2026年4月18日、リキッド・リステーキング・プロトコルであるKelp DAO(ケルプDAO)において、約2億9,200万ドル規模の不正流出が発生しました。この事案はLayerZero(レイヤーゼロ)を活用したクロスチェーン・ブリッジの脆弱性を突いたもので、DeFi(分散型金融)市場全体に深刻な影響を及ぼしています。本件を受け、イーサリアムを含む主要20チェーンすべてのTVL(預かり資産総額)が減少に転じる事態となっています。
不正流出の概要と技術的要因
今回の不正流出は、2026年4月18日17時35分(UTC)ごろに発生しました。被害額は116,500 rsETH(Kelp DAOが発行するリキッド・リステーキング・トークン)にのぼり、当時のレートで約2億9,200万ドルと算出されています。
技術的な調査によると、原因はLayerZeroの技術を用いたクロスチェーン・ブリッジ(異なるブロックチェーン間で資産を移動させる仕組み)の構成にありました。具体的には、検証者が1つしか存在しない「1対1の検証者設定(1-of-1 DVN)」が単一障害点(システムの1箇所が故障するだけで全体が停止・崩壊する箇所)となっていたことが指摘されています。攻撃者はRPCノード(ブロックチェーンと通信するための接続点)を侵害し、偽のクロスチェーン・メッセージを検証させることで、裏付けのないrsETHを不正に発行・流出させたものと見られます。
なお、LayerZeroはこの攻撃について、北朝鮮のハッカー集団「Lazarus Group(ラザルス・グループ)」による関与の可能性が高いとの見解を示しています。
市場全体およびイーサリアムへの波及効果
DefiLlamaのデータによると、この事案をきっかけにDeFi市場全体のTVLが急速に減少しました。特にDeFi市場の53.91%という最大のシェアを占めるイーサリアムは、過去1ヶ月間でロックされた資産価値の17.91%を失いました。イーサリアムのTVLは、本件発生前の560億ドル超から461億7,000万ドルまで減少しています。
この減少傾向はイーサリアムに限らず、上位20のすべてのブロックチェーンにおいて共通して確認されています。また、流出したrsETHが主要なレンディングプロトコルであるAave(アーベ)などで担保として利用された結果、Aaveでは約1億7,700万ドルの不良債権が発生したと報告されています。これを受け、多くのプロトコルがrsETHに関連する市場を凍結するなどの緊急措置を講じており、DeFiエコシステム全体でリスク回避の動きが強まっています。
ポイント
- 2026年4月18日にKelp DAOから116,500 rsETH(約2億9,200万ドル)が不正に流出しました。
- LayerZeroを利用したブリッジの「単一検証者設定」が悪用されたことが技術的な要因とされています。
- この事案の影響で、イーサリアムのTVLは1ヶ月で約17.9%減少し、461.7億ドルまで低下しました。
- Aaveなどの主要プロトコルで不良債権が発生し、市場全体で流動性の引き揚げや市場凍結が相次いでいます。
- クロスチェーン・インフラの安全性が、DeFi市場全体の信頼性と流動性に極めて大きな影響を与えることが改めて浮き彫りとなりました。