クロスチェーンメッセージングプロトコルのLayerZeroは、Kelp DAOから約2億9000万ドル相当の資産が流出した問題について、北朝鮮のハッカー集団「Lazarus Group(ラザルス・グループ)」の関与が示唆されると発表しました。この攻撃は2026年4月18日に発生し、特定の検証ノードへの侵害やDDoS攻撃を組み合わせた巧妙な手法が用いられています。今回の事件は単一のプロトコルの被害に留まらず、DeFi(分散型金融)セクター全体のTVL(総預かり資産)が短期間で7%減少するなど、業界全体に深刻な影響を及ぼしています。
攻撃の手法と技術的な要因
今回のエクスプロイト(脆弱性を悪用した攻撃)は、協定世界時(UTC)の4月18日17時35分に発生しました。攻撃者はLayerZeroのクロスチェーンメッセージング層を悪用し、他のネットワークから正当な指示が届いたかのように偽装することで、Kelp DAOのブリッジから11万6500rsETHを不正に引き出しました。
LayerZeroの分析によると、攻撃者は同プロトコルの検証者が依存している2つのRPCノード(ブロックチェーンと通信するための接続点)を侵害しました。その上で、残りのノードに対してDDoS攻撃(大量のデータを送りつけて機能を停止させる攻撃)を仕掛けてフェイルオーバー(予備システムへの切り替え)を発生させ、検証者に不正な取引を承認させたとしています。
LayerZeroは、Kelp DAO側が推奨されていた「マルチ検証者構成」を採用せず、単一の検証者で運用していたことが攻撃成功の要因になったと指摘しています。
DeFi市場全体への波及と緊急措置
この流出事件は、関連する他のDeFiプロトコルにも大きな混乱を招きました。特にAaveでは、流出した資産に関連する不良債権への懸念が広がり、約100億ドル規模の資金流出が発生したと報告されています。DeFiセクター全体のTVLは、事件後24時間で7%減少し、860億ドルまで落ち込みました。
事態を受けて、Aave、SparkLend、Fluidなど9つ以上の主要なDeFiプロトコルが、被害に遭った資産であるrsETH(リキッド・リステーキング・トークンの一種)市場の緊急凍結措置を実施しました。
Lazarus Groupによる連続的な攻撃の可能性
北朝鮮のLazarus GroupによるDeFiへの攻撃は、今回だけではありません。2026年4月1日にはDrift Protocolが攻撃を受け、約2億8500万ドルの被害が出ていますが、この事件も同グループの関与が疑われています。
これらを合わせると、Lazarus Groupはわずか18日間のうちに異なる2つの手法を使い分け、DeFiセクターから合計5億7500万ドル(約920億円)以上の資産を奪取したことになります。短期間にこれほど巨額の被害が相次いでいることから、業界内ではセキュリティ体制の抜本的な再構築を求める声が高まっています。
ポイント
1. Kelp DAOから約2億9000万ドル相当の資産が流出し、北朝鮮のLazarus Groupの関与が示唆されています。
2. 攻撃はRPCノードの侵害とDDoS攻撃を組み合わせたもので、LayerZeroの検証プロセスが標的となりました。
3. Kelp DAOが推奨されるマルチ検証者構成を導入せず、単一の検証者で運用していたことが被害の要因とされています。
4. Aaveでの大規模な資金流出や、複数プロトコルでの市場凍結など、DeFiエコシステム全体に深刻な影響を与えています。
5. 同グループは4月に入り合計5億7500万ドル以上を奪取したと見られ、クロスチェーンプロトコルの安全性確保が急務となっています。