リキッド・リステーキング・プロトコルであるKelpDAOのrsETHにおいて、2026年で最大規模となる2億9,200万ドルの流出被害が発生しました。これを受け、BitGoやPolygon、Katanaといった業界の主要企業は、将来的なDeFiハッキングを防止するための「レート制限(Rate Limits)」の導入を推進しています。本件は、単一のプロトコルの被害に留まらず、エコシステム全体のセキュリティ基準を見直す重要な転換点となる可能性があります。
KelpDAOにおける巨額流出の発生と影響
KelpDAOが発行するリキッド・リステーキング・トークン(LRT)である「rsETH」を対象としたエクスプロイト(脆弱性を利用した攻撃)が発生し、約2億9,200万ドル相当の資産が流出しました。この事件は、2026年におけるDeFi分野での最大規模の被害とされています。
外部の報道やオンチェーンデータの解析によると、この攻撃はLayerZeroを利用したクロスチェーンブリッジの脆弱性を突いたもので、不正な命令によって裏付けのないrsETHが大量にミント(発行)されたことが原因と見られています。流出したrsETHは、Aaveなどのレンディングプロトコルにおいて担保として利用され、流動性の高い資産が引き出されたことで、複数のプロトコルにまたがる二次被害や不良債権の発生につながったと報告されています。
業界大手が提唱する「レート制限」による再発防止策
今回の事態を重く見たBitGo、Polygon、Katanaといった業界の主要プレイヤーは、被害の拡大を防ぐための具体的な対策として「レート制限」の導入を提唱しています。
特に、MonadのCEOであるKeone Hon氏やEthenaのチームは、プロトコルにおける資産の供給量や引き出し量に対して、時間あたりの上限を設ける仕組みを推進しています。Hon氏は、資産の供給上限(サプライキャップ)を動的に調整する「スマートキャップ」の導入を提案しており、一度に巨額の資産が持ち込まれたり引き出されたりすることを制限することで、攻撃者が一度に奪える金額に上限を設けることが重要であると指摘しています。このような制限は、不正なミントが発生した場合でも、市場から流出する資産の規模を物理的に抑制する「回路遮断器」としての役割が期待されています。
DeFiセキュリティの新たな標準となる可能性
今回の事件は、DeFiプロトコルの相互接続性(コンポーザビリティ)が、一つの脆弱性からシステム全体の経済的リスクへと拡大するリスクを浮き彫りにしました。
BitGoやPolygonといったインフラ・プラットフォーム側がレート制限の導入を推進していることは、今後のDeFiプロジェクトにとって、スマートコントラクトの監査だけでなく、経済的なリスク管理の実装が標準的な要件となる可能性を示唆しています。資産の発行体やレンディングプロトコルが協力してこうした制限を設けることで、ユーザーや機関投資家がWeb3エコシステムを利用する際の安全性が高まると見られます。
ポイント
- KelpDAOのrsETHにおいて、2026年最大となる2億9,200万ドルの流出被害が発生しました。
- 攻撃の影響は他のレンディングプロトコルにも波及し、業界全体でセキュリティへの懸念が再燃しています。
- BitGo、Polygon、Katanaなどの大手企業は、対策として「レート制限(Rate Limits)」の導入を推進しています。
- MonadのCEOらは、時間あたりの取引量に制限を設けることで、不正流出の被害規模を抑制する手法を提唱しています。
- 今回の動きは、DeFiの安全基準を「予防」だけでなく「被害の最小化」の観点から再構築する契機として注目されます。