攻撃は、単なるDeFiの事件ではなく、暗号エコシステムの最も弱い層の一つを露呈する構造的な警鐘です：クロスチェーンインフラストラクチャです。多くのトレーダーがトークン価格や利回りの機会に焦点を当てる一方で、この出来事は、実際のリスクはしばしば表面の下にあり、プロトコルをつなぐシステムに潜んでいることを浮き彫りにしています。ここで起きたのは単なるバグや孤立した失敗ではありません。アーキテクチャレベルでの信頼の崩壊であり、それは単一のプロジェクトを超えた影響を持ちます。
根本的には、この攻撃は資産を異なるブロックチェーン間で移動させる役割を担うブリッジの仕組みを標的にしました。ブリッジは暗号の断片化を解決し、流動性と資産をエコシステム間で自由に移動させるために存在します。これにより非常に価値が高まる一方で、非常に危険でもあります。大量の資本プールを保持または管理しているため、攻撃者にとって格好のターゲットとなります。個々のウォレットやコントラクトをハッキングする代わりに、攻撃者は流動性全体を保証するインフラに攻撃を仕掛けるのです。その層が崩れると、被害は拡大します。
このケースでは、問題はクロスチェーン取引の正当性を確認する検証プロセスに起因しているようです。ブリッジは信頼の前提に依存しています—一つのチェーンがメッセ

#KelpDAOBridgeHacked
ケルプDAOブリッジのハッキングは、DeFiにとって重要な転換点を示しており、コアインフラの脆弱性が広範なシステミックリスクを引き起こす可能性を示しています。おおよそ$290M の悪用は、一般的なスマートコントラクトの欠陥からではなく、LayerZeroに関連したクロスチェーンメッセージ検証の弱点から生じました。検証を操作することで、攻撃者は大規模な裏付けのないrsETHを発行し、オンチェーン上で正当なもののように見せかけました。
本当の被害は、これらの偽資産がAaveのようなレンディングプラットフォームで担保として使用されたときに展開しました。これにより、攻撃者は実際の流動性を$200M 以上も引き出すことができ、レンディングプールに大きなストレスを与え、流動性の制約を引き起こしました。波及効果はパニック的な引き出しや、相互接続されたプロトコル全体の信頼低下につながりました。
この事件は、半中央集権的な検証システムへの依存、構成要素の脆弱性、流動性のフィードバックループといった重要な構造的リスクを浮き彫りにしています。相互運用性が効率性を高める一方で、それがDeFiエコシステム全体における失敗の拡散規模と速度を増大させることも示しています。

#KelpDAOBridgeHacked
KelpDAOブリッジの脆弱性悪用 - 2026年4月18日：何が起きたのかと現状
2026年4月18日、流動性リステーキングプロトコルのKelpDAOは、クロスチェーンブリッジが侵害され、今年最大規模のDeFiの脆弱性悪用の一つを経験しました。攻撃者は約116,500 rsETHトークンを盗み出し、その時点での価値は約$292 百万ドルと推定されます。これは2026年の暗号資産ハッキングの中で最も大きなものであり、4月初旬に発生したDrift Protocolの脆弱性を上回っています。
脆弱性悪用の経緯
この攻撃は、KelpDAOのLayerZeroを利用したブリッジインフラの重大な脆弱性を突いたものでした。攻撃者は、Ethereumメインネット上のKelpDAOのOFTアダプターに対し、Unichainからの発信を偽装した偽のクロスチェーンメッセージを送信しました。根本原因は、ブリッジのセキュリティ設定の重大な誤設定にありました。KelpDAOは、1つのLayerZero Labsの検証者だけに依存した1対1のDVN（分散検証者ネットワーク）(を導入しており、冗長性や二次検証者を持たない最小限のセキュリティ構成を採用していました。この最小限のセキュリティアプローチにより、偽のメッセージは検証を通過し、ブリッジの金庫から未裏付けのrsE

#KelpDAOBridgeHacked ✨DeFiエコシステムは、2026年4月18日土曜日の17:35 UTCに行われたKelp DAOブリッジ攻撃で今年最大のストレステストを経験しました。Kelp DAOのLayerZero搭載のクロスチェーンブリッジは偽のメッセージ検証に騙され、116,500 rsETH — 約$292 百万 — が一連の取引で流出しました。この金額は総rsETH供給量630,000の約18％に相当し、事件は46分以内に発生しました。Kelpチームは緊急のマルチシグを用いてコントラクトを停止しましたが、その時点で多くの資金はTornado Cash関連のアドレスを通じてETHに変換されていました。
🧐攻撃手法
LayerZeroのメッセージング層は、別のチェーンから発信されたように見える偽の送金指示を検証しました。これにより、ブリッジのlzReceive関数がトリガーされ、不正なミント操作が可能になりました。
攻撃者は単一の検証脆弱性を利用して116,500 rsETHを自分のウォレットにミントし、その後さらに40,000 rsETHを奪おうと2回の試みを行いましたが、Kelpの緊急停止により阻止されました。
🧐資金流とレバレッジを用いた悪用
盗まれたrsETHの約$250 百万は迅速にETHに変換されました。オンチェーンデータによると、攻撃者は106